Angriff

Insider-Bedrohung

Sicherheitsrisiko durch Personen innerhalb einer Organisation — Mitarbeiter, Auftragnehmer oder Partner — die absichtlich oder unabsichtlich Schaden anrichten.

🧒

Einfach erklärt

Für jeden verständlich — ohne Vorkenntnisse

“Die größte Gefahr kommt oft von innen. Ein Mitarbeiter, der verärgert ist und Kundendaten mitnimmt. Oder jemand, der versehentlich sein Passwort auf einer Phishing-Seite eingibt. Oder ein IT-Admin, der zu viele Rechte hat und diese missbraucht. Nicht jeder Angreifer kommt von außen.”

Ausführliche Erklärung

Insider-Bedrohungen werden in drei Kategorien unterteilt: Malicious Insiders (vorsätzlich handelnde Mitarbeiter, oft motiviert durch finanziellen Gewinn, Rache oder ideologische Gründe), Negligent Insiders (fahrlässige Mitarbeiter die Sicherheitsregeln missachten) und Compromised Insiders (Mitarbeiter deren Konten durch externe Angreifer übernommen wurden). Insider sind besonders gefährlich, weil sie legitimen Zugang haben und ihre Aktivitäten schwer von normalem Verhalten zu unterscheiden sind.

>Wie funktioniert das?

Insider hat legitimen Zugang zu Systemen und Daten

Motivierter Angreifer: Exfiltriert Daten schrittweise, nutzt legitime Tools (schwer erkennbar)

Fahrlässiger Mitarbeiter: Klickt auf Phishing-Link, teilt Passwörter, nutzt unsichere Geräte

Kompromittierter Account: Externer Angreifer nutzt gestohlene Credentials für legitimen Zugang

Schaden entsteht durch Datenverlust, Sabotage oder als Einstiegspunkt für größere Angriffe.

?Häufig gestellte Fragen

Antwort

Frustrierte Mitarbeiter vor der Kündigung, Mitarbeiter mit finanziellen Problemen, Auftragnehmer mit zu weitgehenden Zugriffsrechten und kompromittierte Accounts externer Angreifer.

Antwort

Bösartige Insider handeln vorsätzlich zum eigenen Vorteil oder zur Sabotage. Fahrlässige Insider verursachen Schaden durch Unachtsamkeit, Unwissen oder Missachtung von Sicherheitsrichtlinien.

Antwort

Organisierte Kriminalität rekrutiert aktiv Insider in Banken, Telekommunikationsunternehmen und Behörden um Zugang zu kaufen — gegen Bezahlung oder durch Erpressung.

Antwort

Weil Insider legitimen Zugang nutzen, ihre Aktionen oft im Rauschen normaler Aktivitäten verschwinden und UEBA (User and Entity Behavior Analytics) hohe False-Positive-Raten haben kann.

Antwort

Durch Least-Privilege-Prinzip, Aufgabentrennung, regelmäßige Zugriffsüberprüfungen, User Behavior Analytics, klare Offboarding-Prozesse und eine positive Sicherheitskultur.

Alle Begriffe im Glossar

APT Brute-Force-Angriff Botnet CVE Credential Stuffing DDoS EDR Firewall Honeypot IDS KI-Angriff (Adversarial AI)Lateral Movement LLM-Sicherheit Malware MFA Netzwerksegmentierung OSINT Passkeys Patch Management Phishing Prompt Injection Ransomware SIEM Social Engineering SQL-Injection Threat Intelligence TTP WAF XDR Zero-Day Zero Trust XSS CSRF MitM Supply-Chain-Angriff Spear-Phishing Vishing Smishing Watering-Hole-Angriff Drive-by-Download Insider-Bedrohung Typosquatting Clickjacking DNS-Spoofing Session-Hijacking BEC Cryptojacking SIM-Swapping SOC Pentest Threat Hunting Red Team Blue Team DevSecOps Security Awareness Training Vulnerability Management SAST DAST 3-2-1 Backup-Strategie Cyber-Versicherung NIS2 DSGVO ISO/IEC 27001 BSI IT-Grundschutz NIST CSF KRITIS — Kritische Infrastrukturen PCI-DSS CRA TISAX — Automotive Informationssicherheit BCM Meldepflicht bei Datenpannen Adversarial Machine Learning Model Poisoning Deepfake KI-Halluzination LLM-Jailbreak Federated Learning Shadow AI Trojaner Computerwurm Spyware Rootkit Keylogger Fileless Malware Backdoor Infostealer Wiperware Adware OAuth 2.0 SAML SSO PAM IAM RBAC Passwort-Manager Biometrische Authentifizierung Hardware-Sicherheitsschlüssel VPN DMZ VLAN Port-Scanning BGP-Hijacking IPS NAC TLS SSH HTTPS — HyperText Transfer Protocol Secure SPF, DKIM & DMARC — E-Mail-Authentifizierung IPsec — Internet Protocol Security API-Sicherheit DNSSEC