Von Fabienne Wikler, Madeleine Rebsamen & Darius Meier

Insider-Bedrohungen entstehen oft unbemerkt, entwickeln sich über Monate oder Jahre, verursachen hohe Schäden und stellen derzeit eine der grössten Herausforderungen für Unternehmen dar. Wie lassen sie sich nachhaltig eliminieren?

Eine Insider-Bedrohung bezeichnet das Risiko, dass eine vertrauenswürdige Person innerhalb eines Unternehmens – sei es durch Fahrlässigkeit, Fehler oder absichtliches Handeln – die Sicherheit, Daten oder Betriebsabläufe gefährdet.

In diesem Artikel stellen wir drei reale Fälle vor und wie diese verhindert hätten werden können. Zudem beleuchten wir aktuelle Entwicklungen und Ansätze im Insider Risk Management.

Fall 1: Daniel M. und die verkauften Algorithmen

Daniel M. war IT-Sicherheitsadministrator in einem Finanztechnologie-Unternehmen. Über Jahre hinweg hatte er uneingeschränkten Zugriff auf sensible Kundendaten und Algorithmen für Trading-Plattformen. Durch finanzielle Engpässe geriet er unter Druck und begann, schrittweise Daten abzuziehen – über Private Cloud, USB-Sticks und manipulierte Zugriffsprotokolle. Eine Routineprüfung erkannte ungewöhnliche Datenübertragungen, und die digitale Forensikuntersuchung ergab, dass Daniel M. über Monate hinweg proprietäre Softwarecodes kopiert und an einen ausländischen Wettbewerber verkauft hatte.

Was tun?

• Implementierung von strikten Zugriffskontrollen mit dem Least Privilege Prinzip (Benutzer, Systeme oder Prozesse sollen nur die minimalen Zugriffsrechte erhalten, die sie benötigen, um ihre Aufgaben auszuführen. Dadurch wird das Risiko von unbefugtem Zugriff oder potenziellen Sicherheitslücken minimiert)
• Nutzung von Data Loss Prevention (DLP)-Systemen, um unerlaubte Datenbewegungen frühzeitig zu erkennen
• Verhaltensanalysen mit KI, um ungewöhnliche Zugriffsmuster zu identifizieren
• Regelmässige Schulungen für IT-Personal über Sicherheitsrichtlinien und Insider-Bedrohungen

Fall 2: Private Banker mit Printouts

Nicht nur digitale Daten sind gefährdet – auch physische Unterlagen sind ein häufiges Einfallstor für Insider-Bedrohungen. Ein Private Banker einer grossen Auslandsbank kündigte, und vor seinem letzten Arbeitstag druckte er umfangreiche Listen mit Kundendaten aus: Namen, Kontostände und Investitionsprofile. Sein Ziel: die Kundenbeziehungen direkt zur nächsten Bank mitzunehmen. Der Diebstahl fiel erst auf, als mehrere Kunden berichteten, von ihrem ehemaligen Berater kontaktiert worden zu sein. Die Untersuchung ergab, dass der ehemalige Mitarbeiter physische Dokumente entwendet hatte.

Was tun?

• Lookback-Prozess bei sensitiven Abgängen (Überprüfung und Widerruf aller Zugriffsrechte, Passwörter und Berechtigungen, die Analyse der kürzlichen Nutzung auf unübliche Aktivitäten sowie die Sicherstellung, dass alle sensiblen Daten, Geräte und Unternehmensressourcen zurückgegeben wurden)
• Einschränkung des Druckerzugangs für sensible Informationen
• Watermarking und Logging von Print-Jobs, um Dokumentendiebstahl nachvollziehbar zu machen
• Klare Richtlinien und Non-Disclosure Agreements, die den Umgang mit Kundendaten bei Unternehmenswechseln regulieren
• Aufklärung und Sensibilisierung der Mitarbeitenden über Datenschutz und ethisches Verhalten

Fall 3: Die «Logic Bomb» des IT-Administrators

Ein IT-Administrator eines Versicherungsunternehmens stand nach internen Konflikten kurz vor seiner Kündigung. Unbemerkt platzierte er eine «Logic Bomb» – eine programmierte Schadensroutine, die nach einer bestimmten Zeit oder Bedingung aktiviert wird. Wochen nach seinem Weggang führte die Routine zu massiven Serverausfällen, da zentrale Datenbanken manipuliert und gelöscht wurden. Die Untersuchung ergab, dass die Schadsoftware vorsätzlich implementiert worden war. Die Wiederherstellung der Daten und die Behebung des Schadens kosteten das Unternehmen Millionen.

Was tun?

• Strenge Zugangsbeschränkungen für Administratoren, insbesondere bei Kündigungen
• Robuste Change Control und Release Management-Prozesse um sicherzustellen, dass Änderungen an Systemen und Software kontrolliert, dokumentiert und risikobewusst geplant sowie stabil und zuverlässig implementiert werden
• Deaktivierung von Konten sofort nach dem Austritt eines Mitarbeiters
• Einsatz von Security Information & Event Management («SIEM»)-Systemen, die auffällige Systemveränderungen in Echtzeit überwachen

Insider-Risikomanagement im Fokus: Weniger Vorfälle, aber steigende Kosten

Der Bericht «Cost of Insider Risk 2025 Global Report» des Ponemon Institute zeigt, dass Unternehmen weltweit verstärkt in Insider-Risikomanagement investieren, um Sicherheitsvorfälle zu reduzieren, Kosten zu senken und ihre Reaktionszeiten zu verbessern. Der Anteil des IT-Sicherheitsbudgets für diesen Bereich hat sich von 8,2 % im Jahr 2023 auf 16,5 % im Jahr 2024 verdoppelt. Gleichzeitig verfügen inzwischen 81 % der Unternehmen über ein entsprechendes Programm oder planen dessen Einführung.

Unternehmen, die ein Insider-Risikomanagement implementiert haben, geben an, von Zeit- und Kosteneinsparungen bei der Bewältigung von Vorfällen zu profitieren und gleichzeitig ihre Markenreputation zu stärken. Die durchschnittliche Zeit zur Eindämmung eines Vorfalls ist erstmals gesunken – von 86 Tagen im Jahr 2023 auf 81 Tage. Schnellere Reaktionszeiten bedeuten dabei deutlich geringere Kosten. Auch die Häufigkeit von Insider-Vorfällen nimmt ab. Dennoch steigen die durchschnittlichen jährlichen Kosten, die mittlerweile bei 17,4 Millionen USD liegen. Betriebsunterbrechungen und direkte sowie indirekte Arbeitskosten stellen die bedeutendsten Folgen eines Insider-Vorfalls dar. Trotz wachsender Budgets halten viele Unternehmen die Finanzierung weiterhin für unzureichend, und fast die Hälfte erwartet eine Erhöhung der Budgets bis 2025, mit dem verstärkten Fokus auf präventive Massnahmen.

Nachlässigkeit oder Fehler von Mitarbeitenden führen gesamthaft gesehen zu den höchsten durchschnittlichen jährlichen Kosten für Insider-Vorfälle. Zwar ist die durchschnittliche Anzahl solcher Vorfälle in den letzten Jahren leicht zurückgegangen, doch die Kosten für deren Behebung sind deutlich gestiegen – von 505’113 USD im Jahr 2023 auf 676’517 USD im Jahr 2024.

«Stranger is danger»? Die Ergebnisse des vorjährigen Berichtes («2023 Cost of Insider Risks Global Report») zeigten eine besorgniserregende Zunahme von Insider-Vorfällen und steigende Kosten für deren Bewältigung. Gemäss der damaligen Studie waren Cyber-Budgets falsch priorisiert: 88% der Unternehmen investierten weniger als 10% ihres IT-Sicherheitsbudgets in das Management von Insider-Bedrohungen: 91,8% fokussieren auf externe Bedrohungen – obwohl mehr als die Hälfte der Unternehmen Social Engineering als eine der Hauptursachen für externe Angriffe nannte.

Intelligente Bedrohungserkennung zwischen Sicherheit und Datenschutz

In einer zunehmend digitalen Arbeitswelt wird User and Entity Behavior Analytics (UEBA)  eingesetzt, um mittels KI und maschinellem Lernen auffällige Aktivitäten von Mitarbeitenden und Systemen zu erkennen und False Positives durch kontextbasierte Analyse zu reduzieren. Allerdings kann UEBA auch Bedenken auslösen, da Mitarbeitende das Gefühl ständiger Überwachung haben könnten.

Insider-Bedrohungen nachhaltig eliminieren

Insider-Bedrohungen sind vielseitig – von Datendiebstahl über unbemerkte Dokumentenmitnahmen bis hin zu gezielter Sabotage.

«Culture Eats Technology for Breakfast»

Viele Unternehmen fokussieren auf Technologie, übersehen dabei aber den entscheidenden Faktor Mensch. Letztlich sind es nicht Systeme, sondern Mitarbeitende mit individuellen Motiven und Einflüssen, die unter Druck geraten und möglicherweise einen lebensverändernden Fehler machen. Wer auf isolierte technische Lösungen setzt, zwischenmenschliche Aspekte vernachlässigt oder eine Überwachungsmentalität schafft, fördert eher Misstrauen als Sicherheit. Ein effektives Insider Risk Management erfordert einen ganzheitlichen Ansatz: Eine starke Unternehmenskultur und klare Governance-Strukturen, mit Technologie als Enabler. Nur wenn Mitarbeitende sich als Teil der Lösung sehen, lassen sich Insider-Risiken nachhaltig minimieren.

Autorin: Fabienne Wikler

Fabienne Wikler ist Senior Manager im Risk Consulting Financial Services bei PwC. Sie ist Wirtschaftsprüferin und verfügt über umfassende Erfahrung bei nationalen und internationalen Mandaten, hauptsächlich in der Banken- und Finanzdienstleistungsbranche wie auch im Co-Sourcing interner Revisionen mit grossen Banken und Versicherungen in der Schweiz. Ihre Schwerpunkte liegen in den Bereichen Risikomanagement, insbesondere operationelles Risiko und Insider Risk, interne Kontrollen, Betrugsprävention, agile Prüfung, Geldwäschereibekämpfung, Corporate Governance und interne und externe Wirtschaftsprüfung.

Autorin: Madeleine Rebsamen

Madeleine Rebsamen ist Manager im Risk & Regulatory Team von PwC. Sie ist in Westeuropa seit vielen Jahren in den Bereichen internationale Beratung und Ermittlung tätig und verfügt über fundierte Kenntnisse in der Geldwäschereibekämpfung, im Bereich Compliance sowie in der Untersuchung von Betrugsfällen und Fehlverhalten inklusive E-Discovery und Insider Risk. Mit ihrem Hintergrund im Bankenbereich, als SAP-Beraterin, einem Bachelor in Wirtschaft und Betriebsökonomie sowie einem Master in Economic Crime Investigation der Hochschule Luzern (HSLU) kann sie effizient auf komplexe investigative Herausforderungen reagieren.

Autor: Dr. Darius Meier

Darius Meier ist Ökonom und Ethiker und arbeitet seit Jahren an der Schnittstelle von Wissenschaft, Praxis und Politik. Seine Dissertation, ein gemeinsames Projekt mit der Yale University zu „The Future of Work: Ethical Evaluation of the Change of Human Labor in the Context of Advancing Automation“, wurde mit summa cum laude ausgezeichnet und bei Nomos publiziert. Bei PwC arbeitet er im Bereich Cybersecurity und unterstützt Kunden mit Insider Risk Management, Cyber Threat Intelligence, Bedrohungsanalysen sowie Cyber Audits. Er hat mehrere Artikel über die Chancen und Herausforderungen neuer Technologien sowie über neue Trends im Bereich Cybersecurity veröffentlicht.