Mitarbeiter als Insiderangreifer: Anzeichen und Schutzstrategien für Unternehmen

Cyberangriffe auf Unternehmen nehmen rasant zu. Während sich Unternehmen mit Firewalls und Phishing-Schulungen vor Zugriffen von außen schützen, geht eine erhebliche Gefahr auch von Mitarbeitenden aus, die aus dem Inneren eines Unternehmens heraus agieren.

Laut der aktuellen Bitkom-Studie „Wirtschaftsschutz 2024“ wurden im letzten Jahr 27 Prozent aller Angriffe auf deutsche Unternehmen von (ehemaligen) Mitarbeitenden ausgeführt, fast eine Verdopplung gegenüber dem Vorjahreszeitraum. Diese Zunahme verdeutlicht die Dringlichkeit, Insider-Bedrohungen effektiv zu adressieren.

Solche Angriffe stellen für die Wirtschaft ein erhebliches Risiko dar. Vor allem für kritische Infrastrukturen und Banken sind diese Angriffe mit weitreichenden Folgen verbunden und müssen sich daher besonders wappnen.

Tesla und Co.: Prominente Fälle von Insiderangriffen

Insiderangriffe sind kein neues Phänomen, sondern haben in der Vergangenheit bereits mehrfach für Schlagzeilen gesorgt:

Bereits 2010 wurde ein Ingenieur des Flugzeugbauers Boeing in den USA verurteilt. Er hatte seine Sicherheitsfreigabe genutzt, um Geschäftsgeheimnisse nach China zu schmuggeln.

Bei der SunTrust Bank hat 2018 ein Insider die persönlichen Informationen von 1,5 Millionen Kunden gestohlen, darunter Kontodaten, und an kriminelle Organisationen weiterverkauft.

Im selben Jahr kam es auch beim Getränkeriesen Coca-Cola zu einem Sicherheitsvorfall, bei dem Personaldaten gestohlen wurden, sowie bei Facebook, wo ein Sicherheitsingenieur seine Zugriffsrechte missbrauchte, um Frauen zu stalken. Beim E-Autobauer Tesla kam es 2020 zu einem Insiderangriff. Ein Mitarbeiter hatte mit seinen Zugriffsrechten Daten an Dritte weitergeleitet und Produktionssysteme sabotiert.

Diese und zahlreiche weitere Fälle verdeutlichen, dass Insider häufig aus unterschiedlicher Motivation heraus handeln und dabei nicht nur Zugriff auf kritische Daten haben, sondern auch umfassende technische Kenntnisse besitzen, um die Sicherheitsinfrastrukturen zu umgehen.

Woran erkennen Sie Insider als Täter?

Die Identifikation von Insider-Bedrohungen stellt eine besondere Herausforderung für Unternehmen dar, da die Täter oft tief in die internen Prozesse eingebunden sind.

Es gibt jedoch einige typische Anzeichen, die auf eine Insider-Bedrohung hinweisen können:

1. Ungewöhnliche Zugriffsaktivitäten:
   Wenn ein Mitarbeiter ohne ersichtlichen Grund auf große Mengen sensibler Daten zugreift oder in Bereiche des Systems eindringt, die nicht zu seinen Aufgaben gehören, kann dies ein Hinweis auf eine mögliche Bedrohung sein.
2. Verhaltensauffälligkeiten:
   Insider zeigen häufig verändertes Verhalten, wie häufige Anwesenheit außerhalb der Arbeitszeiten oder eine zunehmende Unzufriedenheit mit dem Arbeitgeber. Solche Verhaltensweisen können auf mögliche Sabotageakte hinweisen.
3. Datentransfers zu unautorisierten Zielen:
   Das Senden von Dateien an externe E-Mail-Adressen oder der Einsatz nicht genehmigter Speichermedien wie USB-Sticks sollte ein Alarmsignal für jede Sicherheitsabteilung sein.

So schützen sich Unternehmen vor Insiderangriffen

Um sich gegen Insiderbedrohungen zu wappnen, benötigen Unternehmen eine ganzheitliche Sicherheitsstrategie. Technische Maßnahmen müssen mit organisatorischen Ansätzen kombiniert werden, um das Risiko eines Angriffs von innen heraus zu minimieren:

1. Datensensibilisierung und minimale Zugriffsrechte:
   Unternehmen sollten genau wissen, wo ihre sensiblen Daten gespeichert sind und wer darauf Zugriff hat. Die Implementierung eines „Least Privilege“-Modells, bei dem Mitarbeitende nur Zugriff auf die Daten haben, die sie zur Erfüllung ihrer Aufgaben benötigen, reduziert das Risiko eines Insiderangriffs erheblich.
   
   Auch Mitarbeitenden, die im Begriff sind, das Unternehmen zu verlassen, können schon vor dem letzten Arbeitstag vereinzelt Zugriffsrechte entzogen werden, sofern diese nicht mehr für die Erledigung der Aufgaben benötigt werden. Spätestens mit Ausscheiden aus dem Arbeitsverhältnis sollten dann alle Zugänge übergeben bzw. gesperrt oder entzogen sein.
2. Trennung und Rotationsprinzip:
   Einzelne Personen sollten niemals alleinig zu viel Kontrolle über kritische Prozesse in einem Unternehmen haben. Stattdessen sollten solche Aufgaben zwischen verschiedenen Mitarbeitenden regelmäßig rotiert werden, um das Risiko eines Sicherheitsvorfalls zu reduzieren.
3. Systemseitige Überwachung von Mitarbeitern:
   Dies ist ein datenschutzrechtlicher Drahtseilakt. Die systemseitige Überwachung des Nutzerverhaltens (User Behavior Analytics, UBA) kann dabei helfen, abnormale Aktivitäten wie das Kopieren großer Datenmengen oder das Verändern von Zugriffsrechten frühzeitig zu erkennen. Dabei sind jedoch zwingend gesetzliche Vorgaben zum Schutz der Mitarbeiter einzuhalten.
4. Sicherheitsüberprüfung von Mitarbeitern:
   Bei bestimmten Aufgaben zum Beispiel im Zusammenhang mit vertraulichen oder geheimen Informationen sollte eine Sicherheitsüberprüfung der damit betrauten Mitarbeitenden durchgeführt werden. Dies ist in Deutschland im Sicherheitsüberprüfungsgesetz (SÜG) geregelt.
5. Schulung und Sicherheitskultur:
   Ein weiterer wesentlicher Faktor ist die regelmäßige Schulung der Mitarbeitenden zu Cybersecurity-Themen. Besonders in hochsensiblen Branchen wie dem Bankwesen sollte die Belegschaft fortlaufend auf potenzielle Gefahren aufmerksam gemacht und für sicherheitsbewusstes Handeln sensibilisiert werden.
6. Protokollierung und Auswertung:
   Aktivitäten in den IT-Systemen sollten genau festgehalten und regelmäßig überprüft werden. So können Auffälligkeiten oder Unregelmäßigkeiten frühzeitig entdeckt werden – im Optimalfall, bevor es zu einem Sicherheitsvorfall kommt.
7. Reaktion und Krisenmanagement:
   Sollte dennoch ein Insiderangriff erfolgen, muss das Unternehmen über eine klare Reaktionsstrategie verfügen. Diese sollte sowohl technische Maßnahmen wie das Sperren von Konten und das Analysieren von Log-Daten umfassen als auch rechtliche Schritte einleiten, um den Täter zur Verantwortung zu ziehen.

Schutz vor Insiderangriffen: proaktiv Handeln

Die Bekämpfung von Insiderbedrohungen erfordert eine ganzheitliche Herangehensweise, die sowohl technische als auch organisatorische Maßnahmen umfasst. Nur wenn alle Bereiche ineinandergreifen und laufend überprüft und aktualisiert werden, sind Unternehmen dauerhaft gegen Angriffe von außen und innen geschützt.

Gerade in sicherheitskritischen Sektoren wie dem Bankwesen und bei kritischen Infrastrukturen sollten diese Bedrohungen ernst genommen werden. Durch eine klare Sicherheitskultur, gezielte Überprüfungen sowie Schulungen können sie ihre Widerstandsfähigkeit gegen Insiderangriffe erheblich steigern.