Der Kampf gegen Cyberangriffe im Kryptowährungssektor wird zunehmend komplizierter, insbesondere wenn staatlich geförderte Hackergruppen ihre Angriffsmethoden weiterentwickeln. Ein aktueller Fall des US-amerikanischen Krypto-Austauschs Kraken zeigt eindrucksvoll, wie solche Bedrohungen nicht nur über digitale Angriffe, sondern auch durch soziale Manipulation in den Einstellungsprozess eingeschleust werden können. Im Mai 2025 berichtete Kraken über einen nordkoreanischen Hacker, der versuchte, sich durch ein Vorstellungsgespräch Zugang zum Unternehmen zu verschaffen – eine raffinierte Taktik, die potenziell schwerwiegende Konsequenzen gehabt hätte. Der Ablauf begann scheinbar normal mit einer Bewerbung auf eine technische Position. Doch schon zu Beginn des Interviews zeigten sich Hinweise, dass der Bewerber nicht das war, was er vorgab zu sein.
Er wechselte während des Gesprächs immer wieder seinen Namen und schien gelegentlich von einer externen Person angeleitet zu werden, indem er beispielsweise unterschiedliche Stimmen annahm. Solche ungewöhnlichen Verhaltensmuster weckten bei den Sicherheitsverantwortlichen von Kraken schnell den Verdacht. Anstatt den Bewerber direkt abzulehnen, entschied sich Kraken jedoch bewusst dafür, den Prozess fortzusetzen, um mehr über die Methoden und Strategien des Angreifers herauszufinden. Ein entscheidender Hinweis kam aus dem Netzwerk von Branchenpartnern. Diese hatten Kraken vor der zunehmenden Aktivität nordkoreanischer Hackergruppen gewarnt, die sich gezielt auf Krypto-Firmen konzentrierten.
Dabei wurde eine Liste von E-Mail-Adressen bereitgestellt, von der sich herausstellte, dass eine identisch mit der des Bewerbers war. Dieser Abgleich bestätigte, dass es sich bei dem Kandidaten um eine Person handelte, die für den Hackerverband arbeitete. Die weitere Untersuchung enthüllte ein Netz aus gefälschten Identitäten, die von derselben Gruppe genutzt wurden, um bei verschiedenen Unternehmen Stellen zu beanspruchen. Technische Auffälligkeiten waren ebenfalls Teil der Indizienkette: Der Bewerber nutzte beispielsweise virtuelle Mac-Desktops in Kombination mit VPN-Verbindungen – ein Versuch, seine wahre Herkunft und Identität zu verschleiern. Noch schwerwiegender war die Erkenntnis, dass die im Bewerbungsschreiben und Lebenslauf angegebenen Dokumente vermutlich manipuliert waren.
Das offenbarte Kraken nach der Überprüfung der Identifikationspapiere, bei denen Daten gestohlen und verfälscht worden waren, teilweise aus bereits bekannt gewordenen Fällen von Identitätsdiebstahl. Um den Kandidaten weiter zu prüfen, verwendete der Chief Security Officer von Kraken, Nick Percoco, sogenannte „Trap-Verifizierungstests“. Diese zielten darauf ab, die Echtheit der Person zu verifizieren und die Täuschung zu entlarven. Der Bewerber scheiterte an diesen Tests eindeutig, sodass die Täuschung vollständig aufgedeckt werden konnte. Percoco fasste zusammen, dass das Grundprinzip der Kryptoindustrie – „Don’t trust, verify“ – weltweit und gerade angesichts der zunehmenden Komplexität staatlich geförderter Angriffe höher denn je Bedeutung habe.
Schließlich müssten nicht nur Kryptounternehmen, sondern auch behördliche Einrichtungen und globale Organisationen wachsam bleiben. Die Motivation für dieses Vorgehen wird im Krieg um finanzielle Ressourcen und Technologien deutlich. Nordkorea steht seit Jahren unter internationalen Sanktionen und ist weitgehend von der Weltwirtschaft isoliert. Vor diesem Hintergrund ist die Ausbeutung von Kryptowährungen geradezu zu einer zentralen Einnahmequelle des Regimes von Kim Jong-un geworden. Laut Berichten wurden allein im Jahr 2024 Milliarden von US-Dollar an Kryptowerten durch Hackergruppen wie die Lazarus Group gestohlen, die dem nordkoreanischen Staat nahe stehen.
Doch die Taktik des Eindringens durch Tarnung im Personalwesen ist ein neues Kapitel in der Geschichte der Cyberkriminalität. Bislang dominierte vor allem das klassische Vorgehen über technische Schwachstellen und raffinierte Malware-Angriffe. Nun wird klar, dass auch die menschliche Komponente immer mehr zum Angriffsziel wird. Durch das Einschleusen eigener Mitarbeiter oder Mittelsmänner in Unternehmen können Hacker langfristig internes Wissen und privilegierte Zugänge erlangen, die andernfalls nicht erreichbar wären. Neben dem beschriebenen Versuch, der bei Kraken scheiterte, berichteten Agenturen aus den USA, Japan und Südkorea über eine Zunahme ähnlicher Aktivitäten.
Nicht nur versucht Nordkorea Fachkräfte in Kryptounternehmen zu platzieren, parallel dazu gründen Hackerverbände Tarnfirmen, auch in den USA, um Malware zu verteilen oder gezielt andere Unternehmen anzugreifen. Der bekannteste Angriff in diesem Kontext war der Hack auf die Krypto-Börse Bybit im Februar 2024, bei dem über 1,4 Milliarden US-Dollar entwendet wurden – ein Mega-Hack, der auf die berüchtigte Lazarus Group zurückgeführt wird. Neben finanziellen Verlusten schädigen solche Fälle das Vertrauen in die gesamte Blockchain- und Kryptowährungs-Industrie. Die Erkenntnisse aus dem Kraken-Fall zeigen, wie wichtig eine ganzheitliche Sicherheitsstrategie ist, die technische Schutzmechanismen mit gezielten Prüfungen prozessualer Abläufe kombiniert. Gerade im Einstellungsverfahren sollten Unternehmen künftig neben den üblichen Hintergrundleistungen auch erweiterte Identitätsprüfungen implementieren und auf verdächtige Verhaltensmuster achten.
Zudem ist die Zusammenarbeit mit Branchenkollegen essenziell, um Informationen und Warnungen frühzeitig auszutauschen und gemeinsame Abwehrmaßnahmen zu entwickeln. Kraken hat mit seinem proaktiven Vorgehen eindrucksvoll bewiesen, dass Wachsamkeit und ein umfassendes Verständnis der Bedrohungslandschaft entscheidend sind, um der zunehmenden Cyberbedrohung durch staatlich gelenkte Gruppen zu begegnen. Im Zeitalter der Digitalisierung und globalen Vernetzung wird die Sicherheit von Kryptofirmen und deren Kunden immer komplexer, weshalb kontinuierliche Anpassungen von Sicherheitssystemen und Sensibilisierungsmaßnahmen unverzichtbar sind. Zusammenfassend zeigt der Fall, dass Nordkoreas Engagement im Cyberraum weit über traditionelle Hackangriffe hinausgeht. Der Versuch, Mitarbeiterpositionen zur Informationsgewinnung und zur Sabotage zu missbrauchen, ist eine Warnung an die gesamte Branche.
Nur mit strengen Überprüfungen, effektivem Informationsaustausch und wachsender Cyberhygiene können Krypto-Unternehmen ihre Systeme und Netzwerke schützen. So bleibt die Kryptobranche auch in Zukunft resilient gegenüber Angriffen und trägt dazu bei, das Vertrauen in digitale Vermögenswerte zu sichern.
