Ein Forschungsleiter eines Schweizer Pharma-Konzerns betritt an einem Sonntagabend ein Labor, für das er formal berechtigt ist. Der Zutritt liegt jedoch ausserhalb seines üblichen Musters, und es gibt keinen erkennbaren Projektanlass. Das Zutrittssystem protokolliert den Vorgang, parallel registriert das SOC einen ungewöhnlich grossen Download aus einem klassifizierten Forschungsdatenraum. Jedes Signal für sich lässt sich erklären, in der Zusammenschau ergibt sich ein prüfungswürdiges Frühindikator-Bild. Genau um diese Konvergenz geht es in Teil 3: das Zusammenspiel von Physical Security und Compliance im Insider-Threat-Programm, sobald HR und Legal, wie in Teil 2 dargestellt, den Rechtskorridor geklärt haben.
📑 Inhaltsübersicht
Physischer Zutritt als Frühindikator · Schutz von Forschung, Rechenzentren und Leitwarten · fedpol-Schnittstelle und Personenschutz · Regulatorische Mehrfachexposition · Audit-Schnittstellen und Berichtspflichten · Konvergenz physischer und digitaler Signale · Häufig gestellte Fragen
Physischer Zutritt als Frühindikator des Insider-Threat-Programms
Teil 1 dieser Serie hat das Mandat im Verwaltungsrat verortet, Teil 2 den arbeits- und datenschutzrechtlichen Rahmen für Detection präzisiert. Teil 3 nimmt jene Funktion in den Fokus, die in Schweizer Konzernen häufig organisatorisch getrennt von Cyber geführt wird und in technisch geprägten Insider-Threat-Diskussionen dennoch zentral ist: Physical Security. In KRITIS-nahen Umgebungen ist sie eine besonders ergiebige Quelle für Frühindikatoren, weil sie Verhalten sichtbar macht, das in IT-Logfiles nicht erscheint.
Zutrittsmuster bilden den Normalbetrieb ab. Relevanz entsteht in den Abweichungen: Zutritt zu Randzeiten ausserhalb eines etablierten Schicht- oder Projektmusters, wiederholte Besuche in Zonen, die für eine Rolle atypisch sind, oder Tailgating an Schleusen, also Eintritt ohne eigene Badge-Nutzung. Der CISA-Leitfaden zu Managing Insider Threats behandelt solche physischen Indikatoren ausdrücklich als Bestandteil eines mehrdisziplinären Ansatzes und nicht als reine Facility-Aufgabe (CISA, Managing Insider Threats).
Reisesicherheit ist eine weitere, häufig unterschätzte Ebene. Mitarbeitende in sensiblen Forschungs- oder Operations-Rollen können Ziel von Anwerbungsversuchen, Erpressung oder Geräte-Manipulation werden. Ein wirksames Programm verknüpft deshalb Travel-Risk-Prozesse (Freigaben, Loaner-Devices, Rückkehr-Briefings) mit Detection- und Schutzmassnahmen, ohne daraus eine generelle Verhaltenskontrolle abzuleiten. Der wiederkehrende Schweizer Prüfstein bleibt die Verhältnismässigkeit, wie in Teil 2 entlang ArGV3 Art. 26 hergeleitet.
Zutrittssysteme, Schleusen und Leitwarten liefern Signale, die digitale Telemetrie in Insider-Fällen oft erst einordnen lassen
Warum Physical Security in der Schweiz strategisch aufgewertet werden muss
Heads of Physical Security berichten in vielen Schweizer Konzernen weder an den CISO noch an den General Counsel, sondern an das Facility Management oder eine Corporate-Security-Linie mit bewusst diskreter Rolle. Für ein wirksames Insider-Threat-Programm ist diese Einordnung häufig zu eng. Sobald Zutrittsdaten und Besuchermanagement Teil von Detection- und Response-Use-Cases werden, rückt Physical Security näher an Cyber, Compliance und HR. Das ist eine Chance, verlangt aber saubere Regeln zu Datenklassifikation, Privacy-by-Design, Eskalationspfaden und Dokumentation.
Schutz von Forschungseinrichtungen, Rechenzentren und Leitwarten
Nicht jeder Standort verlangt dieselbe Schutzdichte. Ein belastbares Programm differenziert nach Schutzbedarf, Betriebsmodell und Schadenspotenzial. In KRITIS-nahen Branchen lassen sich dabei drei Standortklassen identifizieren, die regelmässig besondere Aufmerksamkeit verlangen.
Forschungseinrichtungen und Labore
Pharma-, Life-Science- und Industrieforschung zählen in der Schweiz zu den wertvollsten Zielräumen für Spionage und unerlaubte Datenabflüsse. Der Schaden aus dem Verlust von Forschungsdaten ist häufig strategisch und lässt sich nachträglich kaum kompensieren. Physical Security adressiert hier nicht nur den Zutritt, sondern auch Besucherregeln, Material- und Geräteschleusen, den Umgang mit Datenträgern sowie die Absicherung von Mess- und Labor-IT, die selten wie klassische Office-IT betrieben wird. Die Verzahnung mit der digitalen Detection-Schicht erfolgt über klassifizierte Datenräume, DLP-Use-Cases und Signale aus der Identity-Threat-Detection. Die Compliance-Achse sichert dabei die zulässige Eingriffstiefe ab.
Rechenzentren und Co-Location-Flächen
Schweizer Finanzinstitute und international tätige Konzerne betreiben meist hybride Rechenzentrumslandschaften mit eigenen und gemieteten Flächen. Insider-Risiken entstehen hier oft an der Schnittstelle zu Dienstleistern mit physischem Zutritt, etwa Wartungspersonal, Hardware-Technikern oder externen Spezialisten. Erwartbar sind deshalb Begleitpflichten, ein Vier-Augen-Zutritt zu besonders kritischen Zonen wie Cages und eine durchgängige Nachvollziehbarkeit von Zutritten und Arbeiten. Entscheidend ist, dass diese Regeln nicht nur dokumentiert, sondern auch auditierbar umgesetzt sind.
Leitwarten in Energie, Wasser und Transport
In OT-geprägten KRITIS-Sektoren sind Leitwarten Hochrisiko-Standorte. Wenige Personen verfügen über umfassende Eingriffsrechte in die physische Realität, von der Netzregelung bis zur Disposition. Physical Security regelt hier nicht nur den Zutritt, sondern unterstützt auch operative Schutzprinzipien: Vier-Augen-Setups an besonders sensiblen Konsolen, eine klare Zonenlogik zwischen Engineering und Betrieb sowie streng geführte Visitor-Governance bei Lieferanten- und Aufsichtsbesuchen. Der Mehrwert entsteht in der Praxis erst durch Korrelation mit OT- und IT-Telemetrie, also durch jenes Zusammenspiel von Physical Security und Compliance, das aus isolierten Zutrittsereignissen prüfungswürdige Muster macht.
fedpol-Schnittstelle und Personenschutz für Hochrisiko-Funktionen
Verdichtet sich ein Verdacht auf Wirtschaftsspionage, staatsnahe Anwerbung oder gezielte Erpressung, verlässt der Insider-Fall den rein internen Rahmen. Dann wird die Schnittstelle zum Bundesamt für Polizei (fedpol) relevant. Operativ heisst das: Zuständigkeiten und Kommunikationswege müssen vorab geklärt sein, nicht erst im Ereignis. Wer ist gegenüber Behörden auskunftsfähig, wer koordiniert über Legal, wer steuert die Beweissicherung, und wie werden Informationen intern verteilt, ohne die Untersuchung zu gefährden? Diese Festlegungen gehören, wie in Teil 1 angelegt, in die Programmgouvernanz und nicht in Ad-hoc-Entscheide.
Personenschutz für Hochrisiko-Funktionen ist die zweite, oft übersehene Komponente. C-Level-Mitglieder, Forschungsleitende kritischer Programme und Operations-Verantwortliche in der Netzführung sind nicht nur potenzielle Insider, sondern auch potenzielle Zielpersonen von Druck und Einflussnahme. Ein reifes Programm denkt diese Schutzseite mit: differenzierte Reiseprofile, Schulung zu Anwerbungs- und Erpressungsszenarien, abgesicherte Kommunikationswege und ein definierter Eskalationspfad, sobald Mitarbeitende ungewöhnliche Kontaktversuche melden. Das reduziert das Risiko, dass aus einer privaten Drucksituation ein Sicherheitsvorfall wird.
Die regulatorische Mehrfachexposition als tragende Compliance-Achse
Schweizer Grossorganisationen sind selten nur einem Aufsichts- und Prüfregime unterstellt. Genau diese Mehrfachexposition macht Compliance zur tragenden Achse eines Insider-Threat-Programms. Sie übersetzt Detection und Response in prüffähige Kontrollen, stellt die Anschlussfähigkeit an Aufsicht und externe Revision sicher und verhindert, dass technisch plausible Massnahmen regulatorisch oder arbeitsrechtlich ins Leere laufen.
FINMA Rundschreiben 2023/01: Für Banken und beaufsichtigte Finanzinstitute ist das Rundschreiben «Operationelle Risiken und Resilienz» seit dem 1. Januar 2024 ein zentraler Referenztext. Es konkretisiert die Governance-Erwartungen an Verwaltungsrat und Geschäftsleitung und verlangt unter anderem die systematische Identifikation kritischer Funktionen sowie ein regelmässiges Reporting. Insider-Risiken fallen in der Praxis unter das Bündel operationeller Risiken und sind so zu integrieren, dass Kontrollen, Eskalationswege und Verantwortlichkeiten prüffähig werden. Eine praxisnahe Auslegung bietet die KPMG-Analyse zum Rundschreiben; der Primärtext ist direkt bei der FINMA abrufbar.
NIS2-Spillover via EU-Töchter: Auch ohne direkte Geltung in der Schweiz wirkt NIS2 über EU-Tochtergesellschaften, Dienstleisterbeziehungen und Lieferketten in den Konzern hinein. Anforderungen an Personalsicherheit, Zutrittskontrolle und Vorfallmanagement werden dann konzernweit relevant, weil Prozesse und Nachweise harmonisiert werden müssen. Ein Programm, das nur den Schweizer Perimeter betrachtet, riskiert Doppelspurigkeiten oder Lücken in den EU-Einheiten.
Branchenspezifische Aufsicht und Streiflichter: Spitalverbünde, Energieversorger und Telekommunikationsanbieter bewegen sich je nach Rolle und Eigentümerstruktur in unterschiedlichen Prüf- und Aufsichtsumfeldern. Bei Konzernen mit US-Bezug treten zusätzliche Anforderungen aus SOX-Kontrolllogiken oder FCPA-Programmen hinzu, etwa rund um privilegierte Zugriffe auf Finanzsysteme oder Verhaltensindikatoren bei Drittparteien. Compliance hat hier die Aufgabe, ein integriertes Kontroll-Framework zu definieren, das an den Schnittflächen der Regime ansetzt und die jeweils strengste Anforderung als Mindeststandard etabliert.
Aus Compliance-Sicht ist die Sorge nachvollziehbar, dass jede zusätzliche Detection-Schicht zusätzlichen Audit-Aufwand erzeugt. Die Chance liegt in der Gegenbewegung: Ein integriertes Kontroll-Framework, das Insider-Threat-Massnahmen sauber auf bestehende Kontrolllandschaften (FINMA-Erwartungen, interne Kontrollsysteme, ISO/IEC 27001) abbildet, reduziert parallele Nachweise und erhöht die Erklärbarkeit gegenüber Aufsicht und externer Revision. Als Hilfestellung für die Strukturierung dieser Mapping-Arbeit eignet sich unsere Übersicht ISO 27001 für Schweizer Organisationen.
Audit-Schnittstellen und Berichtspflichten
Ein Insider-Threat-Programm, das nicht prüfbar ist, ist im Kern auch nicht steuerbar. Audit-Tauglichkeit beginnt bei den Grundlagen: dokumentierte Charta, klar abgegrenzte Rollen, nachvollziehbare Use-Cases mit Schwellenwerten, definierte Aufbewahrungsfristen sowie eine saubere Protokollierung von Untersuchungs- und Entscheidpfaden. Der CERT/SEI Common Sense Guide to Mitigating Insider Threats ist dafür eine belastbare methodische Referenz, gerade weil er die organisatorischen Schnittstellen zu HR, Legal, Physical Security und Data Ownern systematisch behandelt (CERT/SEI, 7. Auflage).
Für die Berichterstattung hat sich in regulierten Umfeldern eine zweistufige Logik bewährt. Auf Stufe Geschäftsleitung: regelmässige Lageberichte mit aggregierten Indikatoren, qualitativer Trendaussage und dokumentierten Eskalationsentscheiden. Auf Stufe Verwaltungsrat: ein periodisches Reifegrad-Update, das Konformität, wesentliche Lücken, priorisierte Massnahmen und Entscheidpunkte zusammenführt. Im Bankensektor lässt sich diese Taktung an die Erwartungshaltung aus FINMA RS 2023/01 anschliessen; in anderen KRITIS-Branchen ist die Grundlogik vergleichbar. Teil 4 dieser Serie wird Inhalt und Form solcher Berichte vertiefen.
Die interne Revision wird in vielen Organisationen erst spät einbezogen. Das ist vermeidbar. Eine frühe Beteiligung als Sparringspartner verbessert die Kontrollqualität, die Nachweisführung und die Konsistenz zwischen erster, zweiter und dritter Linie. Wo Risk Management oder Compliance Teile des Programms mitverantworten, kann die Revision als dritte Linie die Wirksamkeit in einem planbaren Zyklus prüfen, statt erst nach einem Ereignis nachträglich Befunde zu erheben.
Konvergenz physischer und digitaler Signale ohne Datenschutz-Verletzung
Die zentrale Architekturfrage dieses Teils lautet: Wie werden Zutritts-, Besucher-, Video- und Reiseinformationen mit UAM-, UEBA- und ITDR-Signalen verknüpft, ohne die in Teil 2 gesetzten arbeits- und datenschutzrechtlichen Grenzen zu überschreiten? Die Antwort ist selten eine Monolith-Plattform, sondern eine disziplinierte Use-Case- und Governance-Architektur, die Compliance und Physical Security von Anfang an mitführt.
Erstens, Korrelation auf Use-Case-Ebene statt Rohdaten-Sammeln: Statt alle physischen Signale unselektiert ins SIEM zu spiegeln, werden definierte Szenarien modelliert, etwa «Zutritt zum Labor ausserhalb Muster plus auffälliger Download durch denselben Account». Was für das Szenario nicht benötigt wird, wird auch nicht integriert.
Zweitens, Pseudonymisierung als Default: Analystinnen und Analysten arbeiten, wo immer möglich, mit pseudonymisierten Identifiern. Eine Re-Identifikation erfolgt erst nach Schwellenwertüberschreitung und im Vier-Augen-Verfahren, unter Einbezug der dafür benannten Stelle (typischerweise Legal oder Compliance), wie in Teil 2 begründet.
Drittens, Trennung zwischen Lagebild und Untersuchung: Das laufende Lagebild bleibt aggregiert und zweckgebunden. Erst eine formal eröffnete Untersuchung erlaubt den Zugriff auf personenbezogene Details, inklusive Dokumentation der Begründung und der getroffenen Entscheide. Diese Trennung schützt Mitarbeitende vor Generalverdacht und stärkt die Nachvollziehbarkeit in einer späteren arbeits- oder strafrechtlichen Aufarbeitung.
Viertens, definierte Aufbewahrungsfristen pro Datenquelle: Zutrittsdaten, Video-Aufzeichnungen, UAM-Sessions, UEBA-Indikatoren und ITDR-Alerts haben unterschiedliche Zwecke und damit unterschiedliche Fristen. Compliance dokumentiert diese Logik im Verzeichnis der Bearbeitungstätigkeiten, überprüft sie periodisch und stellt sicher, dass Lösch- und Zugriffskonzepte technisch durchgesetzt sind.
Die Konvergenz physischer und digitaler Signale ist damit primär eine Governance-Frage. Sie steht und fällt mit der Bereitschaft von CISO, Head of Physical Security, Compliance, HR und Legal, bestehende Prozesse gemeinsam neu zu schneiden, inklusive Rollen, Zuständigkeiten und Eskalationswegen. Wo diese Bereitschaft fehlt, bleibt das Zusammenspiel von Physical Security und Compliance ein theoretisches Versprechen. Wo sie vorhanden ist, entstehen mit begrenzter, sauber begründeter Datennutzung Detection-Tiefen, die rein technische Programme regelmässig verfehlen.
Übergang zu Teil 4
Wenn die Perspektiven aus dieser Serie sauber verzahnt sind, beginnt die schwierigste Übung: Reifegrad messen und dem Verwaltungsrat berichten, ohne in Scheinpräzision zu verfallen. Teil 4 schliesst die Serie mit einem Reifegrad-Modell, mit Kennzahlen, die einem Risk Committee Orientierung geben, und mit den häufigsten Stolperfallen in den ersten zwölf Programmmonaten. Die Navigation zwischen den Serienteilen kann die Redaktion ergänzen (Teil 1 und Teil 2 als Rückverweise, Teil 4 als Ausblick).
Stakeholder-Mapping für Ihr Insider-Threat-Programm
Sie möchten Physical Security, Compliance und Cyber in einem gemeinsamen Lagebild zusammenführen, ohne Datenschutz und Verhältnismässigkeit zu verletzen? In einem strukturierten Stakeholder-Mapping-Workshop erarbeiten wir mit Ihren Funktionen die Schnittstellen, Use-Cases und Entscheidpfade, die in Ihrem Konzern tragfähig und prüfbar sind.
Häufig gestellte Fragen: Physical Security und Compliance im Insider-Threat-Programm
Warum gehört Physical Security in ein Insider-Threat-Programm?
Zutritts-, Video- und Reisesignale machen Verhalten dort sichtbar, wo Logfiles enden. In KRITIS-Sektoren mit Leitwarten, Laboren und Rechenzentren sind diese Signale häufig die ersten Indikatoren für ungewöhnliche Aktivität. Eine Trennung von Cyber und Physical Security verhindert genau die Korrelation, die ein wirksames Programm erst möglich macht.
Wie verbindet sich ein Insider-Threat-Programm mit FINMA RS 2023/01?
Das Rundschreiben fordert für beaufsichtigte Banken eine Verantwortung des Verwaltungsrats für operationelle Risiken, ein Inventar kritischer Funktionen und ein regelmässiges Reporting. Insider-Risiken sind Teil dieses Rahmens. Ein Insider-Threat-Programm muss seine Detection-, Response- und Reporting-Prozesse explizit auf diese Anforderungen abbilden, damit es im operationellen Risiko-Management verankert und für die Aufsicht erklärbar ist.
Welche Rolle spielt fedpol bei Verdacht auf Wirtschaftsspionage?
fedpol ist die Bundesbehörde, an die sich Schweizer Unternehmen bei Verdacht auf Wirtschaftsspionage oder staatsnahe Anwerbung wenden können. Die Schnittstelle sollte vor dem Eskalationsfall geklärt sein: wer im Konzern sprechfähig ist, welche Informationen ohne Konsultation des General Counsel weitergegeben werden dürfen und wie der Rückkanal aussieht. Diese Regelungen gehören in die Programm-Charta.
Was bedeutet NIS2-Spillover für Schweizer Konzerne?
Auch ohne direkte Geltung in der Schweiz wirkt NIS2 über EU-Töchter, Dienstleister und Lieferketten in den Konzern hinein. Personalsicherheit, Zutrittskontrolle und Vorfallmeldung sind explizite Anforderungen. Ein Insider-Threat-Programm, das nur den Schweizer Perimeter denkt, riskiert Doppelstrukturen oder Lücken in EU-Töchtern. Ein einheitliches Kontroll-Framework mit der jeweils strengsten Anforderung als Mindeststandard ist hier der wirksamste Ansatz.
Wie wird die Korrelation physischer und digitaler Daten datenschutzkonform umgesetzt?
Über vier Prinzipien: Korrelation auf definierter Use-Case-Ebene statt vollständiger Roh-Integration, Pseudonymisierung als Default mit Re-Identifikation nur nach Schwellenwert und Vier-Augen-Prinzip, klare Trennung zwischen aggregiertem Lagebild und formal eröffneter Untersuchung sowie quellenspezifische Aufbewahrungsfristen im Verzeichnis der Bearbeitungstätigkeiten. Diese Architektur respektiert die in Teil 2 dargestellten arbeits- und datenschutzrechtlichen Grenzen.
Wie häufig sollte an Geschäftsleitung und Verwaltungsrat berichtet werden?
Etabliert hat sich eine zweistufige Berichtsfrequenz: halbjährliche Lageberichte an die Geschäftsleitung mit aggregierten Kennzahlen, Trendaussage und Eskalationsfällen sowie ein jährliches Reifegrad-Update an den Verwaltungsrat mit Schwerpunkten auf regulatorischer Konformität, Lücken und priorisierten Massnahmen. Diese Frequenzen decken sich mit den Erwartungen, die FINMA RS 2023/01 für den Bankensektor formuliert und die sich auf andere KRITIS-Branchen übertragen lassen.
