Ein Opfer berichtet: So perfide gehen Nordkoreas Hacker vor

Kim Jong-un hat nicht nur ihm ergebene Soldaten, sondern auch eine mächtige Cyberarmee. © AFP | Str

Berlin. Das Regime gilt weltweit als Cybermacht. Wie konnte ein bitterarmes Land so eine Gefahr für Deutschland werden? Ein Fall gibt Aufschlüsse.

Als Memo Rhein längst ahnt, dass er betrogen wird, stehen auf einmal zwei Mitarbeiter des Verfassungsschutzes in seinem Berliner Büro. Es geht um seine Mitarbeiter, Ryosuke Y. und Xing X., beide Softwareentwickler aus Japan. Angeblich.

Rhein ist Mitte 70. Er arbeitet seit Jahrzehnten in der Musikbranche, hat ein Unternehmen aufgebaut, das selbst Musik herausbringt, spezialisiert auf klassische Künstler. Zugleich kümmert sich das Team um Lizenzen und Urheberrechte in der immer digitaler werdenden Musikwelt.

Kim Jong-uns Cyberkriminelle: „Die Profile waren top“, sagt Unternehmer Rhein heute

Es ist gut zwei Jahre her, da sucht Rhein für seine Firma neue Software-Techniker. Sie sollen ein Abrechnungssystem für die Website und weitere Funktionen basteln. Rhein will sogenannte „Telearbeiter“ einstellen, also Fachleute, die nicht vor Ort arbeiten, sondern rund um den Globus sitzen und von dort aus ihre Jobs erfüllen. Digitale Technik und Vernetzung machen das möglich.

Rhein findet auf einer Vermittlungsplattform im Netz zwei Kandidaten – einen Japaner, der in den USA lebt, einen weiteren Japaner in Polen. So jedenfalls scheint es. „Die Profile waren top“, sagt Unternehmer Rhein heute im Telefonat mit unserer Redaktion. „Computer Science Master“ heißt es auf den Bewerbungsbögen von Ryosuke Y. Jahrelange Erfahrung, Hochschulabschlüsse, „vielversprechendes Skill-Set“.

Rhein ist beeindruckt. Und doch will sein Team prüfen, dass der Bewerber keine Märchen erzählt. Sie finden Fotos und Profil von Y. auf anderen sozialen Plattformen. Dazu die passenden Fotos, ein lächelnder junger Mann. Alles wirkt echt. Rhein stellt die beiden Techniker ein. „Und es fing sehr erfolgreich an“, sagt er heute. Die Aufträge laufen gut, die Software entwickelt sich.

Was Rhein da noch nicht weiß. Y. und X. sind keine Japaner. Und möglicherweise nicht einmal echte Softwareentwickler. Ende vergangenen Jahres veröffentlicht das Bundesamt für Verfassungsschutz (BfV) einen „Sicherheitshinweis“. Der Nachrichtendienst warnt vor „nordkoreanischen IT-Workern“ – getarnt als IT-Fachkräfte beschaffen sie Geld für Nordkoreas Regime. Im schlimmsten Fall spionieren sie westliche Unternehmen aus, stehlen Software und Patente. Eine „weltweite offensive Cyberoperation zur Devisenbeschaffung“, schreibt das BfV. Betroffen sind auch deutsche Firmen. Menschen wie Memo Rhein, über dessen Fall zuerst das Magazin „Spiegel“ berichtete. Mutmaßlich überwies er dem nordkoreanischen Staat am Ende mehr als 100.000 Euro.

Diktator Kim Jong Un: Sein Land ist abhängig von Devisenklau. © DPA Images | Uncredited

Nordkorea: Das Land ist marode, doch als Cybermacht gefürchtet

Nordkorea ist eine Diktatur, seit Jahrzehnten herrscht eine kommunistische Machtelite über das Land. Die Menschen verarmen, der Staat ist international isoliert. Wer es ins Land schafft, erlebt ein marodes, trostloses Gebilde. Und doch ist Nordkorea als Cybermacht gefürchtet, auch unter deutschen Sicherheitsbehörden. China, Russland, Iran – diese autoritären Staaten stehen im globalen Cyberkampf den USA und Israel entgegen. Aber Nordkorea kommt für viele direkt danach. Beim Entdecken von Sicherheitslücken in Software-Programmen sind die Nordkoreaner noch besser. Was Fachleuten auffällt: Das Regime setzt bei Cyberkriminalität nicht wie China auf Masse – sondern geht sehr gezielt vor.

#8 Ricarda Lang über ihren Rücktritt, Humor und alte Männer

Meine schwerste Entscheidung

Beamte gehen davon aus, dass eine hohe vierstellige Zahl an IT-Cyber-Fachleuten für das Regime von Machthaber Kim Jong-un arbeitet. Unterstellt sind sie etwa dem „Generalbüro für Aufklärung“, dem Ministerium für Staatssicherheit. Ein Teil dient direkt Kims „Partei der Arbeit“.

In mehreren Fällen stahlen Cyberkriminelle Gigabyte an Daten von Rüstungsfirmen

Eine Analyse der Konrad-Adenauer-Stiftung kommt zu dem Schluss, dass das Land bisher „circa drei bis sechs Milliarden US-Dollar (ohne Dunkelziffer) durch den Einsatz von Cybermitteln“ gewinnen konnte. Das Geld, davon gegen Fachleute aus, fließe auch in das nordkoreanische Militär. Und das Atomprogramm. Im Visier ist zunehmend die europäische Fintech-Branche, also Firmen, die Technik rund um die Finanzwelt anbieten. Aber auch die westliche Rüstungsindustrie. In mehreren Fällen stahlen nach Informationen unserer Redaktion nordkoreanische Cyberkriminelle Gigabyte und Terrabyte an Daten von Rüstungsfirmen, auch in Deutschland.

Es ist ein gefährliches, hochsensibles Wissen über Waffen und Kriegsgerät in den Händen einer Diktatur. Sicherheitsfachleute gehen davon aus, dass Nordkorea moderne westliche Militärtechnik nicht selbst nachbauen kann. Dafür fehlen Know-how und vor allem die Produktionsstätten. Und doch könnte das Regime gestohlene Patente und Informationen über Rüstungsgüter gewinnbringend an andere Staaten verkaufen.

Seit Jahren enge Bande: Russlands Machthaber Wladimir Putin und Nordkoreas Diktator Kim Jong-un. © DPA Images | Kristina Kormilitsyna

Viele Akteure von Kim Jong Un arbeiten von China oder Russland aus

Im Spätsommer hatte der „Spiegel“ berichtet, dass Mitarbeiter des Rüstungsunternehmens Diehl Defence „mittels gefälschter und vermeintlich lukrativer Jobangebote amerikanischer Rüstungsanbieter“ getäuscht werden sollten. Mutmaßlich nordkoreanische Hacker wollten auf diese Weise eine Schadsoftware im Firmennetzwerk installieren.

Die nordkoreanischen Fake-IT-Kräfte nutzen gefälschte Pässe, frei erfundene oder gestohlene Identitäten. Sie verändern bereits im Netz vorhandene Fotos mit einer Software – und nutzen diese dann für ihr eigenes Arbeitsprofil. Viele Akteure von Kims Cyberarmee sitzen gar nicht in Nordkorea, sie arbeiten von China oder Russland aus, manche in Staaten in Südostasien. Damit kein Verdacht aufkommt, verschleiern sie ihre IP-Adresse mit Verschlüsselungssoftware. Sie geben sich als Japaner in den USA aus, arbeiten nachts, um die Zeitverschiebung zu vertuschen. Memo Rhein erzählt, dass sein Team irgendwann herausgefunden habe, dass die angeblichen Japaner wohl in Indien saßen.

Selbst Bewerbungsgespräche könnten bald mit KI live gefälscht werden

Das Gefährliche: Sicherheitsbehörden fällt auf, wie die gefälschten Bewerbungen nordkoreanischer IT-Fachkräfte immer besser werden. Vor Jahren fielen noch Fehler bei der Rechtschreibung oder im Ausdruck auf, jetzt ist die Kommunikation, mit der sich diese Cyberspione in westliche Unternehmen einschleusen wollen, so gut wie fehlerfrei. Der Dialog laufe teilweise in Echtzeit, berichtet ein ranghoher Mitarbeiter. Selbst Vorstellungsgespräche per Video-Anruf könnten bald mit Künstlicher Intelligenz live gefälscht werden. Welche Personalabteilung soll das noch durchschauen?

Bei Rheins Firma wächst nach einigen Monaten der Frust. Die eingestellten Softwareentwickler sind unzuverlässig, erledigen die Aufträge nicht. Rhein schildert heute, dass sie die Technik nicht verstanden hatten, immer wieder Erklärungen benötigten. „Wir wurden misstrauisch“, sagt er. Und doch setzten sie weiter auf die neu Eingestellten, denn mitten in einem Projekt die IT-Experten neu zu suchen und auszutauschen, kostet viel Zeit und Arbeit.

Schon zu Beginn der 1960er Jahre baute die Diktatur einen ersten Computer-Prototyp

Wie kam es, dass Nordkorea zu einer gefürchteten Cybermacht wurde? Dabei hilft ein Blick in die Geschichte. Schon zu Beginn der 1960er Jahre baute die Diktatur einen ersten Computer-Prototyp – damals mit russischer Hilfe. Es ist die Zeit nach dem Korea-Krieg – und der Anfang von Nordkoreas Cyberspionage.

Seit 1970 nutze das Land „klandestine und illegale Methoden zur Fremdwährungsbeschaffung“, schreibt die Adenauer-Stiftung. Immer wieder spielt Russland eine Schlüsselrolle. In den Jahrzehnten der Sowjetunion, aber auch heute noch, lehren russische Wissenschaftler an der Universität in Pjöngjang, Nordkorea schickt jedes Jahr mindestens 100 Studierende an russische Akademien zu Cyber-Lehrgängen. Militärisch steht Kims Regime dem Herrscher in Moskau sehr nahe, sie unterzeichnen Abkommen, helfen einander. Aktuell sind offenbar mehr als zehntausend nordkoreanische Soldaten an Russlands völkerrechtswidrigen Krieg in der Ukraine beteiligt.

Teil der Cybertruppe zu werden ist ein Weg aus der Armut

Seit 2009 gilt in Kims Diktatur die Songun-Doktrin. Sie stellt die Verteidigungsbereitschaft des Landes an erste Stelle. Das Geld des Staates fließt vor allem in Militär, Atomprogramm – und die Cyberkräfte. Während die Elite des Staates sich selbst mit Luxusgütern umsorgt, fehlen vielen Menschen die Mittel für Essen. Teil der Cybertruppe zu werden, ist durchaus ein Ausweg aus der Armut. Die Partei zahlt ihren Hackern gutes Geld – und die Cyberkriminellen können sich nebenbei mit ein paar Angriffen noch etwas schwarz dazuverdienen, mutmaßen Fachleute.

Noch etwas ist zentral für Nordkoreas Aufstieg zur Cybermacht: Für ein militärisches Nuklearprogramm braucht es jede Menge Technik, Fabriken zur Herstellung, Abschussanlagen. Das verschlingt enorme Ressourcen. Für einen Cyberangriff braucht es – zugespitzt – nicht viel mehr als einen Laptop und einen Internetzugang. Das bekommen selbst bitterarme Staaten hin. In der Corona-Pandemie, in der Lieferwege durch Lockdowns abgeschnitten waren, bekam die Cyberkriminalität zudem einen Schub. Weltweit – und auch in Nordkorea.

Wirtschaft entsteht durch Cyberkriminalität ein Schaden von 200 Milliarden Euro pro Jahr

Als in Memo Rheins Firma die Zweifel an den angeblichen japanischen IT-Experten wachsen, ermittelt er selbst, lässt bei den Universitäten in China überprüfen, ob die Mitarbeiter dort überhaupt studiert hatten. Er versucht, die Adressen herauszufinden und will die vermeintlichen Softwareentwickler dort besuchen. Immer wieder verstricken die sich in Ausreden, wollen Zeit gewinnen. Sie hätten sogar angeboten, eine Zeit umsonst zu arbeiten, sagt Firmenchef Rhein.

Als die Verfassungsschützer in Rheins Büro stehen, passt jedes Kapitel des Betrugs wie ein Puzzleteil zusammen: die fehlenden IT-Kenntnisse, das Abtauchen, die falschen Adressen, der Name des einen, der wie ein bekannter japanischer Schauspieler hieß. Das Profilfoto, das auch andere angebliche „IT-Fachkräfte“ nutzten. Offenbar, davon geht Rhein aus, hatten die falschen IT-Techniker es auch auf das Know-How der Firma abgesehen, die Software des Unternehmens, Codes zum Schreiben der Programme. Doch wahrscheinlich, sagt Rhein, seien sie damit nicht erfolgreich gewesen.

Was Rhein nach eigenen Angaben noch aufgefallen war: Für die Überweisungen der Gehälter gaben die IT-Worker Personen an, deren Namen eher nach Osteuropa als nach Asien klingen. Russland?

Cyberkriminelle brauchen nicht viel: Wissen, einen Laptop und Internetzugang. © dpa | Sebastian Gollnow

Die Sicherheitsbehörden raten dazu, kein Geld über verschlüsselte Kypto-Währungen zu zahlen, bisher eine gängige Methode bei getarnten nordkoreanischen Cyberkriminellen. Das verschleiert die Identität gezielt. Auch Arbeitsausstattung wie Laptops und Zugänge zu Firmen-Netzwerken sollten nicht leichtfertig verschickt werden, Zugriffsrechte nur eingeschränkt sein.

Memo Rhein wurde betrogen. Er ist einer der wenigen Unternehmer, die darüber sprechen. Dabei sind viele betroffen, durch Cyberkriminalität entsteht der deutschen Wirtschaft laut Bundeskriminalamt längst Schaden von mehr als 200 Milliarden Euro pro Jahr. Rhein sagt, er sei nun wachsamer. Und IT-Fachkräfte wolle er künftig nur noch einstellen, wenn er sie persönlich getroffen habe. „Per Handshake.“ Auch wenn das Gehalt dann etwas höher ist, kann es sich am Ende auszahlen.