Zahllose Firmen wurden in den vergangenen Monaten von Insidern bestohlen, doch viele IT-Experten nehmen diese Bedrohung immer noch auf die leichte Schulter. Wie real ist das Risiko durch interne Täter tatsächlich? Und welche Gegenmaßnahmen greifen wirklich?
Die IT-Abteilung wiegt sich in Sicherheit: Eine Firewall schirmt das Netzwerk gegen Angriffe ab, Deep-Packet-Inspection filtert verdächtigen Traffic, Applikationskontrolle und Geo-IP-Blocking halten unerwünschte Hacker fern. Niemand dringt hier unbemerkt ein – so die Theorie. Doch plötzlich registriert das Monitoring verdächtige Zugriffe auf kaum genutzte Systeme. Gleichzeitig lädt jemand massenhaft Daten herunter und verschickt sie über nicht freigegebene Cloud-Dienste wie Dropbox. Moment mal, das Netzwerk war doch eigentlich bombensicher?! Eigentlich.
Wer heute noch glaubt, der Perimeter allein schütze vor Attacken, könnte bald sein blaues Wunder erleben. Moderne IT-Umgebungen sind längst nicht mehr so gleichmäßig und zentralisiert aufgebaut wie früher. In der „guten alten Zeit“ gab es noch ein klar definiertes Rechenzentrum, das die Mitarbeiter mit allem versorgte. Das Netzwerk war zudem klar getrennt in Außenwelt („böse“) und Innenleben („gut“). Am Übergang sorgten Firewalls dafür, dass keine Angreifer eindringen konnten.
Heute erfolgen Zugriffe auf die IT-Infrastruktur von nahezu überall aus. Die Angreifer befinden sich nicht mehr nur außerhalb der eigenen Umgebung, sondern immer öfter mittendrin. Es sind aber keine klassischen Hacker, sondern die sogenannten Insider – also eigene Mitarbeiter, die mehr oder weniger absichtlich Schaden verursachen.
Mehr als vier von fünf Unternehmen waren in den vergangenen zwölf Monaten mindestens einmal das Opfer eines durch einen Insider verursachten Cybersecurity-Vorfalls, berichten das Online-Magazin Cybersecurity Insiders und Securonix in ihrem „2024 Insider Threat Report“. Nur 17 Prozent der Befragten mussten sich 2024 nicht mit mindestens einem Insider auseinandersetzen. Im Jahr davor waren es noch 40 Prozent, die keine internen Attacken erlebten. Ein Drittel der Befragten gab zudem an, dass die Zahl der Insider-Angriffe gleich geblieben war. Fast jeder zweite Befragte berichtete über eine Zunahme.
Ähnliche Zahlen liefert der Schulungsanbieter StationX. Demnach verzeichneten 76 Prozent der Firmen in den vergangenen fünf Jahren einen Anstieg von Insider-Bedrohungen. Allein zwischen 2023 und 2024 stieg die Zahl der durch Insider verursachten Datenleaks um 28 Prozent.
Hinter IT-Security-Vorfällen steckt nicht immer böse Absicht. Fehler von Angestellten lösen rund 88 Prozent aller Sicherheitsprobleme aus oder verschärfen sie zumindest erheblich. Mehr als jeder zweite Vorfall geht schlicht auf das Konto unachtsamer oder nachlässiger Mitarbeiter.
In den StationX-Umfragen gibt etwa jeder zweite Beschäftigte freimütig zu, „ziemlich sicher“ oder „sehr sicher“ schon einmal einen Fehler begangen zu haben, der die IT-Sicherheit gefährdet hat. Auffällig dabei: Mit zunehmendem Alter sinkt die Bereitschaft zum Eingeständnis solcher Patzer drastisch. Während die Hälfte der 18- bis 30-Jährigen sicherheitsrelevante Fehler zugibt, räumen bei den über 51-Jährigen nur noch zehn Prozent solche Fehltritte ein.
Folgende Zahl verdeutlicht, wie leicht man selbst Teil eines Insider-Vorfalls werden kann: Fast die Hälfte der Datenschutzvorfälle (45 Prozent) treten auf, weil jemand unabsichtlich vertrauliche Daten an die falsche E-Mail-Adresse geschickt hat. Jeder vierte Insider-Vorfall wird durch einen böswilligen Akteur ausgelöst. Als Beispiele nennt der Schulungsanbieter hier Angestellte oder andere „autorisierte Personen“, die ihre Zugriffsrechte für „schädliche, unethische oder illegale Aktivitäten“ missbrauchen. Genau diese Attacken sind es auch, die zahlreichen Sicherheitsexperten (74 Prozent) die größten Sorgen bereiten, so StationX. Im Vergleich zu externen Bedrohungen glaubt zudem fast jeder Zweite (48 Prozent), dass Insider-Angriffe schwerer zu erkennen und zu verhindern sind als Attacken von außen.
Angesichts der massiven Bedrohung drängt sich die Frage auf: Wie kann man sich gegen Insider-Attacken schützen? Die Lösung ist nicht einfach, aber machbar. Da die meisten internen Angreifer vor allem Daten abgreifen, auf die sie gar keinen Zugriff haben sollten, müssen Firmen genau hier den Hebel ansetzen.
Das Zero-Trust-Modell eignet sich perfekt dazu, Zugriffe zu begrenzen, da es Schluss macht mit dem Vertrauen im internen Netz. Egal, von wo und von wem eine Anfrage kommt: Nach dem Zero-Trust-Prinzip muss sie erst genau geprüft und dann autorisiert werden. Ohne explizite Freigabe ist kein Zugriff mehr möglich – nicht einmal mehr für die früher allmächtigen Administratoren. Auch sie erhalten für eine bestimmte Aufgabe nur eng begrenzte Zugriffsrechte, die zudem nach kurzer Zeit wieder ablaufen.
Zusätzlichen Schutz bietet die Segmentierung des Netzwerks in kleine, strikt voneinander getrennte Einheiten. So kann ein Insider zum Beispiel nicht einfach im Netzwerk nach freigegebenen Laufwerken suchen und von dort Daten entwenden. Jeder Zugriff muss zudem überwacht und protokolliert werden, um verdächtigen Aktivitäten jederzeit nachgehen zu können.
Falls es noch keine Security-Awareness-Trainings im Unternehmen gibt, dann sollten diese möglichst bald stattfinden und auch das Insider-Thema beinhalten. Auch für den Fall, dass jemand das Unternehmen verlässt, muss es genau definierte und überwachte Offboarding-Prozesse geben. Das verhindert, dass nach dem Ausscheiden eines Beschäftigten seine Zugänge und Passwörter weiter aktiv bleiben. Mit den genannten Maßnahmen lassen sich die Risiken durch Insider deutlich reduzieren.
Das könnte Sie auch interessieren:
Folgen für Unternehmen: Wenn das EU-US Data Privacy Framework (DPF) nicht mehr gilt
Mit seinem Amtsantritt hat US-Präsident Trump eine Verfügung angekündigt, die besagt, dass Entscheidungen seines Vorgängers zur nationalen Sicherheit, einschließlich solcher zu EU-US-Datentransfers, überprüft und gegebenenfalls widerrufen werden sollen. Was würde passieren, wenn ...
Ransomware-Evolution: Wie Double Extortion Back-up-Strategien überwindet
Double Extortion – erst Datendiebstahl, dann Verschlüsselung. Erfahren Sie, wie Sie Ihr Unternehmen vor doppelter Ransomware-Erpressung schützen können.
IPsec-VPN vs. SSL-VPN: Wie Unternehmen die optimale VPN-Lösung finden
IPsec-VPN bietet Netzwerksicherheit auf Protokollebene. Hier erfahren Sie, welche Vorteile IPsec-VPNs gegenüber SSL-VPNs insbesondere im Kontext von Hybridarbeit und Zero-Trust-Architekturen aufweisen.
