Der Verizon Data Breach Investigations Report 2025 liefert eine unbequeme Zahl: In der EMEA-Region gehen 29 % aller bestätigten Datenverletzungen auf interne Akteure zurück. Weltweit sind bei 60 % aller Breaches Menschen der entscheidende Faktor – durch Fehler, Manipulation oder bewussten Missbrauch. Die grösste Bedrohung sitzt nicht irgendwo im Darknet. Sie sitzt im Büro nebenan, im Homeoffice oder hat letzte Woche gekündigt.
Drei Typen von Insider-Bedrohungen
Nicht jede Insider-Bedrohung ist gleich. In der Praxis unterscheiden wir drei Kategorien, die unterschiedliche Abwehrstrategien erfordern:
Böswillige Insider handeln mit Absicht. Ein unzufriedener Mitarbeiter kopiert Kundendaten vor der Kündigung. Ein Techniker verkauft Zugangsdaten an Dritte. Bei Tesla entwendeten zwei ehemalige Mitarbeitende 2023 über 100 GB interner Daten – darunter Sozialversicherungsnummern, Adressen und Kundenbankdaten von mehr als 75’000 Personen. Die Daten landeten bei einer deutschen Zeitung. Tesla erstritt gerichtliche Verfügungen, aber der Schaden war angerichtet.
Fahrlässige Mitarbeitende verursachen laut dem Ponemon-Institut 55 % aller Insider-Vorfälle. Das sind keine böswilligen Akteure, sondern Menschen, die auf Phishing-Links klicken, USB-Sticks verlieren, Cloud-Speicher falsch konfigurieren oder Passwörter wiederverwenden. Die Kosten summieren sich trotzdem: durchschnittlich 8,8 Millionen Dollar pro Jahr und Organisation.
Kompromittierte Accounts entstehen, wenn externe Angreifer gültige Mitarbeiter-Zugangsdaten erbeuten – per Phishing, Credential Stuffing oder Infostealer-Malware. Für Sicherheitssysteme sieht die Aktivität zunächst legitim aus. Diese Kategorie ist am teuersten: durchschnittlich 779’707 Dollar pro Einzelvorfall laut Ponemon-Bericht 2025.
Die Kosten sind real
Der Ponemon-Bericht 2025 beziffert die durchschnittlichen jährlichen Kosten durch Insider-Vorfälle auf 17,4 bis 19,5 Millionen Dollar pro Organisation – je nach Methodik und Stichprobe. Die Eindämmung eines Vorfalls dauert im Schnitt 81 Tage. Wird ein Vorfall erst nach über 91 Tagen gelöst, steigen die Kosten auf durchschnittlich 18,7 Millionen Dollar. Cash App (Block Inc.) musste nach einem Insider-Breach 2021 – ein ehemaliger Mitarbeiter lud nach seiner Kündigung Finanzberichte von 8,2 Millionen Kunden herunter – einen Vergleich über 15 Millionen Dollar zahlen. Der Zugang war schlicht nicht rechtzeitig gesperrt worden.
Warnsignale erkennen
Insider-Bedrohungen kündigen sich häufig an. Die folgenden Indikatoren sollten Sicherheitsteams kennen:
- Ungewöhnliche Zugriffsmuster: Logins ausserhalb der Arbeitszeiten, grosse Datenmengen-Downloads, Zugriff von unbekannten Geräten oder Standorten
- Zugriff auf fachfremde Systeme: Ein Mitarbeiter aus der Buchhaltung durchsucht plötzlich technische Repositories oder Kundendatenbanken
- Kombination aus Unzufriedenheit und erhöhter Aktivität: Konflikte mit Vorgesetzten, Abmahnung oder übergangene Beförderung gepaart mit steigendem Datenzugriff
- Kündigung plus Datentransfer: Bulk-Downloads, E-Mails an private Adressen oder USB-Nutzung in den Wochen vor dem letzten Arbeitstag
- Umgehen von Sicherheitskontrollen: Deaktivierung von Endpoint-Protection, Nutzung nicht autorisierter Tools, VPN-Umgehung
Sechs Massnahmen, die tatsächlich wirken
1. Least Privilege konsequent umsetzen. Jeder Benutzer erhält nur die Zugriffsrechte, die für seine aktuelle Funktion nötig sind. Rollenbasierte Zugriffskontrolle (RBAC) ist die Basis – aber nur wirksam, wenn Berechtigungen regelmässig überprüft und bei Funktionswechseln sofort angepasst werden. Quartalsweise Access Reviews sind Minimum.
2. User and Entity Behavior Analytics (UEBA). UEBA-Lösungen erstellen Verhaltensprofile für jeden Benutzer und erkennen Abweichungen: ungewöhnliche Login-Zeiten, atypische Datenbewegungen, plötzliche Privilege-Eskalation. Das liefert Frühwarnsignale, bevor Schaden entsteht.
3. Data Loss Prevention (DLP). DLP-Systeme überwachen und kontrollieren den Datenfluss – ob per E-Mail, Cloud-Upload, USB oder Druck. Sensible Daten (Personaldaten, Geschäftsgeheimnisse, Finanzdaten) werden klassifiziert und deren unkontrollierte Weitergabe blockiert.
4. Sofortige Zugriffssperrung beim Offboarding. Der Cash-App-Fall zeigt es drastisch: Ein ehemaliger Mitarbeiter behielt Zugang und verursachte einen Breach mit 8,2 Millionen Betroffenen. Offboarding-Prozesse müssen alle Accounts, Tokens, VPN-Zugänge, Cloud-Dienste und physischen Zutrittsmedien innerhalb von Stunden – nicht Tagen – deaktivieren.
5. Security-Kultur statt reiner Compliance-Trainings. Jährliche Pflichtschulungen ändern kein Verhalten. Was wirkt: regelmässige, kurze Sensibilisierungsmassnahmen, realistische Phishing-Simulationen, klare Meldewege ohne Schuldzuweisung und sichtbares Engagement der Geschäftsleitung. Das Carnegie Mellon CERT betont, dass eine offene Meldekultur Insider-Vorfälle nachweislich früher aufdeckt.
6. Separation of Duties. Kritische Vorgänge – Zahlungsfreigaben, Systemänderungen, Benutzerverwaltung – erfordern die Freigabe durch mindestens zwei Personen. Das reduziert das Risiko sowohl durch einzelne böswillige Akteure als auch durch kompromittierte Einzelaccounts erheblich.
Wie Zerberos Ihr Unternehmen schützt
Insider-Bedrohungen erfordern einen anderen Ansatz als klassische Perimeter-Sicherheit. Wir unterstützen Unternehmen gezielt:
- Social-Engineering-Tests: Realistische Phishing-Kampagnen und physische Social-Engineering-Tests zeigen, wo Ihre Organisation verwundbar ist
- Risk Assessment: Systematische Analyse Ihrer Zugriffskontrollen, Offboarding-Prozesse und Datenklassifizierung
- Security Awareness: Massgeschneiderte Schulungsprogramme, die auf Ihr Unternehmen und Ihre Branche zugeschnitten sind
- Konzeption von Insider-Threat-Programmen: Aufbau von Prozessen, Richtlinien und technischen Kontrollen gegen interne Bedrohungen
Kontaktieren Sie uns für eine unverbindliche Erstberatung.
Quellen
- Verizon, 2025 Data Breach Investigations Report, verizon.com/business/resources/reports/dbir/
- Ponemon Institute / DTEX Systems, 2025 Cost of Insider Risks Global Report, ponemon.dtexsystems.com
- CISA, Insider Threat Mitigation Guide, cisa.gov/insider-threat-mitigation
- Carnegie Mellon University, CERT Insider Threat Center, sei.cmu.edu/about/divisions/cert
- TechCrunch, Tesla says data breach impacting 75,000 employees was an insider job, August 2023
- TechCrunch, Block confirms Cash App breach after former employee accessed US customer data, April 2022