Insider-Bedrohungen: Arten, Beispiele und Abwehrstrategien im Jahr 2025

Was ist eine Insider-Bedrohung?

Eine Insider-Bedrohung ist eine böswillige Aktivität gegen ein Unternehmen, die von Benutzern mit legitimem Zugriff auf das Netzwerk, die Anwendungen oder Datenbanken eines Unternehmens ausgeht. Diese Benutzer können aktuelle oder ehemalige Mitarbeiter oder Dritte wie Partner, Auftragnehmer oder Zeitarbeiter mit Zugriff auf die physischen oder digitalen Ressourcen des Unternehmens sein. Sie können sogar in Form kompromittierter Dienstkonten auftreten. Obwohl der Begriff meist zur Beschreibung illegaler oder böswilliger Aktivitäten verwendet wird, kann er sich auch auf Benutzer beziehen, die dem Unternehmen unbeabsichtigt Schaden zufügen.

Warum werden Insider böswillig? Die Motivation böswilliger Insider ist vielfältig – meist sind Kompromittierungen und Datenexfiltrationen finanziell motiviert. Vorfälle können aber auch auf Spionage, Vergeltungsmaßnahmen oder Groll gegenüber dem Mitarbeiter, schlichte Nachlässigkeit bei der Sicherheitshygiene oder einen entsperrten oder gestohlenen Zugang zurückzuführen sein. Insider-Bedrohungen kommen in einigen Branchen häufiger vor – beispielsweise im Gesundheitswesen, im Finanzsektor und bei staatlichen Institutionen –, können aber die Informationssicherheit jedes Unternehmens gefährden.

Empfohlene Lektüre:Security Big Data Analytics: Vergangenheit, Gegenwart und Zukunft.

---

Arten von Insider-Bedrohungen

Böswilliger Insider

Ein böswilliger Insider ist jemand, der einem Unternehmen absichtlich Schaden zufügen will. Diese Person verfügt in der Regel über autorisierten Zugriff und missbraucht diesen, um vertrauliche Daten zu stehlen, Systeme zu sabotieren oder den Betrieb anderweitig zu stören. Mögliche Motive sind finanzieller Gewinn, ideologische Überzeugungen, Rache oder Nötigung. Böswillige Insider planen ihre Aktionen oft im Voraus und können sich der Entdeckung entziehen, indem sie ihr Wissen über interne Systeme und Kontrollen ausnutzen.

Fahrlässiger Insider

Fahrlässige Insider haben keine Absicht, Schaden anzurichten, sondern handeln unvorsichtig oder uninformiert. Beispiele hierfür sind Phishing-Angriffe, die Fehlkonfiguration von Systemen oder die Übermittlung sensibler Daten an die falschen Empfänger. Diese Benutzer ignorieren häufig Sicherheitsprotokolle oder unterschätzen die Risiken ihrer Handlungen, was sie zu einer häufigen Quelle von Datenlecks und Compliance-Verstößen macht.

Kompromittierter Insider

Ein kompromittierter Insider ist ein legitimer Benutzer, dessen Anmeldeinformationen oder Zugriffsrechte von einem externen Angreifer entwendet wurden. Dies kann durch Phishing, Malware oder Credential Stuffing geschehen. Da der Angreifer gültige Anmeldeinformationen verwendet, sind seine Aktionen oft schwer zu erkennen. Kompromittierte Insider sind besonders gefährlich, da sie oft den Anschein erwecken, im Rahmen ihrer normalen Aktivitäten zu handeln.

---

Insider-Bedrohungen übernehmen die Führung: Warum Unternehmen ins Hintertreffen geraten

Laut dem Bericht von Exabeam „Vom Menschen zum Hybriden: Wie KI und die Analyselücke das Insiderrisiko erhöhen“ haben Insiderrisiken externe Bedrohungen als größte Sorge der Sicherheitsteams abgelöst. In unserer Umfrage identifizierten 64 % der Cybersicherheitsexperten böswillige oder kompromittierte Insider als größere Gefahr als externe Angreifer, verglichen mit 36 %, die auf externe Akteure verwiesen.

Von diesen 64 % sahen 42 % böswillige Insider als Hauptsorge, und 22 % nannten kompromittierte Insider. Über die Hälfte (53 %) gab an, dass die Zahl der Insider-Vorfälle im vergangenen Jahr zugenommen habe, und 54 % erwarten, dass sie in den nächsten 12 Monaten weiter zunehmen werden.

Die Erkennungsfunktionen sind noch unterentwickelt. Nur 44 % der Unternehmen nutzen die Analyse des Benutzer- und Entitätsverhaltens (UEBA), die für die Erkennung abnormaler Aktivitäten unerlässlich ist. Obwohl 88 % angeben, über ein Insider-Bedrohungsprogramm zu verfügen, sind viele davon informell, unterfinanziert oder verfügen nicht über die nötige Transparenz über alle Systeme hinweg. Auch die Führungsebene weist eine Lücke auf: 74 % der Sicherheitsexperten glauben, dass Führungskräfte das Insider-Risiko unterschätzen.

Generative KI verschärft das Problem. 76 % der Unternehmen haben die unbefugte Nutzung von GenAI-Tools durch Mitarbeiter beobachtet. KI-gestütztes Phishing und Social Engineering (27 %) sowie die unbefugte Nutzung von GenAI (22 %) zählen neben dem Missbrauch von Privilegien (18 %) zu den größten Bedrohungsvektoren für Insider.

Sicherheitsverantwortliche erkennen die Notwendigkeit besserer Einblicke in das Verhalten von Unternehmen an, stehen jedoch vor technischen und organisatorischen Hürden. Datenschutzverweigerung (20 %), mangelnde Transparenz (16 %) und fragmentierte Tools (10 %) führen zu blinden Flecken bei der Erkennung. Erfahren Sie mehr, indem Sie den Forschungsbericht „Vom Menschen zum Hybriden: Wie KI und die Analyselücke das Insider-Risiko erhöhen“ von Exabeam herunterladen.

---

Beispiele für Insider-Bedrohungen

Wellenbildung

Im März 2025 reichte Rippling Klage gegen das Konkurrenzunternehmen Deel ein und warf ihm eine schwere Insider-Bedrohung vor. Das Unternehmen warf Deel vor, einen Spion unter dem Deckmantel eines Global Payroll Compliance Managers in die Belegschaft von Rippling eingeschleust zu haben. Der 2023 eingestellte Mann soll vier Monate lang über legitime Kanäle wie Slack, Salesforce und Google Drive auf vertrauliche Daten zugegriffen haben.

Zu den gestohlenen Daten gehörten Preisstrategien, Kundenlisten, interne Mitarbeiterdaten und Wettbewerbsinformationen. Die Aktivitäten des Insiders blieben monatelang unentdeckt, was Bedenken hinsichtlich des Mangels an Echtzeitüberwachung und Verhaltensanalyse aufkommen ließ. Rippling argumentierte, eine frühere Erkennung wäre möglicherweise mit Tools möglich gewesen, die abnormale Zugriffsmuster oder Stichwortsuchen im Zusammenhang mit Wettbewerbern verfolgen.

Verizon

Bei einem Vorfall im September 2023, der Anfang 2024 gemeldet wurde, griff ein Verizon-Mitarbeiter unbefugt auf eine Datei mit sensiblen personenbezogenen Daten von mehr als 63.000 Personen zu. Zu den offengelegten Informationen gehörten Namen, Adressen, Sozialversicherungsnummern, Gehaltsdaten und Gewerkschaftszugehörigkeiten. Verizon bestätigte den Datenverstoß gegenüber dem Büro des Generalstaatsanwalts von Maine und führte ihn auf einen unbefugten Zugriff und nicht auf einen externen Angriff zurück.

Obwohl das Unternehmen erklärte, dass die Aktion offenbar nicht böswillig war und keine Strafverfolgungsbehörden involviert waren, gab der Vorfall Anlass zu ernsthaften Bedenken. Der Vorfall verdeutlichte, wie selbst ein nicht böswilliger Missbrauch des Zugriffs zu erheblichen Datenverlusten führen kann. Er unterstrich zudem, wie wichtig es ist, strenge Zugriffskontrollen durchzusetzen und die interne Datennutzung unabhängig von der vermeintlichen Absicht zu überwachen.

Yahoo

Im Mai 2022 wurde Yahoo Opfer eines Insider-Angriffs. Qian Sang, ein Forscher des Unternehmens, erhielt ein Stellenangebot von einem Konkurrenten namens The Trade Desk. Minuten später lud Sang rund 570.000 Seiten des geistigen Eigentums von Yahoo auf seine persönlichen Geräte herunter, darunter auch Informationen über das Produkt AdLearn von Yahoo.

Yahoo brauchte mehrere Wochen, bis ihm klar wurde, dass Sang Unternehmensdaten gestohlen hatte, darunter eine Wettbewerbsanalyse von The Trade Desk. Yahoo schickte Sang eine Unterlassungsaufforderung und erhob drei Anklagen gegen ihn, darunter den Diebstahl von Daten geistigen Eigentums. Yahoo behauptete, Sang habe Yahoo durch seine Handlungen die alleinige Kontrolle über seine Geschäftsgeheimnisse entzogen.

---

Die Kill Chain bei Insider-Bedrohungen verstehen

Sehen wir uns an, wie Insider-Bedrohungen entstehen: Methoden der Kompromittierung und wie Insider-Bedrohungen die Ausweitung von Berechtigungen nutzen, um größeren Schaden anzurichten.

Wie werden Mitarbeiter gefährdet?

Es gibt mehrere Möglichkeiten, wie ein Mitarbeiter zum kompromittierten Insider werden kann:

Pass-the-Hash – eine fortgeschrittenere Form des Diebstahls von Anmeldeinformationen, bei der die gehashten – verschlüsselten oder verdauten – Authentifizierungsdaten von einem Computer abgefangen und verwendet werden, um Zugriff auf andere Computer im Netzwerk zu erhalten. Ein Pass-the-Hash-Angriff ist vom Konzept her einem Passwortdiebstahl-Angriff sehr ähnlich, beruht jedoch auf dem Diebstahl und der Wiederverwendung von Passwort-Hash-Werten anstelle des eigentlichen Klartext-Passworts, insbesondere während RDP-Sitzungen.

• Phishing– eine Cyberkriminalität, bei der eine Person per E-Mail oder SMS von einer Person kontaktiert wird, die sich als legitime Institution ausgibt, um die Person zur Preisgabe vertraulicher Daten wie personenbezogener Daten (PII), Bank- und Kreditkartendaten sowie Passwörter zu verleiten. Einige Phishing-Angriffe zielen auch darauf ab, die Zielperson zum Klicken auf einen Link zu verleiten, der den Download von Schadsoftware auslöst.
• Malware-Infektion– ein Cyberkriminalitätsfall, bei dem ein Computer mit Schadsoftware – Malware – infiziert wird. Ziel der Malware ist es, vertrauliche Informationen oder Benutzeranmeldeinformationen zu stehlen. Eine Malware-Infektion kann unter anderem durch das Anklicken eines Links, das Herunterladen einer Datei oder das Einstecken eines infizierten USB-Sticks ausgelöst werden.
• Diebstahl von Anmeldeinformationen– eine Cyberkriminalität, die darauf abzielt, den Benutzernamen und das Passwort einer Zielperson zu stehlen. Der Diebstahl von Anmeldeinformationen kann auf verschiedene Arten erfolgen. Phishing und Malware-Infektionen, wie bereits erwähnt, sind weit verbreitet. Manche Kriminelle betreiben Social Engineering, d. h. sie manipulieren Personen durch Täuschung zur Preisgabe ihrer Anmeldeinformationen. Ein gefälschter Anruf vom IT-Helpdesk, bei dem der Angreifer den Benutzer zur Bestätigung seines Benutzernamens und Passworts auffordert, ist eine gängige Methode.

Insider-Bedrohungen und Rechteausweitung

Insider können ihre Pläne durch den Missbrauch von Zugriffsrechten umsetzen. Der Angreifer kann eine sogenannte Privilegienerweiterung versuchen, bei der er System- oder Anwendungsfehler ausnutzt, um Zugriff auf Ressourcen zu erhalten, für die er keine Zugriffsberechtigung hat.

In manchen Fällen kommt es zum Missbrauch von Zugriffsrechten, wenn jemand mit privilegiertem Zugriff seine Macht missbraucht. In einem historischen Fall aus dem Jahr 2008 blockierte ein Systemadministrator der Stadtverwaltung von San Francisco den Zugang zum städtischen Netzwerk und weigerte sich, die Administratorkennwörter herauszugeben. Der Mitarbeiter war verärgert, und sein Arbeitsplatz war in Gefahr, wie bekannt wurde.

Diese komplexen Bedrohungen können mit herkömmlichen Korrelationsregeln nicht erkannt werden, da es sich um unbekannte Bedrohungen handelt. Stattdessen müsste ein Sicherheitsanalyst die normalen Aktivitäten des Benutzers verstehen, um ungewöhnliche und potenziell schädliche Aktivitäten identifizieren zu können.

---

So finden Sie Insider-Bedrohungen: Schlüsselindikatoren

Unternehmen können Insider-Bedrohungen erkennen oder vorhersagen, indem sie das Nutzerverhalten am Arbeitsplatz und online beobachten. Proaktives Handeln ermöglicht es Unternehmen, potenziell böswillige Insider zu fassen, bevor diese vertrauliche Informationen stehlen oder den Betrieb stören.

Welche Verhaltensweisen kann Ihr Unternehmen nutzen, um Insider-Bedrohungen zu erkennen?

Verhaltensmerkmal von Mitarbeitern/Auftragnehmern	Organisatorisches Ereignis
Interessen außerhalb ihres Aufgabenbereichs	Entlassung
Unerlaubte Arbeitszeiten	Jährlicher Leistungszyklus – Personen, die nicht befördert wurden
Übermäßige negative Kommentare zur Organisation	Jährlicher Leistungszyklus – Personen, denen keine Gehaltserhöhungen gewährt wurden
Drogen- oder Alkoholmissbrauch	Mögliche Pläne zur Leistungsverbesserung oder Beschwerden über Belästigung am Arbeitsplatz und mehr
Finanzielle Schwierigkeiten
Spielschulden
Veränderung des Geisteszustands	Mögliche Pläne zur Leistungsverbesserung oder Beschwerden über Belästigung am Arbeitsplatz und mehr

Verhaltensmerkmale von Mitarbeitern oder Auftragnehmern sowie organisatorische Ereignisse, die beachtet werden sollten, um das Risiko von Insider-Bedrohungen zu verringern.

Welche verdächtigen Sicherheitsereignisse können auf eine mögliche Insider-Bedrohung hinweisen?

Verhalten	Böswilliger Insider	Kompromittierter Insider
Zu ungewöhnlichen Zeiten zur Arbeit einreisen	X
Einloggen zu ungewöhnlichen Zeiten	X	X
Anmelden von einem ungewöhnlichen Standort		X
Erster Zugriff auf Systeme/Anwendungen	X	X
Kopieren großer Informationsmengen	X	X

Verhaltensweisen, die auf böswillige oder kompromittierte Insider schließen lassen.

---

Vier Möglichkeiten zur Vorbereitung auf Insider-Bedrohungen

Unternehmen können viele Maßnahmen ergreifen, um Insider-Bedrohungen zu bekämpfen. Hier sind die vier wichtigsten Bereiche, auf die Sie sich konzentrieren sollten.

1. Schulen Sie Ihre Mitarbeiter

Führen Sie regelmäßig Anti-Phishing-Schulungen durch. Die effektivste Methode besteht darin, Phishing-E-Mails an die Benutzer zu senden und die Schulung auf diejenigen Benutzer zu konzentrieren, die die E-Mail nicht als Phishing-Versuch erkennen. Dies trägt dazu bei, die Anzahl der Mitarbeiter und Auftragnehmer zu reduzieren, die zu kompromittierten Insidern werden könnten.

Unternehmen sollten ihre Mitarbeiter außerdem darin schulen, riskantes Verhalten bei Kollegen zu erkennen und der Personalabteilung oder der IT-Sicherheit zu melden. Ein anonymer Hinweis auf einen verärgerten Mitarbeiter kann eine böswillige Insider-Bedrohung verhindern.

2. IT-Sicherheit und HR koordinieren

Es gibt zahlreiche Geschichten über IT-Sicherheitsteams, die von Entlassungen überrascht wurden. Die Abstimmung zwischen CISO und Personalleiter kann die IT-Sicherheit optimal vorbereiten. Betroffene Mitarbeiter einfach auf eine Beobachtungsliste zu setzen und ihr Verhalten zu überwachen, kann viele Bedrohungen abwehren. Ebenso kann die Personalabteilung die IT-Sicherheit über bestimmte Mitarbeiter informieren, die bei einer Beförderung übergangen wurden oder keine Gehaltserhöhung erhalten haben. Die Optimierung von Data Loss Prevention (DLP)-Tools unter aktiver Mitwirkung der Personalabteilung kann zudem frühzeitig Warnsignale für Selbstverletzungen und Unzufriedenheit innerhalb der Organisation liefern.

3. Bauen Sie ein Team zur Bedrohungssuche auf

Viele Unternehmen verfügen über spezielle Teams zur Bedrohungssuche. Anstatt auf entdeckte Vorfälle zu reagieren, verfolgt die Bedrohungssuche einen proaktiven Ansatz. Spezielle Mitarbeiter des IT-Sicherheitsteams suchen nach verräterischen Anzeichen wie den oben genannten, um Diebstahl oder Störungen zu verhindern, bevor sie auftreten.

4. Nutzen Sie die Analyse des Benutzerverhaltens

User Behavior Analytics (UBA), auch bekannt als User and Entity Behavior Analytics (UEBA), ist das Verfolgen, Sammeln und Analysieren von Benutzer- und Computerdaten, um Bedrohungen innerhalb einer Organisation zu erkennen. Mithilfe verschiedener Analysetechniken kann UEBA anomales von normalem Verhalten unterscheiden. Dies geschieht in der Regel durch das Sammeln von Daten über einen bestimmten Zeitraum, um das normale Benutzerverhalten zu verstehen und anschließend Verhalten zu kennzeichnen, das nicht diesem Muster entspricht. UEBA kann häufig ungewöhnliches Online-Verhalten erkennen – Missbrauch von Anmeldeinformationen, ungewöhnliche Zugriffsmuster, Uploads großer Datenmengen –, die verräterische Anzeichen für Insider-Bedrohungen sind. Noch wichtiger ist, dass UEBA dieses ungewöhnliche Verhalten bei kompromittierten Insidern oft erkennen kann, lange bevor Kriminelle Zugriff auf kritische Systeme erhalten haben.

---