Andrii Yalanskyi – shutterstock.com
Was wäre, wenn das größte Sicherheitsrisiko Ihrer Organisation bereits einen Mitarbeitendenausweis besitzt, legitim angemeldet ist und genau weiß, wie interne Prozesse funktionieren? Diese Frage ist unbequem, aber sie markiert den Ausgangspunkt für eine längst überfällige Auseinandersetzung mit Insider-Bedrohungen.
Insider Threats – der blinde Fleck
Ob auf Fachkonferenzen oder in unternehmensinternen Meetings: Wenn über Sicherheitsrisiken gesprochen wird, richtet sich der Blick fast immer reflexartig nach außen. Auf Hackergruppen und Cyberkriminelle, auf ausländische Nachrichtendienste, auf Anhänger politischer oder religiöser Gruppen und auf wirtschaftliche Konkurrenten. Die eigenen Beschäftigten kommen als Tätergruppe in der Betrachtung kaum vor. Innentäter sind in vielen Organisationen immer noch ein Tabu-Thema, gelten allenfalls als Randphänomen und einzelne „schwarze Schafe“. Diese Annahme ist bequem – und gleichzeitig hoch gefährlich. Denn sie verstellt den Blick auf ein Risiko, das strukturell, vielschichtig und hoch wirksam ist.
Dass Insider-Bedrohungen ein systematisches Sicherheitsrisiko sind, belegen empirische Daten. In einer Bitkom-Umfrage aus dem Jahr 2025 berichteten 48 Prozent der deutschen Unternehmen, dass Fälle von Datendiebstahl, Industriespionage oder Sabotage auf eigene Mitarbeitende zurückzuführen waren. Bei 25 Prozent der Unternehmen waren es unabsichtlich handelnde (ehemalige) Beschäftigte, bei 23 Prozent vorsätzlich handelnde (ehemalige) Beschäftigte. Nach Angriffen von organisierten Kriminellen und Banden (68 Prozent) sind Insider-Vergehen damit die zweithäufigsten Delikte. Andere Statistiken zeigen, dass bereits 61 Prozent der Organisationen weltweit einen Insider-Vorfall identifiziert haben und dies bei 29 Prozent zu einem Sicherheitsvorfall führte.
Diese Zahlen machen deutlich: Eine Sicherheitsstrategie, die den Fokus ausschließlich auf externe Bedrohungen legt, ist gefährlich lückenhaft. Insider-Risiken sind ein relevanter Teil der Bedrohungslandschaft und müssen in Risikoanalysen systematisch mitgedacht werden.
Insider-Gefahren werden unterschätzt
Die soziale Organisation ist ein grundlegendes Merkmal der menschlichen Evolution. Seit jeher haben sich Menschen zu Gruppen zusammengeschlossen, um gemeinsam zu jagen, Wissen zu teilen und sich gegen Bedrohungen zu verteidigen. Teil einer Gruppe zu sein, bedeutete Schutz vor Gefahren von außen und konnte das Überleben sichern. Basis für all das war gegenseitiges Vertrauen innerhalb der Gruppe.
Auch heute bildet Vertrauen die Grundlage für das Funktionieren einer Organisation. Es ist Ausgangspunkt für eine konstruktive, effiziente und erfolgreiche Zusammenarbeit. Um ihre Arbeitsaufgaben zu erfüllen, benötigen Mitarbeitende Zutritt zum Firmengelände, Zugang zu Datenbanken und Bestellsystemen sowie Zugriff auf Informationen über Produkte, Prozesse, Lieferanten, Dienstleister und Kunden. Arbeitgeber statten Beschäftigte dazu mit den notwendigen Berechtigungen aus und vertrauen im Gegenzug auf die Loyalität und Integrität ihrer Mitarbeitenden. Das sich jemand von innen bewusst und vorsätzlich gegen die eigene Organisation wenden könnte, ist für viele Menschen dabei nicht vorstellbar und moralisch schlichtweg verwerflich. Die Folge: Die Gefahr wird ausgeblendet. Blindes Vertrauen macht Organisationen jedoch verwundbar.
Insider-Bedrohungen sind gefährlich
Insider verfügen über legitime Berechtigungen und haben ein tiefes Wissen über Infrastruktur, Systeme, Prozesse und Stakeholder. Gleichzeitig haben sie auch die Schwachstellen einer Organisation sehr genau im Blick. Sie kennen kritische Assets, wissen, wo sensible Daten liegen oder welche Prozesse besonders verwundbar sind. Insider wissen zudem, welche Kontrollmechanismen existieren und welche nicht. Auch kennen sie sich damit aus, wie sie Sicherheitslücken ausnutzen und Kontrollen umgehen können. Das ist ein struktureller Vorteil aller Insider.
Doch erst die missbräuchliche Verwendung von Berechtigungen macht einen Insider zum Innentäter. Diese zu erkennen ist allerdings schwierig, weil ihre Handlungen unauffällig und legitim wirken. Zugriffe erfolgen mit gültigen Berechtigungen, Prozesse werden formal eingehalten, Auffälligkeiten sind subtil. Klassische Sicherheitsmechanismen schlagen hier oft nicht an.
So können Innentäter oftmals über einen längeren Zeitraum agieren, ohne entdeckt zu werden. Typische vorsätzliche Angriffsformen von innen sind Betrug, Diebstahl von Informationen und physischen Gütern, Spionage, Sabotage sowie Gewalt. Die Auslöser für diese Taten sind vielfältig und reichen von emotionalen und situativen Belastungen, Unzufriedenheit und Frust, Opportunismus, finanziellen Interessen bis hin zu Loyalitätskonflikten. Neben solchen illoyalen Insidern gibt es zudem professionell eingeschleuste Innentäter, die beispielsweise im Auftrag eines ausländischen Nachrichtendienstes agieren.
Im Gegensatz zu diesen beiden Tätergruppen gibt es eine dritte Personengruppe: Das sind Beschäftigte, die zum Beispiel in der Hektik des Alltags auf einen Link in einer Phishing-E-Mail klicken, aus Nachlässigkeit eine E-Mail an einen falschen Adressaten senden oder von der Firma nicht zugelassene KI-Tools verwenden, um Arbeitszeit zu sparen. Ob man bei dieser letzten Gruppe, die ohne böswillige Absicht und kriminelle Energie handelt, von Innentätern sprechen und diese so behandeln kann und will, muss jede Organisation für sich selbst definieren.
Das Schadensausmaß bei Angriffen von innen kann massiv sein. Schäden durch Innentäter wirken häufig nachhaltiger als externe Angriffe, sowohl finanziell, reputativ als auch organisatorisch. Je nach Schwere des Angriffs kann zudem ein organisationales Trauma entstehen, zum Beispiel nach einem Amoklauf.
Klassische Sicherheitsmaßnahmen reichen nicht aus
Technische Systeme leisten einen wichtigen Beitrag zur Erkennung von Insider-Risiken, stoßen dabei jedoch an klare Grenzen. Tools wie Identity and Access Management (IAM), Data Loss Prevention (DLP) oder User and Entity Behaviour Analytics (UEBA) können Auffälligkeiten und Abweichungen identifizieren, nicht jedoch die dahinterliegenden Emotionen, Motive oder Intentionen. Technik kann damit Hinweise liefern und Symptome sichtbar machen, doch ein erheblicher Teil von Insider-Bedrohungen bleibt für technische Systeme unsichtbar. Denken Sie an den Diebstahl von Papierakten, die Installation von Mini-Kameras zur Überwachung von Computerbildschirmen oder die Sabotage von physischer Infrastruktur. Insider-Bedrohungen sind komplex und keinesfalls ein reines IT-Thema. Auch andere Abteilungen wie die Unternehmenssicherheit, HR, Compliance, Legal, interne Kommunikation und das Management sind relevante Stakeholder.
Ein weiteres zentrales Problem ist die fehlende klare Risk Ownership für Insider Threats. Während der Schutz vor externen Angriffen in vielen Organisationen fest verankert ist – oft mit eigenen Abteilungen, klar definierten Verantwortlichkeiten und etablierten Prozessen – fehlt ein vergleichbares Pendant für Bedrohungen aus dem Inneren häufig vollständig. Ohne eindeutige Zuständigkeit lassen sich Insider-Risiken weder systematisch bewerten noch präventiv steuern.
Die Folge von Technikfixierung, Silodenken und fehlender Zuständigkeit: Punktuelle Einzelmaßnahmen wie strengere Zugriffsrechte, zusätzliche Kontrollen und neue Tools. Diese Maßnahmen sind nicht falsch, aber sie bilden nur ein isoliertes Fragment eines systematischen Risikomanagements.
Was ein moderner Umgang mit Insider Threats bedeutet
Die Unsicherheit im Umgang mit Insider-Bedrohungen zeigt sich auch in Umfragen: Während es unter Cybersecurity-Experten einen deutlichen Anstieg der Besorgnis über böswillige Insider, von 60 Prozent im Jahr 2019 auf 74 Prozent im Jahr 2024, gibt, haben nur 29 Prozent der Befragten das Gefühl, über die richtigen Werkzeuge zum Schutz ihrer Organisation zu verfügen. Was oftmals fehlt, ist eine übergreifende Perspektive: Welche Risiken sind für uns wirklich kritisch? Wie fügt sich das Thema in bestehende Risiko-, Governance- und Prozessstrukturen ein? Wer trägt Verantwortung?
Ein zeitgemäßer Umgang mit Insider-Bedrohungen beginnt nicht mit Misstrauen, sondern mit Risikobewusstsein. Es geht nicht darum, Mitarbeitende unter Generalverdacht zu stellen, sondern Risiken systematisch zu verstehen und verantwortungsvoll zu steuern.
Zentral ist der Perspektivwechsel: von Reaktion zu Prävention, von Einzelfällen zu Strukturen, von Technik zu Organisation. Ein moderner Ansatz verbindet Kultur, Struktur und Verantwortung. Er stärkt Vertrauen und Compliance, indem klare Regeln und Prozesse etabliert werden. Außerdem ermöglicht er nachhaltige Resilienz, statt nur auf Vorfälle zu reagieren. Der Appell ist eindeutig: Wegsehen erhöht das Risiko. Hinschauen schafft Handlungsfähigkeit.
Fazit: Warum jetzt gehandelt werden muss
Innentätermanagement ist kein Produkt und kein Kontrollregime. Es ist ein menschenzentrierter Managementansatz, der Vertrauen schützt, indem er Risiken transparent macht und bewusst adressiert. Mit den europäischen Richtlinien NIS2 und CER rückt das Risikomanagement stärker in den Fokus. Noch immer wird Sicherheit häufig als eine Art Außenverteidigung verstanden. Was dabei oft übersehen wird: Ein erheblicher Teil der Risiken entsteht innerhalb von Organisationen.
Innentätermanagement ist damit keine optionale Ergänzung mehr, sondern Teil verantwortungsvoller Unternehmenssteuerung. Die entscheidende Frage lautet nicht, ob Insider-Risiken existieren, sondern ob Organisationen bereit sind, sie bewusst zu managen. (jm)