patrolmindAI
← all case studies/Banken · Banking

Customer story

Norden Bank

Insider-Datenexfiltration in Echtzeit unterbrochen — am dritten Upload.

Ein Senior-Risikoanalyst begann, Kundendaten in kleinen Tranchen außerhalb der Geschäftszeiten in einen privaten Cloud-Speicher zu exportieren. PatrolMind erkannte das Verhaltensmuster bei der dritten Übertragung — und beendete die Sitzung, bevor ein einziger sensitiver Datensatz das Netzwerk verließ.

At a glance

Industry
Banken · Banking
HQ
Frankfurt am Main, Deutschland
Size
6 200 Mitarbeitende · 1,1 Mio. Kund:innen
Stack
PatrolMind Sentinel, Microsoft Entra ID

0

personenbezogene Datensätze offengelegt

47 min

Gesamtzeit zwischen erstem und letztem Versuch

1

Konto gesperrt — chirurgisch, nicht das Team

The challenge

Norden Bank hatte über Jahre in klassische DLP-Tools investiert. Sie waren gut darin, bekannte Dateimuster zu erkennen — Kreditkartennummern, IBANs, SSNs. Sie waren schlecht darin, ein menschliches Muster zu erkennen.

Im Herbst 2025 begann ein Senior-Analyst der Risikoabteilung, kleine Mengen anonymisierter Risikodaten in einen privaten Dropbox-Account hochzuladen — angeblich „für eine Diplomarbeit". Die DLP-Regeln griffen nicht: Die Daten passten zu keinem bekannten Muster. Aber das Verhalten — Logins zu ungewöhnlichen Zeiten, Downloads aus Reports, an die der Analyst sonst nie ranging — fiel auf.

The solution

Norden hatte PatrolMind drei Monate vorher als „Verhaltens-Layer" über ihrer bestehenden DLP gestartet. Die Engine lernte das Profil jedes Risk-Analysten: welche Berichte er normalerweise öffnete, zu welchen Zeiten, in welcher Sequenz, zu welchen Zielen er upload.

Am 14. November 2025 öffnete der Analyst um 23:42 Uhr einen Report, an den er seit 18 Monaten nicht gerührt hatte. PatrolMind setzte einen ersten Hinweis. 23:51: ein zweiter, anderer Report — 0,74 Score, aber unter dem Schwellenwert. 23:58: ein dritter Report, exportiert als ZIP, plus ein Upload nach dropbox.com. Score: 0,94.

PatrolMind beendete die Sitzung, sperrte das Konto, rotierte die Service-Tokens und benachrichtigte den diensthabenden Analyst-on-Call und die HR-Hotline. Insgesamt: 47 Minuten zwischen der ersten Beobachtung und der vollständigen Eindämmung.

Mein Vorstand hat mich nicht für die DLP-Investition gelobt. Er hat mich für PatrolMind gelobt — weil es etwas gestoppt hat, das DLP nicht sehen konnte. Wir haben Kundenvertrauen gerettet, das man nicht zurückkaufen kann.
Joaquín Salas, Head of Cyber, Norden Bank

The results

Datenleck verhindert, nicht nur entdeckt

Keiner der drei Uploads erreichte die Außenwelt. Die ersten zwei wurden zwar als „verdächtig" markiert, aber unterhalb des Eingriffsschwellenwerts beobachtet; der dritte überschritt die Schwelle und wurde aktiv blockiert.

HR-Prozess mit forensischer Tiefe

PatrolMind übergab HR und Rechtsabteilung einen signierten Bericht mit Zeitstempeln, Datei-Hashes und einem Schritt-für-Schritt-Verhaltensprofil. Der disziplinarische Prozess war in vier Tagen abgeschlossen statt sechs Wochen.

Vorstands-Story für 2026

Der Vorfall wurde zur Eröffnungsfolie der jährlichen Cyber-Vorstandsschulung. Norden's CISO erklärte: „Hätten wir nur Regeln, hätten wir nur fest geprüfte Reports geschützt. Das hier hat menschliches Verhalten gelesen."

Ein einziger Mitarbeiter — nicht ein ganzes Team

PatrolMind isolierte präzise einen Account und eine Sitzung. Niemand anderes im Risk-Team hatte Auswirkungen. Keine Massensperrungen, keine Sonntagsausflüge zum Helpdesk.

What's running

PatrolMind SentinelMicrosoft Entra IDSymantec DLP (legacy)Splunk Enterprise SecurityAzure DE Frankfurt

Next story

Pulse Telecom — SOC-Konsolidierung

Read →
30-Tage-Pilot · 0 € Risiko

Schließen Sie die Lücke zwischen Angriff und Abwehr.

30 Tage Pilotbetrieb, in Ihrer Cloud, ohne Risiko. Sie sehen Bedrohungen, die Ihr aktuelles SIEM nicht erkennt — oder Sie zahlen nichts.

Pilot vereinbaren Mit Engineering sprechen