Die britische gemeinnützige Organisation Cifas, die sich dem Betrugsbekämpfung widmet, hat gerade eine Studie veröffentlicht, die jeden beunruhigen sollte, der ein Unternehmen führt oder bei einem einkauft: Jeder achte Mitarbeiter in Großunternehmen hat entweder seine Zugangsdaten für das Unternehmensnetzwerk verkauft oder kennt jemanden, der dies getan hat.
Das Internet ist voll von gestohlenen Zugangsdaten, mit denen Mitarbeiter auf Unternehmenssysteme zugreifen. Das Threat-Intelligence-Unternehmen KELA hat im Jahr 2025 weltweit fast 2,9 Milliarden gestohlene Zugangsdaten erfasst. Die meisten davon stammen aus Phishing-Angriffen und durch Infostealer. Doch da es Mitarbeiter gibt, die sich schnell etwas dazuverdienen wollen, können Cyberkriminelle ihnen einfach ein Angebot unterbreiten.
Die Insider, die niemand beachtet
Cifas befragte 2.000 Mitarbeiter von Unternehmen mit mindestens 1.000 Beschäftigten. Davon gaben 13 % zu, in den letzten 12 Monaten ihre Zugangsdaten für das Unternehmensnetzwerk verkauft zu haben oder jemanden zu kennen, der dies getan hat. Erstaunlicherweise taten die Verkäufer dies, wie es im Bericht heißt, „oft in der Annahme, dass dies harmlos sei“.
Kurzmeldung: Der Verkauf Ihrer Zugangsdaten ist keineswegs harmlos. Kriminelle wollen diese Daten, um das Konto zu übernehmen und damit Missbrauch zu betreiben. Laut Verizon stieg die Zahl der Kontoübernahmen in den USA im vergangenen Jahr um 6 % auf über 78.000.
Viele gehackte Konten sind private Konten für Dienste, die von sozialen Medien über Online-Streaming-Seiten bis hin zu Bankkonten reichen. Viele andere sind jedoch Konten für Unternehmenssysteme wie Microsoft 365, Salesforce und andere Plattformen, auf denen sensible Unternehmensdaten gespeichert sind. Diese vertraulichen Informationen sind für Kriminelle ein wertvolles Gut, das sie anschließend auf dem freien Markt verkaufen können.
Dein Chef ist wahrscheinlich besser im Verkaufen als du
Im Idealfall sollte hier eine gängige Methode namens „Zugriff mit geringsten Rechten“ zum Einsatz kommen.
Der Grundgedanke ist, dass ein Unternehmenskonto im Internet nur Zugriff auf das haben sollte, was es benötigt. So sollte Jim in der Kantine zwar Zugriff auf das Bestellsystem für Lebensmittel haben, nicht aber auf die gesamte Kundendatenbank. Selbst wenn Jims Konto gehackt werden sollte, könnten die Angreifer Ihnen im schlimmsten Fall also nur die Würstchen für morgen vorenthalten.
Das Problem ist, dass laut dem Bericht Führungskräfte noch eher bereit sind, ihre Zugangsdaten zu verkaufen, als Mitarbeiter in untergeordneten Positionen. 32 Prozent der leitenden Manager halten dies für gerechtfertigt, ebenso wie 36 Prozent der Direktoren, 43 Prozent der Führungskräfte der obersten Ebene und – erstaunlicherweise – vier von fünf Geschäftsinhabern. Aufgrund ihrer Position können ihre Konten selbst bei Zugriff mit den geringsten Berechtigungen immer noch Zugang zu sensiblen Systemfunktionen und Daten ermöglichen.
Das ist nicht nur ein Problem in Großbritannien
Die Untersuchung von Cifas bezieht sich zwar speziell auf Großbritannien, doch das ist wahrscheinlich noch nicht alles. Wir haben festgestellt, dass Mitarbeiter mehrerer Unternehmen den Zugang zu Unternehmenskonten oder -daten verkauft haben. So gab beispielsweise das Kryptowährungsunternehmen Coinbase im vergangenen Jahr bekannt, dass Mitarbeiter eines in Bangladesch ansässigen Outsourcing-Unternehmens Kundendaten an hackers verkauft hatten.
Kompromittierte Zugangsdaten sind weit verbreitet. Unsere eigenen Untersuchungen haben ergeben, dass innerhalb eines Zeitraums von nur 30 Tagen bei 111 Fortune-500-Unternehmen Zugangsdaten von Mitarbeitern offengelegt wurden. Langfristig haben 363 dieser Unternehmen (das sind 73 %) die Kontrolle über mindestens einen Mitarbeiterzugang verloren.
Dass Mitarbeiter ihre Zugangsdaten verkaufen, ist nicht nur schlecht für die Unternehmen, bei denen sie beschäftigt sind. Es ist auch schlecht für die Kunden.
Wenn das Passwort eines Geschäftsführers zum Verkauf angeboten wird, dürfte eine Kundendatei nicht weit dahinter liegen, auch wenn es wahrscheinlich nicht der Geschäftsführer selbst ist, der sie verkauft. Malwarebytes , dass bei 91 % der Fortune-500-Unternehmen die Zugangsdaten ihrer Kunden offengelegt wurden, und gekaperte Konten sind ein hervorragender Weg, um an diese Daten zu gelangen.
Das Insiderrisiko ist also nicht nur ein Problem für Unternehmen, sondern auch für Verbraucher. Das führt dazu, dass wir unsere persönlichen Daten weniger bereitwillig an große Unternehmen weitergeben, ohne zu hinterfragen, wozu diese sie benötigen.
Dein Name, deine Adresse und deine Telefonnummer stehen wahrscheinlich schon zum Verkauf.
Datenbroker sammeln Ihre persönlichen Daten und verkaufen sie an jeden, der bereit ist, dafür zu zahlen. Malwarebytes Personal Data Remover diese DatenPersonal Data Remover , sorgt dafür, dass Ihre Informationen gelöscht werden, und überwacht anschließend, dass dies auch so bleibt.
