Bedrohungsszenario
Insider-Bedrohungen
Drei Typen
Der fahrlässige Insider
Keine böse Absicht – aber: Passwort auf Haftzettel, Firmendaten auf privatem USB-Stick, ungesicherter Laptop im Café. Der häufigste Typ.
Der kompromittierte Insider
Ein Angreifer von außen hat die Zugangsdaten eines Mitarbeiters gestohlen und agiert nun in dessen Namen – ohne dass der Mitarbeiter es weiß.
Der böswillige Insider
Ein unzufriedener Mitarbeiter, der Daten stiehlt, sabotiert oder dem Wettbewerber weitergibt. Häufig kurz vor oder nach der Kündigung.
Schutzmaßnahmen
Least-Privilege-Prinzip konsequent umsetzen
Mitarbeiter erhalten nur die Berechtigungen, die sie tatsächlich benötigen. Je weniger Zugang jemand hat, desto geringer ist der potenzielle Schaden. Zugriffsrechte regelmäßig prüfen und bei Rollenwechsel sofort anpassen.
Offboarding-Prozess mit sofortiger Zugangssperrung
Am letzten Arbeitstag – oder besser noch gleichzeitig mit der Übergabe des Kündigungsgesprächs – müssen alle Zugänge gesperrt werden: E-Mail, VPN, Cloud-Dienste, physischer Zutritt. Laut Studien nutzen viele böswillige Insider ihre Zugänge noch Wochen nach dem Ausscheiden.
Aktivitätsprotokollierung (Logging)
Wer auf welche Daten zugegriffen hat, wann und von wo. Logs müssen extern gespeichert werden (damit ein Insider sie nicht löschen kann) und regelmäßig auf Anomalien geprüft werden. Wichtig: Datenschutzrechtliche Anforderungen beachten (Betriebsrat, DSGVO).
Vier-Augen-Prinzip für kritische Aktionen
Große Überweisungen, Admin-Aktionen, Datenexporte – für kritische Operationen immer zwei Personen benötigen. Verhindert sowohl Missbrauch als auch unbeabsichtigte Fehler.