Zum Inhalt springen

Exabeam erweitert Verhaltensintelligenz zur Sicherung des agentengesteuerten Unternehmens —Lesen Sie die Nachrichten

Beispiele für Insider-Bedrohungen: 3 berühmte Fälle und 4 Präventivmaßnahmen

  • 8 minutes to read

Inhaltsverzeichnis

    Was sind Insider-Bedrohungen?

    Insider-Bedrohungen sind Sicherheitsrisiken, die innerhalb des Unternehmens entstehen. Der Bedrohungsakteur muss nicht unbedingt ein aktueller Mitarbeiter oder leitender Angestellter des Unternehmens sein. Insider-Bedrohungen können Berater, ehemalige Mitarbeiter, Geschäftspartner oder Vorstandsmitglieder sein.

    Es gibt eine Vielzahl von Insider-Bedrohungen, die jeweils unterschiedliche Auswirkungen auf die betroffene Organisation haben. Dieser Artikel untersucht wichtige Beispiele für echte Insider-Bedrohungen und erläutert verschiedene Techniken und Technologien, die zum Schutz von Organisationen beitragen können.

    Über diesen Erklärer:

    Dieser Inhalt ist Teil einer Reihe über Insider-Bedrohungen.

    Empfohlene Lektüre:Security Big Data Analytics: Vergangenheit, Gegenwart und Zukunft.


    Beispiele für Insider-Bedrohungen

    Waymo

    Waymo ist ein Unternehmen, das sich der Entwicklung autonomer Autos widmet und ursprünglich von Google gegründet wurde. 2016 verließ Anthony Levandowski, ein leitender Ingenieur, Waymo. Er gründete sein eigenes Unternehmen für selbstfahrende Autos namens Otto.

    Einige Monate nach der Gründung von Otto wurde das Unternehmen von Uber übernommen. Dabei handelte es sich vor allem um Geschäftsgeheimnisse, die Levandowski von Google gestohlen hatte. Zu den gestohlenen Informationen gehören unter anderem Marketinginformationen und Videos von Testfahrten, während andere Dateien vertrauliche PDF-Dateien, Quellcode-Ausschnitte und sogar Diagramme und Zeichnungen von Simulationen, LIDAR-Technologien (Light Identification Detection and Ranging) und Radargeräten enthielten.

    Eine Untersuchung ergab, dass Levandowski bei Google unzufrieden war und vorsätzlich handelte. 2015 begann Levandowski, Google zu verlassen. Er warb auch Kollegen an und lud sie ein, für sein Startup zu arbeiten. Als Uber mit der Übernahme von Otto begann, entdeckten Google-Führungskräfte die Wahrheit.

    Etwa einen Monat vor seinem Rücktritt verband Lewandowski seinen Laptop mit einem wichtigen Server. Auf diesem Server war das geistige Eigentum von Google gespeichert. Lewandowski lud rund 14.000 Dateien herunter und kopierte sie auf eine externe Festplatte. Um alle Spuren seiner Aktivitäten zu verwischen, löschte er alles.

    Waymo investierte zwischen 2009 und 2015 1,1 Milliarden Dollar in die Entwicklung seiner Technologie. Schließlich konnte Waymo nachweisen, dass seine Geschäftsgeheimnisse gestohlen wurden. Als Entschädigung für den Diebstahl erhielt Waymo Uber-Aktien im Wert von 245 Millionen Dollar. Darüber hinaus verpflichtete sich Uber, die gestohlenen Geschäftsgeheimnisse nicht für die eigene Hard- und Software zu verwenden.

    Mehr erfahren:

    Lesen Sie unsere ausführliche Erklärung zu böswilligen Insidern.

    Hauptstadt Eins

    Capital One ist eine Bankholdinggesellschaft. Auch sie war einer Insider-Bedrohung durch einen Drittanbieter ausgesetzt. Zum Zeitpunkt des Angriffs nutzte Capital One die Cloud-Dienste von Amazon Web Service (AWS). Eine ehemalige AWS-Softwareentwicklerin hackte sich in Capital One ein und nutzte dabei eine von ihr entdeckte Sicherheitslücke.

    Der Hacker entdeckte eine falsch konfigurierte Web Application Firewall und nutzte diese, um auf die Konten und Kreditkartenanwendungen von mehr als 100 Millionen Capital One-Kunden zuzugreifen. Das Unternehmen schloss die Sicherheitslücke schließlich und gab bekannt, dass „keine Kreditkartennummern oder Anmeldedaten kompromittiert wurden“.

    Die Hackerin, die auf Capital One-Daten zugegriffen hatte, prahlte mit ihren Erfolgen. Sie teilte ihre Hacking-Technik mit Kollegen auf Slack, einem Online-Chat-Dienst. Sie veröffentlichte die Informationen auch auf GitHub unter ihrem richtigen Namen und prahlte in den sozialen Medien.

    Psychologen bezeichnen diese Art von Insider-Bedrohungsverhalten als „Leakage“, da die Insider-Bedrohung ihre Pläne und Handlungen offenlegt. Schließlich wurde die Hackerin verhaftet. Ihr wurde Computerbetrug und -missbrauch vorgeworfen. Capital One schätzt die Kosten des Datenlecks auf 150 Millionen US-Dollar.

    Boeing

    Boeing ist ein traditionsreiches Luft- und Raumfahrtunternehmen, das einen der längsten Insider-Angriffe erlebte. Über mehrere Jahrzehnte hinweg, von 1979 bis 2006, als die Insider-Bedrohung aufflog, stahl der Täter Informationen von Boeing und Rockwell.

    Die Insider-Bedrohung ging in diesem Fall von einem Boeing-Mitarbeiter aus. Sein eigentlicher Arbeitgeber war jedoch der chinesische Geheimdienst, der ihn mit der Beschaffung von Informationen beauftragte, die China bei der Verbesserung seiner Weltraumoperationen helfen sollten.

    Neben Daten zu Raumfahrtprogrammen wurden durch die Insider-Bedrohung auch Informationen zur militärischen Produktion gestohlen. Das Ausmaß des Diebstahls ist bis heute unbekannt.

    DHS / ICE Agent Leak

    In 2026, the U.S. Department of Homeland Security (DHS) experienced a major insider-related data leak involving Immigration and Customs Enforcement (ICE) personnel. A whistleblower (an internal actor with authorized access) provided sensitive data to a public website known as “ICE List.”

    Impact: 

    The leak exposed personal information of approximately 4,500 ICE and Border Patrol employees. The dataset included names, work email addresses, phone numbers, job titles, and other background details.

    Unlike external cyberattacks, this incident is considered an insider threat because the data was deliberately disclosed by someone within the organization. By bypassing traditional security controls, the insider was able to transfer sensitive information directly to an external party.

    Takeaways: 

    The consequences of the leak were severe. The exposure of agent identities created significant safety risks, as it enabled harassment, impersonation, and potential targeting of law enforcement personnel and their families. DHS officials condemned the incident, emphasizing that such disclosures could endanger lives and undermine national security operations.

    Navia Benefit Breach

    Navia Benefit Solutions is a third-party provider of employee benefits administration services in the United States. In 2026, the company experienced a major data breach that exposed sensitive information belonging to approximately 2.7 million individuals.

    The breach occurred between December 2025 and January 2026, when an unauthorized actor gained access to Navia’s systems for several weeks before being detected. During this time, the attacker was able to view and potentially exfiltrate large volumes of personal and health-related data.

    Impact: 

    The compromised data included highly sensitive information such as full names, dates of birth, Social Security numbers, phone numbers, email addresses, and details about health and benefits plans (e.g., FSA, HRA, and COBRA enrollment).

    Although the breach was carried out by an external attacker, it is often considered an insider-related or supply-chain risk scenario because Navia acted as a trusted third-party vendor with access to employee data from over 10,000 organizations. This highlights how insider threats can also originate indirectly through vendors that have privileged access to internal systems and sensitive information.

    Takeaways: 

    The consequences of the breach were significant. The exposed data can be used for identity theft, fraud, and sophisticated phishing attacks, especially given the inclusion of long-term identifiers like Social Security numbers.

    Aura Breach

    Aura is an identity protection company that provides services such as fraud monitoring and identity theft protection. Despite operating in the cybersecurity space, Aura experienced an insider-related breach in 2026 that originated from human error.

    The incident began when a threat actor targeted an Aura employee using a voice phishing (vishing) attack. Through social engineering, the attacker gained access to the employee’s account for approximately one hour. During that time, the attacker was able to extract data from an internal system.

    Impact: 

    The breach exposed nearly 900,000 records, including names, email addresses, phone numbers, and home addresses. Most of the data came from a marketing database that Aura had inherited through a previous acquisition.

    Although highly sensitive data such as Social Security numbers, passwords, and financial information were not compromised, the incident still demonstrated how a single compromised employee account can lead to large-scale data exposure.

    Takeaways: 

    The Aura breach is an example of a negligent insider threat, where an employee is manipulated into granting access to attackers. It highlights how human factors—rather than technical vulnerabilities—can be the weakest link in an organization’s security posture.

    Mehr erfahren:

    Lesen Sie unsere ausführliche Erklärung zum Erkennen von Insider-Bedrohungen.


    Prävention von Insider-Bedrohungen

    Automatisches Löschen von Daten

    Um Insider-Angriffe zu verhindern, sollten Unternehmen eine automatisierte Datenlöschung implementieren, die eingeleitet wird, sobald Mitarbeiter das Unternehmen verlassen. In der Regel werden die Active Directorys ehemaliger Mitarbeiter beim Ausscheiden gelöscht. Allerdings denken nicht alle Unternehmen daran, die auf den eigenen Geräten gespeicherten Daten der Mitarbeiter zu löschen.

    Mitarbeiter können die Daten auf ihren Geräten nutzen, um auf Unternehmensressourcen zuzugreifen oder geschäftskritische Informationen und Geschäftsgeheimnisse zu nutzen. Dieser Prozess kann zwar manuell durchgeführt werden, kann aber einige Zeit in Anspruch nehmen, und in dieser Zeit kann es zu Insider-Angriffen kommen. Die Automatisierung von Datenlöschprozessen kann dazu beitragen, dass Insider-Bedrohungen keinen Zugriff mehr auf Unternehmensdaten haben.

    Abteilungsübergreifende Zusammenarbeit

    Um sicherzustellen, dass Mitarbeiter nicht mehr Berechtigungen erhalten, als sie für die Erfüllung ihrer Aufgaben und Verantwortlichkeiten benötigen, sollten verschiedene Abteilungen im Unternehmen zusammenarbeiten. Personal-, IT- und Sicherheitsabteilungen sollten sich regelmäßig treffen, um die Berechtigungen im gesamten Unternehmen zu bewerten und festzulegen.

    Auf diese Weise kann die Personalabteilung die IT- und Sicherheitsteams über das Ausscheiden von Mitarbeitern informieren, und das Sicherheitsteam kann die Berechtigungen umgehend widerrufen. Die Personalabteilung kann die IT-Abteilung auch über Entlassungen, Mitarbeiter in Leistungsbeurteilungen und diejenigen, die eine Kündigung eingereicht haben, informieren. Dies ermöglicht der IT-Abteilung eine genaue Überwachung von Mitarbeitern in sensiblen Situationen, die einem höheren Risiko ausgesetzt sind, eine Insider-Bedrohung darzustellen.

    Auditing, Überwachung und Warnmeldungen

    Je mehr Transparenz ein Unternehmen hat, desto besser kann es Daten und Ressourcen vor internen Angriffen schützen. Die Implementierung von Verfahren und Tools für kontinuierliches Monitoring und Auditing sowie die Bereitstellung von Mechanismen für Echtzeit-Warnmeldungen können Unternehmen dabei helfen, Aktivitäten zu überwachen und verdächtiges Verhalten zu erkennen, bevor es zu einem Sicherheitsverstoß kommt.

    Überwachungssysteme können das Benutzerverhalten analysieren, verdächtige Aktivitäten erkennen und Administratoren benachrichtigen bzw. Reaktionsprozesse einleiten. Kontinuierliche und proaktive Audits tragen dazu bei, dass Unternehmen wissen, wie ihre Daten verwendet werden, und bei Bedarf Änderungen vornehmen können, bevor die Risiken eskalieren.

    Mehr erfahren:

    Lesen Sie unsere ausführliche Erklärung zu Insider-Bedrohungsindikatoren.

    Implementieren Sie Awareness-Schulungen

    Nicht alle Insider-Bedrohungen sind böswillig. Tatsächlich werden viele Organisationen aufgrund von Unachtsamkeit oder mangelnder Informiertheit ihrer Mitarbeiter angegriffen. Diese Insider-Bedrohungen werden oft von böswilligen Akteuren ausgetrickst, können aber auch ohne Anstiftung eine Schwachstelle schaffen.

    Wenn Mitarbeiter beispielsweise Dateien aus unbekannten Quellen herunterladen, können sie unbeabsichtigt Sicherheitslücken schaffen. Nicht alle Organisationen verfügen über Richtlinien für angemessenes Sicherheitsverhalten, und die Mitarbeiter sind sich der Bedrohungen nicht bewusst.

    Sicherheitsschulungen können verhindern, dass Mitarbeiter unabsichtlich zu Insider-Bedrohungen werden. Je besser Mitarbeiter informiert sind, desto besser sind sie in der Lage, die Daten und Vermögenswerte des Unternehmens zu schützen. Sicherheit wird so zu einer gemeinsamen Aufgabe, und Mitarbeiter können Schwachstellen wie Phishing-Betrug erkennen, bevor es zu einem Sicherheitsverstoß kommt.

    Tipps vom Experten

    Steve Moore

    Steve Moore ist Vice President und Chief Security Strategist bei Exabeam. Er entwickelt Lösungen zur Bedrohungserkennung und berät Kunden zu Sicherheitsprogrammen und der Reaktion auf Sicherheitsverletzungen. Er ist Moderator des „The New CISO Podcast“, Mitglied des Forbes Tech Council und Mitbegründer von TEN18 bei Exabeam.

    Meiner Erfahrung nach können Ihnen die folgenden Tipps dabei helfen, sich besser vor Insider-Bedrohungen zu schützen:

    Nutzen Sie KI-gestützte Verhaltensanalysen zur frühzeitigen Erkennung von Anomalien
    Investieren Sie über die grundlegende Überwachung hinaus in KI-gestützte Lösungen, die kontinuierlich aus dem Benutzerverhalten lernen. Diese Lösungen können subtile Veränderungen bei Routineaktivitäten erkennen und potenzielle Bedrohungen kennzeichnen, bevor sie zu Sicherheitsverletzungen werden.

    Implementieren Sie eine Just-in-Time-Zugriffskontrolle
    Anstatt permanenten Zugriff auf sensible Ressourcen zu gewähren, sollten Sie Just-in-Time-Zugriffe nutzen, bei denen Benutzer nur bei Bedarf und für einen begrenzten Zeitraum Zugriff erhalten. Dies reduziert das Risiko eines langfristigen Insider-Missbrauchs.

    Nutzen Sie Täuschungstechnologie zur Früherkennung
    Implementieren Sie Honeypots und Täuschungssysteme, um böswillige Insider in die Falle zu locken. Die Platzierung von Täuschungsobjekten an besonders wertvollen Standorten kann dabei helfen, Insider-Bedrohungen zu identifizieren, die versuchen, auf vertrauliche Daten zuzugreifen.

    Korrelieren Sie HR- und Verhaltensdaten in SIEM
    Durch die Integration von HR-Daten in SIEM-Tools können Sie die Stimmung der Mitarbeiter (z. B. Degradierungen, negative Leistungsbeurteilungen) mit ungewöhnlichen Verhaltensmustern korrelieren und so frühzeitig vor Insider-Bedrohungen warnen.

    Segmentieren Sie sensible Daten nach dem Need-to-know-Prinzip
    Führen Sie strenge Richtlinien zur Datensegmentierung ein, um den Zugriff auf sensible Daten je nach Rolle, Projekt und betrieblicher Notwendigkeit einzuschränken. Dies minimiert das Risiko, dass ein Insider unbefugten Zugriff erhält.

    Implementieren Sie eine Baseline für das Benutzerverhalten bei privilegierten Konten
    Die regelmäßige Überwachung der Benutzeraktivität ist wichtig, doch privilegierte Konten stellen das größte Risiko dar. Implementieren Sie strengere Basiswerte für privilegierte Konten, um abnormales Verhalten schnell zu erkennen.


    Schutz vor Insider-Bedrohungen mit Exabeam

    Exabeam ist eine SIEM-Plattform, die einfach zu implementieren und zu verwenden ist und erweiterte Funktionen gemäß dem überarbeiteten Gartner SIEM-Modell umfasst:

    • Advanced Analytics und forensische Analyse– Bedrohungsidentifizierung mit Verhaltensanalyse auf der Grundlage von maschinellem Lernen, dynamische Gruppierung von Peers und Entitäten zur Identifizierung verdächtiger Personen und Erkennung lateraler Bewegungen.
    • Datenexploration, -berichterstattung und -aufbewahrung– unbegrenzte Aufbewahrung von Protokolldaten zu Pauschalpreisen, Nutzung moderner Data-Lake-Technologie mit kontextbezogener Protokollanalyse, die Sicherheitsanalysten hilft, schnell zu finden, was sie brauchen.
    • Threat Hunting– ermöglicht Analysten die aktive Suche nach Bedrohungen. Bietet eine Point-and-Click-Oberfläche zur Bedrohungssuche, die das Erstellen von Regeln und Abfragen in natürlicher Sprache ohne SQL- oder NLP-Verarbeitung ermöglicht.
    • Incident Response und SOC-Automatisierung– ein zentralisierter Ansatz für die Incident Response, der Daten aus Hunderten von Tools sammelt und mithilfe von Sicherheits-Playbooks eine Reaktion auf verschiedene Arten von Vorfällen orchestriert. Exabeam kann Untersuchungen, Eindämmungs- und Schadensbegrenzungs-Workflows automatisieren.

    Die UEBA-Lösung (User and Entity Behavior Analytics) von Exabeam erkennt anomales Verhalten und laterale Bewegungen innerhalb Ihres Unternehmens, was besonders wichtig für die Erkennung von Insider-Bedrohungen ist. Sie erstellt automatisch Angriffszeitpläne und ermöglicht so die einfachere und schnellere Erkennung von Insidern, die über mehrere Systeme und Benutzerkonten hinweg agieren.

    Mehr über Exabeam erfahren

    Vertiefen Sie Ihr Wissen mit Webinaren, Leitfäden und Analystenberichten.

    • Whitepaper

      Agentenverhaltensanalyse: Sicherung des autonomen Unternehmens

    • Der Blog

      Was ist neu in New-Scale Juli 2026: KI-Agenten brauchen mehr als Leitplanken

    • Datenblatt

      LogRhythm-Intelligenz

    • Der Blog

      LogRhythm SIEM Juli 2026: Schnellere Untersuchungen und erweiterte Transparenz

    • Mehr anzeigen