Close

Login

Wenn Sie sich hier zum ersten Mal seit dem 09.02.2024 anmelden wollen, nutzen Sie bitte die "Passwort vergessen"-Funktion.

Noch kein Abonnent? Hier geht es zu unseren Angeboten.

Passwort vergessen?     Registrieren

Close

Unser Kennenlernangebot

Mit Ihrer Registrierung erhalten Sie 4 Wochen kostenlosen Zugang zu allen Abonnenteninhalten.

Oder entscheiden Sie sich gleich für ein kostenpflichtiges Abonnement, um dauerhaft auf alle Inhalte des Sicherheits-Berater zugreifen zu können.

Close

Passwort vergessen

    Registrieren

Sicherheitsplanung

Innentäter sind kein Zufall

Ausgabe 4/2026 |
 
  |  
Ausgabe 4/2026
  |  
© TensorSpark - stock.adobe.com

Ein Detail bringt das Kartenhaus zum Einsturz
Ein Unternehmen in Spanien wähnte sich auf der sicheren Seite: Der Recruiting-Prozess war abgeschlossen, der Kandidat, ein Softwareentwickler aus Polen, hatte fachlich auf ganzer Linie überzeugt. Die Online-Interviews verliefen souverän, der Vertrag wurde unterzeichnet, und das Onboarding startete planmäßig. Die ersten Systemzugriffe waren bereits erteilt. Doch kurz nach Arbeitsantritt ließ ein unscheinbares Detail aufhorchen: Der neue Mitarbeiter bat darum, sein Gehalt statt auf ein polnisches auf ein luxemburgisches Bankkonto zu überweisen. Dies ist isoliert betrachtet kein Verbrechen, doch im Kontext seines bisherigen Werdegangs fehlte jede wirtschaftliche Logik.

Gefälschte Vita

Dieser kleine Verdachtsmoment war der Auslöser für eine vertiefte Überprüfung durch Validato. Ein strukturiertes Employment Screening brachte schließlich Fakten ans Licht, die selbst die schlimmsten Befürchtungen noch übertrafen. Im Rahmen der Hintergrundüberprüfung wurden die beruflichen Stationen direkt bei den Quellen verifiziert. Das Ergebnis war ernüchternd: Ein ehemaliger Arbeitgeber konnte das Anstellungsverhältnis nicht bestätigen. Bei zwei weiteren Unternehmen führten die hinterlegten Telefonnummern ins Leere; da die genannten Ansprechpartner dort gänzlich unbekannt waren. Auch eine tiefgreifende Analyse des Adressnachweises deckte Unstimmigkeiten auf, die bei der Standardprüfung verborgen geblieben waren.

Das Gesamtbild war eindeutig und beunruhigend zugleich: Zentrale Teile der Vita hielten einer Überprüfung nicht stand. Die gefälschte Identität war zwar für einen gewöhnlichen Bewerbungsprozess und das formale Onboarding professionell genug, scheiterte jedoch am Pre-Employment Screening. Dank der schnellen Aufdeckung des Betrugs konnte das Unternehmen das Arbeitsverhältnis sofort beenden, noch bevor der Mitarbeiter umfassende Zugriffsberechtigungen auf kritische Systeme und sensible Daten erhalten hatte.

Der entscheidende Punkt: Wäre die Hintergrundüberprüfung bereits vor Vertragsabschluss als strukturiertes Pre-Employment Screening erfolgt, hätte diese Person niemals Zugang zum Unternehmen erhalten. Der Fall wäre bereits in der Bewerbungsphase aufgefallen, nicht erst nach dem Onboarding.

Warum ein strukturiertes Pre-Employment Screening solche Fälle verhindert: Der Fall aus Spanien ist kein Einzelfall und spielt sich nicht nur in fernen Ländern ab. Die zunehmende Professionalisierung beim Fälschen von Bewerbungsunterlagen, oft mit Unterstützung durch KI, macht deutlich: Wer sich bei der Personalauswahl allein auf Interviews, sein Bauchgefühl oder die Plausibilität eines Lebenslaufs verlässt, geht ein vermeidbares Risiko ein. Hier setzt ein strukturiertes Pre-Employment Screening an. Es geht nicht um eine oberflächliche Prüfung, sondern um die direkte Verifizierung an der Quelle:

  • Bildungseinrichtungen bestätigen Abschlüsse.
  • Ehemalige Arbeitgeber verifizieren Positionen und Zeiträume.
  • Referenzgeber werden geprüft und persönlich kontaktiert.

Die Fakten sind eindeutig: Studien belegen, dass je nach Markt und Position zwischen zehn und 30 Prozent aller Unterlagen Unstimmigkeiten aufweisen – von „geschönten“ Jobtiteln bis hin zu komplett erfundenen Arbeitgebern oder Identitäten. Besonders kritisch ist die Prüftiefe. Ein strukturierter Prozess folgt einem klaren Risikoprofil: Nicht jede Stelle erfordert den gleichen Aufwand. Doch Schlüsselfunktionen mit Zugriff auf kritische Infrastruktur, Daten oder Finanzen verlangen jedoch systematische Aufmerksamkeit – und zwar vor dem ersten Arbeitstag und nicht danach.

Warum kontinuierliches Re-Screening entscheidend ist

Einmal prüfen reicht nicht
Ein professionelles Pre-Employment Screening hätte diesen Fall in Spanien verhindert. Doch selbst die gründlichste Prüfung ist nur eine Momentaufnahme. Da sich Lebensumstände, Loyalitäten und finanzielle Situationen jederzeit ändern können, entstehen Integritätsrisiken oft erst lange nach dem ersten Arbeitstag.

Deshalb ist ein kontinuierliches Re-Screening die unverzichtbare zweite Säule im Human Risk Management. In der Praxis hat sich die folgende risikoorientierte Staffelung bewährt:

  • Hochrisiko-Positionen (jährlich): IT-Administration, Finanzwesen oder Zugang zu kritischer Infrastruktur. Laut dem „Verizon Data Breach Investigations Report“ verursachen Insider mit privilegierten Zugängen die finanziell schwerwiegendsten Schäden.
  • Mittleres Risiko (alle zwei Jahre): Führungskräfte und Projektleiter, die mit sensiblen Daten arbeiten, sowie Mitarbeiter in Funktionen im Einkauf oder im Vertrieb. Ein Zweijahresrhythmus bietet hier die optimale Balance zwischen Aufwand und Risikominimierung.
  • Standardpositionen (alle drei Jahre): Mitarbeitende ohne Zugang zu kritischen Systemen. Der dreijährige Turnus stellt sicher, dass wesentliche Veränderungen – wie beispielsweise strafrechtliche Verurteilungen oder extreme finanzielle Notlagen – nicht dauerhaft unentdeckt bleiben.

Analyse von Interessenskonflikten

Neben Führungszeugnissen und Bonitätsprüfungen umfasst das Re-Screening ab dem mittleren Risiko auch die Analyse von Interessenkonflikten. Der wichtigste Effekt ist dabei die Prävention: Das Wissen um regelmäßige Checks wirkt nachweislich abschreckend auf dolose Handlungen.

Kein Generalverdacht

Wichtig: Das Re-Screening ist kein generelles Misstrauensvotum, sondern ein moderner Sicherheitsstandard. Es ist vergleichbar mit der Rezertifizierung von IT-Zugriffsrechten – eine notwendige Routine zum Schutz des gesamten Unternehmens.

Vom „Nice to have“ zur Pflicht

Der regulatorische Rahmen
Fälle wie der in Spanien verdeutlichen, warum der europäische Gesetzgeber den Druck auf Unternehmen massiv verschärft hat. Die Botschaft ist klar: Sicherheit muss den Faktor Mensch explizit berücksichtigen.

  • NIS2-Richtlinie: Sie verpflichtet Betreiber wesentlicher Einrichtungen zu umfassenden Risikomanagement-Maßnahmen. Dazu gehören explizit personalbezogene Sicherheitsmaßnahmen, Zugangskontrollen und die Sensibilisierung der Belegschaft. Cybersecurity endet nicht an der Firewall.
  • CER-Richtlinie (EU 2022/2557): Diese adressiert die physische und organisatorische Resilienz kritischer Einrichtungen. Sie fordert unter anderem explizite Zuverlässigkeits- und Hintergrundüberprüfungen für Personal in sensiblen Bereichen. Damit schafft die CER-Richtlinie die notwendige rechtliche Grundlage für eine systematische Integritätsprüfung. Sie ist genau das Instrument, das im spanischen Fall den entscheidenden Unterschied gemacht hätte.
  • Die ISO/IEC 27001 verlangt im Rahmen des Annex A (Abschnitte A.6 und A.7)
    klare Regelungen zur Personalsicherheit: von der Überprüfung vor der Einstellung über die Vertragsbedingungen bis hin zu Maßnahmen bei Beendigung des Arbeitsverhältnisses. In Verbindung mit den nationalen KRITIS-Gesetzen ergibt sich somit ein regulatorischer Rahmen, der das Human Risk Management nicht als optionales Extra, sondern als integralen Bestandteil einer belastbaren Sicherheitsarchitektur definiert.

Datenschutz: Möglichmacher, nicht Blockierer
Das hartnäckige Vorurteil, Hintergrundprüfungen seien aufgrund von Datenschutzgesetzen in der DACH-Region rechtlich nicht umsetzbar, erweist sich in der Praxis als falsch. Screening-Programme sind auf solider Rechtsgrundlage möglich, sofern sie verhältnismäßig, zweckgebunden und transparent gestaltet sind. Von entscheidender Bedeutung sind dabei die risikobasierte Prüftiefe sowie die aktive Einbindung der Betroffenen. Zur Absicherung der Compliance, insbesondere bei der Nutzung externer Dienstleister, ist ein Vertrag zur Auftragsverarbeitung (AVV) nach Art. 28 DSGVO unerlässlich. Aktuelle Regularien, wie die CER-Richtlinie und NIS2, bilden eine zusätzliche Legitimation für notwendige Personalüberprüfungen.

Die kulturelle Wirkung solcher Programme hängt maßgeblich von der Kommunikation ab. Transparenz über den Zweck und den Umfang der Datenverarbeitung ist kein Hindernis, sondern der entscheidende Akzeptanzfaktor. In Organisationen, die Screening offen einführen, ist die Zustimmung der Belegschaft oft überraschend hoch. Viele Mitarbeitende empfinden es als Sicherheitsgewinn, wenn für das gesamte Team dieselben hohen Integritätsstandards gelten. In Zeiten wachsender Risiken durch Insider-Bedrohungen oder Social Engineering wird professionelle Vorsorge eher als Schutzschirm, denn als Generalverdacht wahrgenommen.

Teil einer Vertrauenskultur

Wenn Screening richtig gerahmt wird, kann es Teil einer Vertrauenskultur werden. Eine klare Definition von Integritätsstandards fördert zudem eine offenere Gesprächskultur über Sicherheitsthemen. Wenn Integrität als expliziter Unternehmenswert gelebt wird, steigt die Bereitschaft, Unregelmäßigkeiten frühzeitig anzusprechen. Ein DSGVO-konformes Screening-Programm ist somit nicht nur ein Instrument zur Risikominimierung, sondern auch ein echtes Qualitätsmerkmal für eine professionelle und vertrauensbasierte Unternehmenskultur.

Lessons learned – der nicht existente Softwareentwickler
Der Fall des falschen Softwareentwicklers in Spanien verdichtet auf wenige Wochen, was in vielen Unternehmen über Jahre unentdeckt bleibt: Eine professionell konstruierte Identität, ein überzeugender Auftritt im Bewerbungsprozess und ein Standardverfahren, das darauf nicht vorbereitet war. Erst der Background Check brachte die Wahrheit ans Licht. Die Lehre daraus ist eindeutig: Die Bedrohung durch Innentäter ist real, messbar und vor allem adressierbar. Ein strukturiertes Pre-Employment Screening vor der Einstellung hätte die Einstellung verhindert. Ein kontinuierliches Re-Screening, das je nach Risikoprofil jährlich, alle zwei oder alle drei Jahre durchgeführt wird, stellt sicher, dass Veränderungen im Laufe des Beschäftigungsverhältnisses nicht zu blinden Flecken werden.

Reale, messbare und adressierbare Bedrohung

Der europäische Regulierungsrahmen, besteht aus NIS2, CER-Richtlinie, ISO/IEC 27001 und KRITIS Dachgesetz, macht unmissverständlich klar, dass personalbezogene Sicherheitsmaßnahmen keine optionalen Extras sind. Unternehmen, die die vier Aspekte – präventive Prüfung, kontinuierliche Überwachung, datenschutzkonforme Prozesse und transparente Kommunikation – vereinen, schaffen weit mehr als nur Compliance. Sie bauen eine Sicherheitskultur auf, die Risiken, die durch Innentäter entstehen (z. B. Spionage, Sabotage), systematisch minimiert. Der entscheidende Perspektivwechsel dabei ist: Die systematische Überprüfung von Mitarbeitenden ist kein Ausdruck von Misstrauen, sondern sie ist die professionelle Antwort auf eine Bedrohungslage, die längst in der Mitte der Unternehmenswelt angekommen ist.

Rubrik: Sicherheitsplanung, Themen, Unternehmenssicherheit

Aktuell in dieser Rubrik

Termine

Aktuelle Sicherheitsevents

Alt versus Neu

Neue Besen kehren besser! Oder?

Krisenkommunikation

Kommunikation – der unterschätzte Schlüsselfaktor in der Krise

RZ-Planung

Mietkälte für Rechenzentren als Notkälte

RZ-Planung

Adiabatische Verdunstungskühlung – die Reise geht weiter

RZ-Planung

Multi-Betriebsmodell für Rechenzentren

Weitere Short News

Rai – agentische KI-Mitarbeiterin für MSP

Planerhandbuch „Notstromversorgung“ der DGWZ erscheint im September

MDR-Services für kritische Infrastrukturen von Siemens

Schlüsselverwaltung für KI-Dateninfrastrukturen: Utimaco tritt der VAST Cosmos Community bei

Cloud-native Zutrittskontrolle für vernetzte Sicherheitsarchitekturen

Meist gelesen

Elektrotechnik

Erdung und Potentialausgleich in elektrischen Anlagen

Sicherheitstechnik

Wartung und Inspektion – nur notwendiges Übel?

Brandschutz

Wärmebildkameras mit KI zur Brandmeldeüberwachung in Tunneln

Brandschutz – Neue Norm-Entwürfe DIN 14677-1 und DIN 14677-2 erschienen

Veranstaltungsrückblick

BCM Summit 2025

Schwerpunktthemen

Homeoffice im Security-Alltag

Integrationstests

Krisenmanagement und Resilienz

Zutrittskontrolle

RZ-Sicherheit

  • 1
  • 2
  • 6

Service

Termine
Glossar
Kontakt zu
Redaktion und Leserservice
Abonnement
Newsletter

TeMedia Verlag

Über uns
Buchhandel
Mediadaten
AGB
Impressum
Datenschutzhinweise

© 2026 TeMedia Verlags GmbH, Bonn. Alle Rechte vorbehalten.
Linkedin Xing