Kommentar: : Warum heute jede Cyberbedrohung ein Insider-Angriff ist
Insider-Bedrohungen haben sich grundlegend verändert: Wer Zugang zu digitalen Unternehmensressourcen hat – ob legitim oder durch Kompromittierung – wird zum Insider. Moderne Angriffe tarnen sich als normale Nutzeraktivität. Deshalb wird Verhalten zum wichtigsten Sicherheitsindikator – mit „Negative Trust“ als Speerspitze der Verteidigung.
Das Risiko interner Bedrohungen begleitet Unternehmen seit Jahrzehnten. Doch seine Bedeutung hat sich radikal verändert. Früher galt als Insider, wer physisch im Unternehmen arbeitete. Mit der Verlagerung von Daten, Identitäten und Prozessen in die Cloud existiert dieser klassische Perimeter nicht mehr. Wer Zugang zur digitalen Unternehmensumgebung hat – legitim oder kompromittiert – wird automatisch zum Insider.
Diese Verschiebung wirft eine zentrale Frage auf: Wenn ein Gerät durch Malware und Command-and-Control kompromittiert wird, handelt es sich dann um einen Insider-Angriff? Aus Sicht des Zugriffs lautet die Antwort eindeutig ja, denn der Angreifer erhält die gleichen Berechtigungen wie ein legitimer User.
Warum moderne Angreifer kaum noch erkennbar sind
Hier beginnt die eigentliche Herausforderung. Angreifer nutzen die veränderten Bedingungen äußerst geschickt aus. Sobald sie eine Identität oder ein Endgerät kompromittiert haben – sei es durch Phishing, Malware oder gestohlene Zugangsdaten – übernehmen sie die vollständigen Privilegien eines autorisierten Users. Ab diesem Moment ähneln ihre Aktivitäten den üblichen Zugriffsmustern im Unternehmen.
Je näher sie dabei an kritische Systeme herankommen, desto mehr verschwimmen die Grenzen zwischen legitimen und böswilligen Aktionen. Wer sich tief im Netzwerk eingenistet hat, agiert praktisch wie eine berechtigte Person – im Extremfall sogar wie ein Systemadministrator.
Ein entscheidender Baustein dieses Vorgehens ist das Prinzip „Living off the Land“. Angreifer verwenden ausschließlich legal vorhandene Tools, Prozesse und Zugangsdaten. Dadurch vermeiden sie es, auffällige Software einzuschleusen oder ungewöhnliche Aktivitäten auszulösen. Sie bewegen sich wie jemand, der im Unternehmen im Anzug auftritt, vertraut wirkt und die Routinen anderer Mitarbeitender übernimmt – niemand schöpft Verdacht.
Genau diese Fähigkeit, in der Menge zu verschwinden, macht moderne Angriffe so schwer erkennbar und unterstreicht die Bedeutung verhaltensbasierter Analyse.
Unvorhersehbarkeit als neues Verteidigungsprinzip
Um solche Angreifer aufzuspüren, müssen Unternehmen ihren Fokus verschieben: weg von reinen Identitätskontrollen, hin zu Verhaltensmustern. Abweichungen vom gewohnten User-Verhalten sind oftmals der einzige Hinweis, dass etwas nicht stimmt – unabhängig davon, ob ein böswilliger Insider handelt oder ein kompromittiertes Konto genutzt wird. In beiden Fällen verfolgen die Akteure ähnliche Ziele und Angriffspfade: das Ausspähen wertvoller Assets, das Erreichen sensibler Daten und das Ausweiten ihrer Berechtigungen.
Daher braucht es Netzwerke, die Warnsignale aktiv erzeugen. Täuschungstechniken und versteckte Fallstricke decken ungewöhnliche Aktivitäten frühzeitig auf. Doch Täuschung allein reicht nicht aus. Ein robustes Sicherheitsfundament setzt auf Zero Trust: Vertrauen darf nie stillschweigend gelten, sondern muss kontinuierlich überprüft werden – durch starke Authentifizierung, abgesicherte Geräte und kontinuierliches Monitoring.
Sicherheitsverantwortliche sollten dieses Konzept noch um ein weiteres Prinzip erweitern – Stichwort „Negative Trust“. Gemeint ist gezielte Unvorhersehbarkeit. Viele Unternehmensprozesse sind zu standardisiert, was Angreifern die Orientierung erleichtert. Negative Trust fügt Rauschen und Variabilität hinzu und erhöht damit die Entropie der Umgebung. Dies erschwert Angreifern die Navigation, während Verteidiger Anomalien schneller erkennen können.
Ein Vergleich macht es greifbar: Verschlüsselte Daten sind unattraktiv, weil sie zufällig wirken. Klartext hingegen ist vorhersehbar – und damit angreifbar. Gleiches gilt für Unternehmensnetzwerke: Je weniger vorhersehbar eine Umgebung ist, desto schwerer lässt sie sich kompromittieren.
Verhalten wird zum entscheidenden Vertrauenssignal
Angreifer hacken sich heute nicht mehr in Systeme – sie loggen sich ein. Genau deshalb ähneln fast alle modernen Angriffe Insider-Angriffen, unabhängig davon, ob die handelnde Identität böswillig oder kompromittiert ist. Jede Cyberbedrohung sollte daher als Insider-Risiko betrachtet werden.
Die Zukunft der Verteidigung liegt darin, Angriffspfade systematisch zu minimieren, Vertrauen durch Zero Trust dynamisch abzusichern und mit Negative Trust gezielt Unvorhersehbarkeit zu schaffen. Nur so lässt sich böswilliges Verhalten frühzeitig erkennen.
Das ist umso wichtiger, weil Angreifer zunehmend bereit sind, reale Mitarbeiter zu bestechen, um Daten oder Authentifizierungs-Cookies zu erlangen. In einer Welt ohne Perimeter bleibt das Verhalten eines Users das einzige wirklich belastbare Vertrauenssignal – und damit der Schlüssel zu moderner Abwehrstrategie.
Tony Fergusson, CISO in Residence bei Zscaler.
Newsletter Abonnieren
Abonnieren Sie jetzt IT-SICHERHEIT News und erhalten Sie alle 14 Tage aktuelle News, Fachbeiträge, exklusive Einladungen zu kostenlosen Webinaren und hilfreiche Downloads.
