Als CTO verbringe ich viel Zeit damit, über Firewalls, EDR, SIEM-Dashboards, Verschlüsselungsstandards und Zero-Trust-Architekturen zu diskutieren. Aber hier ist die unbequeme Wahrheit: Die meisten Unternehmen sind massiv gegen externe Angreifer befestigt – während das wahre Risiko oft bereits im Gebäude sitzt.


Studien zeigen immer wieder, dass bei über der Hälfte aller Sicherheitsvorfälle (oft werden 60% genannt) der Faktor Mensch eine entscheidende Rolle spielt. Nicht, weil Mitarbeiter standardmäßig böswillig sind. Sondern weil Zugriff, Vertrauen und menschliches Verhalten Teil jedes Systemdesigns sind.

Sicherheit bedeutet nicht nur, sich gegen Hacker zu verteidigen. Es geht darum, die Menschen zu verstehen, die bereits Zugang haben.


Der blinde Fleck: Insider Risk

Wenn wir über Insider-Risiken sprechen, denken viele an Spionage oder gezielte Sabotage wie in einem Hollywood-Film. In der Realität ist das Risiko oft viel banaler und alltäglicher:


  1. Ein Mitarbeiter kopiert sensible Kundendaten, bevor er kündigt.
  2. Ein Mitglied des Finanzteams gibt eine manipulierte Rechnung frei.
  3. Ein IT-Administrator teilt Anmeldeinformationen „nur vorübergehend“.
  4. Ein gutmeinender Kollege klickt auf eine täuschend echte Phishing-E-Mail.


Das Problem ist meist nicht die Moral. Es ist die Gleichung aus Exposition + Zugriff + Gelegenheit. Aus architektonischer Sicht ist jeder privilegierte Benutzer eine potenzielle Angriffsfläche.


Privileged Access: Der Multiplikator

Je höher die Zugriffsebene, desto höher das systemische Risiko. CISOs investieren massiv in:

  1. Privileged Access Management (PAM)
  2. Multi-Faktor-Authentifizierung (MFA)
  3. Segmentierung
  4. Monitoring und Logging


Aber es gibt eine Frage, die wir auf Architekturebene selten stellen: Wem geben wir diesen Zugang überhaupt?

Sicherheitsframeworks wie ISO/IEC 27001, NIS2 und DORA fordern Governance und Risikomanagement. Dennoch behandeln viele Organisationen Background Checks immer noch als reine HR-Formalität statt als Risikokontrolle. Privilegierter Zugriff ohne strukturiertes Screening ist wie der Einbau einer Tresortür, bei der die Schlüsselverteilung dem Zufall überlassen wird.


Die übersehene Phase: Das Offboarding-Risiko

Eines der am meisten unterschätzten Risiken in der Cybersicherheit ist der Zeitraum rund um eine Kündigung. Die Fehlerquellen sind bekannt, aber fatal:

  1. Konten werden nicht sofort deaktiviert.
  2. Geteilte Zugangsdaten bleiben gültig.
  3. API-Keys werden nicht rotiert.
  4. ERP- oder CRM-Zugriffe bleiben wochenlang bestehen.

Offboarding ist kein reiner HR-Workflow. Es ist ein sicherheitskritisches Ereignis. Wenn Ihr SOC externe Bedrohungen rund um die Uhr überwacht, Sie aber keinen strukturierten Prozess für Rollenwechsel und Austritte haben, besteht eine architektonische Inkonsistenz.


Screening als präventive Sicherheitskontrolle

Background Screening wird oft als HR-Compliance-Aufgabe gesehen. Aus der Perspektive eines CTOs ist es jedoch etwas anderes: Es ist eine präventive Sicherheitskontrolle.


Ein ordnungsgemäßes Screening:

  1. Reduziert die Wahrscheinlichkeit von Risikoeinstellungen in sensiblen Rollen.
  2. Identifiziert Diskrepanzen, bevor Zugriff gewährt wird.
  3. Unterstützt die rollenbasierte Risikobewertung.
  4. Schafft Auditierbarkeit für Regulatoren und Wirtschaftsprüfer.


Es eliminiert das Risiko nicht vollständig. Aber es senkt die Basisexposition, noch bevor technische Kontrollen überhaupt relevant werden. Denken Sie so: Firewalls reduzieren die externe Wahrscheinlichkeit. Screening reduziert die interne Wahrscheinlichkeit. Beide gehören in dasselbe Risikomodell.


Warum das kein reines HR-Thema ist

Die Geschäftsführung unterschätz al sicherheitstool oft da das Screening oft, weil es „zur HR gehört“. Doch diese Trennung ist künstlich.


Wenn eine Person:

  1. Ihre Produktionssysteme administriert,
  2. Zugang zu Finanzströmen hat,
  3. Kundendaten verwaltet oder
  4. kritische Infrastruktur bedient...


...dann ist diese Person Teil Ihres Sicherheitsperimeters. Human Risk ist ein Governance-Thema. Es ist ein Thema für den Vorstand. Und zunehmend ist es eine regulatorische Erwartung. NIS2 und DORA sagen zwar nicht explizit „Führen Sie Background Checks durch“, aber sie fordern geeignete und verhältnismäßige Risikokontrollen. Die Interpretationslücke schließt sich!


Fazit: Bauen Sie die Human Firewall

Eine technische Firewall blockiert Datenpakete. Eine „Human Firewall“ reduziert verhaltensbedingte Risiken.


Um eine solche aufzubauen, benötigen Sie:

  1. Strukturiertes, rollenbasiertes Screening (Pre-Employment).
  2. Klare Dokumentation und Audit-Trails.
  3. Kontrollierten privilegierten Zugriff.
  4. Saubere Offboarding-Workflows.
  5. Kontinuierliche Überprüfung für sensible Rollen.


Technische Sicherheit und menschliche Sicherheit sind keine getrennten Ebenen. Sie sind voneinander abhängig. Sie können keine Resilienz aufbauen, indem Sie nur Systeme härten. Sie müssen auch die Menschen verstehen und überprüfen, die diese Systeme bedienen.

Möchten Sie wissen, wie Sie Background Screening nahtlos in Ihre Sicherheitsstrategie integrieren können? Kontaktieren sie Validato!