Insider-Risiken im Zeitalter von GenAI: Relevanz für das Personalwesen

zuletzt aktualisiert 14. Oktober 2025

Insider-Risiken werden von Fachleuten inzwischen als schwerwiegender eingestuft als klassische externe Angriffe. Gemeint sind nicht nur absichtlich handelnde Mitarbeitende, sondern auch kompromittierte Zugänge, der Einsatz von Schatten-IT (nicht genehmigte Software oder Tools, die außerhalb der offiziellen IT-Landschaft genutzt werden) oder KI-gestützte Täuschungen. In einer aktuellen Umfrage gaben 64 % der befragten IT-Sicherheitsfachkräfte an, Insider stellten mittlerweile das größere Risiko dar. Mehr als die Hälfte berichtete zudem von einem deutlichen Anstieg solcher Vorfälle im letzten Jahr, und ein ähnlicher Anteil rechnet mit einer weiteren Zunahme.

Für HR-Bereiche bedeutet das: Es handelt sich nicht allein um eine technische Frage. Organisationskultur, Regelwerke, Kompetenzentwicklung, Mitbestimmung und die Steuerung neuer „Akteure“ wie KI-Agenten werden zunehmend zu Aufgabenfeldern des Personalwesens.

Ergebnisse der Studie im Überblick

Die Untersuchung „Von menschlichen zu hybriden Angriffen – Wie KI und Defizite in der Analyse Insider-Gefahren verstärken“, wurde jüngst vom Cybersicherheitsunternehmen Exabeam veröffentlicht. Das Marktforschungsinstitut Sapio Research befragte dafür im Juni und Juli 1010 IT-Sicherheitsfachkräfte aus Nordamerika, Europa, dem Nahen Osten sowie Asien-Pazifik/Japan. Eingeschlossen waren Analysten, Teamleiter und Führungskräfte aus Branchen wie Technologie, Finanzen, Industrie, Gesundheitswesen, Handel und öffentlicher Verwaltung. Die Mehrheit arbeitete in Organisationen mit mehr als 500 Beschäftigten.

Damit ist die Studie zwar breit aufgestellt, dennoch handelt es sich um eine Befragung, deren Ergebnisse Wahrnehmungen widerspiegeln und deshalb nicht unbedingt rein objektive Fakten widerspiegeln. Selbstauskünfte können immer durch Faktoren wie soziale Erwünschtheit oder regionale Verzerrungen beeinflusst sein. Dies kann dazu führen, dass Risiken je nach Region oder Branche über- oder unterschätzt werden.

Trotz allem macht die Studie deutlich, wie Sicherheitsverantwortliche Risiken einschätzen – und diese Wahrnehmung beeinflusst unmittelbar die Prioritäten und Maßnahmen in Organisationen.

Zentrale Befunde

• Verbreitete unautorisierte Nutzung von GenAI: 76 % der Unternehmen berichten, dass Mitarbeitende generative KI ohne Freigabe nutzen. Ein Ergebnis, dass auch von anderen Umfragen zur Nutzung von Schatten-KI gedeckt wird.
• Verstärkte Wirkung von Insider-Angriffen durch KI: 93 % der Befragten stellen fest oder erwarten, dass KI-Angriffe wie Phishing oder Deepfakes (realistisch wirkende, KI-generierte Fälschungen von Audio- oder Videomaterial) wirksamer machen.
• Programme vorhanden, aber Lücken in der Erkennung: 88 % haben zwar ein offizielles Insider-Programm, aber nur 44 % setzen auf Verhaltensanalysen (User & Entity Behavior Analytics, UEBA).
• Fehleinschätzung im Management: 74 % sehen ein klares Defizit im Verständnis der Geschäftsleitung für dieses Risiko.
• Wesentliche Hindernisse: Vorbehalte beim Datenschutz, fehlende Transparenz und mangelnder Kontext erschweren die Prävention.

Bedeutung für HR

Organisation und Kultur

Viele Insider-Risiken entstehen an Schnittstellen: unklare Regeln für KI-Nutzung, fehlende Verantwortlichkeiten oder Umgehung von Vorgaben. HR gestaltet hier Strukturen, Ziele und Schulungen und ist damit ein zentraler Faktor für Prävention.

Datenschutz und Mitbestimmung

Ein zentrales Hemmnis ist der Datenschutz. HR muss hier eine Vermittlerrolle zwischen IT-Sicherheit, Rechtsabteilung, Datenschutzbeauftragten und Interessenvertretungen übernehmen. Ziel ist es, zwischen legitimer Überwachung und unzulässiger Kontrolle zu unterscheiden und tragfähige Betriebsvereinbarungen zu schaffen.

Kompetenzen und Rollen

Mit KI-gestützten Angriffen verändert sich der Weiterbildungsbedarf. Es reicht nicht, nur auf das Erkennen von Phishing-Mails zu setzen. Benötigt wird zusätzlich Wissen über synthetische Medien, den Umgang mit generativen Assistenten und sichere Rollenkonzepte. Gleichzeitig muss HR reflektieren, wo die eigenen Einflussmöglichkeiten enden und welche Aspekte zwingend technischer Expertise oder Budgethoheit der IT unterliegen. Hier wird deutlich, dass HR zwar in der Gestaltung von Prozessen und Schulungen eine zentrale Rolle spielt, aber auf die Zusammenarbeit mit IT-Abteilungen und die Bereitstellung von Ressourcen angewiesen bleibt.

Governance von GenAI im Personalwesen

Aufbau von Richtlinien

• Erlaubte Anwendungsfälle definieren, z. B. Entwürfe für Stellenausschreibungen oder anonymisierte Datenauswertungen.
• Verbotszonen klar festlegen, z. B. keine Verarbeitung personenbezogener Daten ohne Rechtsgrundlage.
• Zugelassene Tool-Liste einführen, um Schatten-IT zu vermeiden.
• Zuständigkeiten klären: Wer ist für Vorlagen, Zugriffskontrollen und Freigaben verantwortlich?

Die Studie betont: „Adoption vor Governance“. Das heißt, der Einsatz von KI schreitet vielerorts schneller voran als die Entwicklung verbindlicher Regeln. HR sollte hier aktiv Standards setzen.

KI-Agenten als die neue Insider

Autonome Agenten mit echten Zugangsdaten stellen eine neue Risikokategorie dar. Deshalb müssen sie ebenso wie Mitarbeitende verwaltet werden: mit Prinzipien wie minimalen Zugriffsrechten, klaren On- und Offboarding-Prozessen und eindeutigen Verantwortlichkeiten. Abweichungen im Verhalten solcher Agenten müssen gesondert überwacht werden.

Operatives Zielbild: Verhalten im Fokus

Viele Organisationen setzen bisher vor allem auf technische Lösungen wie IAM (Identity and Access Management), DLP (Data Loss Prevention) und EDR (Endpoint Detection and Response). Diese Werkzeuge sind notwendig, erfassen aber nicht das gesamte Bild. Fehlverhalten oder auffällige Muster bleiben oft unentdeckt.

HR sollte gemeinsam mit der IT-Sicherheit deshalb stärker auf Verhaltenssignale achten, zum Beispiel:

• Umschlagpunkte: plötzliche Verhaltensänderungen, etwa massenhafte Datenabfragen nach einer Abmahnung oder Kündigung.
• Musterbrüche: Abweichungen von gewohnten Arbeitsroutinen, wie Zugriffe aus ungewohnten Ländern oder zu ungewöhnlichen Zeiten.
• Policy-Workarounds: Umgehungen bestehender Regeln, etwa die Nutzung privater Cloud-Dienste.

Diese Signale sind keine Beweise für böswilliges Verhalten, können aber wichtige Hinweise sein. Entscheidend ist eine verantwortungsvolle Bewertung unter Berücksichtigung des Datenschutzes.

Elemente für ein HR-Security-Alignment

• Gemeinsame Risiko-Taxonomie: Klare, einheitliche Begriffe für verschiedene Insider-Typen.
• Kompetenzmatrix und Trainingspfade: Definition, welche Fähigkeiten Mitarbeitende je nach Rolle benötigen, z. B. Erkennen von Deepfakes.
• Kontrollen in HR-Prozessen: Sicherungen bei sensiblen Abläufen wie Recruiting, Datenexporten oder Admin-Rechten.
• Privacy by Design: Datenschutzprinzipien von Beginn an in Systeme und Prozesse einbauen.
• Einbindung des Betriebsrats: Transparenz zu verwendeten Daten und Verfahren verhindert Missverständnisse und fördert Akzeptanz.

Kennzahlen und Frühindikatoren

• Verhältnis autorisierte/nicht autorisierte GenAI-Nutzung: Gibt Aufschluss über den Erfolg von Governance-Regeln.
• Einhaltung von Export-Richtlinien: Zeigt, ob sensible Personaldaten korrekt gehandhabt werden.
• Time-to-Mitigation: Misst die Reaktionsgeschwindigkeit bei Insider-Vorfällen, z. B. Sperrung von Zugängen.
• Reichweite und Wirkung von Schulungen: Ergebnisse aus Tests und Simulationen verdeutlichen Lernerfolge.
• Einschätzung im Management: Regelmäßige Abfragen prüfen, ob Führungskräfte Risiken realistisch einschätzen. Die Studie zeigt, dass viele dies unterschätzen.

Regionale Unterschiede berücksichtigen

Die Risikoeinschätzung unterscheidet sich je nach Region. In Europa und Asien-Pazifik/Japan steht KI-Phishing im Vordergrund, im Nahen Osten eher die unautorisierte KI-Nutzung. Für internationale Unternehmen bedeutet das: Trainings und Maßnahmen sollten regional angepasst werden.

Praxisbeispiel

In Europa könnten Trainings den Schwerpunkt auf das Erkennen von KI-gestützten Phishing-Mails legen. Im Nahen Osten wäre es sinnvoller, den Umgang mit generativen KI-Tools in den Vordergrund zu stellen und klare Regeln für deren Nutzung zu vermitteln. Solche Praxisbeispiele helfen, die wahrgenommenen Risiken gezielt aufzugreifen, ohne die objektive Bedrohungslage aus dem Blick zu verlieren.

Dabei gilt: Wahrnehmung ist nicht automatisch gleich Realität. Nur weil Befragte ein Risiko als besonders gravierend einstufen, heißt das nicht, dass es dort objektiv häufiger vorkommt. Für HR ist es dennoch sinnvoll, diese Wahrnehmung aufzugreifen, da Menschen besser lernen, wenn Beispiele als relevant empfunden werden. Grundlage der Governance müssen aber die objektiven Bedrohungen bleiben. So können subjektive Eindrücke und reale Risiken zusammengeführt werden.

Fazit: HR als Mitgestalter einer Sicherheitskultur

Die Ergebnisse verdeutlichen ein Ungleichgewicht: Programme sind oftmals vorhanden, doch es fehlt an ausreichender Governance, Verhaltensanalysen und Management-Bewusstsein. HR kann hier eine zentrale Rolle übernehmen – durch klare Regeln, gezielte Trainings und abgestimmte Prozesse. Wichtig ist jedoch auch die Einsicht, dass HR diese Aufgabe nicht allein bewältigen kann: Ohne technische Expertise, ausreichende Budgets und die aktive Unterstützung durch das Top-Management bleiben die Handlungsmöglichkeiten eingeschränkt. Offen bleibt zudem, welche Schwerpunkte HR in den kommenden Jahren setzen sollte und wie sich Praxis und Forschung enger verzahnen können. Wer es schafft, Mensch, Maschine und Regeln in ein ausgewogenes Verhältnis zu bringen, kann Insider-Risiken nachhaltig reduzieren und gleichzeitig das Vertrauen innerhalb der Organisation stärken.

FAQs

Warum gelten Insider-Risiken als besonders kritisch?

Weil Insider direkten Zugriff auf Systeme und Daten haben. Angriffe von innen oder durch kompromittierte Konten sind daher oft schwerer zu erkennen und können größeren Schaden anrichten als externe Attacken.

Welche Rolle spielt KI bei Insider-Bedrohungen?

Künstliche Intelligenz verstärkt bestehende Risiken, etwa durch täuschend echte Phishing-Mails oder Deepfakes. Sie macht Angriffe schneller, unauffälliger und schwieriger zu stoppen.

Was bedeutet Schatten-IT im HR-Kontext?

Schatten-IT beschreibt nicht genehmigte Software oder Tools, die Mitarbeitende ohne Freigabe nutzen. Das birgt Risiken für Datenschutz, Datensicherheit und Compliance.

Warum ist HR von Insider-Risiken betroffen?

HR verantwortet Policies, Trainings und die Kultur im Unternehmen. Damit ist HR entscheidend, um Insider-Risiken vorzubeugen und Mitarbeitende im sicheren Umgang mit Technologien zu schulen.

Welche neuen Herausforderungen bringen KI-Agenten?

Wenn KI-Agenten mit echten Zugangsdaten ausgestattet werden, verhalten sie sich wie Mitarbeitende. Sie benötigen daher klare Rollen, On- und Offboarding-Prozesse sowie verantwortliche Owner.

Was versteht man unter Verhaltenssignalen?

Verhaltenssignale sind Auffälligkeiten wie plötzliche Datenabfragen, ungewöhnliche Zugriffszeiten oder Regelumgehungen. Sie deuten auf mögliche Risiken hin, ohne Beweise für böswilliges Handeln zu sein.

Welche Kennzahlen helfen HR bei der Risikoüberwachung?

Beispiele sind das Verhältnis autorisierter zu nicht autorisierter KI-Nutzung, die Einhaltung von Datenexport-Richtlinien, die Geschwindigkeit von Reaktionen bei Vorfällen oder die Reichweite von Schulungen.

Warum bleiben regionale Unterschiede wichtig?

Die Risikowahrnehmung ist regional unterschiedlich. Auch wenn sie nicht die objektive Bedrohungslage widerspiegelt, hilft sie HR, Trainings und Kommunikation so zu gestalten, dass sie als relevant empfunden werden.