Insider Threat

Insider-Bedrohungen entstehen durch Mitarbeitende, Auftragnehmer oder privilegierte Nutzer, die absichtlich (Sabotage, Datendiebstahl) oder unabsichtlich (Fehlkonfiguration, Phishing-Opfer) Sicherheitsvorfälle verursachen; sie sind besonders schwer zu erkennen, da die Täter legitime Zugänge nutzen. Das BSI empfiehlt als Gegenmaßnahmen das Prinzip der minimalen Rechte (Least Privilege), Aufgabentrennung (Separation of Duties), User-Entity Behavior Analytics (UEBA) und ein vertrauliches Meldekanal für verdächtiges Verhalten. In IT-Ausschreibungen für SIEM- und UEBA-Lösungen sind Insider-Threat-Erkennungsszenarien (z.B. massenhafte Downloads, ungewöhnliche Anmeldezeiten) als Testfälle für die Abnahme zu spezifizieren.