Diktator Kim Jong-un, eine rot-blaue Flagge mit Stern und ein verarmtes, abgeschottetes Land, das ist so gut wie alles, was viele Menschen im Westen über Nordkorea wissen. Dabei könnte es sein, dass einige Menschen - vor allem in IT-Berufen -, ohne es zu ahnen, mit Kollegen aus Nordkorea zusammenarbeiten.
Der eine Kollege, der während der Pandemie zur Firma stieß und noch nie im Büro aufgetaucht ist: möglicherweise ein Nordkoreaner. Ein Agent? Nicht unbedingt. Nordkorea ist dafür bekannt, dass es nicht zimperlich ist, wenn es darum geht, Devisen für das Waffenprogramm von Diktator Kim Jong-un heranzuschaffen. Die nordkoreanische Cyberarmee ist angeblich 7000 Menschen stark und hat im Auftrag des Diktators schon digital Banken ausgeraubt, Kryptowährungen gestohlen und mit Ransomware Firmen in aller Welt erpresst. Und zahlreiche Hackergruppen infiltrieren seit Jahren westliche Firmen, um an Informationen und Technologien zu kommen, die für das Regime nützlich sind.
Drei Hacker der "Lazarus"-Gruppe sollen im Auftrag von Diktator Kim Jong-un mit Ransomware angegriffen und Banken gehackt haben. Insgesamt sollen sie so mehr als eine Milliarde Euro in Nordkoreas Staatskasse gespült haben.
Was die Cybersecurity-Firma Palo Alto Networks jetzt aufgedeckt hat, geht allerdings noch einen Schritt weiter und hat mit Hacking nur noch bedingt etwas zu tun. In einer bizarren Volte der Arbeitsglobalisierung schickt das Land offenbar IT-Fachleute los, die sich auf gut bezahlte Jobs im Ausland bewerben. Und zwar weniger, um die Firma dann zu hacken, sondern schlicht um den Job zu machen. Und zwar so gut, dass sie ihn auch behalten. Das (irgendwie legal) verdiente Geld landet dann über kleine Umwege beim Diktator in Pjöngjang (illegal).
Fake-Bewerber machen echte Arbeit
Die Cybersicherheitsfirma hat auf Servern, die mit nordkoreanischen Aktivitäten zusammenhängen, nicht nur Schadsoftware gefunden, sondern auch Bewerbungsunterlagen, falsche Dokumente, Telefonnummern sowie Fragen- und Antwortkataloge, mit denen sich Bewerber auf Bewerbungsgespräche vorbereiten können. Die Fake-Bewerber hatten zudem gut und seit Langem gepflegte Linkedin- und Github-Profile.
Das FBI hatte Firmen schon im Oktober vor der ungewöhnlichen Kampagne gewarnt, Cyberexperten wie der oberste Hacker-Jäger der Firma Mandiant, John Hultquist, sagten der Nachrichtenagentur AP, dass es ähnliche Versuche des Regimes bereits seit einem Jahrzehnt gebe. Doch bis zur Pandemie gab es nur wenige Firmen, die sich auf komplette Remote-Arbeiter einließen. Mit Corona hat sich das geändert. Das FBI schätzt, dass es um mehrere Tausend nordkoreanische IT-Arbeiter geht, die mit ihrem Einsatz jedes Jahr Dutzende Millionen Dollar an Einnahmen generieren. Das ist nicht überraschend. Ein Jahresgehalt in der Softwareentwicklung in den USA liegt schnell bei mehr als 100 000 Dollar.
Für betroffene Firmen sind die Gastarbeiter aus Fernost zwar nicht unmittelbar ein Problem. Solange sie ihre Arbeit gut machen, wollen viele Bosse vermutlich gar nicht wissen, wo sie herkommen. Manager sollten sich dennoch Gedanken machen, wie sich der Anteil nordkoreanischer Kollegen auf ein Minimum begrenzen lässt. Schließlich könnten die Firmen als Komplizen beim Umgehen von Sanktionen angesehen werden, und da verstehen die USA keinen Spaß. Der verpflichtende wöchentliche Tag im Büro, es gibt auf einmal ein Argument mehr für ihn.
