Eine auf Insider-Bedrohungen basierende detaillierte Risikobewertung hilft dabei, User rechtzeitig zu identifizieren, die riskante und verdächtige Aktivitäten ausüben. Welche Lösungen bieten sich an?
Die Suche nach Bedrohungen ist ein kontinuierlicher Prozess. Daher sollten Insider-Bedrohungsprofile regelmäßig überprüft werden.
(Bild: Miha Creative - stock.adobe.com)
Insider-Bedrohungen stellen ein komplexes und dynamisches Risiko dar, das den öffentlichen und privaten Bereich aller kritischen Infrastruktursektoren betrifft. Wobei sich Insider-Bedrohungen auf die Risiken und Schwachstellen beziehen, die von Personen innerhalb einer Organisation ausgehen, die autorisierten Zugriff auf deren Systeme, Daten oder Räumlichkeiten haben, ihre Privilegien jedoch missbrauchen, um absichtlich oder unabsichtlich Schaden anzurichten.
Diese Attacken äußern sich in unterschiedlichen Formen, wie zum Beispiel Datendiebstahl, Sabotage, Spionage, Betrug oder unbefugte Offenlegung, und können Mitarbeiter, Auftragnehmer. Bedrohungen dieser Art können auch andere vertrauenswürdige Personen mit Insiderwissen betreffen, was möglicherweise zu finanziellen, betrieblichen oder Reputationsschäden führen kann. Studien zufolge gehen knapp 20 Prozent aller Datenschutzverletzungen auf interne Akteure zurück.
Wie Dritte zu Insider-Bedrohungen werden können
Eine faszinierende und oft übersehene Insider-Bedrohung sind sogenannte Insider, die nicht offiziell Teil der Organisation sind – also Dritte. Dazu gehören Auftragnehmer, Partner und Lieferanten. Oft erhalten andere Unternehmen einen gewissen Zugriff auf die Systeme und Netzwerke der Organisation, um Aspekte ihrer Lieferkette zu verwalten oder an großen und vielfältigen Projekten zusammenzuarbeiten.
Obwohl ein solcher Zugriff weitgehend eingeschränkt ist, können Außenstehende ihn nutzen, um sich weitere Zugriffe zu verschaffen, und so in die Daten und das Netzwerk vorzudringen. Ein weiteres Problem bei diesem Ansatz besteht darin, dass sich wiederum Partner des Dritten über diese Beziehung möglicherweise unbefugte Zugriffe auf ein Netzwerk verschaffen und diese Verbindung nutzen, um ihre Reichweite auf andere Unternehmen auszudehnen.
Abwehrmaßnahmen der Insider-Bedrohungen
Herkömmliche Tools für die IT-Security bieten wenig Schutz vor Insider-Bedrohungen. Bei jeder der oben genannten Arten von Insider-Angriffen gibt es einen gemeinsamen Faktor: Zugriff auf das Netzwerk. Wobei natürlich Mitarbeiter und Auftragnehmer zur Erledigung ihrer Aufgaben Zugang zu bestimmten Systemen und Anwendungen benötigen.
Überlastete und unterbesetzte IT-Security-Teams sind einfach nicht in der Lage, jede Aktion jedes Mitarbeiters manuell zu überwachen. Moderne Algorithmen für maschinelles Lernen (ML) können jedoch das Verhalten von Mitarbeitern automatisch verfolgen und analysieren, um anomale und verdächtige Aktivitäten zu erkennen.
Best Practices zur Abwehr von Bedrohungen
Zur Verhinderung von Insider-Bedrohungen bieten sich folgende Best-Practices an:
Sicherheitsrichtlinien festlegen: Mit dieser Maßgabe werden Verfahren zur Erkennung und Blockierung von Missbrauch durch Insider definiert. Damit sind auch die Folgen potenzieller Insider-Bedrohungen zu berücksichtigen und Leitlinien für die Untersuchung von Missbrauch bereitzustellen.
Threat-Detection-Governance-Programm einführen: Implementierung eines fortlaufenden, proaktiven Programms zur Bedrohungserkennung. Das heißt, alle privilegierten User müssen als potenzielle Bedrohungen betrachtet werden.
Absicherung der Infrastruktur: Strengere Zugriffskontrollen beschränken den physischen und logischen Zugriff auf kritische Infrastrukturen. Durch die Anwendung von Zugriffsrichtlinien mit den geringsten Privilegien zur Beschränkung des Mitarbeiterzugriffs und die Anwendung stärkerer Identitätsüberprüfungssysteme wie der biometrischen Authentifizierung lässt sich das Risiko von Insider-Bedrohungen verringern.
Automatisierte Prüfungen: Moderne Technologien können den Prüfungsprozess erheblich verbessern. Insbesondere künstliche Intelligenz (KI) und maschinelles Lernen (ML) helfen dabei, Abweichungen vom Standard-Nutzerverhalten genau und schnell zu erfassen. Sobald verdächtige Ereignisse erkannt werden, alarmiert das Tool die Verantwortlichen. Sie können verschiedene Tools verwenden, um Daten zu erfassen und Funktionen bereitzustellen, die den Prüfungsprozess effizienter machen.
Anormales Verhalten untersuchen: Verhaltensüberwachung und -analyse helfen dabei, Insider-Bedrohungen zu erkennen und zu stoppen. User and Entity Behavior Analytics (UEBA) ist eine Sicherheitslösung, die erweiterte Analysen nutzt, um Insider-Bedrohungen schnell zu identifizieren, indem sie Netzwerk- und Benutzerverhaltensmuster verfolgt. UEBA meldet sofort alle Verhaltensanomalien im System wie beispielsweise nicht genehmigte Benutzerrollenänderungen, Rechteerweiterungen oder verdächtige Datenzugriffsmuster. Um eine höchstmögliche Effektivität zu erzielen, sollte der Einsatz von UEBA-Lösungen zusammen mit IDS- (Intrusion Detection Systems), EDR- (Endpoint Detection and Response) und SIEM-Lösungen (Security Information and Event Management) in Betracht gezogen werden.
Authentifizierungsmaßnahmen einrichten: Eine Multi-Faktor-Authentifizierung (MFA) sowie sichere Passwortpraktiken erschweren es Hackern, Anmeldeinformationen zu stehlen. Passwörter sollten stets komplex aufgebaut sein. MFA unterstützen den Netzwerk-Betreiber dabei zu vermeiden, dass Eindringlinge auf Systeme zugreifen, selbst wenn sie über User-IDs und Passwörter verfügen.
Daten-Exfiltrationen verhindern: Zugriffskontrollen überwachen den Zugriff auf Daten, um Lateral Movements zu verhindern und das geistige Eigentum eines Unternehmens zu schützen.
Ungenutzte Konten auflösen: Bereinigung der Verzeichnisse von verwaisten und ruhenden Konten. Kontinuierliche Kontrolle, ob nicht genutzte Konten und Berechtigungen vorhanden sind. Sicherstellung, dass inaktive User bzw. ehemalige Mitarbeiter keinen Zugriff mehr auf das System oder sensiblen Daten haben.
Kompromittierte Konten identifizieren: Unbefugte Kontozugriffe frühzeitig erkennen, damit User ihre Passwörter zurücksetzen und gefährdete Konten wiederherstellen können. Eine Verhaltensanalyse kann dabei helfen, ungewöhnliche Verhaltensmuster aufzudecken. Böswillige Akteure können Konten durch Phishing-Angriffe, Drive-by-Web-Hijacks oder auf Workstations installierte Malware kompromittieren.
Zugriffe Dritter überwachen: Die Systeme sollten vor kompromittierten Drittanbietern und Auftragnehmern geschützt werden. Dafür müssen Zugriffe Dritter sorgfältig kontrolliert und überwacht werden.
Stimmungsanalysen durchführen: Mithilfe von Stimmungsanalysen lassen sich Einblicke in die Gefühle und Absichten einzelner Personen gewinnen. Regelmäßige Analysen sollen Anhaltspunkte liefern, ob ein Mitarbeiter unter Stress steht, finanzielle Probleme hat oder schlechte Leistungen erbringt.
(ID:50038301)
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/24/aa/24aad994e872a642db8ce5e566b2ff5a/0128652115v2.jpeg "Mit Agentic AI wollen Cyberkriminelle Angriffe effizienter durchführen, um ihren ROI zu erhöhen. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/07/97/07979550bc313aa202a7481391f76ce6/0129212062v2.jpeg "Am 29. Januar 2026 befasste sich der Deutsche Bundestag in zweiter und dritter Lesung mit dem KRITIS-Dachgesetz. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/c6/7e/c67ee3c3d518dfe5a48378e20a95fde5/0129075400v1.jpeg "Clickjacking nutzt Autofill aus um an Zugangsdaten zu gelangen, aber die Deaktivierung der Funktion sorgt eher für mehr Probleme! Endpoint-Security, MFA und URL-Abgleich schützen wirksamer. (Bild: © Montri - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e4/03/e403d8463e7796490cc475b2403f6db3/0128970281v2.jpeg "Crowdstrike und Nord Security ermöglichen KMU umfassende Cybersicherheit über die Falcon-Plattform. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/9a/c4/9ac49e87ca2e15d5c87112420f91805f/0129092634v1.jpeg "Security-Analysten im Security Operations Center (SOC) korrelieren Telemetrie, Identitäten und Netzwerkdaten, um autonome Angriffsmuster frühzeitig zu erkennen und Eindämmungsschritte zu automatisieren. (Bild: © whitestorm - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bd/16/bd16fac8755e7f1c18fda7a9d2c13ed2/0128306930v1.jpeg "Unternehmen können einiges machen, um sich widerstandsfähiger gegen Cyberangriffe aufzustellen. (Bild: © AD – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5f/01/5f01f4759ed9713f2d51b9ac93f87e4e/0129075784v2.jpeg "2026 wird KI-Governance Pflicht, Datensouveränität entscheidet über Clouds, Exposure Management läuft kontinuierlich und IT/OT konvergiert durch NIS2-Druck. (Bild: © Celt Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2c/7f/2c7f325ab87e8cde7456fb75e3fd2e0b/0128865641v2.jpeg "Die Code-Injection-Sicherheitslücke in PowerPoint von 2009 ermöglicht es Angreifern, durch speziell gestaltete PowerPoint-Dateien beliebigen Code auszuführen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/f4/07/f40741c3efecd5069f248cf96f033389/0129088128v1.jpeg "Der Data Act verpflichtet Hersteller seit September 2025 zu Datenzugang, aber die Abgrenzung zwischen Bereitstellungspflicht und DSGVO-Schutz bleibt komplex. (Bild: © Zay Win Htai - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b0/7c/b07c2afa7203635856ba0d1fdea2bc28/0129154622v2.jpeg "Die häufigsten Passwörter in Deutschland sind nach einer Auswertung geleakter Daten einfache Kombinationen wie „123456“ und „123456789“, die eine Einladung für Hacker darstellen und Sicherheitsrisiken bergen. (Bild: vinnstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/09/7b/097be8af7888fc22051e329663da4ecc/0128787261v2.jpeg "Ein iranischer Cyberangreifer konnte über einen unbestimmten Zeitraum hinweg in 50 Unternehmen einbrechen, da diese keine Mulifaktor-Authentifizierung hatten. (Bild: oz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:fill(fff,0)/p7i.vogel.de/companies/63/db/63dbd1915b7af/2023-fastlta-logo-square-positive.jpeg "2023-fastlta-logo-square-positive (FAST LTA GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/c8/07/c807c8fd4838da07f58b87c46270f551/0125641702v1.jpeg "Der Autor: Markus Obser ist Gründer und Geschäftsführer der handz.on GmbH (Bild: handz.on GmbH)")
:quality(80)/p7i.vogel.de/wcms/10/82/1082ac3d761567c0e6088d2fcd935cfd/0126091441v2.jpeg "Der CrowdStrike-Report 2025 verdeutlicht, dass Cyberkriminelle generative KI nutzen, um Angriffe zu skalieren, Social-Engineering-Methoden zu verfeinern und in allen Phasen komplexer Intrusionen effizienter vorzugehen. (Bild: Dall-E / KI-generiert)")