In den letzten Jahren hat sich ein besorgniserregender Trend in der internationalen Arbeitswelt und Cybersicherheit etabliert, der zunehmend an Aufmerksamkeit gewinnt: Nordkorea platziert heimlich junge IT-Fachkräfte in westlichen Unternehmen, besonders in den USA und Europa. Diese Mitarbeiter arbeiten unter falscher Identität – oftmals aus Ostasien stammend, aber mit amerikanischen oder europäischen Namen und Lebensläufen, die auf den ersten Blick überzeugend wirken. Die Idee dahinter ist Teil einer globalen Cyber- und Spionageoperation, deren Ziel es ist, mit den hart erarbeiteten Gehältern dieser Scheinarbeiter die nordkoreanische Staatskasse zu füllen und damit die wirtschaftlichen Sanktionen zu umgehen, die das Land international isolieren. Doch warum funktioniert dieses System so gut? Und welche Risiken birgt es für Unternehmen weltweit? Nordkoreas Strategie beruht auf der gezielten Ausbildung junger IT-Talente, die anschließend ins Ausland entsandt werden – meist in Teamgrößen von zehn bis zwanzig Personen, die in sogenannten „Laptop-Farmen“ arbeiten, unter oft schwierigen Bedingungen. Diese jungen Männer leben in beengten Wohnungen, schuften bis zu 14 Stunden täglich und sind dabei streng überwacht, um Fluchtversuche zu verhindern.
Dabei nutzen sie ihre Kenntnisse der Softwareentwicklung, um sich als legale Mitarbeiter westlicher Firmen auszugeben. Die Auswahl der Jobs erfolgt bewusst: Gesucht werden Remote-Arbeitsplätze in Software Engineering und IT, bei denen gute Bezahlung generiert, aber wenig direkte Verantwortung getragen wird. Gleichzeitig sollen Zugänge zu wichtigen Unternehmensnetzwerken und sensiblen Daten ermöglicht werden. Die Kandidaten nutzen gefälschte oder gestohlene Identitäten, erstellt von Komplizen, die sogar gefälschte Referenzen bereitstellen. Künstliche Intelligenz (KI) unterstützt dabei zunehmend die Bewerbungsgespräche, das Bestehen von technischen Tests und sogar die Erstellung von Videointerviews, was die Entlarvung immer schwieriger macht.
Die Bewegung dieser vermeintlichen Mitarbeiter wird durch in den Zielländern lebende sogenannte „Facilitators“ abgesichert. Diese Personen mieten Häuser oder Wohnungen an, empfangen die von Unternehmen zugesandten Arbeitsgeräte und steuern deren Nutzung aus der Ferne. Eine der prominenten Fälle war Christina Chapman aus Arizona, die nach Ermittlungen der US-Behörden mindestens 300 Arbeitgeber mit gefälschten nordkoreanischen Arbeitern versorgt haben soll. Chapman organisierte den Empfang von Laptops, half bei der Gehaltsabwicklung und schickte einen Teil des Geldes nach Nordkorea zurück. Solche „Facilitators“ verdienen an den Gehaltszahlungen mit und sind wesentliche Glieder in diesem ausgeklügelten System.
Die Vielfalt der betroffenen Unternehmen ist erschreckend: Von großen Technologie- und Medienkonzernen über Luft- und Raumfahrtfirmen bis hin zu Automobilherstellern sind globale Topunternehmen betroffen gewesen. Ein Unternehmen berichtete, dass ein eingeschleuster Mitarbeiter zu den produktivsten der gesamten Entwicklungsmannschaft gehörte, obwohl er am Ende nicht einmal seinen eigenen vermeintlichen Geburtstag kannte – ein Hinweis darauf, wie stark diese Scheinidentitäten bisweilen gekünstelt sind. Manche der falschen Mitarbeiter arbeiten monatelang, manche nur wenige Tage, um bei erfolgreichem Einstieg Daten zu exfiltrieren oder schädlichen Code zu installieren. Nordkoreas Fokus auf Cyber- und IT-Tätigkeiten entspricht der strategischen Vision, die der jetzige Machthaber Kim Jong Un seit seinem Amtsantritt 2011 verfolgt. Die Schüler von Schulen wie der Kim Chaek University of Technology oder der Universität der Wissenschaften in Pyongsong werden gezielt in Computertechnik, Informationssicherheit und sogar Hacking geschult.
Wer exzellente Ergebnisse liefert, wird direkt für geheime Dienste rekrutiert und gewinnt umfangreichen Zugang zum globalen Internet, eine Ausnahme in einem Land, in dem die meisten Bürger nur auf das strikt zensierte Intranet zugreifen können. Die Cyber-Aktivitäten reichen von relativ offensichtlichen Sabotageakten wie den Angriffen auf Sony Pictures 2014 bis hin zu aufwendigen Finanzbetrügereien mit einem Volumen von mehreren Hundert Millionen Dollar. Ransomware-Angriffe wie WannaCry haben globale Schäden in Milliardenhöhe verursacht, aber die nordkoreanische Regierung verschiebt sich zunehmend von solchen lauten Attacken hin zu verdeckten, lukrativen Einnahmequellen – etwa dem Diebstahl von Kryptowährungen. Die IT-Arbeitsscheinarbeiter stellen dabei eine besonders raffinierte und schwer zu entdeckende Methode dar, Geld zu generieren und zugleich sensible Zugänge auszunutzen. Erschwerend kommt hinzu, dass technologische Entwicklungen wie KI Betrugsmaschen weiter verfeinern.
KI-Systeme können dabei helfen, komplexe technische Fragen während Bewerbungsgesprächen in Sekunden zu beantworten, ohne echtes Fachwissen zu besitzen. Deepfake-Technologie ermöglicht zudem die Erstellung täuschend echter Videoaufnahmen, um physische Überprüfungen zu umgehen. Auch gefälschte Lichtbilder, IDs und das Versenden von Doppelgängern gehören inzwischen zum Repertoire der nordkoreanischen Agenten. Sicherheitsabteilungen in Unternehmen stehen vor enormen Herausforderungen, da all diese Maßnahmen selbst bei sorgfältiger Prüfung manchmal nicht auffällig sind. Für viele westliche Unternehmen sind die Risiken nicht nur finanzieller Natur.
Die Integration von unzuverlässigen und überwachten ausländischen Arbeitskräften kann zu einer ernsthaften Gefährdung interner Sicherheitsstandards führen. Die mögliche Installation von Spähsoftware, Manipulation von Finanzdaten oder das Ausspionieren von Geschäftsgeheimnissen kostet Unternehmen nicht nur Geld, sondern auch Reputation und Innovationskraft. Mitarbeiter, die nicht loyal sind und vom Ausland kontrolliert werden, sind ein strategisches Sicherheitsrisiko, das immer wieder unterschätzt wird. Auf der anderen Seite hilft das Bewusstsein um diese Bedrohung, Unternehmen zu schärfen und neue Sicherheitsstandards zu implementieren. Eine gründliche Überprüfung von Bewerberdaten, das Hinterfragen von Referenzen, der Einsatz vertrauenswürdiger Hintergrundüberprüfungsdienste und nicht zuletzt eine aufmerksame Beobachtung während der Probezeit können helfen, die Zahl solcher infiltrierten Mitarbeiter zu reduzieren.
Doch der Trend steht ganz im Zeichen der zunehmenden Automatisierung und Digitalisierung, bei der solche Kontrollmechanismen immer limitiert bleiben. KI-gestützte Bewerberprofile machen ein Ignorieren künstlicher Spuren schwerer, erfordern jedoch auch mehr Spezialisten und Ressourcen. Der Fall der von US-Behörden zerschlagenen Laptop-Farmen mit hunderten solcher Scheinarbeitsplätze und den Personen, die sie organisierten, ist nur die Spitze des Eisbergs. Parallel gibt es Hinweise auf ähnliche Operationen in anderen Ländern, teils mit Verbindungen nach Russland, China und sogar Mexiko. Die Behandlung in den Gerichten und öffentlichen Medien zeigt, dass die internationale Weltgemeinschaft das Problem sehr ernst nimmt, aber eine nachhaltige Lösung bisher fehlt.
Wer sich vor Augen führt, dass ein einziges Team solcher Ostasien-Arbeiter jährlich bis zu drei Millionen US-Dollar für das nordkoreanische Regime erwirtschaften kann – und dass die Zahl dieser Teams in den letzten Jahren stark gestiegen ist –, erkennt, wie stark das Problem unter der Oberfläche des globalen Arbeitsmarktes brodelt. Die Kombination aus politischen Spannungen, Wirtschaftssanktionen und den technologischen Möglichkeiten schafft eine gefährliche Mischung, die sowohl Unternehmen als auch Staaten vor neue Herausforderungen stellt. Für den einzelnen IT-Experten, der sich mühsam auf dem Arbeitsmarkt behauptet, sind solche Fälle besonders bitter. Sie erhöhen den Wettbewerb durch unfaire Mittel, untergraben das Vertrauen in Remote-Arbeit und führen dazu, dass Unternehmen bei der Einstellung vorsichtiger werden. Zudem setzen sie den Druck auf echte Talente, ihre Fähigkeiten ständig zu verbessern und sich gegen fragwürdige Konkurrenten durchzusetzen.
Die digitale Arbeitswelt wird so auch ein Schlachtfeld geopolitischer Konflikte. Abschließend lässt sich sagen, dass der Einfluss Nordkoreas auf den globalen IT-Arbeitsmarkt ein eindrückliches Beispiel dafür ist, wie technologische Fortschritte sowohl Chancen als auch Risiken schaffen. Die Herausforderung besteht darin, intelligente Kontrollmechanismen zu etablieren, die solche Tarnnetzwerke entlarven, ohne den freien und effizienten internationalen Arbeitsfluss unnötig zu behindern. Nur so kann gewährleistet werden, dass die Digitalisierung ein Instrument für Fortschritt bleibt und nicht zum Einfallstor für Cyberkriminalität und staatlich gelenkte Wirtschaftsspionage wird.
