Insider Threats — Cyberbedrohungen, die von innerhalb des Unternehmens ausgehen — sind für Schweizer KMU schwerer zu erkennen und oft folgenschwerer als externe Angriffe. Laut dem Verizon Data Breach Investigations Report 2024 beinhalten 68 Prozent aller Datenverletzungen ein menschliches Element — darunter auch Insider-Vorfälle. Der durchschnittliche Schaden eines Insider-Incidents liegt laut dem Ponemon Institute 2024 bei USD 701’500 — und die Entdeckungszeit beträgt im Durchschnitt 85 Tage. Für KMU mit engem Budget und flachen Hierarchien ist das eine existenzbedrohende Kombination: langer Schadenzeitraum, hohes Schadenspotenzial, geringe Erkennungskapazität.

Was sind Insider Threats?

Ein Insider Threat bezeichnet jede Sicherheitsbedrohung, die von einer Person ausgeht, die legitimen Zugang zu Systemen, Daten oder physischen Räumlichkeiten Ihres Unternehmens hat. Das umfasst:

  • Aktuelle Mitarbeitende (Festangestellte, Teilzeitkräfte, Auszubildende)
  • Ehemalige Mitarbeitende (deren Zugänge nicht rechtzeitig gesperrt wurden)
  • Externe Dienstleister (IT-Support, Reinigungspersonal, Lieferanten mit Systemzugang)
  • Geschäftspartner und Lieferanten mit Zugriff auf Ihre Systeme
  • Auftragnehmer und Freelancer mit temporärem Zugang

Entscheidend ist: Insider haben bereits überwunden, was externe Angreifer oft nicht überwinden können — die Perimeter-Sicherheit. Firewall, VPN und Zugangskontrolle schützen nicht vor jemandem, der bereits drin ist.

Die drei Typen von Insider Threats

Die Unterscheidung zwischen den drei Typen ist entscheidend — denn jeder erfordert andere Präventions- und Erkennungsmassnahmen.

Typ 1: Der fahrlässige Insider (Negligent Insider)

Der bei weitem häufigste Typ — und der, über den am wenigsten gesprochen wird. Fahrlässige Insider begehen keine absichtlich schädlichen Handlungen. Sie machen Fehler, die zu Sicherheitsvorfällen führen:

  • Ein Mitarbeitender klickt auf eine Phishing-Mail und gibt seine Zugangsdaten auf einer gefälschten Website ein
  • Eine Kollegin sendet ein vertrauliches Kundendossier an die falsche E-Mail-Adresse
  • Ein externer Berater konfiguriert einen Cloud-Speicher als öffentlich zugänglich, anstatt nur für das Projektteam
  • Ein Mitarbeitender im Homeoffice nutzt das unsichere Heimnetzwerk für vertrauliche Videokonferenzen
  • Der IT-Administrator verwendet dasselbe Passwort für mehrere kritische Systeme

Häufigkeit: Laut Ponemon Institute 2024 sind 56 Prozent aller Insider-Vorfälle auf fahrlässiges Verhalten zurückzuführen — nicht auf böswillige Absicht.

Schadenpotenzial: Mittel bis hoch, je nach Art des Fehlers. Die fahrlässige Freigabe von Kundendaten kann zu einer meldepflichtigen Datenverletzung nach nDSG führen.

Erkennbarkeit: Schwer, weil das Verhalten nicht von normalem Arbeitsverhalten zu unterscheiden ist.

Gegenmassnahmen: Awareness Training, klare Prozesse, technische Sicherheitsnets (DLP, automatische Klassifizierung).

Typ 2: Der kompromittierte Insider (Compromised Insider)

Beim kompromittierten Insider handelt die Person selbst nicht böswillig — aber ein externer Angreifer hat die Kontrolle über ihren Account übernommen. Dies ist die Schnittmenge zwischen Insider Threats und Social Engineering.

Wie Accounts kompromittiert werden:

  • Credential Phishing: Mitarbeitende geben Zugangsdaten auf gefälschten Login-Seiten ein
  • Credential Stuffing: Passwörter aus anderen Datenlecks werden auf Firmensysteme angewendet
  • MFA-Bypass: Angreifer umgehen Mehrfaktor-Authentifizierung durch MFA-Fatigue oder SIM-Swapping
  • Malware auf Endgeräten: Keylogger oder Trojaner übertragen Zugangsdaten direkt an Angreifer
  • Pretexting: Ein überzeugender Anruf bringt den Mitarbeitenden dazu, den Angreifer «einzulassen»

Ein kompromittierter Account ist für Angreifer besonders wertvoll, weil er legitim erscheint. Systeme, die anomales Verhalten erkennen sollen, müssen subtile Abweichungen vom normalen Nutzungsmuster finden — ohne legitime Nutzer zu behindern.

Häufigkeit: Laut Verizon DBIR 2024 sind kompromittierte Credentials an rund 31 Prozent aller Datenverletzungen beteiligt (über die letzten 10 Jahre); als initialer Angriffsvektor stehen gestohlene Zugangsdaten mit 22 Prozent an erster Stelle.

Schadenpotenzial: Sehr hoch — ein kompromittierter Admin-Account kann zum vollständigen Datenverlust führen.

Erkennbarkeit: Schwer, da der Account legitim ist. Verhaltensanalyse und Anomalie-Erkennung sind notwendig.

Gegenmassnahmen: MFA, Privileged Access Management, User Behavior Analytics, Phishing-Training.

Typ 3: Der böswillige Insider (Malicious Insider)

Der böswillige Insider handelt absichtlich zum Schaden des Unternehmens. Motivationen sind vielfältig:

Finanziell motiviert: Ein Mitarbeitender verkauft Kundendaten an Konkurrenten oder Kriminelle. Oder: Er stiehlt geistiges Eigentum, um ein Konkurrenzunternehmen zu gründen.

Rachegetrieben: Nach Kündigung, Gehaltskürzung oder Beförderungsversagung sabotiert ein frustrierter Mitarbeitender Systeme oder exfiltriert Daten als «Rache».

Erpresst oder bestechlich: Externe Kriminelle erpressen oder bestechen Mitarbeitende, um Zugang oder Informationen zu erhalten. Dies ist in organisierten Kriminellen-Kreisen eine bekannte Methode, um Perimeter-Sicherheit zu umgehen.

Ideologisch motiviert: Aktivisten oder Whistleblower, die bewusst Informationen veröffentlichen — obwohl diese Kategorie rechtlich und ethisch komplexer zu bewerten ist.

Fahrlässig eskaliert: Was als unbedachte Handlung begann, wird zum Insider Threat, wenn der Mitarbeitende den Vorfall zu vertuschen versucht.

Häufigkeit: Nur 26 Prozent aller Insider-Vorfälle sind auf böswillige Absicht zurückzuführen (Ponemon 2024) — aber diese verursachen die höchsten Schäden.

Schadenpotenzial: Existenzbedrohend — insbesondere bei Diebstahl von Kundendaten, geistigem Eigentum oder Sabotage kritischer Systeme.

Erkennbarkeit: Erfordert systematisches Monitoring und verhaltensbasierte Anomalie-Erkennung.

Aktuelle Zahlen: Insider Threats in Zahlen

  • Ponemon Institute Cost of Insider Threats 2024: Die durchschnittlichen Gesamtkosten eines Insider-Incidents betragen USD 701’500 — bei böswilligen Insidern USD 997’200.
  • Verizon DBIR 2024: 68 Prozent aller Datenverletzungen beinhalten ein menschliches Element (Human Element), darunter auch Insider-Vorfälle.
  • NCSC Jahresbericht 2024: Das NCSC verzeichnet einen Anstieg von Insider-Threat-Meldungen um 28 Prozent gegenüber dem Vorjahr — Dunkelziffer deutlich höher.
  • IBM Cost of a Data Breach 2024: Insider-verursachte Vorfälle haben eine um durchschnittlich 18 Prozent längere Erkennungszeit als externe Angriffe (85 vs. 72 Tage).
  • gfs-zürich KMU-Sicherheitsstudie 2024: Nur 22 Prozent der Schweizer KMU haben spezifische Massnahmen gegen Insider Threats implementiert — obwohl 41 Prozent angaben, mindestens einen Insider-Vorfall in den letzten drei Jahren erlebt zu haben.

Warum KMU besonders exponiert sind

Grosse Unternehmen haben dedizierte Security-Operations-Center, User Behavior Analytics und Privileged Access Management — Technologien, die Insider-Aktivitäten überwachen und erkennen. KMU haben in der Regel keines davon. Gleichzeitig haben Insider in KMU oft breiten Zugriff auf viele Systeme — weil kleine Teams «alles machen» müssen und Least-Privilege-Konzepte als bürokratisch wahrgenommen werden.

Strukturelle KMU-Risiken:

Breite Zugriffsrechte: In einem 20-Personen-Betrieb hat oft jede Person Zugriff auf alle Systeme — «weil es einfacher ist». Dies maximiert den potenziellen Schaden bei jedem Insider-Vorfall.

Fehlende Offboarding-Prozesse: Ex-Mitarbeitende behalten häufig aktive Accounts, E-Mail-Zugänge oder VPN-Credentials — weil niemand zuständig ist, diese zu deaktivieren. 58 Prozent der befragten KMU in einer Schweizer Studie gaben an, dass Ex-Mitarbeitende mindestens einen Monat nach Austritt noch Systemzugang hatten.

Keine Aktivitätsprotokolle: Viele KMU haben keine Logging-Infrastruktur. Wenn ein Vorfall entdeckt wird, gibt es keine forensischen Daten, um nachzuvollziehen, was geschehen ist.

Vertrauenskultur: Enge Teams kennen sich persönlich — was gut ist für die Zusammenarbeit, aber schlecht für Security-Kontrollen. «Den Hans würde ich nie verdächtigen» ist eine gefährliche Haltung.

Kein Security-Verantwortlicher: In vielen KMU ist niemand explizit für Informationssicherheit zuständig. Insider-Risiken werden weder bewertet noch adressiert.

“Insider Threats sind das unbehaglichste Thema in der Cybersecurity, weil es das Vertrauen unter Kollegen berührt. Aber genau dieses Unbehagen führt dazu, dass KMU das Thema meiden — und damit eine der grössten Schwachstellen offen lassen. Es geht nicht darum, Mitarbeitenden zu misstrauen, sondern darum, Strukturen zu schaffen, die schützen, wenn etwas schief geht.”

— Lukas Zimmermann, CISO-Berater für Schweizer KMU, Zürich

Erkennung von Insider Threats: Technische und verhaltensbasierte Indikatoren

Technische Warnsignale (Indicators of Compromise)

  • Ungewöhnliche Zugriffszeiten: Ein Mitarbeitender greift um 3 Uhr nachts auf Systeme zu, die er tagsüber selten nutzt
  • Massendownloads: Plötzlich werden grosse Datenmengen heruntergeladen oder auf externe Laufwerke kopiert
  • Zugriff auf untypische Ressourcen: Jemand aus der Marketing-Abteilung greift auf Finanz-Datenbanken zu
  • Deaktivierung von Sicherheitstools: Versuche, Antivirus oder Monitoring-Software zu deaktivieren
  • Ungewöhnliche E-Mail-Aktivität: Versenden von Daten an externe Adressen, insbesondere privat genutzten Mailboxen
  • VPN-Anomalien: Login von ungewöhnlichen Standorten oder zu ungewöhnlichen Zeiten
  • Mehrfache fehlgeschlagene Zugriffsversuche: Versuche, auf Ressourcen ausserhalb der normalen Berechtigungen zuzugreifen

Verhaltensbasierte Warnsignale (Behavioral Indicators)

  • Ausdruck von Unzufriedenheit: Häufige Klagen über die Firma, Kollegen oder Management — insbesondere nach negativen HR-Ereignissen
  • Isolation: Rückzug aus dem Team, Vermeidung sozialer Kontakte im Büro
  • Ankündigung von Weggang: Mitarbeitende, die einen Jobwechsel ankündigen oder signalisieren, erhöhen kurz vor dem Ausstand das Exfiltrationsrisiko
  • Ungewöhnliches Interesse an Informationen ausserhalb des Zuständigkeitsbereichs: «Warum interessiert sich unser Vertriebsmitarbeiter plötzlich für unsere Produktionsrezepturen?»
  • Mitnahme von Ausrüstung oder Unterlagen: Übermässiges Mitnehmen von Firmengeräten, Drucken von Dokumenten
  • Reaktion auf Kontrollen: Starke, ungewöhnliche Reaktion auf neue Monitoring-Massnahmen oder Sicherheitsaudits

Prävention: Technische Massnahmen

Least Privilege Principle

Das Prinzip der minimalen Berechtigung (Least Privilege) ist die wichtigste Einzelmassnahme gegen Insider Threats: Jede Person erhält nur den Zugang, den sie für ihre Aufgaben benötigt — nicht mehr. Implementierung:

  • Rollenbasierte Zugriffssteuerung (RBAC): Zugriffsrechte werden Rollen, nicht Individuen zugewiesen. Jede Rolle hat minimalen, definierten Zugriff.
  • Zeitlich begrenzte Zugänge: Externe Dienstleister erhalten Zugänge mit automatischem Ablaufdatum.
  • Admin-Privilege-Management: Administratorrechte werden nur für spezifische Aufgaben vergeben und danach entzogen — niemand arbeitet dauerhaft mit Admin-Rechten.
  • Zugriffsprüfung: Quartalsweise Überprüfung, ob alle Zugänge noch notwendig und aktuell sind.

Data Loss Prevention (DLP)

DLP-Systeme erkennen und verhindern, dass vertrauliche Daten das Unternehmen unkontrolliert verlassen:

  • Erkennung von Kreditkartennummern, AHV-Nummern, Passwörtern in ausgehenden E-Mails
  • Blockierung von Uploads sensibler Dateien auf nicht genehmigte Cloud-Dienste
  • Warnung bei Massendownloads auf externe Datenträger

Privileged Access Management (PAM)

PAM-Systeme steuern und überwachen den Zugriff auf privilegierte Accounts (Administratoren, Datenbankzugänge, Root-Accounts):

  • Alle privilegierten Aktionen werden protokolliert
  • Passwörter werden automatisch rotiert
  • Zugriff wird genehmigungspflichtig für kritische Systeme

User and Entity Behavior Analytics (UEBA)

UEBA-Systeme analysieren das normale Verhaltensmuster jedes Nutzers und schlagen Alarm bei Abweichungen. Moderne Systeme nutzen KI, um Baseline-Verhalten zu lernen und Anomalien zu erkennen — ohne legitime Arbeit zu behindern.

Logging und Monitoring

Was nicht protokolliert wird, kann nicht untersucht werden. Minimale Logging-Anforderungen für KMU:

  • Alle Logins (erfolgreich und fehlgeschlagen)
  • Zugriffe auf sensible Dateien und Datenbanken
  • Administratoraktionen
  • E-Mail-Aktivitäten (Metadaten, nicht Inhalte)
  • USB-Verbindungen an Firmengeräten
  • VPN-Logs

Netzwerksegmentierung

Trennen Sie Netze so, dass ein kompromittierter Account in einer Abteilung nicht automatisch Zugang zu allen anderen Systemen gibt. Ein Angreifer mit einem Buchhalter-Account sollte keine Produktionssysteme oder Entwicklungsumgebungen erreichen können.

Prävention: Organisatorische Massnahmen

Klare Offboarding-Prozesse

Der Austritt eines Mitarbeitenden muss eine Sicherheitscheckliste auslösen:

  • Alle Systemzugänge deaktiviert (E-Mail, VPN, Cloud-Dienste, ERP)
  • Firmeneigene Geräte zurückgegeben
  • Zugang zu externen Dienstleistungen (GitHub, Slack, Dropbox) widerrufen
  • Firmentelefon-Nummer übertragen oder gesperrt
  • IT-Abteilung hat Bestätigung des vollständigen Offboardings ausgestellt

Kritisch: Diese Schritte müssen sofort am letzten Arbeitstag erfolgen — nicht «demnächst».

Pre-Employment-Screening

Für Positionen mit sensiblem Datenzugang lohnt sich ein sorgfältiges Screening:

  • Referenzprüfung bei früheren Arbeitgebern
  • Überprüfung des Lebenslaufs auf Lücken
  • Betreibungsauszug für Positionen mit Finanzzugang
  • In sensitiven Branchen: Personensicherheitsprüfung (PSP) durch Behörden

Sicherheitskultur und «Speak Up»-Programm

Mitarbeitende, die verdächtiges Verhalten von Kollegen bemerken, müssen einen sicheren Meldekanal haben. Ein anonymes Meldewesen (Whistleblower-Hotline) senkt die Hemmung, verdächtiges Verhalten zu melden — auch gegenüber Vorgesetzten.

Gleichzeitig muss eine Kultur geschaffen werden, in der Meldungen ernst genommen und vertraulich behandelt werden. Mitarbeitende, die eine falsch-positive Meldung machen, dürfen keine Konsequenzen fürchten.

Job Rotation und Doppelkontrolle

In Bereichen mit hohem Missbrauchspotenzial (Buchhaltung, IT-Admin, HR):

  • Regelmässige Rotation von Aufgaben verhindert, dass eine Person vollständige Kontrolle über kritische Prozesse entwickelt
  • Vier-Augen-Prinzip für kritische Transaktionen (Überweisungen ab einem definierten Betrag, Admin-Änderungen)

Exit-Interviews und Stimmungsbarometer

Regelmässige anonyme Mitarbeitenden-Befragungen und sorgfältige Exit-Interviews können frühzeitig Unzufriedenheit aufzeigen, bevor sie zum Sicherheitsrisiko wird.

“In meiner Erfahrung kündigt ein böswilliger Insider selten überraschend. Im Nachhinein zeigen sich fast immer Warnsignale: zunehmende Unzufriedenheit, Isolation, merkwürdige Anfragen. Das Problem ist, dass niemand diese Signale als Sicherheitsrelevant eingeordnet hat. Insider Threat Management ist auch ein HR-Thema.”

— Dr. Nicole Brunner, Forensic Investigator, Schweizer Bundespolizei (ehem.)

Insider Threats im Kontext von Social Engineering

Insider Threats überschneiden sich auf wichtige Weise mit Social Engineering: Oft beginnt ein Insider Threat als externer Angriff. Ein Angreifer sendet eine Phishing-Mail, kompromittiert Zugangsdaten und handelt dann im Namen des Insiders — ohne dass dieser es merkt. Technisch ist es dann ein Insider-Vorfall (der Angreifer nutzt interne Berechtigungen), aber der Insider ist Opfer, nicht Täter.

Gleichzeitig können Angreifer gezielt Mitarbeitende als Insider rekrutieren: durch Bestechung, Erpressung oder ideologische Überzeugung. Dies ist in der Finanzbranche und bei Unternehmen mit wertvollen Geschäftsgeheimnissen ein bekanntes Angriffsmuster.

Lesen Sie mehr über CEO-Fraud und Spear Phishing — beides Angriffe, die häufig Insider-Elemente einschliessen.

Red Teaming testet Insider-Angriffspfade

Ein professionelles Red-Team-Assessment umfasst immer die Simulation von Insider-Szenarien — weil sie zu den kritischsten und am schwersten zu erkennenden Angriffsvektoren gehören.

Szenario: Kompromittierter Account Das Red Team erhält ein Standard-Mitarbeitendenkonto (z.B. durch simulierten Phishing-Angriff) und versucht, von diesem Startpunkt aus horizontale und vertikale Privilegienerweiterung zu betreiben. Wie weit kommt ein Angreifer mit einem normalen Benutzeraccount? Kann er auf Kundendaten zugreifen? Kann er Admin-Rechte erlangen?

Szenario: Böswilliger Insider Das Red Team agiert als angenommener böswilliger Mitarbeitender — mit den typischen Berechtigungen einer bestimmten Rolle — und versucht, Daten zu exfiltrieren, Backups zu sabotieren oder Zugänge zu Systemen zu eskalieren. Werden die Aktivitäten erkannt? Wie schnell?

Szenario: Ex-Mitarbeitender mit nicht gesperrtem Zugang Das Red Team überprüft, ob Zugänge ehemaliger Mitarbeitender tatsächlich gesperrt wurden. In vielen Unternehmen finden Red Teams aktive VPN-Zugänge, Cloud-Accounts oder E-Mail-Postfächer von Personen, die das Unternehmen seit Monaten verlassen haben.

Die Ergebnisse dieser Tests geben Antworten auf die kritische Frage: Was kann ein Angreifer mit Insider-Zugang in Ihrem Netzwerk anrichten — und wie lange, bevor er entdeckt wird?

Den Unterschied zwischen dieser Methodik und einem klassischen Penetrationstest erklärt unser Artikel Red Teaming vs. Penetrationstest. Mehr zur Grundlage: Was ist Red Teaming?

Rechtliche Aspekte: Monitoring, Datenschutz und nDSG

Das Monitoring von Mitarbeitenden ist in der Schweiz rechtlich komplex. Der Arbeitgeber hat ein berechtigtes Interesse an der Überwachung von Firmensystemen — aber dieses Interesse kollidiert mit dem Persönlichkeitsschutz der Mitarbeitenden.

Grundsätze:

  • Transparenz: Mitarbeitende müssen über das Monitoring informiert werden (Arbeitsvertrag, Datenschutzerklärung)
  • Verhältnismässigkeit: Das Monitoring muss dem Schutzzweck angemessen sein — vollständige inhaltliche Überwachung aller privaten Kommunikation ist unzulässig
  • Zweckbindung: Erhobene Daten dürfen nur zum erklärten Zweck verwendet werden
  • Mitarbeitendenbeteiligung: Bei Personalregistern mit Risikobewertungen bestehen Auskunftsrechte

Unsere nDSG-Checkliste für KMU enthält einen Abschnitt zu zulässigen Monitoring-Massnahmen im Rahmen des Insider-Threat-Managements.

Praxis-Empfehlung: Holen Sie sich rechtliche Beratung, bevor Sie tiefgreifende Monitoring-Massnahmen implementieren. Eine klare, mit einem Anwalt erarbeitete Richtlinie schützt sowohl das Unternehmen als auch die Mitarbeitenden.

Insider Threat Programm: Der Stufenplan für KMU

Für KMU ohne dediziertes Security-Team empfehlen wir einen pragmatischen Stufenansatz:

Stufe 1 — Grundlagen (Monat 1-3):

  • Zugriffsrechte aller Mitarbeitenden dokumentieren und bereinigen
  • Offboarding-Checkliste einführen und testen
  • Logging auf kritischen Systemen aktivieren (E-Mail, Cloud-Speicher, ERP)
  • Mitarbeitende für Insider-Risiken sensibilisieren (ohne Misstrauen zu schüren)

Stufe 2 — Prozesse (Monat 4-6):

  • Least-Privilege-Konzept umsetzen (RBAC)
  • Vier-Augen-Prinzip für kritische Transaktionen einführen
  • Meldewesen für verdächtiges Verhalten einrichten
  • Pre-Employment-Screening-Prozess formalisieren

Stufe 3 — Technologie (Monat 7-12):

  • DLP-Lösung für Datenexfiltrations-Prävention implementieren
  • SIEM oder zumindest zentrales Logging für Anomalie-Erkennung
  • PAM für privilegierte Accounts
  • Netzwerksegmentierung überprüfen und verbessern

Stufe 4 — Validierung:

  • Red-Team-Assessment mit Insider-Szenarien — zeigt, ob die implementierten Massnahmen funktionieren
  • Cybersecurity-Checkliste als jährlicher Review-Rahmen

Fazit

Insider Threats sind die am meisten unterschätzte Cyberbedrohung für Schweizer KMU. Die Kombination aus breiten Zugriffsrechten, fehlenden Monitoring-Kapazitäten und der Vertrauenskultur kleiner Teams schafft ein ideales Umfeld für fahrlässige Fehler, kompromittierte Accounts und — seltener, aber schwerwiegend — böswillige Insideraktivitäten.

Die gute Nachricht: Die wichtigsten Gegenmassnahmen sind nicht teuer, sondern strukturell. Least Privilege, sorgfältige Offboarding-Prozesse und klare Logging-Praktiken senken das Risiko erheblich, ohne grossen Budgetaufwand. Ergänzt durch Security Awareness Training — unserem Vergleich der Anbieter in der Schweiz — und ein offenes Meldewesen entsteht ein robustes Fundament.

Ob dieses Fundament in der Praxis trägt, zeigt erst ein realer Test. Ein Red-Team-Assessment, das Insider-Szenarien simuliert, gibt Ihnen die ehrliche Antwort auf die Frage: Wie weit käme ein Angreifer mit einem kompromittierten Mitarbeitenden-Account in Ihrem Netzwerk?

Kennen Sie die Antwort auf diese Frage? Wenn nicht, ist es Zeit, sie herauszufinden: Red Teaming testet Insider-Angriffspfade in Ihrem KMU — realistisch, kontrolliert und mit konkreten Empfehlungen zur Härtung Ihrer internen Sicherheitsarchitektur.

Quellen

  1. Verizon DBIR 2024 – 68% Human Element; 22% Credential Abuse als initialer Vektor; 31% Credential-Beteiligung über 10 Jahre
  2. Ponemon Institute Cost of Insider Threats 2023 – USD 701’500 durchschnittlicher Insider-Schaden; 56% fahrlässig, 26% böswillig