Angebliche Freelancer aus Nordkorea: Verfassungsschutz warnt deutsche Firmen

Das Bundesamt für Verfassungsschutz warnt deutsche Unternehmen vor nordkoreanischen IT-Arbeitern, die ihre Dienstleistungen über Plattformen für freie Mitarbeiter anbieten. In dem Sicherheitshinweis der Behörde heißt es, diese Arbeiter verschleierten ihre wahre Herkunft und nutzen gestohlene Identitäten, um Aufträge zu erhalten. Wer solche getarnten IT-Fachkräfte beauftrage, setze sich erheblichen Gefährdungen aus. Dazu gehörten Reputationsrisiken, die Gefahr einer Sanktionsverletzung und das Risiko, dass geistiges Eigentum und firmeninterne Daten gestohlen werden.

In der Sicherheitswarnung des Verfassungsschutzes heißt es: "Unternehmen, die nordkoreanische IT-Worker beauftragen, helfen dem Regime bei der Devisenbeschaffung und tragen so mittelbar dazu bei, dessen Nuklearwaffen- und Raketenprogramm zu finanzieren." Um ihre wahre Herkunft zu verschleiern, verwendeten die nordkoreanischen Cyberkriminellen gefälschte oder gestohlene Identitäten und Dokumente, einschließlich gefälschter Profile in sozialen Medien und Plattformen wie GitHub. Oft gäben sich oft als Freiberufler aus Südkorea, Japan oder osteuropäischen Ländern aus.

Bezahlung gerne in Kryptowährungen

Die angeblichen Freelancer arbeiteten demnach teils direkt aus Nordkorea heraus, teils aber auch außerhalb des Landes. IP-Adressen, die Auskunft über den Standort geben könnten, würden meist über VPN oder Proxys verschlüsselt. Für die Auftragssuche würden hauptsächlich gängige Vermittlungsplattformen wie Fiverr, Upwork und freelancer.com genutzt. Laut Verfassungsschutz seien die Nordkoreaner dabei in zahlreichen Einsatzbereichen unterwegs – von generellem IT-Support über App-Programmierung bis hin zur Smart-Contract-Entwicklung bei Kryptowährungen. Dazu verteile sich die Aktivität über verschiedene Branchen wie das Gesundheitswesen, die Unterhaltungsindustrie oder den Finanzsektor.

Typisch sei, dass die Cyberkriminellen sich in Kryptowährungen wie Bitcoin oder über Plattformen wie PayPal und Wise bezahlen lassen. Die Kommunikation finde größtenteils auf Englisch und vorzugsweise schriftlich über Kurznachrichten statt, etwa über die Chatfunktion der Vermittlungsplattformen oder über Messenger wie Telegram. Video- und Telefonanrufe sowie persönliche Treffen würden eher vermieden. Die geforderten Vergütungen fänden sich eher im unteren Preissegment.

Auf ein Vorstellungsgespräch bestehen

Die Verfassungsschützer forderten die Personalverantwortlichen in den deutschen Unternehmen auf, Bewerbungsgespräche persönlich oder per Videoanruf zu führen. Dies ermögliche es, die Identität des Bewerbers zu überprüfen und Unstimmigkeiten festzustellen. "Achten Sie im Videoanruf auf Augenbewegungen oder lange Redepausen, die auf ein Ablesen der Antworten hindeuten", schreibt das Bundesamt. Freie Aufträge sollten außerdem nicht ausschließlich in Kryptowährungen bezahlt werden.

Verantwortlichen für IT-Sicherheit empfiehlt der Verfassungsschutz unter anderem, Arbeitsausstattung nur an die Adresse zu schicken, die in den Ausweisdokumenten angegeben sei. Sollten unter angegebenen Adressen angeblich keine Lieferungen möglich sein, sei das ein Alarmsignal. Ebenfalls sollten neu angeheuerte Personen keine eigene Software wie zur Fernwartung auf Arbeitsgeräten installieren dürfen. Weitere Details finden sich in der Sicherheitswarnung der Behörde.

Bereits vor einem Jahr wurde ein größerer Fall in den USA bekannt, bei dem IT-Fachkräfte aus Nordkorea mit gefälschten Aktivitäten auf Freelancer-Plattformen aktiv waren und dort zu vermeintlich günstigen Konditionen ihre Dienste anboten. Damals hatte die US-Bundespolizei FBI betrügerische Aktivitäten auf den Online-Jobbörsen für Freiberufler aufgedeckt, die dazu zu dienten, US-Sanktionen zu umgehen. Nordkoreanische Agenten hätten dazu ihre wahre Identität verschleiert, um IT-Jobs in westlichen Ländern zu erhalten. Die US-Regierung wirft dem nordkoreanischen Regime schon länger vor, tausende hochqualifizierte IT-Angestellte in die Welt zu entsenden, um mit deren Einnahmen das von den Vereinten Nationen sanktionierte Programm zur Atomwaffenentwicklung zu finanzieren.

Parallel zur Warnung des Verfassungsschutzes erzählte ein Berliner Softwareunternehmer seine Geschichte bei "Spiegel Online". Er habe zwei Entwickler angestellt, die sich nach anderthalbjähriger Tätigkeit als Scheinidentitäten nordkoreanischer IT-Arbeiter entpuppten. Auf die Schliche kam der Berliner ihnen durch Recherchen an ihren angeblichen Wohnorten in Japan und China.

(axk)