Staatshacker im Bewerbungsgespräch
Seit einiger Zeit geben sich Bedrohungsakteure aus Nordkorea als legitime IT-Profis aus. Ihr Ziel: Remote-Jobs ergattern, um primär mit ihrem Gehalt staatliche Interessen zu finanzieren und sekundär monetäre Mittel via Erpressung durch Datendiebstahl zu erlangen. Security-Experten von Sophos geben Tipps zu Vorstellungsgesprächen, Onboarding und Compliance.
Nordkoreanische Betrüger haben ihre Taktiken im IT-Rekrutierungsbereich erweitert und stellen eine zunehmende Gefahr für Unternehmen weltweit dar. Nach Angaben von Sarah Kern, Leiterin für Nordkorea und aufkommende Bedrohungen im Counter Threat Unit Research Team, haben diese Betrüger früher hauptsächlich mit Fähigkeiten in Web- und Blockchain-Entwicklung geworben.
Im Jahr 2025 haben sie jedoch ihren Fokus auf Positionen in der Cybersicherheit ausgeweitet und setzen verstärkt weibliche Personen für ihre Betrugsmaschen ein. Diese Entwicklung deutet auf eine Professionalisierung der Betrugsstrategien hin und erfordert erhöhte Wachsamkeit seitens der Unternehmen.
Warnzeichen im Bewerbungsprozess erkennen
Während des Bewerbungsprozesses sollten Personalverantwortliche besonders auf Warnzeichen achten. Sophos empfiehlt, einen verifizierten Identitätsnachweis zu verlangen und mindestens ein persönliches Treffen einzuplanen. Die Online-Präsenz der Kandidaten sollte auf Konsistenz bezüglich Namen, Aussehen und beruflicher Laufbahn überprüft werden.
Besondere Vorsicht ist bei Voice-over-IP-Telefonnummern geboten, die häufig von Betrügern verwendet werden. Im Vorstellungsgespräch können beiläufige Fragen zum aktuellen Wetter am angeblichen Standort oder zur beruflichen Vergangenheit Unstimmigkeiten aufdecken. Video-Interviews ohne digitale Filter und Hintergrundüberprüfungen durch vertrauenswürdige Stellen bieten zusätzliche Sicherheit.
Auch während des Onboarding-Prozesses sind Vorsichtsmaßnahmen notwendig. Unternehmen sollten sicherstellen, dass die Identität des eintretenden Mitarbeiters mit der des eingestellten Bewerbers übereinstimmt. Verdächtig sind kurzfristige Änderungen der Versandadresse für Firmenlaptops oder das Bestehen auf die Nutzung privater Geräte anstelle von Firmenausstattung.
Bei Bankverbindungen ist besondere Aufmerksamkeit geboten: Zahlungen sollten nicht an Geldtransferdienste geleitet werden, und wiederholte Änderungen der Bankdaten innerhalb kurzer Zeit sollten kritisch hinterfragt werden. Vorauszahlungen an neue Mitarbeiter sollten grundsätzlich abgelehnt werden.
Technische Schutzmaßnahmen nach der Einstellung
Nach der Einstellung bleibt Wachsamkeit geboten. Unternehmen sollten den Zugriff auf nicht essenzielle Systeme begrenzen und die Nutzung nicht autorisierter Fernzugriffs-Tools verhindern. Auffällig ist, wenn Mitarbeiter sich weigern, bei Videokonferenzen die Kamera einzuschalten, oder wenn Hintergrundgeräusche auf Arbeit in einem Callcenter oder überfüllten Raum hindeuten.
Die IT-Sicherheitsabteilung sollte Firmengeräte mit Antiviren- und Endpoint Detection and Response (EDR) Software überwachen und besonders auf Netzwerkverbindungen über ausländische VPN-Dienste wie Astrill VPN achten, die auf betrügerische Aktivitäten hindeuten können.
Die zunehmende Raffinesse nordkoreanischer IT-Betrüger erfordert einen mehrschichtigen Sicherheitsansatz von der Rekrutierung bis zur fortlaufenden Mitarbeiterüberwachung. Durch die Implementierung dieser Schutzmaßnahmen können Unternehmen das Risiko, Opfer dieser ausgeklügelten Betrugsmaschen zu werden, erheblich reduzieren.
Angesichts der steigenden Bedrohung sollten Unternehmen ihre Personalabteilungen entsprechend schulen und Sicherheitsprotokolle regelmäßig aktualisieren, um mit den sich entwickelnden Taktiken der Betrüger Schritt zu halten.