Über mehrere Jahre verlor ich Schritt für Schritt die Kontrolle über meine digitale Infrastruktur. Nicht durch einen anonymen Hackerangriff, wie man ihn aus den Nachrichten kennt, sondern durch Innentäter-Mechanismen, die sich unbemerkt im Hintergrund ausbreiten: durch IT-Dienstleister mit weitreichenden Administratorrechten, verknüpfte Cloud-Systeme, verwaiste Microsoft-Tenants, falsche DNS-Einträge, offene Ports, alte Konten, automatisierte Prozesse und strukturelle Sicherheitslücken, wie sie in Unternehmen täglich vorkommen.

Es war keine Attacke von außen. Es war die Summe vieler interner Schwachstellen – genau die Art von Insider-Bedrohung, die IT- Sicherheitsexperten seit Jahren als größtes Risiko einstufen. Ich war angemeldet, aber nicht der Besitzer. Ich sah Prozesse laufen, aber konnte sie nicht stoppen. Und irgendwann wurde klar: Die eigentliche Cyberbedrohung entsteht nicht draußen – sie wächst im Inneren eines Systems.

Führende Studien (BSI, Secion, Allianz, Verizon DBIR) bestätigen seit Jahren: Die meisten Sicherheitsverletzungen entstehen innerhalb digitaler Infrastrukturen. Nicht durch externe Hacker, sondern durch: - überprivilegierte Administratoren - Dienstleister ohne Kontrolle - falsche Berechtigungen - historische Systeme - technische Altlasten - unklare Verantwortlichkeiten Kurz: die unsichtbare Gefahr im eigenen Haus.

Viele Unternehmen verlassen sich aus routinierten Gründen auf externe IT-Dienstleister. Das wirkt bequem, spart Zeit und schafft kurzfristig Entlastung. Doch genau hier entsteht eine strukturelle Schwachstelle, die in der Praxis oft übersehen wird. Wenn Administratoren zu viele Rechte erhalten oder Systeme ohne klare Dokumentation eingerichtet werden, entstehen langfristige Risiken: - Cloud-Konten werden verknüpft, ohne dass der Betreiber dies merkt. - Microsoft-Tenants bleiben offen und werden jahrelang nicht geprüft. - DNS-Einträge werden falsch gesetzt oder nie aktualisiert. - Remote-Zugänge bleiben dauerhaft aktiv – oft über Tools, die niemand kontrolliert. - E-Mail-Strukturen können ungewollt über Drittserver laufen. All diese Punkte sind typische Auslöser für Insider-Bedrohungen, also Angriffe oder Fehlkonfigurationen, die nicht von außen, sondern aus dem Inneren eines Systems entstehen. Unternehmen unterschätzen häufig die Tatsache, dass falsche Rechtevergabe oder alte Cloud-Strukturen über Monate hinweg unerkannt bleiben – und dadurch stillschweigend ein digitales Einfallstor für Fremdzugriffe schaffen. Gerade im Mittelstand ist das ein massives Problem: Fehlt die Kontrolle über Dienstleister, verliert man automatisch die Kontrolle über die eigene digitale Identität.

Cloud-Dienste wachsen über Jahre hinweg – und mit ihnen entstehen unbemerkte Altlasten. Dazu gehören verwaiste Microsoft-Tenants, ungenutzte Nutzerkonten, alte Alias-Adressen, frühere Cloud-Verknüpfungen oder nicht gelöschte Administratorrollen. Solche Strukturen wirken auf den ersten Blick harmlos, doch technisch gesehen sind sie einer der gefährlichsten Angriffsvektoren im gesamten System. Der Grund ist einfach: Jede dieser alten Komponenten besitzt eigene Berechtigungen, eigene Verbindungen und eigene Zugriffspfade. Wenn sie nicht aktiv überwacht oder gelöscht werden, bleiben sie im Hintergrund bestehen – und können jederzeit missbraucht werden. Viele Unternehmen wissen nicht, dass Cloud-Konten selbst dann aktiv bleiben können, wenn der Dienst längst nicht mehr genutzt wird oder die Firma dahinter gar nicht mehr existiert. Damit entstehen stille Risiken: - alte Logins, die nie deaktiviert wurden - Admin-Rollen, die niemand mehr nachvollziehen kann - Alias-Systeme, die E-Mails unerkannt weiterleiten - verknüpfte Dienste wie GitHub, Azure oder Exchange - Tenant-Strukturen, die Daten und Identitäten verbinden Angreifer – oder auch nur unachtsame Dienstleister – können solche offenen Strukturen nutzen, um Identitäten zu verknüpfen, Systeme zusammenzuführen oder Berechtigungen auszudehnen, ohne dass der Betreiber dies sofort bemerkt. Das Ergebnis ist immer dasselbe: Ein kompliziertes Netz aus Alt-Systemen, das von außen unsichtbar wirkt, aber intern jede Form von Zugriff erlaubt.

Offene Ports, automatische Hotspots, alte Routerkonfigurationen oder vergessene DNS-Einträge gehören zu den größten Schwachstellen moderner Netzwerke. Sie funktionieren wie ein Zweitschlüssel, der unbemerkt unter der Fußmatte liegt – niemand sieht ihn, niemand kontrolliert ihn, aber ein Angreifer findet ihn zuverlässig. Solche Lücken entstehen häufig durch routinierte Abläufe bei Providern oder Dienstleistern: ein Update hier, ein umgeleiteter Port dort, eine alte Konfiguration, die nie gelöscht wurde. Im normalen Betrieb fällt das nicht auf. Doch technisch betrachtet öffnen genau diese Punkte den direkten Zugang zum Netzwerk – oft dauerhaft. Werden DNS-Einträge nicht korrekt gepflegt, können Angreifer Anfragen umleiten, Datenverkehr abfangen oder Nutzer auf manipulierte Server schicken. Bleiben Ports offen, entstehen zusätzliche Angriffswege, die selbst einfache Tools sichtbar machen. Kurz gesagt: Offene Infrastruktur verbindet innere und äußere Systeme – und macht Angriffe möglich, bevor man sie überhaupt bemerkt. Für Unternehmen bedeutet das: Digitale Identität und Netzwerksicherheit stehen nur so stabil wie die schwächste, oft unscheinbare Konfiguration in der Kette.

Sie treten nicht als Hacker auf. Sie arbeiten „im Auftrag“, „im Dienst“, „für Supportzwecke“. Gerade deshalb kann die Sabotage von innen monatelang oder jahrelang laufen, ohne dass sie jemand bemerkt. Das Gefährliche an Innentätern ist nicht unbedingt ihre Absicht, sondern ihre Position im System. Wer bereits Zugang hat, wer vertraut wird, wer „schon immer“ administriert hat, fällt nicht auf. Die Aktivitäten wirken normal, die Zugriffe gehören zur Routine, und Warnsignale werden von internen Abläufen überdeckt. In der Praxis sieht das so aus: - Konfigurationen werden geändert, ohne dass sie protokolliert werden. - Nutzerrechte werden erweitert, weil „es gerade nötig war“. - Testkonten bleiben bestehen, obwohl sie nie wieder gebraucht werden. - Remote-Zugriffe laufen im Hintergrund weiter – teilweise über Jahre. - Neue Dienste werden angeschlossen, ohne dass der Betreiber es bemerkt. Nichts davon wirkt wie ein Angriff. Alles wirkt wie Alltag. Genau diese Normalität macht Innentäter zu einer der schwierigsten Bedrohungen im digitalen Raum. Während Angriffe von außen meistens deutliche Spuren hinterlassen, sind interne Manipulationen oft kaum zu identifizieren. Es braucht keine Malware, keinen Zero-Day und keinen gesonderten Zugang – der Schlüssel steckt bereits in der Tür. Besonders kritisch: Viele Unternehmen haben keine klaren Prozesse, wie Rechte geprüft, dokumentiert oder entzogen werden. Dadurch können sich Insider-Zugriffe unkontrolliert ausbreiten und monatelang unentdeckt bleiben.

Während große Konzerne über eigene SOC-Teams, Cybersicherheitsabteilungen und forensische Spezialisten verfügen, stehen kleine und mittelständische Betriebe vor einer ganz anderen Realität: Sie müssen denselben Bedrohungen begegnen, haben aber weder die Ressourcen noch das Know-how, um komplexe Angriffe zu erkennen oder zu analysieren. Passiert ein Fehler, bleibt er oft lange unentdeckt. Passiert ein Missbrauch, fehlt die technische Dokumentation. Passiert ein Angriff von innen, fehlt der Nachweis. Die Folgen sind gravierend: - Geschäftliche Identitäten können übernommen werden. - E-Mail-Postfächer verlieren ihre Integrität. - Domains werden falsch weitergeleitet oder verknüpft. - Software, Daten und Kundensysteme geraten außer Kontrolle. - Die eigene digitale Infrastruktur wird zum Risiko für Kunden und Partner. Kleine Unternehmen können solche Schäden nicht einfach wegstecken. Sie werden existenziell. Rechtsstreitigkeiten dauern Jahre, und technische Aufklärung ist teuer. Insider-Bedrohungen treffen den Mittelstand deshalb härter als jede andere Zielgruppe – weil nicht nur Daten, sondern ganze Geschäftsmodelle auf dem Spiel stehen. Und weil man als kleiner Betrieb oft allein gelassen wird.

Die Fakten sprechen für sich: - In über 60 % aller Cybervorfälle ist nicht der externe Hacker die Ursache, sondern ein interner Zugriff, eine Fehleinstellung oder ein Dienstleister mit zu vielen Rechten. - Viele Unternehmen schenken IT-Dienstleistern blindes Vertrauen – ohne Protokollierung, ohne Kontrolle. - Fehlende Dokumentation führt dazu, dass Zugriffe bestehen bleiben, selbst wenn der Dienstleister längst nicht mehr aktiv ist. - Historische Strukturen – alte Konten, verwaiste Tenants, Rest-Zugänge, offene Ports – bilden ein unsichtbares Fundament für Insider-Risiken. - Routinemäßige administrative Eingriffe werden selten hinterfragt. Wer im Inneren arbeitet, fällt nicht auf. - Und genau dort beginnt die Sabotage von innen: nicht sichtbar, nicht laut, aber oft nachhaltiger als jeder Angriff von außen.

Was die Fachpresse seit Jahren beschreibt, trifft in der Realität voll zu: Die meisten Sicherheitsprobleme entstehen nicht durch Technik, sondern durch Menschen, Prozesse und Strukturen. Es ist ein Risiko, das sich über Jahre entwickelt – langsam, schleichend, undurchsichtig. Heute ein falscher DNS-Eintrag, morgen ein unkontrollierter Admin-Zugang, übermorgen ein veraltetes Cloud-Konto. Am Ende steht kein mysteriöser Hacker – sondern eine Architektur, die Zugriff ohne Kontrolle ermöglicht.

Innentäter sind kein theoretisches Szenario, kein Hollywood-Konstrukt und kein Randthema. Sie sind ein praktisches Problem in jeder Organisation: - überall dort, wo mehrere Dienstleister gleichzeitig arbeiten - überall dort, wo Administratorrechte nie sauber getrennt werden - überall dort, wo Systeme wachsen, aber niemand mehr den Überblick behält - überall dort, wo Dokumentation fehlt - überall dort, wo Cloud, Domain, E-Mail und Telefonie miteinander verknüpft werden In so einer Struktur braucht es keinen bösen Willen. Es reicht ein Moment der Unachtsamkeit – und schon entsteht ein Angriffspunkt, der Monate oder Jahre bestehen bleibt.

Nicht weil jemand kriminell ist, sondern weil: - IT-Landschaften über die Jahre gewachsen sind - Rechte unkontrolliert vergeben wurden - alte Accounts bestehen bleiben - firmeneigene Prozesse nicht dokumentiert wurden externe Dienstleister mehr Macht haben als der Eigentümer selbst Das Ergebnis:

Die Innentäter-Problematik ist kein Einzelfall. Sie ist das Produkt eines digitalen Ökosystems, das Kontrolle verspricht – aber oft das Gegenteil bewirkt. Was heute als Hilfestellung beginnt, kann morgen zur vollständigen digitalen Entmündigung führen. Die wichtigste Lektion ist daher nicht technisch, sondern organisatorisch: Digitale Sicherheit beginnt nicht bei Firewalls und Passwörtern. Sie beginnt bei Kontrolle, Transparenz und dem Mut, interne Strukturen zu hinterfragen.