Thought Leadership
Der Trend, dass sich mutmaßliche IT-Fachleute mit gestohlenen Social-Media-Profilen bei Unternehmen als Remote-Mitarbeiter bewerben, geht nach heutigem Kenntnisstand stark von Personen aus, die in Verbindung mit der Demokratischen Volksrepublik Korea (DPRK) stehen.
Amazon blockierte 1.800 verdächtige Bewerbungen
Sie nutzen reale, jedoch gehackte LinkedIn-Profile, um sich mit einer falschen Identität als IT-Mitarbeiter in Unternehmen einzuschleichen. Ziel ist es, Malware in die Unternehmenssysteme von innen einzuschleusen, Geld und Daten zu stehlen oder mit Ransomware Lösegelder zu erpressen. Eines der prominentesten Beispiele ist Amazon. Das Unternehmen hat bereits im Dezember 2025 rund 1.800 Jobgesuche geblockt, da hinter diesen koreanische Agenten vermutet wurden. Diese betrügerische Masche stellt eine neue Eskalationsstufe dar, bei der die klassische Perimeter-Security nur begrenzt Hilfe leisten kann. Nun geht es darum, diesen Betrügern durch ein effizientes Identitäts- und Zugangsmanagement, ihre Machenschaften so schwer wie möglich zu machen.
Industrialisierung der Identitätsmanipulation
Die jüngsten Enthüllungen über DPRK-Akteure, die sich über LinkedIn in Unternehmen einschleusen, sind als strukturelle Verschärfung und erhebliche Eskalation der Cyberrisiken zu bewerten. Hier handelt es sich nicht um eine isolierte Betrugskampagne, sondern um die Industrialisierung der Manipulation professioneller Identitäten. Staatliche Akteure kombinieren dabei gestohlene Personendaten, KI-generierte Bilder und Deepfake-Videointerviews, um sich unbemerkt in Organisationen einzuschleusen.
Angriff auf den Recruiting-Prozess
Anders als bei klassischen Phishing- oder Spoofing-Angriffen zielt diese Taktik direkt auf den Rekrutierungsprozess ab. Die Akteure übernehmen echte Identitäten, nutzen verifizierte Firmen-E-Mails und konstruieren glaubwürdige Berufsverläufe, um Hintergrundprüfungen zu überwinden. Sobald sie in Remote-Positionen eingestellt sind, leiten sie Firmenlaptops über sogenannte „Laptop-Farmen“ um, um den Anschein einer regional ansässigen Belegschaft zu wahren. Während die Umleitung von Gehältern der Finanzierung des Regimes dient, besteht die strategisch größere Gefahr im dauerhaften Zugriff auf interne Systeme – etwa durch die Installation von Malware oder den Diebstahl geistigen Eigentums.
Was Unternehmen jetzt tun müssen
Unternehmensmanager sollten sich einer neuen und unangenehmen Wahrheit stellen: Identität ist zur primären Angriffsfläche geworden. In einer von Remote- und Hybrid-Arbeit geprägten Welt bieten klassische Perimeter-Sicherheitsmaßnahmen kaum Schutz, wenn Angreifer legitime Zugangsdaten und Endgeräte nutzen. Unternehmen müssen reagieren, indem sie die Identitätsverwaltung über den gesamten Mitarbeiterlebenszyklus hinweg stärken. Dazu gehören:
- Strenge Identitätsprüfungen während der Einstellung
- Phishing-resistente Multi-Faktor-Authentifizierung als Standard
- Minimalprinzip bei Zugriffsrechten ab dem ersten Tag
- Kontinuierliche Überwachung auf auffälliges Verhalten
Besonders privilegierte Zugriffe müssen streng kontrolliert und regelmäßig auditiert werden. Diese Kampagne unterstreicht: Vertrauen in digitale Identitäten muss erworben und kontinuierlich überprüft werden. Ohne robuste Identitäts- und Zugriffsmanagement-Systeme riskieren Unternehmen, ausgedehnten internen Zugriff genau den Bedrohungsakteuren zu gewähren, gegen die sie sich eigentlich schützen wollen.
