Wenn der Angriff von Innen kommt

Die meisten Sicherheitskonzepte schützen den Perimeter. Aber was passiert, wenn die Bedrohung bereits drin ist — durch einen kompromittierten Account, einen unzufriedenen Mitarbeiter oder einfach eine falsch gesetzte Berechtigung?

Ein Produktionsunternehmen, 200 Mitarbeiter, Standort Heilbronn. Kein spektakulärer Hackerangriff. Keine Ransomware-Meldung in den Nachrichten. Stattdessen: Ein ehemaliger Mitarbeiter, der drei Wochen nach seinem Austritt noch auf das CRM-System zugreifen konnte — und es auch getan hat.

Das fiel nur zufällig auf, weil ein Vertriebsmitarbeiter bemerkte, dass Kundendaten verändert worden waren. Kein Schaden im klassischen Sinne — aber ein offenes Einfallstor, das niemand geschlossen hatte.

Das Problem mit dem Perimeter

Die meisten mittelständischen Unternehmen denken bei IT-Sicherheit zuerst an Firewalls, Antivirensoftware und Phishing-Filter. Das ist nicht falsch — aber es ist unvollständig. Diese Maßnahmen schützen den Außenbereich. Sie gehen davon aus, dass alles innerhalb des Netzwerks vertrauenswürdig ist.

Das stimmt schon lange nicht mehr.

Mitarbeiter wechseln. Zugänge bleiben. Berechtigungen wachsen mit der Betriebszugehörigkeit — aber schrumpfen selten. Ein Buchhalter, der vor drei Jahren kurz im Einkauf ausgeholfen hat, hat heute vielleicht noch Lesezugriff auf Lieferantenverträge, die ihn nichts mehr angehen.

Was wir vorfanden

Bei dem Heilbronner Unternehmen haben wir nach dem Vorfall eine vollständige Berechtigungsanalyse gemacht. Das Ergebnis war ernüchternd — aber nicht ungewöhnlich.

43 aktive Benutzerkonten für Mitarbeiter, die das Unternehmen bereits verlassen hatten. Acht davon mit vollständigen Zugriffsrechten auf produktive Systeme. Drei externe Dienstleister mit Zugängen, die seit über einem Jahr nicht mehr genutzt worden waren — aber niemand hatte sie deaktiviert, weil niemand wusste, dass sie noch existierten.

Kein Angriff von außen hätte so tiefe Spuren hinterlassen können wie ein aktiver Insider mit diesen Rechten.

Was wir verändert haben

Der erste Schritt war kein technischer — er war organisatorischer. Wir haben einen Offboarding-Prozess definiert. Klingt banal. War es nicht, weil er vorher schlicht nicht existierte. Kein Formular, keine Checkliste, keine Verantwortlichkeit dafür, dass beim Austritt eines Mitarbeiters seine Zugänge systematisch gesperrt werden.

Heute hat HR bei jedem Austritt eine Checkliste mit sieben Punkten. Einer davon: IT-Benachrichtigung mit vollständiger Liste aller bekannten Systeme. Die IT hat 24 Stunden Zeit, alle Zugänge zu sperren und zu dokumentieren.

Der zweite Schritt war ein Berechtigungskonzept nach dem Prinzip der minimalen Rechtevergabe. Jeder Mitarbeiter bekommt genau die Rechte, die er für seine aktuelle Rolle braucht — nicht mehr. Änderungen der Rolle bedeuten Überprüfung der Rechte. Jährliches Review für alle Accounts, die externe Dienstleister oder temporäre Projekte betreffen.

Der dritte Schritt war technisch: Einführung von Single Sign-On für alle wesentlichen Systeme. Nicht als Komfortfunktion — sondern weil ein zentraler Identitätsprovider bedeutet, dass ein deaktivierter Account wirklich überall deaktiviert ist. Nicht nur in dem System, an das HR zufällig gedacht hat.

Was das kostet

Die Berechtigungsanalyse hat zwei Tage gedauert. Die Prozessdefinition einen weiteren Tag. Die technische Umsetzung des SSO war aufwendiger — aber sie war ohnehin geplant, dieser Vorfall hat nur die Priorität verschoben.

Der ehemalige Mitarbeiter hat im Nachhinein angegeben, er habe "nur geschaut". Ob das stimmt, lässt sich nicht beweisen. Ob das in einem anderen Fall auch so glimpflich ausgegangen wäre — ebenfalls nicht.

Security ist kein Zustand. Es ist ein Prozess. Und dieser Prozess beginnt nicht beim Firewall-Regelwerk, sondern bei der Frage: Wer hat eigentlich Zugriff auf was — und warum noch?