So können Sie sich schützen!

Nordkoreas Cyber-Spione: Remote-Jobs als Tarnung

Hacker, hacker tarnt sich als mitarbeiter, cyberspionage nordkorea, nordkoreanische hacker, remote job hacker, Nordkorea, Remote
LinkedInRedditWhatsAppPocket

Mit gefälschten Identitäten und perfekt inszenierten Lebensläufen schleusen sich nordkoreanische Hacker:innen als scheinbar qualifizierte IT-Fachkräfte in Unternehmen ein – mit potenziell katastrophalen Folgen.

Täuschung mit System: Nordkoreas Strategie für die Cyberfront

Was klingt wie ein Plot aus einem Spionage-Thriller, ist längst Realität: Nordkorea schickt IT-Spezialisten auf den digitalen Arbeitsmarkt – nicht mit Raketen, sondern mit perfektionierten Lebensläufen und gestohlenen Identitäten. Ihr Ziel: Jobs in westlichen Unternehmen ergattern, um im Hintergrund Daten zu stehlen, Schadsoftware zu platzieren oder schlicht mit dem Gehalt das Regime in Pjöngjang zu finanzieren.

Anzeige

Ein aktueller Bericht des Sicherheitsunternehmens Mandiant zeigt, wie weitreichend diese Operationen organisiert sind. Demnach arbeiten sogenannte “IT-Arbeiter” teils unter einem Dutzend gefälschter Identitäten gleichzeitig – oftmals in hochsensiblen Branchen wie Cybersicherheit oder Blockchain-Entwicklung. Besonders perfide: Die Hacker geben sich immer öfter als Frauen aus, um kulturelle Schutzmechanismen auszunutzen.

KnowBe4 & Co: Wenn Sicherheitsfirmen selbst Opfer werden

Ironie des Schicksals: Auch KnowBe4 – ein Unternehmen, das sich dem Kampf gegen Phishing und Social Engineering verschrieben hat – stellte unwissentlich einen nordkoreanischen Hacker ein. Dieser hatte sich mit KI-generiertem Foto und gestohlener Identität beworben. Obwohl der Bewerber mehrere Interviews bestand, fiel erst nach Arbeitsantritt auf, dass er versuchte, Schadsoftware im Unternehmensnetzwerk zu installieren.

Solche Fälle sind keine Einzelfälle. In einem anderen Unternehmen stellte sich ein vermeintlicher IT-Mitarbeiter im Nachhinein als Erpresser heraus. Nach dem erfolgreichen Onboarding verschaffte er sich Zugang zu sensiblen Daten und forderte anschließend eine hohe Geldsumme für deren Freigabe. Die Zahlung sollte – wenig überraschend – in Kryptowährung erfolgen.

Anzeige
Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Rekrutierung via Freelance-Plattformen: Das trojanische Pferd der Remote-Arbeit

Nordkoreanische Hacker nutzen Plattformen wie Upwork oder Freelancer.com, um sich unter falscher Flagge als freie Mitarbeitende anzubieten. Dabei verwenden sie VoIP-Telefonnummern, manipulierte LinkedIn-Profile und sogar gestohlene Social-Media-Identitäten. Die Zahlungen laufen über Krypto-Wallets oder Strohmänner in Drittländern.

Ein besonders krasser Fall ist der eines nordkoreanischen Agenten, der unter zwölf verschiedenen Identitäten gleichzeitig arbeitete – in Europa und den USA. Das Ziel: Anstellungen in sensiblen Branchen, um potenziell Zugriff auf wertvolle Informationen zu erhalten.

Das Bundesamt für Verfassungsschutz warnt Unternehmen eindringlich davor, solche Remote-IT-Kräfte einzustellen, die ihre wahre Herkunft verschleiern.

So schützen sich Unternehmen effektiv: Tipps für HR und IT-Security

Sophos hat eine Checkliste für HR-Abteilungen und Sicherheitsverantwortliche veröffentlicht, um sich gegen digitale Trojaner in Bewerberform zu wappnen:

Im Vorstellungsgespräch:

  • Nur Identitätsnachweise akzeptieren, die sich verifizieren lassen – idealerweise durch ein persönliches oder Live-Video-Interview.
  • Virtuelle Hintergründe deaktivieren und bei Unstimmigkeiten zu Ort, Wetter oder Sprache gezielt nachhaken.
  • Online-Recherche: Stimmen Lebenslauf, Foto und bisherige Arbeitgeber mit öffentlich zugänglichen Informationen überein?
  • VoIP-Telefonnummern sind ein Warnsignal – besonders wenn sie als einzige Kontaktmöglichkeit angegeben werden.

Während des Onboardings:

  • Firmen-Hardware sollte nur an die ursprünglich angegebene Adresse versendet werden – keine kurzfristigen Änderungen zulassen.
  • Bestehen auf eigene Geräte oder ungewöhnliche Zahlungswünsche (z. B. Vorauszahlungen, häufige Kontoänderungen) sind red flags.

Nach dem Start:

  • Monitoring von Netzwerkzugriff, VPN-Nutzung (z. B. Astrill VPN) und ungewöhnlichen Datenflüssen ist essenziell.
  • Mitarbeitende, die sich dauerhaft Videoanrufen entziehen oder seltsame Hintergrundgeräusche im Gespräch aufweisen, sollten überprüft werden.

Fazit: Nordkorea hat die Remote-Welt als Einfallstor erkannt

Die Digitalisierung von Arbeitsprozessen öffnet neue Türen – leider auch für kriminelle Staaten. Nordkorea setzt auf Professionalität, Geduld und Täuschung, um seine wirtschaftlichen und politischen Ziele zu verfolgen. Für Unternehmen bedeutet das: Nur mit konsequenter Identitätsprüfung, Sicherheitsbewusstsein und einem wachsamen HR-Team lässt sich verhindern, dass die nächste neue Kollegin nicht für ein feindliches Regime arbeitet.


Valerie Parthier, Online-Redakteurin, IT Verlag GmbH

Valerie

Parthier

Online-Redakteurin

IT Verlag GmbH

Anzeige

Artikel zu diesem Thema

Die Kim-Jong-Un-Frage: So werden nordkoreanische IT-Spione entlarvt
Nordkoreas IT-Arbeiter wollten bei SentinelOne andocken
Falscher IT-Angestellter aus Nordkorea hatte 12 Identitäten
Firma stellt Hacker aus Nordkorea ein – Netzwerk infiltriert

Weitere Artikel

Vom Hacker zum Unternehmer: So investieren Cyberkriminelle ihre Krypto-Millionen
Cyberangriff im Mittelstand: Eine Echtzeit-Reportage
Malware-verseuchte Open-Source-Projekte
Darknet-Boom: Wie Hacker KI für kriminelle Zwecke nutzen
Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.