Zum Inhalt springen

Services, Wiki-Artikel, Blog-Beiträge und Glossar-Einträge durchsuchen

↑↓NavigierenEnterÖffnenESCSchließen
Angriffsmethoden Glossar

Insider Threat

Sicherheitsrisiko von Personen mit legitimem Systemzugang - Mitarbeiter, Auftragnehmer oder Partner. Im Unterschied zu Social Engineering, das externe Täuschung nutzt, geht die Bedrohung beim Insider Threat vom Zugang selbst aus: böswillig (Sabotage, Datendiebstahl) oder fahrlässig (Phishing-Opfer, Fehlkonfiguration).

Insider Threats sind Sicherheitsrisiken die von Personen ausgehen, die legitimen Zugang zum Unternehmensnetzwerk, zu Systemen oder Daten haben - oder hatten. Anders als externe Angreifer müssen Insider keine Zugangssperren überwinden.

Kategorien

Böswillige Insider (Malicious Insider)

Mitarbeiter, die absichtlich Schaden anrichten:

  • Sabotage: IT-Systeme beschädigen (vor Kündigung, aus Rache)
  • Datendiebstahl: IP stehlen und zu Konkurrenz/Käufer bringen
  • Fraud: Finanzieller Betrug durch privilegierten Systemzugriff
  • Spionage: Agentur oder Wettbewerber hat Zugriff durch eingeschleusten Mitarbeiter

Fahrlässige Insider (Negligent Insider)

Mitarbeiter ohne böse Absicht, aber mit riskanten Verhaltensweisen:

  • Phishing-Link anklicken → Malware installiert
  • Firmendaten auf privaten USB-Stick kopieren
  • Passwort auf Post-it kleben oder mit Kollegen teilen
  • Firmenlaptop für private Aktivitäten nutzen (Raubkopien → Malware)
  • Unverschlüsselte E-Mails mit Kundendaten

Statistik: Laut Ponemon Institute entstehen 56% der Insider-Threat-Vorfälle durch Fahrlässigkeit - nur 26% sind böswillig.

Kompromittierte Insider (Compromised Insider)

Externe Angreifer nutzen kompromittierte Mitarbeiter-Accounts:

  • Stealer Logs → Credentials gestohlen → Angreifer agiert als “Insider”
  • Phishing → Account übernommen → Lateral Movement im Netz

Erkennungsansätze

User and Entity Behavior Analytics (UEBA):

  • Baseline: Hans loggt sich täglich 08:00-18:00 ein, greift auf ERP und E-Mail zu
  • Anomalie: Hans loggt sich Samstag 03:00 Uhr ein, lädt 500 Dateien aus SharePoint herunter
  • Ergebnis: SIEM-Alert: “Unusual Mass Download Activity”

DLP - Data Loss Prevention:

  • Monitoring von Datenübertragungen (USB, E-Mail, Cloud-Upload)
  • Blockieren von sensitiven Daten außerhalb genehmigter Kanäle

Privileged Access Monitoring:

  • Alle Admin-Sessions aufzeichnen (PAM-Session Recording)
  • Alarmierung bei ungewöhnlichen Admin-Aktionen (nächtliche Kontozugriffe)

Gegenmaßnahmen

Technisch:

  • Least Privilege Prinzip: Nur notwendige Zugriffsrechte
  • Regelmäßige Access Reviews: Überflüssige Rechte entziehen
  • PAM-Lösung für Admin-Accounts
  • DLP für sensitive Daten
  • Offboarding-Prozess: Account sofort deaktivieren bei Kündigung

Organisatorisch:

  • Unternehmenskultur: Mitarbeiter melden Sicherheitsbedenken ohne Angst
  • Anomalie-Meldewege: “Speak Up” Programm
  • Trennung von Verantwortlichkeiten: Vier-Augen-Prinzip für kritische Aktionen
  • Hintergrundchecks für privilegierte Positionen

Compliance: ISO 27001 A.6.1 (Sicherheitspolitik für HR), A.6.3 (Disziplinarverfahren), A.5.10 (Akzeptable Nutzung).

AWARE7 Leistungen zum Thema

Penetrationstest ISO 27001 Beratung

Ausführlicher Wiki-Artikel

Active Directory Angriffe

10 Min. Lesezeit

Incident Response

9 Min. Lesezeit

Schwachstellenmanagement: Der vollständige Leitfaden

13 min Lesezeit

Zero Trust - Modernes Sicherheitsarchitekturprinzip

8 Min. Lesezeit

Verwandte Begriffe

IAM (Identity and Access Management) Lateral Movement - Wie Angreifer sich im Netz ausbreiten Privileged Access Management (PAM) Privilege Escalation Social Engineering - Die Psychologie des Angriffs Threat Intelligence - Angreifer verstehen, bevor sie zuschlagen
Zurück zum Glossar Erstberatung vereinbaren

Cookielose Analyse via Matomo (selbst gehostet, kein Tracking-Cookie). Datenschutzerklärung