Was ist eine Insider-Bedrohung?

Cyber-Bedrohungen gehen nicht immer von externen Parteien aus. Auch Mitarbeitende oder Geschäftspartner können, vorsätzlich oder unabsichtlich, dafür sorgen, dass Daten und Systeme kompromittiert werden. Da diese Insider-Bedrohungen von autorisierten Benutzern ausgehen, verursachen sie oftmals größere Schäden als Angriffe von außen.

Was sind Insider-Bedrohungen in der Cyber-Sicherheit? Von welchen Personen geht eine mögliche Bedrohung aus? Welche Arten von Insider-Bedrohungen gibt es? Woran lässt sich eine Bedrohung durch Insider erkennen? Was können Unternehmen tun, um sich zu schützen? 

Dieser Artikel beantwortet die wichtigsten Fragen rund um das Thema Insider-Bedrohungen für Unternehmen.

Im Unterschied zu anderen Arten von Cyber-Angriffen geht bei Insider-Bedrohungen die Gefahr von einer internen Quelle aus. Das bedeutet, dass eine Person innerhalb des Unternehmens ihre Zugriffsrechte auf interne Systeme und Daten entweder absichtlich missbraucht oder unwissentlich Schaden anrichtet.

Beispiele für Insider-Bedrohungen sind das fahrlässige Ignorieren von internen Sicherheitsrichtlinien aus Bequemlichkeit, das Hereinfallen auf einen Social-Engineering-Angriff  aufgrund von Unachtsamkeit oder mangelnder Schulung und Sensibilisierung oder das Stehlen von Daten oder sensiblen Informationen zum eigenen finanziellen Vorteil.

Welche Personen stellen eine mögliche Insider-Bedrohung dar?

Die größte Insider-Bedrohung im Unternehmen geht in der Regel von den Mitarbeitenden aus, da diese Personengruppe zahlentechnisch häufig am größten ist. Aber aktuelle oder ehemalige Beschäftigte sind nicht die einzigen Insider, die eine potenzielle Cyber-Bedrohung für Unternehmen darstellen.

Eine Gefahr kann grundsätzlich von jedem ausgehen, der einen befugten Zugriff auf die Systeme, Daten und Informationen des Unternehmens hat. Darunter fallen häufig auch Geschäftspartner, externe Auftragnehmer und Lieferanten.

Es gibt drei Arten von Insider-Bedrohungen. Neben internen Bedrohungen durch Unachtsamkeit oder Böswilligkeit treten seltener auch Fälle von kompromittierten Insidern auf. Hier ist ein Überblick der drei Bedrohungsarten und worin sie sich unterscheiden.

Insider-Bedrohung durch bösartige Absichten

Eine als ungerecht empfundene Behandlung oder eine im Vergleich zu den Kollegen niedrigere Gehaltserhöhung kann unter Umständen ausreichen, um Mitarbeitende gegen das Unternehmen aufzubringen und in ihnen den Wunsch zu wecken, dem Unternehmen zu schaden.

Vorsätzlich handelnde Mitarbeitende können ihren Zugang zu Daten und Systemen auf zwei Arten nutzen. Zum einen können sie Systeme und Daten vorsätzlich manipulieren, vernichten oder lahmlegen, um das Unternehmen zu sabotieren.

Zum anderen können sie sensible Daten und Informationen stehlen, um diese an Cyber-Kriminelle oder Konkurrenten zu verkaufen oder sie anderweitig für ihre eigenen Zwecke (z. B. Cyber-Erpressung) zu missbrauchen. Der Diebstahl von geistigem Eigentum ist ebenfalls eine mögliche Vorgehensweise, wie Insider mit bösen Absichten dem Unternehmen schaden können.

Unabsichtliche Insider-Bedrohungen

Insider-Bedrohungen müssen nicht zwangsläufig von verärgerten oder rachsüchtigen Mitarbeitenden ausgehen. In vielen Fällen entstehen interne Bedrohungen durch Unwissenheit oder Fahrlässigkeit von Mitarbeitenden.

Fahrlässige Mitarbeiterhandlungen, die zu einer potenziellen Gefährdung des Unternehmens führen können, sind zum Beispiel das Öffnen einer Phishing-Mail oder das versehentliche Verschicken von sensiblen Daten an den falschen Empfänger.

Während Unachtsamkeit immer mit gewissen Risiken verbunden ist, können andere mögliche Gefahren durch adäquate Mitarbeiterschulungen deutlich abgemildert werden. So können Mitarbeitende beispielsweise für mögliche Phishing-Angriffe sensibilisiert werden.

Insider-Bedrohung durch kompromittierten Zugriff

Eine dritte Art von Insider-Bedrohungen geht von Mitarbeitenden aus, die unter die Kategorie “kompromittierte Insider” fallen. Kompromittierte Insider sind Mitarbeitende, die von Kriminellen durch Erpressung dazu gezwungen werden, ihnen Zugang zu Unternehmensdaten und -systeme zu gewähren, oder deren Zugriffsdaten gestohlen wurden und von den Angreifern für kriminelle Zwecke missbraucht werden.

Insider-Bedrohungen mögen statistisch gesehen seltener sein als Angriffe von außen. Aber wenn sie passieren, verursachen sie meist höhere Schäden. Insider, vor allem aktuelle oder ehemalige Beschäftigte, kennen sich in der Regel gut in den Systemen aus, können Datensätze und ihren Wert akkurat beurteilen und haben häufig weitgehende Zugriffsrechte.

Wie aus dem IBM-Bericht “Cost of a Data Breach Report 2023” hervorgeht, verursachten mutmaßlich durch Insider herbeigeführte Datenschutzverletzungen mit durchschnittlich rund 4,9 Millionen US-Dollar die höchsten Schäden. Zum Vergleich: Die durchschnittlichen Kosten einer Datenschutzverletzung lagen 2023 bei 4,45 Millionen US-Dollar.

Angaben der Agentur der Europäischen Union für Cybersicherheit (ENISA) zufolge können Insider-Bedrohungen verschiedene Konsequenzen haben. Neben direkten finanziellen Auswirkungen führen Cyber-Sicherheitsvorfälle, die von Mitarbeitenden und sonstigen Insidern ausgehen, in vielen Fällen auch zu Reputationsschäden, IP-Lecks und Kundenabwanderung.

Da Insider-Bedrohungen von autorisierten Nutzern ausgehen (oder zumindest über autorisierte Zugangsdaten ausgeführt werden), ist es schwer, potenzielle Bedrohungen zu erkennen. Ohne gezielte Überwachung kann eine solche Bedrohung über mehrere Jahre hinweg unentdeckt bleiben.

Anzeichen einer möglichen Bedrohung durch Insider können sein:

• Ungewöhnliche Systemzugriffe
• Anomalien im Nutzerverhalten
• Herunterladen großer Datenmengen
• Aufgezeichnete Versuche, Zugangskontrollen zu umgehen
• Versuchter Zugriff auf Anwendungen und Daten, die für die Benutzerrolle und die verknüpften Verantwortlichkeiten nicht freigegeben sind
• Nutzung privater Geräte ohne vorherige Absprache

Um diese Anzeichen einer Insider-Bedrohung erkennen zu können, braucht es jedoch eine detaillierte Überwachungsstrategie und passende Analysetools, die mittels Datenanalyse und Künstlicher Intelligenz das normale Verhalten der Nutzer abbilden und das so erstellte Modell zum Abgleich mit aktuellen Systemaktivitäten nutzen, um Abweichungen zu ermitteln.