Insider Threat und Insider Risk sind nicht dasselbe. Wer sich nur auf böswillige Akteure konzentriert, übersieht das eigentliche Problem: Normale Mitarbeiter verursachen die meisten Datenverluste, durch versehentlich geteilte Links, falsch adressierte E-Mails oder sensible Daten in KI-Prompts.
Die größte Insider-Gefahr für die Datensicherheit geht nicht von gezielten Angriffen, sondern von Nachlässigkeiten ganz normaler Mitarbeiter aus.
(Bild: KI-generiert)
Die Begriffe Insider Threat und Insider Risk werden in der IT-Sicherheit häufig synonym verwendet, doch sie meinen nicht dasselbe. Es gibt einen großen Unterschied und der liegt in der Absicht der Akteure. Unternehmen, die beides gleichsetzen, laufen Gefahr, zentrale Risiken zu übersehen und ihre Schutzmaßnahmen falsch auszurichten.
Insider Threat beschreibt eine Situation, in der jemand seine legitimen Zugriffsrechte bewusst missbraucht, um böswillige Handlungen durchzuführen. Das kann etwa ein Mitarbeiter sein, der vertrauliche Daten stiehlt, bevor er das Unternehmen verlässt, oder ein Administrator, der seine erweiterten Rechte ausnutzt, um Systeme zu manipulieren.
Insider Risk ist wesentlich breiter gefasst und umfasst sämtliche Risiken, die durch den Zugriff interner Akteure auf Unternehmensdaten entstehen – unabhängig davon, ob eine böswillige Absicht vorliegt oder nicht. Er umfasst auch unbeabsichtigte Fehler, Nachlässigkeiten im Arbeitsalltag und riskante Verhaltensweisen.
Die Annahme, dass die größte Insider-Gefahr für die Datensicherheit von gezielten Angriffen ausgeht, ist ein weit verbreiteter Irrtum. In der Realität entsteht ein Großteil der Sicherheitsvorfälle durch typische Verhaltensweisen ganz normaler Mitarbeiter. Sie:
schicken eine E-Mail mit sensiblen Daten versehentlich an den falschen Empfänger;
teilen einen Cloud-Link ohne Einschränkungen;
speichern Daten aus Bequemlichkeit in nicht freigegebenen Tools;
oder umgehen Sicherheitsrichtlinien, um in Stresssituationen schneller zu sein.
Das Risiko für solche Missgeschicke und Nachlässigkeiten ist in modernen Arbeitsumgebungen groß, in denen Daten permanent zwischen unterschiedlichsten Anwendungen, Endgeräten und Cloud-Plattformen hin- und herbewegt werden. Der Siegeszug der Künstlichen Intelligenz verschärft das Problem weiter. Mitarbeiter nutzen immer häufiger GenAI-Tools, um Texte zu erstellen, Analysen durchzuführen oder sich Ideen zu holen. Dabei werden schnell sensible Unternehmensdaten in die Prompts eingegeben, deren Weiterverwendung dann nicht mehr kontrolliert werden kann.
Herkömmliche Sicherheitsstrategien werden diesen modernen Arbeitswelten nicht mehr gerecht, weil sie meist von reinem Bedrohungsdenken dominiert sind. Ihr Ziel ist es, Angreifer zu identifizieren, Vorfälle aufzudecken und Schaden zu begrenzen. Dafür setzen sie vornehmlich auf Maßnahmen wie Monitoring, Zugriffskontrollen und nachgelagerte Forensik. Solche Strategien haben zwei große Schwächen. Sie greifen meist erst dann, wenn bereits ein Vorfall eingetreten ist. Außerdem können sie zu einer Kultur des Misstrauens im Unternehmen führen, weil sich die Mitarbeiter permanent verdächtigt und überwacht fühlen.
Riskantes Verhalten ist im Arbeitsalltag unvermeidbar
Ein moderner Insider-Risk-Ansatz folgt einer anderen Logik. Er geht davon aus, dass riskantes Verhalten im Arbeitsalltag unvermeidbar ist und zielt darauf ab, die Risiken einzudämmen. Er fragt nicht „Wer ist der Täter?“, sondern „Wie entsteht Risiko und wie können wir es reduzieren?“. Moderne Sicherheitskonzepte setzen diesen risikobasierten Ansatz mit drei zentralen Prinzipien um:
Transparenz: Unternehmen müssen nachvollziehen können, wo sich sensible Daten befinden, wie sie genutzt werden und wohin sie sich bewegen. Ohne diese Transparenz bleibt das Risiko unsichtbar.
Kontext: Nicht jede Handlung ist automatisch problematisch. Erst im Zusammenspiel von Datenart, Nutzerrolle und Nutzungssituation lässt sich beurteilen, ob ein Verhalten tatsächlich riskant ist.
Adaptive Reaktion: Statt pauschal zu blockieren, sollten Maßnahmen differenziert erfolgen. In vielen Fällen ist es sinnvoller, Nutzer direkt im Moment der Handlung zu sensibilisieren, etwa durch Hinweise oder Warnungen. Nur bei hohem Risiko oder wiederholtem Fehlverhalten sind strengere Maßnahmen erforderlich. So können Unternehmen Sicherheit und Produktivität miteinander in Einklang bringen.
Moderne Softwarelösungen für Datensicherheit ermöglichen es Unternehmen, diese Prinzipien in der Praxis umzusetzen. Diese Lösungen scannen heterogene IT-Umgebungen nach sensiblen Daten und klassifizieren diese weitgehend automatisiert. Sie überwachen kontinuierlich die Einhaltung definierter Richtlinien, erkennen Verstöße und reagieren kontextabhängig.
Datensicherheit als dynamischer, risikobasierter Prozess
Mit diesem Ansatz wird Datensicherheit zu einem dynamischen, risikobasierten Prozess, der sich eng an den tatsächlichen Arbeitsweisen im Unternehmen orientiert. Gleichzeitig ist er aber auch nicht blind für interne Akteure, die tatsächlich eine böse Absicht verfolgen. Er kann Muster erkennen, die auf echte Bedrohungen hindeuten, etwa durch:
wiederholte Verstöße gegen Richtlinien,
ungewöhnlich große oder häufige Datenbewegungen,
Zugriff auf Daten außerhalb des üblichen Aufgabenbereichs,
und die Nutzung externer oder privater Speicherorte.
In solchen Fällen ermöglicht sie Unternehmen umfassende Analysen, um festzustellen, ob sich hinter diesem Verhalten wirklich eine gezielte Absicht verbirgt.
Der Unterschied zwischen Insider Threat und Insider Risk ist kein theoretisches Detail, sondern eine strategische Weichenstellung. Unternehmen, die sich ausschließlich auf Bedrohungen konzentrieren, reagieren oft zu spät und übersehen alltägliche Risiken.
Ein risikobasierter Ansatz hingegen berücksichtigt die Realität moderner Arbeitswelten: Menschen machen Fehler, arbeiten unter Zeitdruck und nutzen vielfältige Tools – und genau hier entstehen die größten Gefahren. Wer Insider Risk ganzheitlich betrachtet, schafft nicht nur mehr Sicherheit, sondern auch eine Kultur, in der Mitarbeiter unterstützt statt überwacht werden. Genau hier liegt der Schlüssel für nachhaltige Datensicherheit in einer immer komplexeren digitalen Welt.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Über den Autor: Fabian Glöser ist Manger Sales Engineering Nordics, Central & Eastern Europe bei Forcepoint.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/07/3d/073dc562dbb60d251bec53d8ea65ed44/0130972014v2.jpeg "Die größte Insider-Gefahr für die Datensicherheit geht nicht von gezielten Angriffen, sondern von Nachlässigkeiten ganz normaler Mitarbeiter aus. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/ea/2e/ea2e9727f22250ea9efdbf80aede110a/0131265171v1.jpeg "Angreifer können einen präparierten Authorization‑Header an den LiteLLM‑Proxy senden und die Datenbankabfrage so manipulieren, um sensible Daten und Zugangsdaten auszulesen. (Bild: Gemini / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/e0/5c/e05c335bc24d37bb7fe0d52cdee9a1fc/0131004053v2.jpeg "Die meisten Ransomware-Angriffe treffen den Mittelstand. Unternehmen wie Fasana und Einhaus wurden durch Cyberangriffe in die Insolvenz getrieben. (Bild: © fresnel6 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fa/7e/fa7e5e76de549e277eef763834c7ed24/0131181926v2.jpeg "Mithilfe von Feedback durch Hunderte von Organisationen wurde Claude Security nun als Beta freigegeben. (Bild: ImageFlow - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/98/6a/986a1db2abd27e312c767d7e09a69baf/0129605177v1.jpeg "Ein durchdachtes Log-Monitoring setzt auf zentrale Erfassung, intelligente Korrelation, sinnvolle Aggregation und übersichtliche Visualisierung. (Bild: © Blind - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/f3/07/f307e44721f3a4f15e972ddad98b6a83/0130091785v1.jpeg "Der USB-Stick IronKey Locker+ 50 G2 von Kingston soll sensible Daten durch eine Verschlüsselung auf Enterprise-Niveau schützen. Mit FIPS-197-Zertifizierung und einer AES-256-Bit-Hardwareverschlüsselung im XTS-Modus. (Bild: Kingston)")
:quality(80)/p7i.vogel.de/wcms/39/f9/39f93e561dfe4110df4dc927ac14fa3a/0131214191v1.jpeg "Dirty Frag ist eine Zero-Day-Schwachstelle im Linux Kernel, die zwei Page-Cache-Write-Schwachstellen ausnutzt, sodass lokale Angreifer auf vielen Distributionen mit einem einzigen Befehl Root-Rechte erlangen können. (Bild: Gemini / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/4a/62/4a62c503e12a78b6ec9f4d62a9045201/0130952805v2.jpeg "Heutzutage müssen Security Teams statt 100 Code-Zeilen nun bis zu 100.000 Zeilen Code, der von KI generiert wurde, pro Stunde bewerten. Das kann zu Fehlern führen, die Releasezyklen verzögern und das Incident-Risiko anheben. (© Stiefi - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/70/17/7017e8d76fa5797366a42e075a6411b4/0131054108v1.jpeg "Nach Shai-Hulud folgt „mini Shai-Hulud“. (Bild: Gemini / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/a4/fc/a4fc4e17939a121f8e5c30a0c6dbd7b8/0131187277v2.jpeg "Die Schwachstellen ermöglichen es Angreifern, die Anmeldung vollständig zu umgehen und anschließend ihre Rechte zu erhöhen, bis hin zur administrativen Übernahme der MOVEit-Automation-Instanz und zum Zugriff auf sensible Daten. (Bild: MrPanya - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6b/91/6b91bf745cfb0bb24264ca4332729e82/0131347588v1.jpeg "Die European Digital Identity Wallet ist eine digitale Brieftasche, die von der Europäischen Union eingeführt wird. Sie kann unter anderem digitale Dokumente wie den Personalausweis und Führerschein speichern, digitale Zahlungen freigeben und Verträge elektronisch unterschreiben. (Bild: Gemini / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/02/4e/024e85aaed69bc853e346b25ad2c8763/0130917616v1.jpeg "82 Prozent aller Netzwerkeinbrüche erfolgen ohne klassische Malware. Ransomware-Gruppen kaufen gestohlene Logins und sind in 72 Minuten am Ziel. (Bild: © zephyr_p - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f3/ec/f3ec2afa661360dca8ec76c12398b839/0131058290v2.jpeg "Ab dem 2. Januar 2027 können EU-Bürgerinnen und -Bürger mit der EUDI Wallet ihre Identität und amtliche Nachweise, zum Beispiel Ausweis und Führerschein, sicher auf dem Smartphone verwalten, sich europaweit bei digitalen Diensten anmelden und Verträge sowie Rechnungen rechtssicher elektronisch unterschreiben. (Bild: peshkov - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8b/26/8b265eeaf37e063d4abbb47ae723526a/0126593157v1.jpeg "Die NIS-Kooperationsgruppe (NIS Cooperation Group) ist ein EU-Gremium zur Stärkung der Zusammenarbeit im Bereich Cybersicherheit.
(Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/64/d6/64d68a07918d732b89a9988555028cc3/0126593157v1.jpeg "Das European Cybersecurity Competence Centre (ECCC) ist das Europäische Kompetenzzentrum für Cybersicherheit mit Sitz in Bukarest. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/9d/8e/9d8e6fc97f50307232c1d98c39f4bb0a/0130052295v2.jpeg "RansomHub erlaubt es seinen RaaS-Partnern, die komplette Lösegeldsumme zu behalten und auch mit anderen Gruppen zu arbeiten. Möglicherweise konnte sich RansomHub so als eine der dominierenden Ransomware-Gruppen etablieren. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/63/db/63dbd1915b7af/2023-fastlta-logo-square-positive.jpeg "2023-fastlta-logo-square-positive (FAST LTA GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/74/c4/74c491e0548e830a2fb85436b97c0474/0123777005v2.jpeg "61 Prozent der von Mimecast Befragten glauben, dass es unvermeidlich ist, dass ihr Unternehmen in diesem Jahr einen Cyberangriff über ein Collabortaion-Tool erleiden wird. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/fa/b9/fab9a67aa8c4dea97b2569e3e797f3bf/0116172193v2.jpeg "In einer Umgebung, in der Fehler nicht offen angesprochen werden dürfen, werden Sicherheitsvorfälle oft nicht gemeldet, aus Angst vor Schuldzuweisungen oder negativen Konsequenzen. (Bild: Andrey Popov - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fc/b8/fcb8b494876985131b5bbc98b5a26497/0128528821v2.jpeg "Wenn Führung und Mitarbeitende kontinuierliche Awareness gemeinsam leben und Trainingserfolge sichtbar machen, steigt die Meldebereitschaft und die Cyberresilienz im Arbeitsalltag. (Bild: © peopleimages.com - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/15/97/15979ec23819bb2778bf22cfada0fcc7/0122930227v2.jpeg "Der Mitarbeiter hinter dem Bildschirm ist einer der wichtigsten Faktoren, der Unternehmen für Datenverluste anfällig macht. (Bild: VideoFlow - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1e/bc/1ebc612491665e5a4489902265e6bd5c/0117520613.jpeg "Die Idee eines gezielten und professionellen Human Risk Management beginnt in Deutschland und Europa gerade erst, sich durchzusetzen. Auch, weil sie im datenschutzaffinen Europa häufig missverstanden wird. (Bild: Rawpixel.com - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0b/22/0b22469f85709c1d30f4fa6db4f832f4/0129015808v2.jpeg "Unternehmen verlieren den Überblick über ihre Daten. Um sensible Informationen angemessen schützen zu können, müssen sie alle ihre Daten erst sorgfältig klassifizieren. (Bild: © mnirat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/80/cf/80cf4a2fc95091d079d4621b7220cb55/0128065826v1.jpeg "Obwohl sich KMU Verizon zufolge schlechter aufgestellt fühlen als große Unternehmen in Sachen Cybersicherheit, bieten sie weniger Schulungen für Mitarbiter an und verfügen seltener über eine Multi-Faktor-Authentifizierung. (Bild: Midjourney / Paula Breukel / KI-generiert)")