Insider-Bedrohungen entstehen oft unbemerkt, entwickeln sich über Monate oder Jahre, verursachen hohe Schäden und stellen derzeit eine der grössten Herausforderungen für Unternehmen dar. Wie lassen sie sich nachhaltig eliminieren?
Eine Insider-Bedrohung bezeichnet das Risiko, dass eine vertrauenswürdige Person innerhalb eines Unternehmens – sei es durch Fahrlässigkeit, Fehler oder absichtliches Handeln – die Sicherheit, Daten oder Betriebsabläufe gefährdet.
In diesem Artikel stellen wir drei reale Fälle vor und wie diese verhindert hätten werden können. Zudem beleuchten wir aktuelle Entwicklungen und Ansätze im Insider Risk Management.
Fall 1: Daniel M. und die verkauften Algorithmen
Daniel M. war IT-Sicherheitsadministrator in einem Finanztechnologie-Unternehmen. Über Jahre hinweg hatte er uneingeschränkten Zugriff auf sensible Kundendaten und Algorithmen für Trading-Plattformen. Durch finanzielle Engpässe geriet er unter Druck und begann, schrittweise Daten abzuziehen – über Private Cloud, USB-Sticks und manipulierte Zugriffsprotokolle. Eine Routineprüfung erkannte ungewöhnliche Datenübertragungen, und die digitale forensische Untersuchung ergab, dass Daniel M. über Monate hinweg proprietäre Softwarecodes kopiert und an einen ausländischen Wettbewerber verkauft hatte.
Fall 2: Private Banker mit Printouts
Nicht nur digitale Daten sind gefährdet – auch physische Unterlagen sind ein häufiges Einfallstor für Insider-Bedrohungen. Ein Private Banker einer grossen Auslandsbank kündigte, und vor seinem letzten Arbeitstag druckte er umfangreiche Listen mit Kundendaten aus: Namen, Kontostände und Investitionsprofile. Sein Ziel: die Kundenbeziehungen direkt zur nächsten Bank mitzunehmen. Der Diebstahl fiel erst auf, als mehrere Kunden berichteten, von ihrem ehemaligen Berater kontaktiert worden zu sein. Die Untersuchung ergab, dass der ehemalige Mitarbeitende physische Dokumente entwendet hatte.
Fall 3: Die «Logic Bomb» des IT-Administrators
Ein IT-Administrator eines Versicherungsunternehmens stand nach internen Konflikten kurz vor seiner Kündigung. Unbemerkt platzierte er eine «Logic Bomb» – eine programmierte Schadensroutine, die nach einer bestimmten Zeit oder Bedingung aktiviert wird. Wochen nach seinem Weggang führte die Routine zu massiven Serverausfällen, da zentrale Datenbanken manipuliert und gelöscht wurden. Die Untersuchung ergab, dass die Schadsoftware vorsätzlich implementiert worden war. Die Wiederherstellung der Daten und die Behebung des Schadens kosteten das Unternehmen Millionen.
Insider-Risikomanagement im Fokus: Weniger Vorfälle, aber steigende Kosten
Der Bericht «Cost of Insider Risk 2025 Global Report» des Ponemon Institute zeigt, dass Unternehmen weltweit verstärkt in Insider-Risikomanagement investieren, um Sicherheitsvorfälle zu reduzieren, Kosten zu senken und ihre Reaktionszeiten zu verbessern. Der Anteil des IT-Sicherheitsbudgets für diesen Bereich hat sich von 8,2 % im Jahr 2023 auf 16,5 % im Jahr 2024 verdoppelt. Gleichzeitig verfügen inzwischen 81 % der Unternehmen über ein entsprechendes Programm oder planen dessen Einführung.
Unternehmen, die ein Insider-Risikomanagement implementiert haben, geben an, von Zeit- und Kosteneinsparungen bei der Bewältigung von Vorfällen zu profitieren und gleichzeitig ihre Markenreputation zu stärken. Die durchschnittliche Zeit zur Eindämmung eines Vorfalls ist erstmals gesunken – von 86 Tagen im Jahr 2023 auf 81 Tage. Schnellere Reaktionszeiten bedeuten dabei deutlich geringere Kosten. Auch die Häufigkeit von Insider-Vorfällen nimmt ab. Dennoch steigen die durchschnittlichen jährlichen Kosten, die mittlerweile bei 17,4 Mio. USD liegen. Betriebsunterbrechungen und direkte sowie indirekte Arbeitskosten stellen die bedeutendsten Folgen eines Insider-Vorfalls dar. Trotz wachsender Budgets halten viele Unternehmen die Finanzierung weiterhin für unzureichend, und fast die Hälfte erwartet eine Erhöhung der Budgets bis 2025, mit verstärktem Fokus auf präventiven Massnahmen.
Nachlässigkeit oder Fehler von Mitarbeitenden führen gesamthaft gesehen zu den höchsten durchschnittlichen jährlichen Kosten bei Insider-Vorfällen. Zwar ist die durchschnittliche Anzahl solcher Vorfälle in den letzten Jahren leicht zurückgegangen, doch die Kosten für deren Behebung sind deutlich gestiegen – von 505'113 USD im Jahr 2023 auf 676'517 USD im Jahr 2024.
| Vorfälle 2024 | Durchschnittliche Kosten / Vorfall | Durchschnittliche jährliche Kosten |
| Nachlässigkeit / Fehler | 676,517 |
8,828,292 |
Kriminell |
715,366 |
3,719,898 |
Diebstahl Zugangsdaten |
779,707 |
4,834,190 |
Tabelle 1: Durchschnittliche jährliche Kosten pro Vorfall für die drei Arten von Vorfällen, in USD
«Stranger is danger»? Die Ergebnisse des vorjährigen Berichtes («2023 Cost of Insider Risks Global Report») zeigten eine besorgniserregende Zunahme von Insider-Vorfällen und steigende Kosten für deren Bewältigung. Gemäss der damaligen Studie waren Cyber-Budgets falsch priorisiert: 88% der Unternehmen investierten weniger als 10% ihres IT-Sicherheitsbudgets in das Management von Insider-Bedrohungen: 91,8% fokussieren auf externe Bedrohungen – wenngleich mehr als die Hälfte der Unternehmen Social Engineering als eine der Hauptursachen für externe Angriffe nannten.
Intelligente Bedrohungserkennung zwischen Sicherheit und Datenschutz
In einer zunehmend digitalen Arbeitswelt wird User and Entity Behavior Analytics (UEBA) eingesetzt, um mittels KI und maschinellem Lernen auffällige Aktivitäten von Mitarbeitenden und Systemen zu erkennen und False Positives durch kontextbasierte Analyse zu reduzieren. Allerdings kann UEBA auch Bedenken auslösen, da Mitarbeitende das Gefühl einer ständigen Überwachung vermittelt bekommen könnten.
Insider-Bedrohungen nachhaltig eliminieren
Insider-Bedrohungen sind vielseitig – von Datendiebstahl über unbemerkte Dokumentenmitnahmen bis hin zu gezielter Sabotage.
«Culture Eats Technology for Breakfast»
Viele Unternehmen fokussieren auf Technologie, übersehen dabei aber den entscheidenden Faktor Mensch. Letztlich sind es nicht Systeme, sondern Mitarbeitende mit individuellen Motiven und Einflüssen, die unter Druck geraten und möglicherweise einen lebensverändernden Fehler machen. Wer auf isolierte technische Lösungen setzt, zwischenmenschliche Aspekte vernachlässigt oder eine Überwachungsmentalität schafft, fördert eher Misstrauen als Sicherheit. Ein effektives Insider Risk Management erfordert einen ganzheitlichen Ansatz: Eine starke Unternehmenskultur und klare Governance-Strukturen, mit Technologie als Enabler. Nur wenn Mitarbeitende sich als Teil der Lösung sehen, lassen sich Insider-Risiken nachhaltig minimieren.
Dieser Artikel wurde ursprünglich im Blog „Wirtschaftskriminalität“ der Hochschule Luzern veröffentlicht.