Sabotage durch Innentäter

Ein in Betrieben gerne ausgeblendetes Szenario muss das Management umtreiben: Ein Mitarbeiter führt böses gegen das eigene Unternehmen im Schilde. Was etwa, wenn ein unzufriedener Mitarbeiter, der sich perfekt im System seines Unternehmens auskennt, gezielt eine digitale „Bombe“ platziert, die beim Verlust seines Arbeitsplatzes zündet?

Klingt übertrieben? Nun: Genau dieses Szenario spielte sich kürzlich in den USA ab. Ein Softwareentwickler wurde wegen massiver Sabotage seiner ehemaligen Firma verurteilt – mit weitreichenden Folgen für das Unternehmen und wichtige Lehren für das Management. Das Stichwort das hier fallen muss ist der “Innentäter”.

Ein perfider Racheakt mit globalen Auswirkungen

Davis Lu, ein 55-jähriger Softwareentwickler aus Texas, arbeitete über ein Jahrzehnt lang für ein international tätiges Unternehmen mit Hauptsitz in Ohio. Nach einer Degradierung im Jahr 2018 fühlte er sich offenbar so ungerecht behandelt, dass er begann, gezielt Schadcode in die IT-Infrastruktur seines Arbeitgebers einzuschleusen.

Im August 2019 implementierte er eine Reihe manipulativer Programme:

  • Endlosschleifen in Java-Anwendungen, die Server überlasteten und unbrauchbar machten.
  • Löschung von Nutzerprofilen seiner Kollegen.
  • Eine digitale Zeitbombe, die aktiv wurde, sobald sein Benutzerkonto deaktiviert wurde.

Diese letzte Maßnahme – eine Art „Kill-Switch“ – trug den Namen IsDLEnabledinAD (kurz für „Is Davis Lu enabled in Active Directory?“). Als Lu am 9. September 2019 entlassen wurde, deaktivierte sein Arbeitgeber sein Konto – und löste damit eine Katastrophe aus: Tausende von Mitarbeitern in mehreren Ländern verloren den Zugang zu ihren Systemen, was den Betrieb des Unternehmens erheblich störte und finanzielle Schäden in sechsstelliger Höhe verursachte.

Zusätzlich zu dieser Sabotage versuchte Lu, seine Spuren zu verwischen: Er löschte verschlüsselte Daten von seinem Firmenlaptop und suchte im Internet gezielt nach Techniken, um Zugriffsrechte zu erweitern, Prozesse zu verbergen und Dateien schnell zu löschen. Nun wurde er vor einem US-Bundesgericht schuldig gesprochen. Ihm drohen bis zu zehn Jahre Haft.

Wirtschaftsspionage

Was macht diesen Fall so brisant?

Dieser Vorfall zeigt ein alarmierendes Problem, das viele Unternehmen unterschätzen: Innentäter sind oft eine größere Gefahr als externe Angriffe.

Studien zeigen, dass über 60 % der wirtschaftskriminellen Vorfälle auf Innentäter zurückzuführen sind – oft sind es ehemalige oder unzufriedene Mitarbeiter. Gerade im IT-Bereich haben Angestellte mit Administratorrechten eine enorme Macht. Sie kennen Schwachstellen, haben Zugang zu kritischen Systemen und können Schadsoftware unauffällig implementieren.

Die Angriffsformen reichen von Datendiebstahl über Sabotage bis hin zur Manipulation von Geschäftsprozessen. Besonders gefährdet sind dabei Unternehmen, die digitale Systeme nicht ausreichend absichern oder ehemalige Mitarbeiter nicht sorgfältig aus ihren Systemen entfernen.

Rechtsanwalt Ferner zur Sabotage durch Innentäter - Anwalt für Cybersicherheit und Geheimnisschutz

Ich verstehe den “Innentäter” weit, da ich mich auf das Risiko konzentriere – es gibt, wie hier, den vorsätzlich böswillig handelnden. Es gibt aber auch die unvorsätzlichen Innentäter, die sich im guten Willen Mails mit Unternehmensdaten schicken um zu Hause zu arbeiten. Doch gerade diese sind besonders gefährlich, da die zu Hause schoechte geschützte Infrastruktur dann Zugriff auf sensible Daten eröffnen kann. Eine Mischung aus Kontrolle und Awareness ist in allen Betrieben nötig.

Wie kann sich das Management vor solchen Bedrohungen schützen?

Ein effektives Insider-Risikomanagement erfordert eine Kombination aus technischen Sicherheitsmaßnahmen, klaren Prozessen und einer gezielten Unternehmenskultur:

  1. Frühwarnsysteme für auffälliges Verhalten
    • Plötzliche Änderungen in der Systemnutzung (z. B. vermehrte Dateiabrufe oder ungewöhnliche Skriptausführungen) können Alarmsignale sein.
    • Implementierung von User Behavior Analytics (UBA) zur Identifikation verdächtiger Aktivitäten.
  2. Technische Schutzmaßnahmen
    • Rollenbasierte Zugriffskontrollen strikt durchsetzen: Mitarbeiter sollten nur Zugriff auf die Systeme haben, die sie für ihre Arbeit benötigen.
    • Automatisierte Deaktivierung von Berechtigungen beim Ausscheiden eines Mitarbeiters.
    • Security-Exit-Management: Überprüfung aller IT-Konten und Geräte, bevor ein Mitarbeiter das Unternehmen verlässt.
  3. Sicherheitsbewusstsein im Unternehmen stärken
    • Regelmäßige Schulungen zum Thema Wirtschaftsschutz, insbesondere für Führungskräfte und IT-Teams.
    • Einführung eines -Systems, um verdächtiges Verhalten frühzeitig zu melden.
    • Förderung einer offenen Unternehmenskultur, um Frustration und Entfremdung von Mitarbeitern zu minimieren.
  4. für den Ernstfall
    • Ein Incident-Response-Plan für Insider-Angriffe sollte genauso selbstverständlich sein wie für externe Cyberangriffe.
    • Regelmäßige Penetrationstests und Red-Teaming-Übungen, um interne Schwachstellen zu identifizieren.
IT-Forensik bei Cybervorfällen: Leitfaden für das Management

Innentäter-Risiken ernst nehmen!

Der Fall Davis Lu zeigt, dass die größte für Unternehmen nicht immer von außen kommt. Unzufriedene oder scheidende Mitarbeiter mit IT-Zugriff können erheblichen Schaden anrichten, wenn keine wirksamen Schutzmaßnahmen existieren. Unternehmen müssen den Wirtschaftsschutz verstärkt auf interne Risiken ausweiten – denn allzu oft sitzt der Feind unerkannt in den eigenen Reihen.

Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht - zertifizierter Experte in Krisenkommunikation & Cybersecurity)
Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht - zertifizierter Experte in Krisenkommunikation & Cybersecurity)
Fachanwalt für Strafrecht & IT-Recht bei Anwaltskanzlei Ferner Alsdorf
Ich bin Fachanwalt für Strafrecht + Fachanwalt für IT-Recht und widme mich beruflich ganz der Tätigkeit als Strafverteidiger und dem IT-Recht mit Schwerpunkt Cybersecurity & Softwarerecht. Ich bin zertifizierter Experte für Krisenkommunikation & Cybersecurity; zudem Autor sowohl in Fachzeitschriften als auch in einem renommierten StPO-Kommentar zum IT-Strafprozessrecht und zur EU-Staatsanwaltschaft.Als Softwareentwickler bin ich in Python zertifiziert und habe IT-Handbücher geschrieben.

Erreichbarkeit: Per Mail, Rückruf, Threema oder Whatsapp.

Unsere Kanzlei ist spezialisiert auf Starke Strafverteidigung, seriöses Wirtschaftsstrafrecht und anspruchsvolles IT-Recht inkl. IT-Sicherheitsrecht - ergänzt um Arbeitsrecht mit Fokus auf Managerhaftung.
Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht - zertifizierter Experte in Krisenkommunikation & Cybersecurity)
Letzte Artikel von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht - zertifizierter Experte in Krisenkommunikation & Cybersecurity) (Alle anzeigen)

Von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht - zertifizierter Experte in Krisenkommunikation & Cybersecurity)

Ich bin Fachanwalt für Strafrecht + Fachanwalt für IT-Recht und widme mich beruflich ganz der Tätigkeit als Strafverteidiger und dem IT-Recht mit Schwerpunkt Cybersecurity & Softwarerecht. Ich bin zertifizierter Experte für Krisenkommunikation & Cybersecurity; zudem Autor sowohl in Fachzeitschriften als auch in einem renommierten StPO-Kommentar zum IT-Strafprozessrecht und zur EU-Staatsanwaltschaft.Als Softwareentwickler bin ich in Python zertifiziert und habe IT-Handbücher geschrieben.

Erreichbarkeit: Per Mail, Rückruf, Threema oder Whatsapp.

Unsere Kanzlei ist spezialisiert auf Starke Strafverteidigung, seriöses Wirtschaftsstrafrecht und anspruchsvolles IT-Recht inkl. IT-Sicherheitsrecht - ergänzt um Arbeitsrecht mit Fokus auf Managerhaftung.