Die Bedrohung durch nordkoreanische IT-Arbeiter: Wie staatlich geförderter Betrug in Fortune-500-Unternehmen eindringt (DE)

Nahezu jedes Fortune-500-Unternehmen in Amerika hat unwissentlich einen nordkoreanischen IT-Mitarbeiter eingestellt. Das ist keine Spekulation. Es ist die Einschätzung von Geheimdienstmitarbeitern und Cybersicherheitsexperten, die die größte staatlich geförderte Betrugsoperation der Geschichte verfolgen.

Schätzungsweise 100.000 nordkoreanische IT-Mitarbeiter sind weltweit eingesetzt und generieren über 500 Millionen Dollar pro Jahr für die Waffenprogramme Pjöngjangs. Sie nutzen gestohlene amerikanische Identitäten, KI-verbesserte Fotos, VPN-Infrastruktur und Netzwerke lokaler Vermittler, um Vorstellungsgespräche zu bestehen, Hintergrundprüfungen zu bestehen und Gehälter in Unternehmen einzustreichen, die keine Ahnung haben, wen sie tatsächlich beschäftigt haben.

Im Jahr 2025 berichtete CrowdStrike von einem Anstieg von 220 % der Versuche, nordkoreanische IT-Mitarbeiter einzuschleusen, und untersuchte über 320 Vorfälle bei seinen Kunden. Das FBI gab eine offizielle Warnung heraus. Das Justizministerium erhob Anklage gegen 14 nordkoreanische Staatsangehörige. Und OFAC erweiterte die Sanktionen gegen Netzwerke nordkoreanischer IT-Mitarbeiter bis März 2026.

Dies ist keine zukünftige Bedrohung. Es ist eine aktive, skalierte, industrielle Operation – und traditionelle Einstellungsprozesse sind grundsätzlich nicht in der Lage, sie zu stoppen.

Wie das System funktioniert

Die Operation mit nordkoreanischen IT-Mitarbeitern ist ausgefeilt, weil sie die Vertrauensannahmen ausnutzt, die in moderne Remote-Einstellungsprozesse eingebaut sind. So läuft eine typische Infiltration ab.

Schritt 1: Identitätsbeschaffung

Nordkoreanische Agenten beschaffen gestohlene US-Identitäten – Sozialversicherungsnummern, Führerscheine und persönliche Daten, die bei Datenlecks erworben oder durch Social Engineering beschafft wurden. In einigen Fällen rekrutieren oder zwingen sie US-basierte Vermittler, die ihre eigenen Identitäten oder den Zugang zu Identitätsdokumenten bereitstellen.

Schritt 2: KI-verbesserte Personas

Basierend auf der gestohlenen Identität erstellen Agenten überzeugende professionelle Personas. Fotos werden mit KI-Tools generiert oder verbessert – oft ausgehend von Stockfotos, die an das demografische Profil der gestohlenen Identität angepasst werden. LinkedIn-Profile, GitHub-Konten und professionelle Portfolios werden erstellt, um die Hintergrundgeschichte zu untermauern.

Schritt 3: Der Interviewprozess

Ein anderer Agent – oft mit Sitz in China, Russland oder Südostasien – führt die eigentlichen Videointerviews. Sie sind geschult, technisch kompetent und gut vorbereitet. In einigen Fällen arbeiten mehrere Teammitglieder während eines einzigen Interviews zusammen, wobei eine Person auf der Kamera sichtbar ist, während andere in Echtzeit Antworten geben.

Schritt 4: Die Laptop-Farm

Sobald eingestellt, versendet das Unternehmen einen Laptop an eine US-Adresse. Diese Adresse gehört jedoch einem Vermittler, der eine sogenannte „Laptop-Farm“ betreibt – einen Standort, der Dutzende von vom Unternehmen ausgestellten Geräten beherbergt. Der Vermittler installiert Remote-Zugriffssoftware, die es dem eigentlichen nordkoreanischen Mitarbeiter ermöglicht, sich von Übersee aus zu verbinden, während er so aussieht, als arbeite er von einer US-IP-Adresse.

Schritt 5: Einnahmenabschöpfung

Der nordkoreanische Mitarbeiter erledigt die Arbeit – oft kompetent genug, um keinen Verdacht zu erregen – während sein Gehalt über eine Kette von Bankkonten, Krypto-Wallets und Geldtransferdiensten zurück nach Pjöngjang geleitet wird. Ein erheblicher Teil dieser Gelder unterstützt direkt die ballistischen Raketen- und Atomwaffenprogramme Nordkoreas.

KnowBe4: Als ein Sicherheitsunternehmen getäuscht wurde

Wenn Sie glauben, Ihr Einstellungsprozess sei sicher, bedenken Sie, was mit KnowBe4 passiert ist – einem der weltweit führenden Unternehmen im Bereich Sicherheitsschulungen.

Im Juli 2024 stellte KnowBe4 einen Remote-Softwareentwickler für sein internes KI-Team ein. Der Kandidat hatte seinen Standard-Einstellungsprozess bestanden: Lebenslaufprüfung, mehrere Videointerviews, Hintergrundprüfungen und Referenzüberprüfung. Alles passte.

Der Kandidat hatte eine gestohlene US-Identität in Kombination mit einem KI-verbesserten Stockfoto verwendet, das überzeugend genug war, um Videointerviews zu bestehen, ohne Verdacht zu erregen. Die gefälschte Persona war technisch versiert und professionell ausgefeilt.

KnowBe4 versandte einen Firmenlaptop an den neuen Mitarbeiter. Innerhalb weniger Minuten nach Erhalt begann der Agent mit dem Hochladen von Malware – Anmeldeinformationsdiebstahltools, Remote-Zugriffstrojanern und Datenexfiltrationsprogrammen. Die Aktivität wurde vom internen Sicherheitsbetriebszentrum von KnowBe4 um 22:55 Uhr EST erkannt, und das Gerät wurde sofort isoliert.

Es gingen keine Daten verloren. Es wurden keine Systeme über den einzelnen Laptop hinaus kompromittiert. Aber die Auswirkungen waren erschütternd: Ein Unternehmen, dessen gesamtes Geschäft in der Sicherheitsschulung besteht, war durch seinen eigenen Einstellungsprozess sozialtechnisch manipuliert worden.

Der CEO von KnowBe4, Stu Sjouwerman, traf die ungewöhnliche Entscheidung, den Vorfall öffentlich zu machen. „Wenn es uns passieren kann“, schrieb er, „kann es fast jedem passieren.“

Er hatte Recht. Es war bereits passiert – hunderte Male.

Das Netzwerk der Laptop-Farmen

Im Februar 2025 bekannte sich Christina Chapman, eine US-amerikanische Bürgerin mit Wohnsitz in Arizona, schuldig des Betrugs, des erschwerten Identitätsdiebstahls und der Geldwäscheverschwörung. Ihr Verbrechen: Der Betrieb eines der produktivsten Laptop-Farm-Netzwerke zur Unterstützung nordkoreanischer IT-Mitarbeiter.

Chapmans Operation war industriell. Sie beherbergte Firmenlaptops in ihrer Wohnung und an anderen Standorten, verwaltete den Fernzugriff für nordkoreanische Agenten, die sich von Übersee aus verbanden. Das System betraf mehr als 300 amerikanische Unternehmen und generierte Einnahmen in Höhe von über 17 Millionen Dollar für die nordkoreanische Regierung.

Chapmans Rolle war die einer Vermittlerin – sie erhielt die Hardware, wartete die VPN- und Remote-Desktop-Verbindungen und half beim Geldtransfer. Sie war ein Knotenpunkt in einem verteilten Netzwerk US-amerikanischer Ermöglicher, die die gesamte Operation ermöglichten.

Das Justizministerium hat diese Netzwerke aggressiv verfolgt. Im Jahr 2024 erhob eine US-amerikanische Bundesgrand Jury Anklage gegen 14 nordkoreanische Staatsangehörige wegen der Generierung von 88 Millionen Dollar durch betrügerische Remote-Beschäftigung, was eine der größten Betrugsklagen im Zusammenhang mit einer ausländischen Regierung darstellt.

Aber für jedes abgewickelte Netzwerk glaubt die Geheimdienstgemeinschaft, dass mehrere weitere in Betrieb sind. Die Wirtschaftlichkeit ist für Pjöngjang einfach zu überzeugend, um sie aufzugeben: Die Gehälter von IT-Mitarbeitern im US-amerikanischen Technologiesektor bieten einen höheren Ertrag pro Agenten als fast jede andere Einnahmequelle, die dem sanktionsgebeutelten Regime zur Verfügung steht.

Warum traditionelle Einstellungsprozesse scheitern

Die Operation mit nordkoreanischen IT-Mitarbeitern ist erfolgreich, weil sie jedes Konzept im Standard-Remote-Einstellungsworkflow ins Visier nimmt:

Hintergrundprüfungen überprüfen Daten, nicht die Identität. Eine Hintergrundprüfung bestätigt, dass eine Sozialversicherungsnummer, ein Name und ein Geburtsdatum einer realen Person mit einer sauberen Akte entsprechen. Sie überprüft jedoch nicht, ob die Person vor der Kamera diese Person ist. Wenn die zugrunde liegende Identität einem echten amerikanischen Bürger gestohlen wurde, liefert die Hintergrundprüfung saubere Ergebnisse – weil die Identität selbst legitim ist.

Videointerviews überprüfen die Anwesenheit, nicht die Identität. Ein einstellender Manager auf einem Zoom-Anruf sieht ein Gesicht und hört eine Stimme. Er hat keine Möglichkeit zu bestätigen, dass das Gesicht mit einem amtlichen Ausweis übereinstimmt, dass das Bild nicht KI-generiert ist oder dass die Person vor der Kamera dieselbe Person ist, die sich am nächsten Montag in die Unternehmenssysteme einloggen wird.

Referenzprüfungen lassen sich leicht fälschen. Nordkoreanische Operationen unterhalten Netzwerke von Mitverschwörern, die als professionelle Referenzen dienen. Sie nehmen Anrufe entgegen, bestätigen Beschäftigungsdaten und loben den Kandidaten. Einige Referenzen sind reale Personen, die kompromittiert wurden; andere sind völlig fiktive Personas.

IP-basierte Standortprüfungen lassen sich leicht umgehen. VPNs, Wohnproxys und die Infrastruktur der Laptop-Farm selbst stellen sicher, dass der Netzwerkverkehr von einer US-amerikanischen Wohnadresse stammt. Die Standard-IT-Überwachung sieht eine inländische IP-Adresse und macht weiter.

Das Ergebnis ist ein Einstellungsprozess, der strukturell nicht in der Lage ist, eine gut ausgestattete, staatlich geförderte Identitätsbetrugsoperation zu erkennen. Jede einzelne Überprüfung kann isoliert umgangen werden. Und da keine einzelne Überprüfung die anderen quellenübergreifend überprüft, scheitert die gesamte Kette lautlos.

Die regulatorische Antwort

Die US-Regierung hat die Größenordnung der Bedrohung erkannt und reagiert über mehrere Behörden hinweg:

FBI IC3-Warnung (Juli 2025): Das Internet Crime Complaint Center des FBI veröffentlichte eine offizielle Warnung, in der US-Unternehmen vor Betrugsmaschen durch nordkoreanische IT-Mitarbeiter gewarnt wurden, die auf Kompromissindikatoren und rote Flaggen für Einstellungsmanager hinwiesen. In der Warnung wurde insbesondere die Verwendung KI-generierter Bilder und Deepfake-Technologie im Interviewprozess hervorgehoben.

OFAC-Sanktionen (März 2026): Das Office of Foreign Assets Control erweiterte seine Sanktionsliste um zusätzliche Netzwerke nordkoreanischer IT-Mitarbeiter, Strohfirmen und Vermittler. Unternehmen, die unwissentlich Gehälter an sanktionierte Personen zahlen, riskieren Sanktionsverletzungen – was zu dem Sicherheitsrisiko ein erhebliches rechtliches und finanzielles Risiko hinzufügt.

DOJ-Anklagen: Das Justizministerium hat sowohl die nordkoreanischen Agenten als auch ihre US-basierten Vermittler verfolgt. Die Anklage gegen 14 Personen im Jahr 2024 und Chapmans Schuldbekenntnis im Jahr 2025 signalisieren eine Durchsetzungshaltung, die die Vermittlung genauso ernst nimmt wie den zugrunde liegenden Betrug.

CrowdStrike Intelligence: Private Threat Intelligence war entscheidend. CrowdStrikes Untersuchung von über 320 Vorfällen lieferte die technischen Details, die erforderlich waren, um die Infrastruktur der Operation zu verstehen, und ihr Bericht über den Anstieg um 220 % im Jahresvergleich zwang die Vorstände zu Gesprächen über eine Bedrohung, die zuvor als Randfall abgetan wurde.

Die regulatorische Botschaft ist klar: Unternehmen müssen angemessene Schritte unternehmen, um die Identität von Remote-Mitarbeitern zu überprüfen. „Wir wussten es nicht“ ist keine ausreichende Verteidigung mehr.

Wie Sie Ihre Organisation schützen

Die Operation mit nordkoreanischen IT-Mitarbeitern ist ausgefeilt, aber nicht unbesiegbar. Sie nutzt Lücken zwischen Einstellungsschritten aus, die nie als einheitliches System zur Identitätsprüfung konzipiert waren. Das Schließen dieser Lücken erfordert, dass die Mitarbeiterüberprüfung mit dem gleichen Ernst wie das KYC des Kunden behandelt wird – denn das Risiko ist vergleichbar.

Dokumentenprüfung

Jeder neue Mitarbeiter muss einen amtlichen Ausweis vorlegen, der anhand bekannter Dokumentvorlagen überprüft wird. Nordkoreanische Agenten verwenden häufig gefälschte, veränderte oder vollständig gefälschte Dokumente. Die automatisierte Dokumentenprüfung, die über 14.000 Dokumenttypen aus über 220 Ländern überprüft, erkennt Inkonsistenzen bei Schriftarten, Hologrammen, MRZ-Codes und Sicherheitsmerkmalen, die kein menschlicher Prüfer erkennen würde.

AML- und Watchlist-Screening

Wenn Christina Chapman oder einer der 14 angeklagten nordkoreanischen Staatsangehörigen gegen die OFAC-Liste der besonders benannten Personen, Sanktionsdatenbanken oder Strafverfolgungs-Watchlists geprüft worden wäre, wäre ihre Beschäftigung bereits am Anfang erkannt worden. Das Screening gegen über 1.000 globale Watchlists – einschließlich OFAC, UN-Sanktionen, Interpol und FBI-Datenbanken – verwandelt die Einstellung von einem vertrauensbasierten Prozess in einen Compliance-verifizierten Prozess.

Biometrische Lebenderkennung

Der KnowBe4-Fall wurde durch ein KI-verbessertes Stockfoto ermöglicht, das überzeugend genug war, um Videointerviews zu bestehen. Die biometrische Lebenderkennung macht dem ein Ende. Durch die Anforderung eines Echtzeit-Selfies mit passiven Lebenderkennungsprüfungen – die Tiefe, Textur, Mikrobewegungen und andere biologische Signale erkennen – können Unternehmen bestätigen, dass sie mit einem lebenden Menschen interagieren und nicht mit einem Foto, Deepfake oder voraufgenommenen Video.

Gesichtsabgleich (1:1-Verifizierung)

Selbst wenn die Identitätsdokumente gestohlen und nicht gefälscht sind, stellt die Face-Match-Technologie sicher, dass die Person, die das Dokument vorlegt, die Person auf dem Dokument ist. Ein biometrischer 1:1-Vergleich zwischen dem Live-Selfie und dem Foto im Ausweis deckt die grundlegende Täuschung auf, die dem NK-Schema zugrunde liegt: Die Person, die interviewt, ist nicht die Person im Ausweis. Bei 0,05 US-Dollar pro Verifizierung ist dies die kosteneffektivste Gegenmaßnahme gegen Identitätsersetzung.

IP- und Verbindungsanalyse

Nordkoreanische Agenten verlassen sich auf VPNs, Wohnproxys und Tor-Netzwerke, um ihren wahren Standort zu verschleiern. Die IP-Analyse kennzeichnet Verbindungen von bekannten VPN-Anbietern, Proxy-Diensten, Rechenzentren und Anonymisierungsnetzwerken. Mit einem Preis von 0,03 US-Dollar pro Prüfung bietet sie ein leichtgewichtiges, aber effektives Signal, dass der behauptete Standort des Benutzers nicht mit seiner tatsächlichen Netzwerkinfrastruktur übereinstimmt.

Kontinuierliche Überwachung

Die Bedrohung endet nicht beim Onboarding. Nordkoreanische Agenten können anfängliche Prüfungen bestehen und dann ihr Verhalten ändern – Berechtigungen eskalieren, Daten exfiltrieren oder Malware installieren (wie im Fall von KnowBe4). Die kontinuierliche Überwachung stellt sicher, dass alle Änderungen des Identitätsstatus, der Sanktionslisten oder negativer Medien nach der Einstellung in Echtzeit erkannt werden – nicht erst Monate später bei einer jährlichen Überprüfung.

Die Mathematik, die CISOs nachts wach hält

Die durchschnittlichen Kosten einer Infiltration durch nordkoreanische IT-Mitarbeiter – einschließlich Incident Response, rechtlicher Risiken, potenzieller Sanktionsverletzungen und Reputationsschäden – belaufen sich auf mehrere hunderttausend Dollar pro Vorfall. Für Unternehmen, die den Verstoß erst nach der Datenexfiltration entdecken, multiplizieren sich die Kosten.

Ein umfassender Identitätsverifizierungsstack – Dokumentenprüfung, biometrische Lebenderkennung, Gesichtsabgleich, AML-Screening und IP-Analyse – kostet zwischen 0,30 und 0,50 US-Dollar pro Verifizierung. Für ein Unternehmen, das 1.000 Remote-Mitarbeiter pro Jahr einstellt, belaufen sich die Gesamtkosten auf 300 bis 500 US-Dollar.

Die Frage ist nicht länger, ob Ihre Organisation sich die Implementierung der Identitätsprüfung bei der Einstellung leisten kann. Es ist, ob Sie es sich leisten können, es nicht zu tun – wenn staatlich geförderte Bedrohungsakteure Ihre offenen Stellenausschreibungen aktiv ins Visier nehmen und die Regulierungsbehörden deutlich machen, dass Unwissenheit keine Entschuldigung ist.

Die Identitätsprüfung ist nicht mehr nur ein Compliance-Häkchen für den Finanzdienstleistungssektor. Im Zeitalter des staatlich geförderten Kandidatenbetrugs ist sie ein imperativer für die nationale Sicherheit für jede Organisation, die Remote-Mitarbeiter einstellt.

Die Operation mit nordkoreanischen IT-Mitarbeitern wird sich weiter ausweiten. Sie ist für Pjöngjang zu profitabel und für die Ausführung gegen Organisationen, die sich auf Vertrauensbasierte Einstellung verlassen, zu einfach. Die Unternehmen, die diese Bedrohung überleben, werden diejenigen sein, die aufgehört haben zu vertrauen und mit der Verifizierung begonnen haben.