Nordkorea gilt seit Jahren als eines der isoliertesten und technisch rückständigsten Länder weltweit. Dennoch ist das Land im Bereich der Cyberkriminalität zu einer ernstzunehmenden Gefahr geworden. Insbesondere die Hackergruppe Lazarus, die mit staatlicher Unterstützung agiert, hat sich als besonders gefährlich erwiesen. Über die letzten zehn Jahre hinweg hat diese Gruppierung fest etabliert, Cyberangriffe auf westliche Unternehmen mit enormen finanziellen Schäden durchzuführen. Die Ziele sind vielfältig: von großen Filmstudios und Banken bis hin zu Kryptowährungsplattformen und IT-Firmen.
Ihre Methoden zeigen eine bemerkenswerte Anpassungsfähigkeit und Professionalität, die das Verständnis über die Fähigkeiten eines wirtschaftlich isolierten Staates stark verändert hat. Der Ursprung der nordkoreanischen Cyberfähigkeiten reicht weit zurück, etwa in die 1980er Jahre, als das Land begann, Elektronische Kriegsführung zu entwickeln. Die Gründung der Automation University in der abgelegenen Gebirgsregion Hyungsan spielte dabei eine zentrale Rolle. Hier absolvieren jährlich über 100 Hacker ein spezielles Programm, das sie zur Erstellung von Computerviren, dem Eindringen in Netzwerke sowie zur Programmierung von Waffensystemen befähigt. Zusammen mit der militärischen Ausbildung an verschiedenen Universitäten sowie Programmen in China und Russland entsteht ein fundiertes, staatlich gefördertes Fachwissen.
Hinzu kommt eine besondere gesellschaftliche Stellung der Hacker in Nordkorea. Diese erhalten Privilegien wie besseren Wohnraum, Nahrungssubventionen und die seltene Möglichkeit, in der Hauptstadt Pjöngjang zu leben. Diese exklusiven Vorteile sind vor allem darauf zurückzuführen, dass sie Zugang zum Internet haben, das in Nordkorea ansonsten stark limitiert ist. Dieser Zugang ermöglicht es ihnen zudem, die Lebensbedingungen im Ausland besser zu verstehen und motiviert sie zusätzlich, ihr Land durch Cyberangriffe wirtschaftlich zu stärken. Die Lazarus Group tritt spätestens seit 2009 offen in Erscheinung und ist eng mit dem nordkoreanischen Militärgeheimdienst, dem Reconnaissance General Bureau, verbunden.
Sie unterstützt damit nicht nur finanzielle, sondern auch militärische Ziele des Regimes. Die Gruppe besteht aus verschiedenen Teams, die in ihrer Qualität variieren. Einige operieren hochprofessionell und verfügen über ausgefeilte technische Fähigkeiten, andere sind weniger erfahren, was jedoch der Gesamtbedrohung keinen Abbruch tut. Ein besonders bekanntes Beispiel für die Aktivitäten von Lazarus ist der Angriff auf Sony Pictures im Jahr 2014. Dieser zielte auf persönliche Daten, unveröffentlichte Filme und vertrauliche Unternehmensinformationen ab.
Die Sicherheitslücken bei Sony und die mangelnde Cyberhygiene der Mitarbeiter erleichterten diesen Angriff, der schwerwiegende Reputations- und finanzielle Schäden verursachte. Später folgten wiederholt komplexere Operationen, darunter der berüchtigte Hack der Zentralbank von Bangladesch im Jahr 2016, bei dem etwa 81 Millionen US-Dollar erbeutet wurden. Eine weitere gravierende Operation war die Verbreitung der WannaCry-Ransomware im Jahr 2017. Innerhalb kürzester Zeit wurden hunderttausende Computer in über 150 Ländern betroffen, was erhebliche Störungen in diversen Wirtschaftssektoren verursachte. Die Schadsoftware griff auf Schwachstellen in Microsoft Windows zurück, um Daten zu verschlüsseln und Lösegeldforderungen zu stellen.
In den letzten Jahren hat die Gruppe ihren Fokus verstärkt auf Kryptowährungen gelegt. Die Methode bietet den Hackern sowohl Anonymität als auch einfache Transfers rund um den Globus. Seit 2017 sollen nordkoreanische Hacker, maßgeblich Lazarus, mehr als sechs Milliarden US-Dollar in Kryptowährungen gestohlen haben. Einer der größten Raubzüge in der Geschichte der Kryptobranche war der Angriff auf das Ronin Network des beliebten Spiels Axie Infinity, bei dem mehr als 600 Millionen US-Dollar entwendet wurden. Diese Angriffe beginnen oft mit einer ausgeklügelten Social-Engineering-Kampagne, bei der Hacker potenzielle Opfer mit gefälschten Jobangeboten über Plattformen wie LinkedIn ansprechen.
Die Opfer werden zu vermeintlichen Vorstellungsgesprächen eingeladen und dazu gebracht, infizierte Dateien zu öffnen, die dann Zugang zu internen Netzwerken ermöglichen. Auch der stark medienwirksame Hack bei Bybit, der zweitgrößten Kryptowährungsbörse, folgte einem ähnlichen Muster. Hacker kompromittierten Entwicklergeräte und injizierten schädlichen JavaScript-Code, um die Kontrolle über Wallets zu übernehmen und letztlich Milliardenbeträge zu stehlen. Nordkorea verfügt jedoch nicht nur über Lazarus. Es gibt eine Vielzahl weiterer Gruppen wie Kimsuky, Andariel, Lab 110, TEMP.
Hermit und Bureau 121, die vor allem Spionage, Informationsdiebstahl und wirtschaftliche Sabotage betreiben. Diese Gruppen erhalten meist ebenfalls direkte Unterstützung durch den Staat und agieren mit wenig Angst vor Konsequenzen seitens internationaler Strafverfolgung. Besonders die Infiltration von US-amerikanischen Unternehmen durch vorgetäuschte Mitarbeiter ist ein bekanntes Muster. Diese sogenannten „Sleeper Agents“ spionieren aus, erpressen Unternehmen oder überweisen ihr Gehalt als Devisen zur Finanzierung des nordkoreanischen Regimes. Der Erfolg der nordkoreanischen Hacker ist nicht allein technischer Natur.
Ein wesentlicher Faktor ist ihre Hartnäckigkeit und die geschickte Ausnutzung menschlicher Schwachstellen. Sie setzen verstärkt auf Social Engineering, Manipulation von Lieferketten und das Ausnutzen unzureichender Sicherheitsmaßnahmen. Besonders Unternehmen mit veralteter IT-Infrastruktur oder mangelnder Schulung der Mitarbeiter sind anfällig. Zudem fehlt es in Nordkorea an rechtlichen Rahmenbedingungen, die Cyberkriminalität unterbinden könnten, sodass die Hacker in einem nahezu rechtsfreien Raum agieren. Im Vergleich zu anderen staatlich unterstützten Hackergruppen wie China oder Russland agieren nordkoreanische Cyberkriminelle oftmals hemmungsloser.
Westliche Länder setzen bei Staaten wie Russland zunehmend auf diplomatischen und rechtlichen Druck, um Hackergruppen zur Einstellung ihrer Aktivitäten zu bewegen. Nordkorea hingegen zeigt kaum Bereitschaft, sich an international anerkannte Regeln zu halten, was ihnen eine große Freiheit in der Planung und Durchführung von Angriffen verschafft. Vor diesem Hintergrund ist die Bedrohung durch nordkoreanische Cyberangriffe allgegenwärtig und wächst stetig. Nicht nur US-Unternehmen, sondern auch europäische Organisationen und Institutionen werden zunehmend ins Visier genommen. Sicherheitsverantwortliche weltweit sind gefordert, ihre Systeme kontinuierlich zu aktualisieren und Mitarbeiterschulungen zu intensivieren, um effektiven Schutz zu gewährleisten.
Die internationale Gemeinschaft versucht durch Sanktionen und Sicherheitsabkommen, das Problem einzudämmen, doch die Wirksamkeit ist begrenzt. Solange Nordkorea von diesen Aktivitäten wirtschaftlich profitiert und die Hacker mit staatlicher Rückendeckung operieren, bleibt es eine der bedeutendsten und komplexesten Cyberbedrohungen unserer Zeit. Unternehmen sollten daher besonders wachsam sein, moderne Cyberabwehr implementieren und auf verdächtige Aktivitäten achten, um sich gegen diese gnadenlosen Angriffe zu wappnen.
