(pressebox) (Wiesbaden, 14.05.2025) Seit einiger Zeit geben sich Bedrohungsakteure:innen aus Nordkorea als legitime IT-Profis aus. Ihr Ziel: Remote-Jobs ergattern, um primär mit ihrem Gehalt nordkoreanische Interessen zu finanzieren und sekundär monetäre Mittel via Erpressung durch Datendiebstahl zu erlangen. Sophos hat insbesondere für Personalverantwortende Tipps zu Vorstellungsgesprächen, Onboarding und Compliance zusammengestellt.

„Die Betrüger:innen haben in der Vergangenheit mit Fähigkeiten in der Web- und Blockchain-Softwareentwicklung geworben, sich aber auch für andere IT-Stellen in einer Vielzahl von Branchen beworben, nicht nur in Unternehmen des Technologiesektors. Im Jahr 2025 haben sie ihren Fokus auf Rollen in der Cybersicherheit erweitert und verstärkt weibliche Personen eingesetzt“, erklärt Sarah Kern, Leiterin für Nordkorea und aufkommende Bedrohungen im Counter Threat Unit Research Team. 

Unternehmen sollten ihre Einstellungsteams und Personalabteilungen im Hinblick auf Verifizierung, Hintergrundüberprüfung und sicheres Onboarding schulen. Sophos hat je nach Phase des Einstellungsprozesses dezidierte Tipps zusammengestellt:

Während des Vorstellungsgesprächs:

• Von den Bewerber:innen sollte ein verifizierter Identitätsnachweis, idealerweise mindestens einmal persönlich, vorgelegt werden.
• Die Online-Präsenz sollte in Bezug auf Namen, Aussehen, Arbeitsgeschichte und Ausbildung konsistent sein.
• Bewerber:innen verwenden oft geklonte Lebensläufe oder fremde Telefonnummern. Personalverantwortende sollten ebenso die Telefonnummern prüfen, die mit Voice-over-IP-Diensten (VoIP) und nicht mit Mobilfunk- oder Festnetzdiensten verbunden sind.
• Sinnvoll ist eine Überprüfung des beruflichen Werdegangs über offizielle Kanäle und nicht nur über angegebene Kontakte. Auch sollten Firmenadressen und Telefonnummern mit den offiziellen Unternehmenswebseiten übereinstimmen.
• Im Vorstellungsgespräch können beiläufige Hintergrundfragen über Standort, beruflichen Werdegang oder Ausbildung des Einzustellenden auf einen Mangel an echter Erfahrung hindeuten oder in anderer Weise seinen Behauptungen   widersprechen (zum Beispiel aktuelles Wetter an seinem angeblichen Standort stimmt nicht).
• Misstrauen ist angesagt, wenn ein Bewerber:innen  behaupteten, Muttersprachler:in zu sein und tatsächlich nur über geringe oder mittlere Kenntnisse in dieser Sprache verfügt.
• Personalverantwortende sollten persönliche oder Video-Interviews durchführen und im Gespräch bitten, zumindest vorübergehend virtuelle Hintergründe und andere digitale Filter zu deaktivieren.
• Auch eine Hintergrundüberprüfung über eine vertrauenswürdige Stelle kann der Verifizierung dienen.

Während des Onboardings:

• Stimmt die Identität des eintretenden Mitarbeitenden mit der des eingestellten Bewerbers:in überein?
• Verdächtig kann es sein, wenn in letzter Minute eine Änderung der Versandadresse für Firmenlaptops verlangt wird. Hier sollten Kuriere angewiesen werden, nach dem Versand keine Umleitung an eine neue Adresse zuzulassen.
• Besteht der neue Mitarbeitende darauf, ein persönliches Gerät anstelle eines Firmengeräts zu verwenden, sollte man misstrauisch werden.
• Die Bankdaten sollten nicht an einen Geldtransferdienst weitergeleitet werden.
• In letzter Minute gestellte Anträge auf Änderung der Zahlungsinformationen des Mitarbeitenden oder wiederholte Anträge auf Änderung der Bankverbindung innerhalb eines kurzen Zeitraums sollten überprüft werden.
• Anträge auf Vorauszahlung sollten abgelehnt werden.

Nach der Einstellung:

• Die Nutzung von nicht autorisierten Fernzugriffs-Tools und der Zugriff zu nicht lebensnotwendigen Systemen sollte begrenzt sein.
• Bedenklich ist es auch, wenn der Mitarbeitende sich weigert, während eines Anrufs das Video einzuschalten, er sich ungerechtfertigt Sorgen um persönliche Treffen macht und wenn sich bei Sprachanrufen Hintergrundgeräusche wahrnehmen lassen, die darauf hindeuten könnten, dass der Mitarbeitende in einem Callcenter oder einem überfüllten Raum arbeitet.
• Das Laptop des neuen Mitarbeitenden sollte mithilfe von Antiviren- und Endpoint Detection and Response (EDR-) Software beobachtet werden. Auch Netzwerkverbindungen über VPN-Dienste, insbesondere ausländische VPN-Dienste für Privatanwender oder Astrill VPN, sollten überprüft werden.