Nordkoreanische Staatshacker nutzen gestohlene Identitäten und KI-Technologie, um sich in westliche Firmen einzuschleusen. Ihr Ziel: Millionen für das Waffenprogramm in Pjöngjang zu erwirtschaften und sensible Unternehmensnetzwerke auszuspähen. Deutsche Konzerne sind zunehmend gefährdet.
Vom Fake-Profil zur Identitätsübernahme
Die Taktik hat sich radikal weiterentwickelt. Statt wie früher rein erfundene Profile mit KI-generierten Fotos zu nutzen, kapern oder imitieren die nordkoreanischen Operative nun die LinkedIn-Konten echter Fachkräfte. Damit übernehmen sie die gesamte Berufshistorie, das Netzwerk und – entscheidend – die verifizierten Credentials der Opfer.
Besonders im Visier stehen Profile mit „verifiziert“-Badges, die oft durch Arbeits-E-Mail-Prüfungen entstanden sind. Diese Vertrauenssignale machen die betrügerischen Bewerbungen für Jobs in Softwareentwicklung oder Cloud-Engineering für Personaler auf den ersten Blick kaum von echten zu unterscheiden. Die Lebensläufe werden minutiös an die gestohlene Identität angepasst.
Passend zum Thema IT-Spionage – viele Unternehmen unterschätzen, wie ausgeklügelt Angriffe mit gestohlenen Identitäten und Deepfakes geworden sind. Der kostenlose E‑Book-Report „Cyber Security Awareness Trends“ erklärt aktuelle Angriffswege (inkl. KI-gestützte Deepfakes, Phishing-Tricks und CEO-Fraud) und liefert pragmatische Schutzmaßnahmen, die IT- und HR-Teams sofort umsetzen können. Perfekt für Geschäftsführer und IT-Verantwortliche, die schnell wirksame Abwehrstrategien brauchen. Gratis Cyber-Security-Guide für Unternehmen sichern
KI als Schlüsselwerkzeug für täuschend echte Vortäuschung
Künstliche Intelligenz treibt die Täuschung auf ein neues Level. Neben der Erstellung realistischer Unterlagen setzen die Hacker nun KI-Stimmenwandler bei Telefoninterviews und Deepfake-Videotechnologie in Zoom-Gesprächen ein. So können sie ihre wahre Identität und ihren Standort – oft in China oder Russland – verschleiern.
Analysen beschlagnahmter Computer zeigen den häufigen Einsatz von KI-Gesichtstausch-Tools. Selbst Übersetzungsdienste wie Google Translate werden genutzt, um die Kommunikation vom Koreanischen ins Englische zu übertragen. Eine einzelne Person kann so mehrere Identitäten gleichzeitig steuern und sogar technische Interviews bestehen, indem sie Fragen unter einem anderen Alias bereits kennt.
Das Geschäftsmodell: Infiltration, Diebstahl, Erpressung
Der Infiltrationsprozess ist mehrstufig. Über Phishing oder Darknet-Märkte erlangen die Täter Zugangsdaten. Um einen Standort in den USA oder Europa vorzutäuschen, nutzen sie ein Netzwerk aus Komplizen. Diese betreiben sogenannte „Laptop-Farmen“, wo firmeneigene Rechner angeschlossen und den nordkoreanischen Arbeitern remote zugänglich gemacht werden.
Nach der Einstellung beginnt die Ausbeutung: Die Hacker kartieren Firmennetze, stehlen proprietäre Daten und gelangen sogar an exportkontrollierte US-Militärtechnologie. In einigen Fällen erpressten enttarnte Akteure ihre Arbeitgeber später mit der Drohung, gestohlene Daten zu veröffentlichen. Der finanzielle Schaden ist immens: Allein eine Serie von Vorfällen 2024 führte zum Diebstahl von 100 Millionen US-Dollar in Kryptowährung bei drei Firmen.
Deutsche Unternehmen in der Zielscheibe
Die staatlich gelenkte Beschäftigungsbetrug stellt ein schwerwiegendes Risiko für Unternehmen weltweit dar – auch in Deutschland und Europa. Über den finanziellen Verlust hinaus drohen umfangreiche Datenlecks, Diebstahl geistigen Eigentums und Reputationsschäden. US-Behörden bestätigen, dass bereits zahlreiche Fortune-500-Unternehmen erfolgreich angegriffen wurden.
Die wachsende Raffinesse der Angriffe offenbart die Schwachstellen herkömmlicher Einstellungsverfahren im Remote-Zeitalter. Cybersicherheitsexperten raten zu deutlich strengeren Identitätsprüfungen. Dazu gehören:
* Mehrstufige Authentifizierung (MFA) während des gesamten Hiring-Prozesses
* Abgleich von Bewerberdaten über verschiedene HR-Systeme hinweg
* Sensibilisierung der Personalabteilungen für diese spezifischen Taktiken
Die Bedrohung wächst – und wird komplexer
Das Gefahrenpotenzial durch nordkoreanische IT-Spione ist dynamisch und wird weiter zunehmen. Während US-Strafverfolgungsbehörden ihre Gegenmaßnahmen verstärken, weiten die Operationen sich aus. Besonders europäische Unternehmen, vor allem in der Verteidigungs- und Regierungsbranche, verzeichnen eine steigende Aktivität.
Unternehmen müssen wachsam bleiben und ihre Sicherheitsvorkehrungen anpassen. Dazu könnten die Vorlage amtlicher Ausweise während Live-Video-Calls oder eine Einarbeitungsphase mit eingeschränktem Systemzugang für neue Remote-Mitarbeiter gehören. Mit der zunehmenden Verfügbarkeit von KI-Technologie werden Deepfakes und synthetische Identitäten noch überzeugender – und mehrschichtige Sicherheitsprozesse entscheidender denn je.
PS: Sie wollen Ihr Unternehmen gegen Identitäts-Missbrauch und Phishing wappnen? Dieses kostenlose Handbuch zeigt konkrete, budgetfreundliche Maßnahmen — von Anti-Phishing-Prozessen bis zu Schulungen für HR und Remote-Onboarding — und erklärt, welche neuen KI-Regeln Sie beachten sollten. Holen Sie sich die Checkliste mit Sofortmaßnahmen für IT- und Personalabteilungen. Sofort downloadbar per E‑Mail. Jetzt E‑Book ‚Cyber Security Awareness Trends‘ herunterladen
