Insider Risk Management einführen: Vom Lizenz-Bestand zum produktiven Modul - Kigen IT
Microsoft Purview · Insider Risk

Insider Risk Management einführen: Vom Lizenz-Bestand zum produktiven Modul

Von Kigen IT · 27. Mai 2026 · 6 Min. Lesezeit

Microsoft Purview Insider Risk Management ist seit Jahren in jeder E5-Lizenz enthalten. Aktiv in weniger als 20 Prozent der Tenants, die wir reviewen. Das ist eines der größten ungenutzten Compliance-Module in Microsoft 365. Dieser Artikel zeigt den Weg vom Lizenz-Bestand zum produktiven Modul, inklusive Betriebsrat-Workshop und HR-Anbindung.

Was Insider Risk Management leistet

IRM erkennt Verhaltensmuster, die auf interne Risiken hindeuten: Datenexfiltration vor Kündigung, Massenlöschungen, Bewegungen sensibler Daten in private Cloud-Speicher, atypischer Druck-Output kurz vor Vertragsende, Zugriffe auf Inhalte außerhalb des üblichen Arbeitsbereichs.

Die Erkennung läuft pseudonymisiert. Erst beim Erreichen einer definierten Risiko-Schwelle wird der User-Bezug entanonymisiert, und auch das nur durch eine berechtigte Rolle in einem dokumentierten Eskalations-Prozess. Diese Trennung ist der Schlüssel zur betriebsrätlichen Akzeptanz.

Vier Gründe halten Unternehmen davon ab, IRM zu aktivieren. Alle vier sind lösbar.

Hürde 1

Den Betriebsrat ins Boot holen

Die häufigste Reaktion: "Der Betriebsrat sperrt sich." Verständlich auf den ersten Blick, weil IRM klingt nach Mitarbeiter-Überwachung. Bei genauerer Betrachtung ist es das nicht. IRM erkennt Risiko-Muster, nicht Performance. IRM bewertet Aktivitäten, nicht Personen. IRM eskaliert pseudonymisiert, nicht identifizierend.

Der pragmatische Weg: ein 30- bis 60-Minuten-Workshop mit dem BR-Vorsitzenden, in dem die Architektur erklärt wird. Welche Daten werden verarbeitet, wer hat Zugriff auf welche Stufe, wie funktioniert die Eskalation. In 90 Prozent der Fälle ist nach diesem Workshop eine Betriebsvereinbarung möglich.

Aktion: BR-Workshop mit IRM-Architektur und Eskalationspfad ansetzen, BR-Vereinbarung als Vorlage vorbereiten, Pilotgruppe und Use Cases mit BR abstimmen.

Hürde 2

Klare Rollen im Eskalations-Prozess

Zweite Hürde: "Wir wissen nicht, wer die Alerts bearbeiten soll." Drei Rollen reichen meist. Compliance-Officer triagiert die Alerts und entscheidet, ob ein Vorgang weiterverfolgt wird. Security-Lead bewertet die technische Dimension (handelt es sich um einen kompromittierten Account oder Insider-Aktivität). HR entscheidet bei klarem Personal-Bezug, ob personalrechtliche Schritte angemessen sind.

Der Prozess ist auf einer Seite beschreibbar. Wichtig sind klare Verantwortlichkeiten: wer triagiert, wer eskaliert, wer entscheidet. Ohne diese Klarheit verläuft jeder Alert im Sand.

Aktion: 3-Rollen-Modell als 1-Seiten-Prozess dokumentieren, Compliance-Officer, Security-Lead und HR-Vertretung benennen, Eskalations-Pfad in Sentinel-Workflow integrieren.

Hürde 3

HR-Connector anbinden

Dritte Hürde: "Wir haben keine HR-Anbindung gebaut." Microsoft Purview liefert Connectoren für SAP SuccessFactors, Workday und SharePoint-basierte HR-Systeme. Die Anbindung dauert typisch 1 bis 2 Tage Implementation plus 1 Tag Testing.

Ohne HR-Anbindung fehlen die wichtigsten Risiko-Trigger: Kündigung in Bearbeitung, befristeter Vertrag läuft aus, interne Versetzung. Diese Events sind die Hauptquellen für Insider-Risk-Detection. Mit HR-Anbindung wird IRM von einer generischen Anomalie-Erkennung zu einem zielgerichteten Risiko-Modul.

Aktion: HR-System identifizieren (SAP, Workday, anderes), Microsoft-Connector evaluieren, Anbindung mit HR und Datenschutz abstimmen, technische Implementation in 1- bis 2-Tage-Sprint planen.

Hürde 4

Pilotbetrieb statt Big Bang

Vierte Hürde: "Das haben wir uns für nächstes Jahr vorgenommen." Der typische Killer. IRM wird komplexer, je länger man wartet. Lizenz-Konstellationen ändern sich, Tenant-Konfigurationen werden umgebaut, neue regulatorische Anforderungen kommen dazu.

Die pragmatische Lösung: ein 4-Wochen-Pilot mit drei Use Cases (Datenexfiltration, Massenlöschung, atypischer externer Versand) und 50 bis 100 Pilot-Usern. Nach 4 Wochen ist klar, ob die Konfiguration stimmt, ob Alerts triagierbar sind und ob die Eskalationspfade funktionieren. Dann Tenant-Wide-Rollout.

Aktion: 4-Wochen-Pilot mit 3 Use Cases und 50 bis 100 Pilot-Usern starten, nach 4 Wochen Bewertung im 3-Rollen-Modell, dann Tenant-Wide-Rollout.

Aufsicht

Was sich in der Aufsichts-Praxis ändert

BaFin und KRITIS-Aufsichten fragen seit 2025 zunehmend explizit nach Insider-Risk-Maßnahmen. NIS2 §30 Bereich 9 (Zugangskontrolle und Asset-Management) fordert sie indirekt. Bei DORA wird Insider Risk in Resilienz-Audits als Pflichtthema behandelt.

Wer IRM lizenziert hat, aber nicht produktiv betreibt, schreibt im Audit eine Auflage. Die Begründung "wir haben das Modul, aber noch nicht aktiviert" wird seit Mitte 2025 nicht mehr akzeptiert. Die Aktivierung wurde von "Empfehlung" zu "Erwartung" verschoben.

Aktion: IRM-Aktivierung als Audit-Vorbereitungs-Maßnahme priorisieren, Konfigurationsstand und Pilotbetrieb-Doku im Compliance-Register ablegen.

Faustregel: Insider Risk Management ist kein technisches Projekt. Es ist ein organisatorisches Projekt mit technischer Umsetzung. Wer den BR-Workshop und das 3-Rollen-Modell ohne klare Verantwortlichkeit umsetzt, scheitert in der Triage.

Die Erstkonfiguration dauert 3 bis 5 Tage Implementation plus 4 Wochen Pilot. Nach 6 Wochen ist IRM produktiv und liefert die ersten echten Alerts. Im Vergleich zum Risiko, dass aktive Datenexfiltration vor Kündigung unentdeckt bleibt, ist die Investition trivial. Plus: ein Modul, das Sie ohnehin schon bezahlt haben.

Purview Potenzial Analyse

In 5 Tagen bewerten wir, welche Purview-Module in Ihrem Tenant ungenutzt sind: IRM, Communication Compliance, Information Barriers, Customer Lockbox. Plus: priorisierte Aktivierungs-Roadmap.

Zur Purview Analyse