Warum das Thema Insiderrisiko auf der Agenda der Deutschen Industrie und Energie an Wichtigkeit gewinnt
Steigende regulatorische Anforderungen und Audit-Erwartungen ziehen sich durch alle Industrie- und kritische Infrastruktursektoren Deutschlands. Zudem werden Nachweise darüber erwartet, wer Zugang zu sensiblen Umgebungen hat, auf welcher Basis dieser gewährt wird und wie Zuverlässigkeit langfristig gewährleistet wird.
Industrie- und Energieanlagen sind von Natur aus komplex. Physische Standorte, Betriebstechnologie und IT-Systeme sind eng miteinander verknüpft. Personen mit autorisiertem Zugang zu diesen Betriebsstätten können, ob absichtlich oder unabsichtlich, die Sicherheit, Betriebskontinuität und das öffentliche Interesse beeinträchtigen.
Sicherheits-, Compliance- und Datenschutzbeauftragte prüfen daher kontinuierlich die Minimierungsmöglichkeiten von Insiderrisiken für das Vermögen, für die Infrastruktur und für sensible Informationen des Unternehmens.
Was wir unter Insiderrisiken verstehen und was oft übersehen wird
Das Wort Insiderrisiko wird häufig mit Sabotage oder Betrug in Verbindung gebracht, aber dies ist nur ein Teil der gesamten Perspektive. Breiter gefasst bezeichnet das Insiderrisiko ein Risiko, das entsteht, wenn ein Mitarbeiter mit berechtigtem Zugang, ob absichtlich oder unabsichtlich, einen Schaden, Störungen oder Datenverstöße verursachen kann.
Durch legitimen Zugang zu Systemen, Standorten oder Prozessen können diese Anfälligkeiten (Insiderrisiken) entstehen. Das führt zu Gefährdung, auch wenn dieser keine böswilligen Absichten zugrunde liegen.
Einflussfaktoren können sein: Menschliches Versagen, Fahrlässigkeit, Druck von außen oder Interessenskonflikte. Oft werden diese aufgrund mangelnder Sichtbarkeit erst nach einem solchen Vorfall identifiziert.
Unternehmen suchen daher, bevor sie Zugriffe gewähren, nach objektiven und faktenbasierten Möglichkeiten der Zuverlässigkeitsverifizierung, ohne dadurch unnötige Belastungen für die Bewerber zu erzeugen. Dies können sie ganz einfach mithilfe einer automatisierten Pre-Employment-Screening Software tun.
Das Risikoprofil wird von Zugang und nicht von Absicht bestimmt
Vertrauen in Menschen bleibt unabdingbar, ist als einzige Kontrollmaßnahme jedoch nicht ausreichend. Gerade in Deutschland geht es Unternehmen bei Pre-Employment Screening hauptsächlich um Risikominimierung, den Schutz kritischer Betriebsabläufe und von Mitarbeitern, nicht um Misstrauen gegenüber Einzelpersonen.
Die Art des Zugangs und dessen Ausmaß bestimmen das mit einer Position verbundene Risiko. Je mehr Zugang und je größer der Einfluss, desto höher sind die potenziellen Auswirkungen von Missbrauch, Fehlern oder äußerem Einfluss.
Kritische Positionen: Warum Jobtitel ein falsches Gefühl von Sicherheit vermitteln
Kritische Positionen werden häufig mit höheren oder hochspezialisierten Positionen in Verbindung gebracht. In Wirklichkeit sind Jobtitel ein schlechter Indikator für das tatsächliche Risiko.
Im Industrie- und Energiesektor wird Risiko durch Zugang zu Produktionssystemen, Energienetzwerken, operativen Technologieumgebungen, physischen Anlagen oder Eskalationsbefugnissen innerhalb des Betriebs definiert.
Zeitarbeitskräfte, Auftragnehmer und Lieferanten verfügen zunehmend über solche Zugänge, ohne dass sie immer als kritische Position anerkannt werden.
Warum Zeitarbeitskräfte und Externe besonders beachtet werden müssen
Arbeitskräftemangel und projektbasierte Liefermodelle haben die Abhängigkeit von externen Mitarbeitern erhöht. Zugänge werden häufig schnell gewährt, um betriebliche Verzögerungen zu vermeiden. HR-Manager und Manager der Auftragnehmer benötigen daher Screening-Prozesse, die sie bei einem schnellen und nahtlosen Onboarding, mit gleichzeitiger Einhaltung gesetzlicher Vorschriften, unterstützen.
Neubewertung, Überwachung und strukturierte Dokumentation können da nicht immer mithalten. Dies führt zu blinden Flecken: Personen mit dauerhaftem oder umfassendem Zugang, deren Risikoprofil nicht regelmäßig geprüft wird.
Unternehmen möchten daher die Verwendung zu vieler (und unnötiger) Plattformen oder fragmentierter Prozesse vermeiden und benötigen stattdessen automatisierte, integrierte und nahtlose Pre-Employment-Screening Workflows.
Einfluss: der am wenigsten sichtbare Treiber von Insiderrisiken
Neben Zugang bildet Einfluss einen signifikanten und doch oft unterschätzten Faktor bei Insiderrisiken.
Einfluss kann durch finanziellen Druck, Abhängigkeit von externen Interessen, langfristige Zugehörigkeit zu einer einzigen Organisation oder durch widersprüchliche Loyalitäten innerhalb komplexer Lieferketten entstehen. Solche Dynamiken sind schwer zu erkennen, insbesondere in fragmentierten Betriebsmodellen.
Herkömmliche Screening-Ansätze sind selten auf die Berücksichtigung solcher Risikoformen ausgelegt. Heutzutage hilft Pre-Employment Screening Unternehmen bei der objektiven Verifizierung relevanter Fakten und bei der Dokumentierung von Entscheidungen, um Compliance- und Audit-Anforderungen zu erfüllen.
Es geht nicht um Misstrauen, es geht um die Minimierung von Insiderrisiken.
Regulatorische Erwartungen nehmen zu, sie schreiben jedoch keine detaillierten Lösungen vor
Die Gesetzgebung und Regulierungsrahmen definieren nicht immer explizit wie mit Insiderrisiken umzugehen ist. Es besteht jedoch eine klare und wachsende Erwartung, Unternehmen mögen die Kontrolle über Zugänge zu kritischen Funktionen und der Infrastruktur nachweisen können.
Gesetze wie das KRITIS-Dachgesetz, das BSI, das IT-Sicherheitsgesetz und das Energiewirtschaftsgesetz legen die Verantwortung für den Schutz kritischer Infrastrukturen und wichtiger Dienstleistungen bei den Organisationen selbst fest. Der Schwerpunkt verschiebt sich von einzelnen technischen Maßnahmen bis hin zu einem unternehmensweiten Risikomanagement. Die Betreiber sind dazu verpflichtet, robuste Resilienzmaßnahmen umzusetzen und den Nachweis einer kontinuierlichen und risikobasierten Governance zu gewährleisten.
Auditoren und Auftraggeber konzentrieren sich zunehmend auf die Grundsätze hinter Zugangsentscheidungen. Warum wurde ein Zugang gewährt? Auf welcher Grundlage? Und wie wird diese Bewertung im Laufe der Zeit überprüft?
Insiderrisiken erstrecken sich daher über die Sicherheit hinaus und werden zu einem Führungs- und Verantwortlichkeitsthema.
Compliance-Mängel können in diesem Bereich zu Vorfällen, Geldstrafen, Audit-Ergebnissen und Reputationsschäden führen.
Die Frage, die Unternehmen zunehmend beantworten müssen
Welche Positionen innerhalb Ihrer Organisation haben Zugang zur kritischen Infrastruktur und welches Schutzlevel ist diesem Zugang angemessen?
Könnten Sie dies heute erklären und belegen, auch für Auftraggeber und andere externe Parteien?
Können Sie mit dokumentierten Beweisen die DSGVO-konforme Verifizierung der Verlässlichkeit vor der Zugangsgewährung aufzeigen?
Der Blick nach vorne
In den folgenden Beiträgen werden wir die möglichen strukturierten und nachhaltigen Herangehensweisen an Insiderrisiken für ein Unternehmen untersuchen. Nicht durch isolierte Kontrollen, sondern durch einen kohärenten Ansatz, der Positionen, Zugang und Zuverlässigkeit miteinander verbindet, ohne die Betriebskontinuität zu unterbrechen.