Das Büro ist über Karneval vom 12.02 bis 17.02. geschlossen - Notruf erreichbar

Trojanische Pferde in Unternehmen: Unsichtbare Bedrohung durch nordkoreanische Hacker

E7f05654 f8c9 4f07 9fd2 aa043206610d

In der modernen Arbeitswelt, in der Remote-Arbeit zur Norm geworden ist, lauern neue, oft unsichtbare Bedrohungen. Eine der gravierendsten ist die Gefahr durch nordkoreanische IT-Arbeiter, die sich als trojanische Pferde in Unternehmen auf der ganzen Welt einschleichen.

Diese hochqualifizierten Hacker agieren verdeckt, tarnen ihre wahre Identität und dringen so in die Netzwerke von Firmen ein, um enorme Summen zu generieren – Gelder, die letztlich das nordkoreanische Waffenprogramm finanzieren. Im Folgenden kurz dazu, wie diese Hacker vorgehen, welche Risiken sie darstellen und warum es unerlässlich ist, strenge Verifikationsprozesse für externe IT-Remote-Arbeiter zu etablieren.

Update: Im Oktober 2024 hat auch das Bundesamt für Verfassungsschutz eine entsprechende Warnung herausgegeben, die hier aufgenommen wurde. Im Dezember 2025 wurden ein Erfahrungsbericht von Amazon sowie weitere aktuelle Daten in den Beitrag aufgenommen.

Die Vorgehensweise der nordkoreanischen Hacker

Nordkoreanische IT-Arbeiter nutzen eine Vielzahl von Methoden, um ihre wahre Identität zu verschleiern und sich in westliche Unternehmen einzuschleusen. Laut Berichten des FBI und des US-Justizministeriums setzen sie dabei auf „Laptop-Farmen“, die von Komplizen in den USA betrieben werden. Diese „Laptop-Farmen“ werden verwendet, um den Anschein zu erwecken, dass die Hacker in den USA ansässig sind, während sie tatsächlich von Orten wie China oder Russland aus operieren.

Vorgehensweise, Quelle: Mitteilung des BfVS (siehe unten)

Die Hacker nutzen gestohlene Identitäten, um sich als legitime, in den USA ansässige IT-Fachkräfte auszugeben. Diese Identitäten werden verwendet, um Arbeitsverträge mit Unternehmen in den USA und Europa abzuschließen. Die Unternehmen schicken dann Laptops an Adressen in den USA, die von den Komplizen der Hacker betrieben werden. Sobald die Geräte dort ankommen, installieren die Komplizen Software, die es den Hackern ermöglicht, aus der Ferne auf die Unternehmensnetzwerke zuzugreifen. Dadurch können sie sensible Daten stehlen und die Netzwerke manipulieren, ohne physisch vor Ort zu sein.

Ein jüngst bekannt gewordener Amazon-Fall zeigt, wie real die Bedrohung einerseits und wie tiefgehend technischer Schutz andererseits sind. Er illustriert, wie schmal der Grat zwischen unauffälligem Alltag und Entdeckung sein kann. Ein externer Administrator, der formal aus Arizona für Amazon arbeitete, fiel letztlich über im Mittel rund 110 Millisekunden zu langsame Tastenanschläge – ein Indikator dafür, dass seine Eingaben tatsächlich aus Asien kamen.

Cyberkriminalität in Nordkorea und die Bedrohung der Kryptowährungsindustrie

Die Strafverfolgungsbehörden reagieren inzwischen mit spürbarer Härte auf die Unterstützer dieses Systems. In den USA wurden 2025 mehrere Verfahren abgeschlossen, in denen lokalen Helfern vorgeworfen wurde, nordkoreanischen IT-Workern systematisch Remote-Jobs verschafft zu haben – inklusive der Beschaffung gestohlener US-Identitäten, des Versands von Firmenlaptops an „Laptop-Farmen“ und der Umleitung der Gehälter. Allein eine in Arizona verurteilte Organisatorin ermöglichte Hunderten von Unternehmen die Anstellung vermeintlicher US-Mitarbeiter und generierte so rund 17 Millionen US-Dollar, die nach Einschätzung des US-Justizministeriums der Finanzierung des nordkoreanischen Raketen- und Nuklearprogramms dienen konnten. Parallel dazu vermeldete das US-Justizministerium die Einziehung von über 15 Millionen US-Dollar sowie fünf Schuldbekenntnisse von Unterstützern, die unter anderem für Identitätsdiebstahl, Geldwäsche und die Einschleusung von IT-Workern verantwortlich gemacht werden.

Cyberwar und hybride Kriegsführung

Cyberwar

Aus juristischer Perspektive gibt es einige weitere Informationen zu dem Gesamtthemenkomplex im Blog bei uns, wobei wir auch als Strafverteidiger bei Cybercrime tätig sind und Unternehmen zu Cyberkriminalität und Wirtschaftsspionage beraten:

Die Konsequenzen für Unternehmen

Die wirtschaftlichen und sicherheitstechnischen Auswirkungen solcher Angriffe sind enorm. Unternehmen, die unwissentlich nordkoreanische Hacker anstellen, riskieren nicht nur finanzielle Verluste, sondern auch schwerwiegende Schäden an ihrer IT-Infrastruktur. In einem Fall führten die Aktivitäten eines solchen Hacker-Rings zu Verlusten von über 500.000 US-Dollar, die durch die Notwendigkeit entstanden, Netzwerke zu überprüfen und wiederherzustellen.

Darüber hinaus tragen diese Aktivitäten dazu bei, dass das nordkoreanische Regime weiterhin seine illegalen Waffenprogramme finanzieren kann. Jeder Dollar, der durch solche betrügerischen Aktivitäten generiert wird, stärkt das Regime und ermöglicht es ihm, seine gefährlichen Ambitionen weiter zu verfolgen.

Nordkoreanische Gruppierung LAZARUS – Sicherheitshinweis zu Cyberspionageaktivitäten

Inzwischen sollen 1000de solcher Mitarbeiter in Fortune500-Unternehmen unterwegs sein … wobei angebliche einfache Fragen wie etwa nach der Körperfülle von Kim Jong-un genügen sollen, um die entsprechenden Personen zu identifizieren.

Vom Einzelfall zum System: Zahlen, Branchen, globale Dimension 2025

Inzwischen liegt ein relativ klares Bild vor: aktuelle Threat-Intelligence-Analysen zeigen, dass nordkoreanische IT-Worker kein exotisches Randphänomen mehr sind, sondern sich tausendfach in Bewerbungsprozessen bewerben. Ein aktueller Bericht von Okta verknüpft über 130 identifizierte Vermittler- und Worker-Profile mit mehr als 6.500 Erstgesprächen in über 5.000 Unternehmen weltweit, quer durch Branchen wie Finanzwesen, Gesundheitssektor, öffentliche Verwaltung und professionelle Dienstleistungen. Diese Zahlen illustrieren, dass es sich nicht um vereinzelte „komische Bewerbungen” handelt, sondern um ein skalierbares Geschäftsmodell, das darauf ausgelegt ist, im Massengeschäft der Remote-Arbeit unterzugehen.

Haftung der Geschäftsführung für IT-Sicherheitslücken

Warum Verifikationsprozesse unerlässlich sind

Angesichts dieser Bedrohungen ist es für Unternehmen von entscheidender Bedeutung, robuste Verifikationsprozesse für externe IT-Remote-Arbeiter einzuführen und aufrechtzuerhalten. Hier sind einige Maßnahmen, die Unternehmen ergreifen sollten:

  1. Identitätsverifizierung: Es ist unerlässlich, die Identität jedes Remote-Arbeiters gründlich zu überprüfen. Dies kann durch den Einsatz von Verifikationsdiensten wie E-Verify erfolgen, die sicherstellen, dass die angegebenen Informationen korrekt sind und nicht gestohlen wurden.
  2. Überwachung von Netzwerken: Unternehmen sollten ihre Netzwerke kontinuierlich überwachen, um ungewöhnliche Aktivitäten zu erkennen, wie etwa unbefugte Fernzugriffe oder verdächtigen Datenverkehr.
  3. Schulung des Personals: HR-Teams und IT-Abteilungen müssen für die Bedrohung durch gefälschte Identitäten und Remote-Zugriffe sensibilisiert werden. Regelmäßige Schulungen können helfen, die Wachsamkeit zu erhöhen und verdächtige Aktivitäten frühzeitig zu erkennen.
  4. Strikte Richtlinien für Drittanbieter: Unternehmen, die IT-Dienstleistungen an Drittanbieter auslagern, müssen sicherstellen, dass diese Anbieter ebenfalls strenge Verifizierungs- und Sicherheitsprotokolle befolgen.

Verschätzen Sie sich nicht, solche Berichte – gemeint ist nicht dieser Blog-Bericht – haben immer auch eine juristische Komponente. Spätestens wenn diese Vorgänge allgemeine Kenntnis werden, muss man als Geschäftsleitung reagieren. An dieser Stelle nicht durch, sogar noch relativ einfache, Schutzmaßnahmen vorzubeugen, kann unmittelbare eigene Haftung für die Geschäftsleitung und Vorstände auslösen.

Für das Management sollte zudem die Botschaft bei obigem Amazon-Beispiel klar sein: Solche Feinheiten kann niemand „aus dem Bauch heraus“ erkennen. Es braucht Telemetrie, die Abweichungen bei Standort, Verbindungslatenz, Geräteprofil und Login-Verhalten erfasst, auswertet und in HR- und Sicherheitsprozesse zurückspielt – nicht als Überwachungsfantasie, sondern als Teil eines belastbaren Zero-Trust-Ansatzes im Remote-Arbeitsmodell.

Staatliche Hacker im Überblick

Wir beschäftigen uns mit Cyberrisks – dazu gehört auch das Thema Cyberwar, wozu zahlreiche Informationen auf unserer Seite finden. Insbesondere bieten wir eine Artikelserie zum staatlichen Hacking: Zu den bedeutsamsten internationalen Akteuren gehören vor allem staatliche Akteure aus Russland, China und Iran. Diese Länder setzen verschiedene Taktiken ein, um ihre geopolitischen Interessen zu fördern und die Stabilität der europäischen Demokratien zu untergraben. Die Aktivitäten in diesem Bereich zumindest im Grundsatz zu verstehen ist eine wichtige Grundlage um Zugang zur Cyberspionage oder auch der Notwendigkeit von Cyber-Diplomatie zu erhalten!

Neben den im Folgenden benannten Hauptakteuren gibt es auch andere Länder und nichtstaatliche Akteure, die versuchen, Wahlen in Europa zu beeinflussen. Dazu gehören beispielsweise Gruppen, die im Auftrag von Regierungen oder aus eigenem Interesse handeln, um bestimmte politische Agenden voranzutreiben. Diese Akteure nutzen eine Vielzahl von Methoden, darunter Cyberangriffe, Desinformation, wirtschaftlichen Druck und diplomatische Manöver, um ihre Ziele zu erreichen. Die Europäische Union und ihre Mitgliedstaaten stehen vor der Herausforderung, diese Bedrohungen zu erkennen und abzuwehren, um die Integrität ihrer demokratischen Prozesse zu schützen. Losgelöst zu dieser Thematik gibt es inzwischen bei uns auch einen Beitrag zu den Cyberfähigkeiten Israels.

Russland

Russland ist bekannt für seine umfangreichen Desinformationskampagnen und Cyberangriffe, die darauf abzielen, das Vertrauen in demokratische Prozesse zu schwächen. Zu den bekanntesten Beispielen gehört die Beeinflussung der US-Wahlen 2016 sowie die Versuche, die Brexit-Abstimmung zu beeinflussen. Russische Akteure nutzen häufig Social-Media-Plattformen, um falsche Informationen zu verbreiten und gesellschaftliche Spaltungen zu vertiefen.

Russische Hacker und ihre Aktivitäten

China

China setzt zunehmend auf Cyberangriffe und Desinformationskampagnen, um seinen Einfluss in Europa auszubauen. Chinesische Hackergruppen sind dafür bekannt, Wirtschaftsspionage zu betreiben und sensible Informationen zu stehlen, die dann genutzt werden können, um politische Entscheidungen zu beeinflussen. Zudem versucht China, durch die Verbreitung von pro-chinesischen Narrativen in den Medien die öffentliche Meinung in Europa zu manipulieren.

Hackeraktivitäten und Spionage aus China

Iran

Iranische Akteure nutzen ebenfalls Desinformationskampagnen und Cyberangriffe, um ihre geopolitischen Ziele zu verfolgen. Diese Kampagnen zielen oft darauf ab, die Politik der USA und ihrer Verbündeten in Europa zu destabilisieren. Iranische Hackergruppen greifen dabei auf ähnliche Techniken zurück wie ihre russischen und chinesischen Gegenstücke.

Irans Cyberfähigkeiten und Hacker

Nordkorea

Nordkorea ist ein weiterer internationaler Akteur, der versucht, durch Cyberaktivitäten Einfluss auf Wahlen und politische Prozesse weltweit zu nehmen, einschließlich in Europa. Während Nordkorea im Vergleich zu Russland, China und Iran weniger im Fokus steht, gibt es dennoch bedeutende Aktivitäten, die von nordkoreanischen Akteuren ausgehen. Nordkorea nutzt auch Desinformation, um seine geopolitischen Ziele zu fördern und politische Unruhen zu schüren. Während es weniger dokumentierte Fälle von direkter Wahlbeeinflussung durch Nordkorea gibt, nutzt das Regime dennoch Cyberoperationen, um politischen Druck auszuüben und seine Interessen zu wahren, etwa durch Veröffentlichung von kompromittierenden Informationen über politische Kandidaten oder die Verbreitung von Propaganda.

Cyberkriminalität in Nordkorea und die Bedrohung der Kryptowährungsindustrie

Keine Naivität walten lassen!

Die Bedrohung durch nordkoreanische Hacker zeigt, wie wichtig es ist, in der digitalen Welt wachsam zu bleiben. Unternehmen müssen sicherstellen, dass sie nicht unwissentlich zur Finanzierung illegaler Aktivitäten beitragen, indem sie strenge Verifikationsprozesse für alle Remote-Arbeiter implementieren. Nur so können sie sich gegen diese unsichtbare Bedrohung schützen und ihre Netzwerke und Daten sicher halten.

Für deutsche Unternehmen ist es von besonderer Relevanz, dass das Bundesamt für Verfassungsschutz seit Herbst 2024 explizit vor nordkoreanischen IT-Freelancern warnt. Diese bieten sich über Plattformen als scheinbar harmlose Dienstleister an. Der Verfassungsschutz formuliert ungewöhnlich deutlich, dass Unternehmen, die solche IT-Worker beauftragen, „dem Regime bei der Devisenbeschaffung helfen und so mittelbar dazu beitragen, dessen Nuklearwaffen- und Raketenprogramm zu finanzieren“. Neben dem offensichtlichen Sicherheitsrisiko – von IP-Diebstahl über Datenabfluss bis hin zu manipulierter Infrastruktur – drohen damit auch Reputationsschäden und der Vorwurf, gegen Sanktionsrecht und Exportkontrollvorgaben verstoßen zu haben.

2024-10-01-sicherheitshinweis-fuer-die-wirtschaftHerunterladen

Governance als Organisationspflicht und Haftungsfrage

Für die Unternehmensleitung geht es bei nordkoreanischen IT-Workern nicht mehr nur um „IT-Security Best Practice“, sondern um klassische Organisationspflichten. Gerade in sensiblen IT-Rollen wie Administratoren, DevOps, Cloud-Security oder mit Zugriff auf Quellcode und Produktionssysteme wird man künftig darlegen müssen, dass die Identität, der Einsatzort und die Zugriffsrechte der handelnden Personen nicht nur formal, sondern auch substanziell geprüft wurden. Dazu gehören strukturierte Onboarding-Prozesse, dokumentierte Identitätsprüfungen, Kontrollmechanismen für verwendete Hardware und eine klare Richtlinie, welche Rollen überhaupt remote und mit welchen Einschränkungen besetzt werden dürfen.

Haftung

Unterlässt ein Unternehmen solche Vorkehrungen, bewegt es sich im Bereich des Organisationsverschuldens. Tritt ein Schaden ein, beispielsweise durch den Abfluss von Geschäftsgeheimnissen, die Manipulation von Systemen oder Verstöße gegen das Sanktionsrecht, muss sich die Geschäftsleitung Fragen nach der Angemessenheit der eingerichteten Compliance- und Sicherheitsstrukturen gefallen lassen. In Extremfällen drohen neben zivilrechtlicher Haftung und versicherungsrechtlichen Auseinandersetzungen auch bußgeldbewehrte Aufsichtsverstöße, etwa wenn sich der Vorwurf mangelnder IT-Sicherheit oder fehlender Risikovorsorge nachweisen lässt.

AWG

Hinzu kommt eine sanktions- und außenwirtschaftsrechtliche Dimension: Wer wissentlich oder grob fahrlässig nordkoreanische IT-Worker in seine Liefer- oder Beschäftigungskette einbindet, riskiert nicht nur, ungewollt zur Devisenbeschaffung für das nordkoreanische Raketen- und Nuklearprogramm beizutragen. Er oder sie verstößt damit auch gegen Sanktions- und Exportkontrollvorgaben. Der Verfassungsschutz weist ausdrücklich darauf hin, dass Unternehmen mit solchen Beauftragungen „dem Regime bei der Devisenbeschaffung helfen” und so Teil eines sicherheitspolitisch hochsensiblen Geflechts werden. In einem Umfeld, in dem Behörden und Strafverfolgungsbehörden die Struktur dieser Programme immer klarer herausarbeiten, schrumpft der Raum für den Einwand, man habe die Risiken nicht erkennen können.

Governance?

Governance bedeutet deshalb, dieses Thema nicht nur in der IT-Abteilung, sondern auch auf der Agenda von Vorstand, Geschäftsführung und Aufsichtsorganen zu verankern. Wer Remote-Arbeit strategisch nutzen möchte, benötigt ein dokumentiertes, risikobasiertes Konzept für kritische IT-Funktionen. Dieses Konzept muss technische Kontrollen (Zero-Trust-Architekturen, Telemetrie, Anomalie-Erkennung), saubere HR-Prozesse und ein Bewusstsein für Sanktions- und Außenwirtschaftsrecht verbinden. Unternehmen, die diese Hausaufgaben sichtbar gemacht haben, sind im Ernstfall deutlich besser in der Lage, ihre unternehmerische Entscheidung als vertretbar und sorgfältig vorbereitet zu rechtfertigen.

Rechtsanwalt Jens Ferner
Letzte Artikel von Rechtsanwalt Jens Ferner (Alle anzeigen)
Rechtsanwalt Jens Ferner

Von Rechtsanwalt Jens Ferner

Rechtsanwalt Jens Ferner ist renommierter Strafverteidiger im gesamten Strafrecht samt Managerhaftung (mit Schwerpunkt Wirtschaftskriminalität und Cybercrime) sowie Spezialist im IT-Recht mit Schwerpunkt Softwarerecht und digitale Beweismittel. Als Fachanwalt für Strafrecht + IT-Recht verteidigt er Mandanten in anspruchsvollen Strafverfahren, speziell an der Schnittstelle von Strafrecht & IT-Recht und berät in komplexen Softwareprojekten.

Rechtsanwalt Jens Ferner ist Lehrbeauftragter für Wirtschaftsstrafrecht und IT-Compliance (FH Aachen), Softwareentwickler, fortgebildet in Kommunikationspsychologie und publiziert fortlaufend.

Erreichbarkeit: Erstkontakt per Mail oder Rückruf.

Unsere Anwaltskanzlei im Raum Aachen ist hochspezialisiert auf Strafverteidigung, Cybercrime, Wirtschaftsstrafrecht samt Steuerstrafrecht. Zudem sind wir für Unternehmen im Softwarerecht und Cybersicherheitsrecht beratend tätig.