Warum Cyberangriffe heute fast immer Insider-Angriffe sind

Von Tony Fergusson, CISO in Residence bei Zscaler

Insider-Bedrohungen sind kein neues Phänomen – doch ihre Dimension hat sich grundlegend verändert.

Früher verstand man unter einem „Insider“ jemanden, der physisch im Unternehmen anwesend war: Mitarbeitende im Büro oder externe Fachkräfte vor Ort. Heute hat sich dieses Bild durch die Cloud radikal gewandelt: Mitarbeitende arbeiten von überall, Daten liegen verteilt in verschiedenen Cloud-Umgebungen, und ein klarer Netzwerkperimeter existiert nicht mehr. Wer Zugang zu diesen virtuellen Unternehmensressourcen hat, ist automatisch ein Insider – ganz gleich, wo er sich befindet.

Das wirft eine entscheidende Frage auf: Wenn ein Gerät durch Malware übernommen wird und der Angreifer dieselben Rechte wie ein legitimer User hat, ist das dann ein Insider-Angriff? Aus Sicht des Zugriffs eindeutig ja.

Angreifer verschwimmen mit legitimen Nutzern

Hier liegt die größte Herausforderung. Moderne Angreifer nutzen die veränderte IT-Landschaft geschickt aus. Sobald sie eine Identität oder ein Gerät kompromittiert haben – durch Phishing, Malware oder gestohlene Anmeldedaten – übernehmen sie die Berechtigungen eines echten Users. Ihre Bewegungen gleichen nun regulären Zugriffsmustern. Je näher sie an kritische Systeme und sensible Daten kommen, desto schwerer wird es, sie von legitimen Aktivitäten zu unterscheiden. Im Extremfall agiert ein Angreifer wie ein Systemadministrator.

Ein zentraler Bestandteil ihrer Methode ist „Living off the Land“ (LOTL). Sie verwenden ausschließlich vorhandene Tools, Anmeldedaten und Prozesse – und vermeiden verdächtige Software oder auffällige Aktionen. Wie ein unauffälliger Kollege, der selbstbewusst durchs Büro geht und die Routinen anderer übernimmt, bleiben sie lange unerkannt. Diese Fähigkeit, unauffällig zu bleiben, macht verhaltensbasierte Analysen und kontinuierliches Monitoring unverzichtbar.

Unvorhersehbarkeit als Schutzstrategie

Um solche Angreifer zu erkennen, müssen Unternehmen ihr Augenmerk stärker auf das Verhalten der Nutzer legen, nicht nur auf deren Identität. Ungewöhnliche Aktivitäten – egal ob durch böswillige Mitarbeiter oder kompromittierte Konten – sind ein Alarmsignal. Effektive Abwehr bedeutet, gezielt Fallstricke im Netzwerk einzubauen, die ungewöhnliche Aktivitäten sichtbar machen, bevor Angreifer ihr Ziel erreichen.

Ein solides Sicherheitsfundament basiert auf dem Zero Trust-Prinzip: Vertrauen darf niemals statisch oder implizit sein, sondern muss kontinuierlich überprüft werden. Starke Authentifizierung, abgesicherte Geräte und permanentes Monitoring erschweren Angreifern den Zugriff erheblich. Ein Schritt weiter geht das Konzept des Negative Trust. Es erzeugt gezielt Unvorhersehbarkeit und kontrollierte Täuschung, um Angreifer vom eigentlichen Ziel abzulenken. Standardisierte Prozesse machen Systeme vorhersehbar – perfekt für Eindringlinge. Variabilität und Störsignale erhöhen die „Entropie“ der Umgebung, erschweren die Orientierung der Angreifer und machen ihre Aktivitäten leichter erkennbar.

Verhalten ist das neue Vertrauenssignal

Heute loggen sich Angreifer ein und bewegen sich völlig sichtbar im System. Ihre Angriffe gleichen daher fast immer Insider-Bedrohungen – egal, ob die Identität echt oder kompromittiert ist. Deshalb gilt: Jede Bedrohung sollte als Insider-Bedrohung betrachtet werden. Die Verteidigung der Zukunft reduziert Angriffspfade durch Zero Trust und steigert die Entdeckungschancen durch Negative Trust. So können Unternehmen bösartiges Verhalten frühzeitig erkennen – insbesondere, da Angreifer zunehmend versuchen, Mitarbeitende zu manipulieren oder Authentifizierungs-Cookies abzugreifen. In einer Welt ohne klare Perimetergrenzen wird das Verhalten der User zum verlässlichsten Vertrauenssignal.