Ein systemkritischer Schweizer Konzern stellt fest, dass ein langjähriger Mitarbeitender mit weitreichenden Berechtigungen über Monate ungewöhnliche Datenabzüge aus einem zentralen Betriebssystem vorgenommen hat. Das SOC hatte die Aktivitäten technisch protokolliert, doch niemand setzte sie in Beziehung zu personellen und organisatorischen Signalen, die parallel erkennbar gewesen wären. Der Fall ist exemplarisch: Wer ein Insider-Threat-Programm allein in der Cyber-Abwehr verortet, übersieht den entscheidenden Hebel. Teil 1 dieser Serie zeigt, warum das Insider-Threat-Programm ein Verwaltungsrats-Mandat ist und welche Bausteine in den ersten 90 Tagen stehen müssen.
📑 Inhaltsübersicht
Bedrohungslage Insider im KRITIS-Kontext · Vier Insider-Typologien nach CERT/SEI · Warum technische Detection ohne Governance scheitert · Stakeholder-Landkarte des Schweizer Konzerns · Programm-Mandat: Initiierung, Verantwortung, Eskalation · FINMA RS 2023/01 und nDSG als Rahmen · Erste 90 Tage: Charta, Steering Committee, Risikoinventar · Häufig gestellte Fragen
Bedrohungslage Insider im KRITIS-Kontext: Was die Lageberichte zeigen und was sie oft nicht abbilden
Systemkritische Schweizer Unternehmen operieren in einer Lage, in der externe Akteure den öffentlichen Diskurs prägen. Ransomware, Erpressung, Spionage und Vorfälle in der Lieferkette sind sichtbar, weil sie sich häufig in Betriebsausfällen, Datenabfluss oder behördlichen Verfahren niederschlagen. Die Insider-Komponente bleibt dagegen oft unterbelichtet. Nicht zwingend wegen geringerer Relevanz, sondern weil sie schwieriger zu erkennen, zu klassifizieren und zu belegen ist. Europäische Lagebilder weisen darauf hin, dass Insider-Vorfälle im öffentlichen Melde- und Publikationsraum vergleichsweise selten in belastbarer Tiefe offengelegt werden. Underreporting ist damit Teil des Problems, nicht bloss ein statistischer Nebeneffekt.
Qualitativ verdichtet zeichnen internationale Studien und Leitfäden ein konsistentes Bild: Fahrlässigkeit ist häufig, bösartige Insider sind seltener, können aber überproportionalen Schaden verursachen. Hinzu kommen kompromittierte Identitäten, bei denen ein externer Angreifer faktisch als «Innenperson» agiert, weil er sich in eine legitime Sitzung einklinkt. Die CISA fasst genau diese Bandbreite unter dem Begriff «Insider» und betont die Mischung aus vorsätzlichen und unbeabsichtigten Handlungen als Kern der Definition. Für KRITIS-Sektoren in der Schweiz (Energie, Finanz, Healthcare, Telekommunikation, Transport, Wasser) kommt eine operative Realität hinzu, die das Risiko verstärkt: langjährige Mitarbeitende mit weitreichenden Berechtigungen, externe Dienstleister mit privilegiertem Zugang und Funktionen mit hohem IP- und Regulierungswert.
Entscheidend ist der Governance-Kontext. Wenn die technische Seite Anomalien erkennt, HR, Legal und Compliance aber nicht eingebunden sind, entstehen Lücken in Einordnung und Reaktionsfähigkeit. Genau hier wird das Insider-Threat-Programm zur Management-Aufgabe: Es muss definieren, wer bewertet, wer entscheidet und wer eskaliert. Diese Anschlussfähigkeit ist Voraussetzung für jede belastbare Lagebeurteilung im Unternehmen, unabhängig davon, ob der konkrete Auslöser ein interner Fehlgriff, ein kompromittiertes Konto oder ein Drittparteienzugang ist.
Insider-Risiken entstehen an der Schnittstelle von Mensch, Berechtigung und Organisation, nicht allein im Logfile.
Warum systemkritische Unternehmen besonders exponiert sind
In OT-geprägten Versorgungsbetrieben liegt der kritische Hebel in Leitwarte und Betriebssteuerung. In einem Spitalverbund mit Forschungsanteil entsteht das Risiko aus der Kombination klinischer Daten und IP-relevanter Forschung. In einem Finanzinstitut wirkt die Cross-Border-Konstellation mit mehreren Aufsichtsregimen und ausgelagerten IT-Funktionen. Bei einem Telekommunikations-Provider sind privilegierte Administrationszugänge ein strukturelles Thema. In vielen Konzernen ist die externe Angriffsfläche heute systematischer adressiert als die interne Konstellation aus privilegierten Identitäten, organisatorischen Übergängen und Drittparteienzugängen. Wer die externe Sicht ergänzen will, findet im Beitrag zu External Attack Surface Management den komplementären Blickwinkel.
Vier Insider-Typologien nach CERT/SEI: Definitorische Schärfe als Programm-Voraussetzung
Ohne klare Definition zerfasert jedes Insider-Threat-Programm in der Diskussion zwischen den Funktionen. Der Common Sense Guide to Mitigating Insider Threats des CERT/SEI an der Carnegie Mellon University liefert eine der robustesten praxisnahen Referenzen und stützt sich auf die Auswertung einer umfangreichen Fallbasis. Ergänzend präzisiert die CISA-Definition, dass Insider-Bedrohungen sowohl vorsätzlich als auch unbeabsichtigt entstehen können. Für den Schweizer KRITIS-Kontext sind vier Typen operativ besonders hilfreich, weil sie unterschiedliche Präventions- und Eskalationslogiken verlangen.
Malicious Insider: Vorsatz im Inneren
Der bösartige Insider handelt vorsätzlich, etwa durch Datendiebstahl vor einem Stellenwechsel, Sabotage in einer Konflikt- oder Kündigungsphase oder die Weitergabe von Zugangsdaten. In OT-nahen Sektoren sind Szenarien rund um die Manipulation von Steuerungs- und Leitsystemparametern besonders sensibel, im Finanzsektor stehen Missbrauch privilegierter Zugänge sowie Beihilfe zu Betrug oder Marktmissbrauch im Vordergrund. Diese Typologie ist nicht zwingend die häufigste, kann aber beim Schadensausmass dominieren. Der operative Schwerpunkt liegt auf der kontrollierten Verknüpfung von HR- und Organisationssignalen mit Detection-Use-Cases im SOC, abgestützt durch klare Eskalationsregeln.
Negligent Insider: Fahrlässigkeit als häufigstes Muster
Der fahrlässige Insider verursacht Vorfälle ohne Vorsatz, etwa durch den Versand sensibler Daten an falsche Empfänger, unsichere Ablage in nicht freigegebenen Cloud-Diensten, Umgehung von Policies aus Zeitdruck oder die Nutzung nicht freigegebener KI- und Collaboration-Werkzeuge. Im Spitalverbund kann sich dies in der unbedachten Weitergabe klinischer Daten an externe Partner zeigen, im Industriekonzern in der Nutzung privater Speichermedien oder improvisierter Datentransfers zwischen Forschungsstandorten. Die organisatorische Antwort ist hier häufig nicht «mehr Detection», sondern saubere Datenklassifizierung, verständliche Policies, Awareness und technische Schutzmechanismen, die sich in den Arbeitsablauf integrieren lassen.
Compromised Insider: Der unwissende Akteur
Der kompromittierte Insider ist ein legitimer Mitarbeitender, dessen Identität von externen Akteuren übernommen wurde, sei es durch Phishing, Passwortdiebstahl oder Social Engineering. Aus Sicht der internen Systeme wirkt die Aktivität zunächst «autorisiert», weil sie über ein echtes Konto läuft. Diese Typologie bildet die Brücke zwischen externer und interner Bedrohung und erklärt, weshalb IAM- und PAM-Massnahmen allein nicht genügen. Gerade in Umgebungen mit vielen administrativen Identitäten entscheidet die Skalierung: Wenn tausende Konten und Rollen im Spiel sind, braucht es neben starken Zugriffskontrollen auch verhaltens- und kontextbasierte Erkennung.
Third-Party Insider: Berechtigung ohne Anstellung
Der Third-Party Insider ist nicht angestellt, verfügt aber über privilegierte Zugänge, etwa durch Outsourcing, Managed-Service-Verträge oder Projektarbeit. In Schweizer Finanzinstituten ist die Auslagerung von IT- und Betriebsleistungen weit verbreitet, einschliesslich Cloud-nahem Betrieb und Infrastruktur-Services. In Industrie und Versorgung sitzen diese Risiken bei OT-Wartungspartnern, externen Admin-Teams oder spezialisierten Dienstleistern mit Datenzugriff. Weil die Organisation diese Personen nicht über HR-Prozesse steuert, braucht es ein Zusammenspiel aus vertraglichen Vorgaben, technischen Kontrollen und klaren Prozessen für Monitoring, Eskalation und Zugriffsentzug.
Warum technische Detection ohne Governance scheitert
Reife Schweizer Konzerne verfügen über ein eigenes SOC oder über ausgelagerte Detection-Services, dazu über etablierte SIEM-, EDR- und PAM-Plattformen, teils ergänzt um UEBA- oder ITDR-Komponenten. Diese Investitionen sind notwendig, aber nicht hinreichend. Insider-Threat-Vorfälle scheitern in der Praxis häufig an drei Punkten, die primär organisatorisch sind.
Erstens: fehlende Kontextverknüpfung. Ein anomales Datenexportmuster aus einem Data Warehouse ist isoliert betrachtet oft mehrdeutig. In Verbindung mit einem Rollenwechsel, einem Offboarding, einem Konfliktfall oder einer besonderen Zugriffslage wird daraus ein relevantes Signal. Viele Organisationen haben aber weder die abgestimmte Governance noch die definierten Datenflüsse, um Cyber-, HR- und Physical-Security-Perspektiven verhältnismässig zusammenzuführen.
Zweitens: fehlende Schwellenwerte für Eskalation. Der CERT-Ansatz arbeitet mit klaren Schwellen für Datenerhebung, Analyse und Übergabe an Untersuchungsfunktionen, inklusive Privacy-Garantien. Fehlen diese Schwellen, entstehen zwei symmetrische Fehler: Entweder wird zu früh personalisiert, was Persönlichkeitsrechte verletzt und Verfahren gefährdet. Oder verdächtige Muster bleiben zu lange in technischer Triage, bis Zeit und Beweise verloren sind.
Drittens: fehlendes Mandat. Das SOC kann beobachten und priorisieren, aber nicht entscheiden, ob ein Mitarbeitendengespräch geführt, eine interne Untersuchung initiiert oder eine Eskalation an Geschäftsleitung und Verwaltungsrat ausgelöst wird. Solche Entscheide verlangen die Beteiligung von HR, Legal und Compliance sowie ein klares Reporting an das Risk Committee. Die CISA-Guidance zu multidisziplinären Insider-Threat-Teams setzt deshalb nicht bei einem Tool an, sondern bei Rollen, Verantwortlichkeiten und der verbindlichen Zusammenarbeit der Funktionen.
Stakeholder-Landkarte des Schweizer Konzerns
Ein wirksames Insider-Threat-Programm verbindet sechs Perspektiven, die in der Linienorganisation typischerweise getrennt sind. Der CISA Insider Threat Mitigation Guide beschreibt diese Konstellation als Voraussetzung für ein funktionierendes Programm, der CERT-Leitfaden konkretisiert sie mit Best Practices und Rollenbildern.
CISO und Cyber-Organisation liefern Detection-Fähigkeit, Bedrohungsverständnis und Triage. Physical Security bringt Zutrittskontext, den Schutz kritischer Areale (Leitwarten, Rechenzentren, Labore) und das Lagebild ausserhalb von IT-Systemen ein. HR kennt personelle Transitionen, die für Prävention und Eskalation relevant sind: Onboarding, Rollenwechsel, Offboarding, Konfliktlagen. Legal und General Counsel definieren den Rechtskorridor zwischen Persönlichkeitsschutz, Verhältnismässigkeit und Beweissicherung. Compliance und der oder die Datenschutzbeauftragte verbinden das Programm mit der regulatorischen Mehrfachexposition. Der Verwaltungsrat, konkret das Risk Committee, ist Adressat der strategischen Steuerung und der Eskalationen, die nicht in der Linie gelöst werden können.
Diese sechs Perspektiven haben unterschiedliche Sprachen, Zeithorizonte und Erfolgsmasse. Genau darin liegt die Aufgabe der ersten 90 Tage: nicht in der Tool-Auswahl, sondern in der bewusst gestalteten Zusammenarbeit. Die nächsten Beiträge dieser Serie nehmen jeweils eine andere Konstellation in den Lead. Teil 2 fokussiert HR und Legal, Teil 3 Physical Security und Compliance, Teil 4 den Verwaltungsrat im Kontext von Reifegrad und Reporting.
Programm-Mandat: Wer initiiert, wer verantwortet, wer eskaliert
Ein Insider-Threat-Programm ist in der Schweiz selten ein reines CISO-Projekt. In regulierten und KRITIS-nahen Umgebungen ist es ein Governance-Thema, das vom CISO operativ getragen, von der Geschäftsleitung legitimiert und vom Verwaltungsrat beaufsichtigt wird. Diese Verankerung ist kein Formalismus, sondern eine Konsequenz der Risikologik: Wenn Personal-, Drittparteien- und Cyber-Risiken zusammenlaufen, braucht es ein Mandat, das funktionsübergreifend durchsetzbar ist.
Die Initiierung erfolgt typischerweise auf einem von drei Wegen. Erstens durch einen Vorfall, der die Lücke sichtbar macht. Zweitens durch aufsichtsrechtliche Erwartungen, etwa im Umfeld von Prüfungen und Audits. Drittens, und am wirksamsten, durch eine strategische Entscheidung des Verwaltungsrats, das Thema vor dem Vorfall zu adressieren. Die operative Verantwortung liegt beim CISO oder bei einer klar benannten Programmverantwortung auf Management-Ebene. Die Berichterstattung an Geschäftsleitung und Risk Committee folgt einem definierten Rhythmus und nutzt nachvollziehbare, qualitative Indikatoren statt Scheinpräzision.
Die Eskalationspfade sind das eigentliche Konstruktionsmerkmal. Wer entscheidet, ab welchem Verdachtsgrad HR einbezogen wird? Wer initiiert eine forensische Untersuchung? Wer informiert die Geschäftsleitung, wer den Verwaltungsrat? Und wer entscheidet im Konfliktfall über externe Schritte, etwa eine Strafanzeige? Diese Fragen sind nicht universell beantwortbar. Sie müssen in der Programm-Charta verbindlich geregelt werden.
FINMA RS 2023/01 und nDSG als Rahmen
Das FINMA-Rundschreiben 2023/01 «Operationelle Risiken und Resilienz – Banken», in Kraft seit dem 1. Januar 2024, konkretisiert die Verantwortung von Verwaltungsrat und Geschäftsleitung für operationelle Risiken. Für die Praxis wichtig ist weniger eine einzelne Formulierung als die Governance-Logik: klare Zuständigkeiten, ein dokumentiertes Risikoinventar, nachvollziehbare Kontrollen und regelmässiges Reporting an das Oberleitungsorgan. Auch wenn das Rundschreiben primär Banken adressiert, ist die Grundmechanik für viele KRITIS-nahe Organisationen anschlussfähig, insbesondere dort, wo Cyber-, Drittparteien- und Personalrisiken zusammenlaufen. Die Einordnung der Schweizerischen Bankiervereinigung sowie die Analyse von KPMG helfen, die Anforderungen in Konzernstrukturen einzuordnen.
Das revidierte Bundesgesetz über den Datenschutz (nDSG) bildet den zweiten Rahmen. Für ein Insider-Threat-Programm bedeutet das: Jede Form von Monitoring und Auswertung ist begründungspflichtig, muss verhältnismässig ausgestaltet werden und verlangt von Beginn an ein abgestimmtes Vorgehen mit Legal, Compliance und Datenschutz. Dieser Aspekt wird in Teil 2 dieser Serie vertieft. Für Teil 1 genügt die Feststellung, dass die Programm-Charta den Rechtskorridor nicht nachträglich «anflanschen» kann. Er muss am Anfang stehen.
Erste 90 Tage: Charta, Steering Committee, Risikoinventar
Die ersten 90 Tage entscheiden, ob das Programm trägt oder in Einzelinitiativen zerfällt. Drei Bausteine sind in dieser Phase nicht verhandelbar.
1) Programm-Charta: das schriftlich festgehaltene Mandat. Sie definiert Zweck, Geltungsbereich, Stakeholder, Eskalationspfade, Berichtsrhythmus, Datenschutz-Garantien und die Abgrenzung zu bestehenden Funktionen wie interner Revision, Compliance und SOC. Die Charta wird mit HR, Legal und Compliance abgestimmt, bevor sie organisatorisch verbindlich gesetzt wird. Sie ist die Referenz, auf die sich spätere technische und prozessuale Massnahmen stützen.
2) Steering Committee: das funktionsübergreifende Lenkungsgremium mit Vertretung aus CISO, HR, Legal, Compliance, Physical Security und Geschäftsleitung. Es behandelt strategische Programmthemen sowie eskalierte Einzelfälle nach definiertem Protokoll und berichtet an das Risk Committee. Die Sitzungsdisziplin in den ersten 90 Tagen entscheidet darüber, ob das Gremium zum Entscheidungsorgan wird oder bei einem Austausch ohne Verbindlichkeit stehenbleibt.
3) Qualitatives Risikoinventar: eine erste Bestandsaufnahme der besonders exponierten Rollen, Daten und Drittparteien-Konstellationen. Ziel ist nicht die Vollerhebung, sondern Priorisierung: Welche Rollen sind hochprivilegiert? Welche Daten sind regulatorisch oder aus IP-Sicht besonders sensibel? Wo bestehen Drittparteienzugänge, die technisch möglich, aber prozessual unzureichend kontrolliert sind? Dieses Inventar bildet die Grundlage für spätere Use-Cases, für Kontrollmassnahmen und für ein erstes belastbares Reporting an das Risk Committee.
Was in den ersten 90 Tagen explizit nicht passieren sollte, ist die Toolwahl als Startpunkt. Wer mit einer UAM- oder UEBA-Beschaffung beginnt, ohne Charta, Steering Committee und Risikoinventar, baut Detection ohne Anschlussfähigkeit. Die Folge ist ein technisch funktionierendes Werkzeug, dessen Befunde organisatorisch nicht verwertbar sind. Die Reihenfolge ist deshalb kein Lehrbuchargument, sondern operativ entscheidend.
Ausblick auf Teil 2
Sobald die Charta steht, beginnt die eigentliche Aushandlung mit HR und Legal. Dort entscheidet sich, ob das Programm rechtskonform und verhältnismässig bleibt oder bereits im Aufbau scheitert. Teil 2 dieser Serie behandelt den Rechtskorridor und die praktische Zusammenarbeit zwischen HR, Legal und Cyber-Funktion. Teil 3 fokussiert die Achsen Physical Security und Compliance, Teil 4 den Reifegrad und das Verwaltungsrats-Reporting. Hinweis für die Redaktion: Seriennavigation (Teil 1 bis Teil 4) an dieser Stelle ergänzen.
Programm-Initialisierung im Gespräch
Sie stehen vor der Frage, wie das Insider-Threat-Programm in Ihrem Schweizer Konzern verankert werden soll? In einem fachlichen Erstgespräch klären wir die Voraussetzungen für Charta, Steering Committee und Risikoinventar in den ersten 90 Tagen.
Häufig gestellte Fragen zum Insider-Threat-Programm in der Schweiz
Was unterscheidet ein Insider-Threat-Programm von der Arbeit eines SOC?
Das SOC erkennt technische Anomalien. Ein Insider-Threat-Programm verbindet diese Signale mit personellen, rechtlichen und physischen Kontexten und definiert Eskalationspfade, die nur funktionsübergreifend gelöst werden können. Es ist ein Governance-Konstrukt mit operativer Anbindung, kein technisches Werkzeug.
Welche vier Insider-Typologien sollte das Programm-Mandat berücksichtigen?
Nach CERT/SEI sind dies der Malicious Insider (Vorsatz), der Negligent Insider (Fahrlässigkeit, häufigste Form), der Compromised Insider (übernommene legitime Identität) und der Third-Party Insider (Drittparteien mit privilegiertem Zugang). Jede Typologie erfordert eine andere organisatorische und technische Antwort.
Warum ist das Insider-Threat-Programm ein Verwaltungsrats-Mandat?
Weil Insider-Risiken Personal-, Drittparteien- und Cyber-Aspekte verbinden. Für regulierte Bereiche zeigt die FINMA-Logik zu operationellen Risiken und Resilienz, dass Zuständigkeiten, Risikoinventare und Reporting auf Ebene des Oberleitungsorgans verankert sein müssen. Ohne Mandat fehlen dem Programm Ressourcen und Durchsetzungskraft über Funktionsgrenzen hinweg.
Welche Bausteine müssen in den ersten 90 Tagen stehen?
Programm-Charta mit dokumentiertem Mandat, Steering Committee mit funktionsübergreifender Vertretung und ein qualitatives Risikoinventar der besonders exponierten Rollen, Daten und Drittparteien. Die Toolwahl gehört nicht in diese Phase, weil Detection ohne organisatorische Anschlussfähigkeit ins Leere läuft.
Wie unterscheidet sich ein Insider-Threat-Programm vom Whistleblowing-System?
Ein Whistleblowing-System empfängt Hinweise interner oder externer Personen zu Regelverstössen. Ein Insider-Threat-Programm ist ein proaktiver, funktionsübergreifender Steuerungsrahmen, der Risiken erkennt, bewertet und adressiert. Beide Systeme ergänzen sich, sind aber organisatorisch und rechtlich klar zu trennen.
Welche regulatorischen Rahmen sind für Schweizer KRITIS-Unternehmen besonders relevant?
FINMA RS 2023/01 für Finanzinstitute, das revidierte Datenschutzgesetz (nDSG) für alle Sektoren, ArGV3 Art. 26 als Schranke für Verhaltensüberwachung am Arbeitsplatz, die seit April 2025 geltende Meldepflicht an das BACS und je nach Konzernstruktur Spillover-Wirkungen aus NIS2 über EU-Töchter.
