In Zeiten zunehmender Digitalisierung und globaler Vernetzung sehen sich Unternehmen weltweit mit einer wachsenden Bedrohung durch Cyberkriminalität und Industriespionage konfrontiert. Besonders spürbar ist dieses Problem durch die Einschleusung von sogenannten Fake-Mitarbeitern, die oft aus autoritären Regimen wie Nordkorea stammen und gezielt in Firmen eingeschleust werden, um geistiges Eigentum zu stehlen oder Systeme mit Schadsoftware zu infizieren. Eine Entdeckung und Abwehr dieser Infiltratoren ist für viele Firmen eine große Herausforderung. Doch es gibt eine erstaunlich einfache Methode, die im Einstellungsprozess eingesetzt werden kann und bisher zuverlässig funktioniert: eine spezielle Interviewfrage, die von nordkoreanischen Kandidaten meist gemieden wird. Diese Frage hat sich als wertvoller Schutzmechanismus gegen solche verdeckten Bedrohungen erwiesen und bietet Unternehmen eine wichtige Sicherheitsebene in der Rekrutierung.
Nordkoreanische Fake-Mitarbeiter infiltrieren weltweit Unternehmen – ein wachsendes Problem Laut Angaben von Experten, darunter Adam Meyers, Senior Vice President bei CrowdStrike, gelingt es zahlreichen nordkoreanischen Agenten, sich mit gefälschten Identitäten in Unternehmen einzuschleusen. Besonders besorgniserregend ist, dass diese Infiltratoren erfolgreich Positionen bei großen, oft Fortune-500-Unternehmen erhalten. Um dabei sichtbar ausländische IP-Adressen zu verschleiern, werden sogenannte Laptop-Farmen eingesetzt. Hierbei wird eine Vielzahl an Computern im US-amerikanischen oder europäischen Raum betrieben, über die sich die Fake-Mitarbeiter digital Zugang zu den Systemen verschaffen und einen lokalen Arbeitsstandort vortäuschen. Die Angreifer agieren zunehmend vernetzt und nutzen auch künstliche Intelligenz zur Erstellung umfangreicher Profile und Bewerbungsunterlagen.
Anstelle einer echten Person arbeiten oft Teams im Hintergrund zusammen, die technische Aufgaben im Bewerbungsprozess lösen, während eine vor Ort anwesende Person als „Frontman“ agiert. Damit gelingt es ihnen nicht nur, die technischen Anforderungen zu erfüllen, sondern auch soziale und sprachliche Hürden scheinbar zu überwinden. Trotzdem bleiben Spuren und Hinweise erkennbar, wenn man gezielt genau hinhört – vor allem während persönlicher Gespräche. Die eine Frage, die allein schon eine Alarmglocke auslöst Im Rahmen einer Podiumsdiskussion auf der RSA-Konferenz in San Francisco hat Adam Meyers eine besonders einfache, aber effiziente Interviewtechnik vorgestellt, die nordkoreanische Infiltratoren häufig sofort entlarvt: die Frage „Wie dick ist Kim Jong Un?“. Diese Frage sticht deshalb heraus, weil die nordkoreanischen Kandidaten darauf in der Regel aus Angst vor negativen Konsequenzen sofort abbrechen.
Jede Äußerung, die den nordkoreanischen Diktator in irgendeiner Weise kritisch oder negativ darstellt, ist für sie tabu. Dadurch wird das Gespräch unverzüglich beendet und das angestrebte Anstellungsverhältnis fällt ins Wasser. Meyers erläutert, dass diese Fragestellung nicht nur eine einfache Kontrolle darstellt, sondern für die nordkoreanischen Bewerber ein gravierendes Risiko bedeutet, das sie nicht eingehen wollen. Aus Sicht der Infiltratoren ist es sicherer, den Bewerbungsprozess abzubrechen, als sich durch eine unbedachte Antwort potenziell zu verraten. So wird die Frage zu einem effektiven Filter, der zwischen echten Kandidaten und verdeckten Agenten unterscheiden kann.
Techniken und Vorgehensweisen der Fake-Mitarbeiter Diese infiltrierten Fake-Mitarbeiter sind oft extrem erfolgreich in ihren Rollen, weil sie als Team agieren und sich strategisch absprechen. Während der technische Teil des Interviews von erfahrenen Personen im Hintergrund bewältigt wird, agiert die „Frontperson“ häufig nur mäßig versiert, darf aber dennoch den Job annehmen, wenn die technischen Kriterien erfüllt sind. Das Ziel besteht darin, die Kontrolle über sensible Unternehmensdaten zu erlangen und diese schrittweise und abgeschirmt aus der Firma zu exportieren. Dies geschieht oft in kleinen Datenstücken, um Sicherheitsmechanismen nicht auszulösen. Ein weiteres Risiko besteht darin, dass selbst nach der Enttarnung eines solchen Fake-Mitarbeiters häufig bereits Zugangsdaten abgegriffen und Trojaner oder andere Schadprogramme platziert wurden.
Diese können unter Umständen erst später aktiviert werden oder zur Erpressung genutzt werden. Im Ernstfall empfiehlt FBI-Agentin Elizabeth Pelker eine umgehende Benachrichtigung der örtlichen FBI-Stelle, um eine koordinierte Abwehr zu gewährleisten. Maßnahmen zur Erkennung außerhalb der Interviewfrage Neben der besagten speziellen Frage existieren weitere Gegenmaßnahmen, um verdächtige Bewerber zu erkennen. So raten Experten dazu, technische Tests und Programmieraufgaben ausschließlich innerhalb der geschützten IT-Umgebung der Firma durchzuführen. Dadurch kann beobachtet werden, wie der Bewerber zwischen verschiedenen Bildschirmen wechselt und ob heimliche Manipulationen auftreten.
Auch persönliche Treffen werden ausdrücklich empfohlen, um eine tiefere Einschätzung der Kandidaten zu ermöglichen. Die Fuguidenheit der Angreifer nimmt dabei kontinuierlich zu. Schon heute werden Deepfake-Technologien eingesetzt, um virtuelle Vorstellungsgespräche überzeugend zu simulieren und sogar IT-Experten zu täuschen. Diese Entwicklungen erschweren die Identifikation zusätzlich, weshalb Aufmerksamkeit und Schulungen aller Beteiligten im Einstellungsprozess unumgänglich sind. Globale Auswirkungen und Finanzierung durch Fake-Mitarbeiter Die wirtschaftlichen Schäden sind erheblich.
Experten schätzen, dass Millionen von US-Dollar und Euro durch diese Täuschungstechniken an Nordkorea fließen. Über komplexe Geldwäschemechanismen gelangt das Geld direkt in die Staatskasse des Regimes und finanziert unter anderem militärische Aktivitäten. Plattformen wie Upwork, die frei zugängliche Freelancer-Märkte bieten, werden dabei ebenfalls unerkannt missbraucht. Darüber hinaus existieren sogenannte Laptop-Farmen in den USA, wo Computer für nordkoreanische Agenten betrieben werden. Dazu arbeitet oft eine dritte Partei gegen Bezahlung mit, die Geräte abholt oder bereitstellt.
Letztes Jahr wurden in Tennessee Strafverfahren gegen solche Betreiber eingeleitet und mehrere Anklagen erhoben. Zunehmende Anforderungen an Unternehmen und Sicherheitssysteme Angesichts der zunehmenden Perfektionierung der Angreifer sind Unternehmen gut beraten, ihre Prozesse im Recruiting und der IT-Sicherheit laufend zu hinterfragen und anzupassen. Eine nicht zu unterschätzende Maßnahme ist es, offene und transparente Kommunikationswege innerhalb des Unternehmens zu schaffen. Schulungen zur Sensibilisierung für Cyberrisiken sollten alle Ebenen und Abteilungen erreichen. Darüber hinaus sollten moderne Interviewverfahren etabliert werden, die über reine Videocalls hinausgehen.
Persönliche Treffen oder zumindest die Ergänzung von Videointerviews durch Live-Codetests innerhalb der firmeneigenen Umgebung erhöhen die Chancen, verdächtige Bewerber zu enttarnen. Auch die genauere Prüfung von Bewerberdaten und Herkunft hilft allein schon durch einfache Fremdsprachenkenntnisse, unerwartete Differenzen bei Namen und Herkunft zu erkennen. Fazit Die Bedrohung durch nordkoreanische Fake-Mitarbeiter ist real und stellt eine ernsthafte Gefahr für sensible Unternehmensdaten und Unternehmenssicherheit dar. Doch mit gezielten Interviewfragen, wie der provokanten Frage nach der körperlichen Erscheinung von Kim Jong Un, lassen sich viele Infiltratoren im Auswahlprozess entlarven. Diese Maßnahme stellt eine einfache und kostengünstige Abwehr dar, die in Kombination mit technischen Tests und persönlichen Gesprächen effektiv genutzt werden kann.
