Spagat zwischen Sicherheit und Unternehmenskultur

Insider-Risiken sind Chefsache

Viele Sicherheitsstrategien richten sich vor allem gegen externe Angreifer als größte Gefahr, beispielsweise cyberkriminelle Banden, staatlich gesteuerte Gruppen oder opportunistische Hacker. Doch ein erheblicher Teil der schwerwiegenden Sicherheitsvorfälle, die Unternehmen zu verzeichnen haben, hat seinen Ursprung im Inneren des Unternehmens.

Untersuchungen zeigen, dass interne Vorfälle für rund ein Fünftel bis ein Viertel aller Datenverluste verantwortlich sind; ein großer Teil davon wird sogar bewusst herbeigeführt. Darüber hinaus bestätigen Sicherheitsverantwortliche weltweit, dass Insider-Risiken zu den größten Bedrohungen für die Cybersicherheit zählen.

Anzeige

Das Paradoxon ist offensichtlich: Unternehmen können nicht produktiv arbeiten, ohne Mitarbeitern, Dienstleistern und Partnern weitreichende Zugriffsrechte auf Systeme und Daten einzuräumen. Genau dadurch entsteht eine Verwundbarkeit, die mit klassischen, am Perimeter der IT-Infrastruktur ausgerichteten Sicherheitsansätzen allein nicht beherrschbar ist. Zudem erschweren Remote- und Hybridarbeit, der Einsatz privater Geräte (Bring Your Own Device: BYOD) sowie der umfassende Einsatz von Cloud-Diensten die Sicherung der Unternehmensressourcen. Durch diese Gemengelage wird ein durchdachtes Insider-Risk-Management (IRM) zur strategischen Notwendigkeit.

Menschen im Mittelpunkt

Insider-Risiken sind vor allem eines: menschengemacht. Sie entstehen durch fahrlässiges Verhalten, fehlende Kenntnisse, bewusste Sabotage oder kompromittierte Zugänge. Moderne Programme zur Abwehr von Insider-Risiken setzen daher auf einen personenzentrierten Ansatz, der Technik, Prozesse und Unternehmenskultur einschließt.

Im Kern geht es darum, riskante Verhaltensweisen möglichst früh zu erkennen, Kontexte richtig zu interpretieren und Maßnahmen einzuleiten, bevor es zu Datenschutzverletzungen, Datenabflüssen oder Wirtschaftsspionage kommt. Ein entsprechendes Sicherheitsprogramm darf dabei die Privatsphäre der Mitarbeitenden nicht untergraben und muss zu den rechtlichen Rahmenbedingungen ebenso passen wie zur gelebten Kultur im Unternehmen. Dieses Spannungsfeld zwischen Sicherheit, Datenschutz und Vertrauen erfordert eine sorgfältige Gestaltung und die enge Zusammenarbeit verschiedener Unternehmensbereiche – von der IT-Sicherheit über die Personalabteilung und die Rechtsabteilung bis hin zur Geschäftsführung.

Anzeige

Datenerfassung mit Augenmaß

Ein wirksames IRM-Programm braucht Daten. Ohne Informationen über Benutzeraktivitäten, Zugriffe und Bewegungen sensibler Informationen lassen sich riskante Muster nicht erkennen. Aber: Ein Mehr an Daten ist nicht automatisch besser. Eine ungezielte, flächendeckende Überwachung aller Aktivitäten ist weder rechtlich tragfähig noch den Mitarbeitenden vermittelbar.

Unternehmen sollten stattdessen klare Prozesse definieren, die festlegen, welche Daten zu welchem Zweck erhoben, wie lange sie gespeichert und wie sie genutzt werden. HR-Systeme liefern beispielsweise Hinweise auf Mitarbeitende, die das Unternehmen verlassen, versetzt werden oder in sensiblen Bereichen arbeiten. Sicherheitssysteme erfassen wiederum Anmeldeversuche, Dateizugriffe oder ungewöhnliche Datenübertragungen. Die Kunst besteht darin, diese Quellen gezielt zu kombinieren, um ein ausreichend detailliertes Bild potenziell riskanter Situationen zu gewinnen, ohne in Datensammelwut zu verfallen.

Transparenz spielt dabei die zentrale Rolle. Wenn Mitarbeitende verstehen, warum bestimmte Daten erhoben werden, welche Risiken damit adressiert werden und wofür die Informationen nicht genutzt werden – beispielsweise nicht zur Leistungsüberwachung –, steigt die Akzeptanz. Ergänzend sind klare Regeln zum Verfallsdatum von Daten, zum Zugriff nach dem Need-to-know-Prinzip und zur regelmäßigen Überprüfung erforderlich, ob bestimmte Daten überhaupt noch benötigt werden. So entsteht ein Fundament, das sowohl den gesetzlichen Anforderungen als auch dem berechtigten Interesse an Privatsphäre gerecht wird.

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Privatsphäre by Design

Gerade weil IRM auf Nutzerdaten basiert, muss Datenschutz von Anfang an berücksichtigt werden. In Europa gilt mit der DSGVO eine umfassende Vorschrift, die genau regelt, wie personenbezogene und vertrauliche Daten verarbeitet werden dürfen. Ein modernes IRM-Programm kann diese Vorgabe nicht nur einhalten, sondern auch aktiv unterstützen.

Dabei ist das Prinzip der Datenminimierung das zentrales Leitmotiv. Es muss genau definiert sein, welche Aktivitäten in welchen Situationen erfasst werden. Inhalte wie vollständige Dokumente oder Screenshots sollten nur unter streng begründeten Bedingungen und so selten wie möglich verarbeitet werden. Wo immer möglich, sollte zunächst mit anonymisierten oder pseudonymisierten Daten gearbeitet werden. Eine Re-Identifizierung ist erst dann gerechtfertigt, wenn ein konkreter Verdacht vorliegt.

Unternehmen müssen sicherstellen, dass die Betroffenenrechte auch im sicherheitsrelevanten Kontext gewahrt bleiben. Unverzichtbar sind deshalb Prozesse für Auskunfts- und Löschanfragen, transparent kommunizierte Datenschutzmaßnahmen sowie eine enge Abstimmung mit Datenschutzbeauftragten und Juristen. Die technische Unterstützung erfolgt über rollenbasierte Zugriffskonzepte, Verschlüsselung, regionale Datenhaltung sowie die lückenlose Protokollierung von Zugriffen auf Sicherheitsdaten. So wird aus einem potenziellen Überwachungsrisiko ein System, das Rechte schützt und die Sicherheit erhöht.

Gegenseitige Kontrollen als Vertrauensanker

Insider-Risiken betreffen nicht nur reguläre Mitarbeitende, sondern auch diejenigen, die Sicherheitsmaßnahmen planen, umsetzen und überwachen. Sicherheitsadministratoren, Analysten oder Compliance-Verantwortliche verfügen oft über besondere Rechte und Zugriff auf sensible Daten. Ohne geeignete Kontrollen bestünde die Gefahr, dass genau diese Mitarbeitenden zum blinden Fleck werden.

Ein professionelles IRM-Programm implementiert daher das Prinzip der gegenseitigen Kontrolle, das oft als „Watch the Watcher“ beschrieben wird. Die Kernidee besteht darin, die Aktivitäten von Personen mit privilegierten Zugängen systematisch zu protokollieren, sie regelmäßig zu prüfen und Vier-Augen-Mechanismen zu etablieren. Unabhängige interne oder externe Auditoren kontrollieren stichprobenartig Konfigurationen, Fallbearbeitungen und Löschaktionen.

Entscheidend ist eine saubere Trennung der Aufgaben. Wer Regeln definiert, sollte sie nicht allein durchsetzen. Ebenso sollte es nicht möglich sein, eigene Aktivitäten unbemerkt aus Protokollen zu entfernen, wenn man Vorfälle untersucht. Diese Kontrollstrukturen sollen nicht das Misstrauen gegenüber den Sicherheitsteams fördern, sondern schaffen Transparenz und erhöhen das Vertrauen aller Beteiligten in die Fairness und Integrität des Programms.

Geistiges Eigentum – das zentrale Schutzgut

Das wichtigste Ziel eines IRM ist der Schutz geschäftskritischer Informationen. Dazu zählen nicht nur personenbezogene Daten, sondern vor allem geistiges Eigentum wie Konstruktionspläne, Quellcode, Strategiepapiere, Kunden- und Preislisten oder Verhandlungsunterlagen. Der Verlust solcher Daten kann zu massiven finanziellen Schäden, Wettbewerbsnachteilen und einer Rufschädigung führen.

Um diese Werte zu schützen, müssen Unternehmen zunächst klar definieren, welche Informationen besonders schützenswert sind und wie sie klassifiziert und behandelt werden. Auf dieser Grundlage lassen sich Richtlinien zur akzeptablen Nutzung formulieren, die den Mitarbeitern klar vermitteln, was erlaubt ist und was nicht – beispielsweise im Hinblick auf das Speichern in der Cloud, das Versenden an private E-Mail-Adressen oder die Nutzung externer Speichermedien.

Besonders kritisch sind die Phasen des Job-Beginns, des -Wechsels und des Austritts von Mitarbeitenden aus dem Unternehmen. In diesen Momenten werden häufig neue Zugriffsrechte vergeben, bestehende Berechtigungen verändert oder nicht rechtzeitig entzogen. Hier empfiehlt sich eine enge Zusammenarbeit zwischen den Abteilungen HR, IT, Sicherheit und Rechtsabteilung. Kommt es trotz aller Vorsichtsmaßnahmen zu einem Vorfall, müssen die Beweise so gesichert werden, dass sie gerichtsfest sind, damit arbeitsrechtliche oder strafrechtliche Schritte auf einer soliden Grundlage erfolgen können.

Kultur, Kommunikation, Commitment

So ausgereift Technologie und Prozesse auch sein mögen – ohne eine passende Unternehmenskultur bleibt jedes IRM-Programm Stückwerk. Der erste Schritt zu Akzeptanz und Wirksamkeit besteht darin, die Geschäftsführung sichtbar einzubinden. Wenn die Unternehmensleitung klar kommuniziert, dass der Schutz von Daten und Geschäftsgeheimnissen eine gemeinsame Verantwortung ist, bietet sie Orientierung und sorgt für Legitimität.

Genauso wichtig ist die Art und Weise, wie das Programm im Unternehmen präsentiert wird. Schon der Name kann signalisieren, ob es um Misstrauen und Kontrolle oder um Schutz und Verantwortung geht. Einige Organisationen vermeiden bewusst negativ konnotierte Begriffe wie „Bedrohung” im Programmnamen und wählen stattdessen Bezeichnungen, die auf Vertrauen, Datensicherheit oder Unternehmensschutz abzielen.

Noch entscheidender ist es, Missverständnisse auszuräumen. Mitarbeitende müssen verstehen, worin sich ein auf Sicherheit fokussiertes Insider-Risk-Programm von einer leistungsbezogenen Mitarbeiterüberwachung unterscheidet. Während letztere meist zu Recht auf Ablehnung stößt, kann erstere Akzeptanz finden, wenn klar wird: Es geht um den Schutz aller, also der Organisation, der Kunden und der Mitarbeitenden selbst. Kontinuierliche Schulungen, offene Kommunikationskanäle und die Möglichkeit, Fragen und Bedenken einzubringen, helfen dabei, Vertrauen aufzubauen und Mitarbeitende zu aktiven Mitstreitern für mehr Sicherheit zu machen.

Insider-Risiken: langfristige Aufgabe statt kurzes Projekt

Insider-Risiken verschwinden nicht durch ein einmal aufgesetztes Projekt oder die Einführung eines neuen Tools. Sie sind das Ergebnis eines dynamischen Umfelds, in dem sich Geschäftsmodelle, Arbeitsformen, Technologien und Bedrohungslagen ständig verändern. Entsprechend muss auch das Insider-Risk-Management als langfristige, kontinuierlich weiterzuentwickelnde Fähigkeit verstanden werden. Wer den Spagat zwischen Sicherheit, Privatsphäre und Unternehmenskultur meistert, gewinnt mehr als nur technische Resilienz. Ein reifes, personenzentriertes IRM-Programm schützt nicht nur Daten und Systeme, sondern schafft Vertrauen bei Kunden, Partnern, Aufsichtsbehörden und Mitarbeitenden. Es reduziert das Risiko existenzbedrohender Zwischenfälle und stärkt eine Kultur, in der sich Menschen für Sicherheit verantwortlich fühlen, statt sich überwacht zu fühlen. Genau in diesem Gleichgewicht liegt die eigentliche Kunst der Abwehr von Insider-Bedrohungen.

Thomas

Mierschke

Area Vice President DACH

Proofpoint

Anzeige

Artikel zu diesem Thema

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.