Das nordkoreanische IT-Arbeiter-Programm ist eine staatlich gelenkte Betrugsoperation, die mit gestohlenen Identitäten, in den USA ansässigen „Laptop-Farm"-Helfern und KI-gestützten Vorstellungsgesprächen gefälschte Remote-Beschäftigte in westliche Unternehmen einschleust. Allein der Teil mit den Schein-Mitarbeitern bringt der DVRK verlässlich geschätzte **250 bis 600 Millionen US-Dollar pro Jahr** an betrügerischen Gehältern ein – und genau das wird gerade vor US-Bundesgerichten verhandelt. Um das zu stoppen, verifizieren Sie die Identität bereits beim Eingang der Bewerbung, führen Interviews mit eingeschalteter Kamera samt Live-Deepfake-Tests durch, versenden Geräte ausschließlich an die verifizierte Adresse und gewähren keinerlei Systemzugriff, bevor die Hintergrundprüfung sauber durchläuft. Die Verteidigung liegt in Ihrem Recruiting-Funnel, nicht in Ihrer Firewall. Das ist aus einem Grund unangenehm, den die meisten Sicherheitsratschläge nicht teilen: Der Angreifer bricht nicht ein. Er bewirbt sich. Er führt ein gutes Gespräch. Er nimmt Ihr Angebot an, unterschreibt Ihre Unterlagen und übersteht Ihr Onboarding. Die Recruiting-Pipeline ist die Angriffsfläche – und für Remote-first-Teams ohne eine Security-Abteilung im Rücken des Recruitings steht sie sperrangelweit offen. ## Was das nordkoreanische IT-Arbeiter-Programm tatsächlich ist Das Programm nutzt echte amerikanische Identitäten, um nordkoreanische Agenten in legitime Remote-Engineering-Jobs zu bringen – mit einem bezahlten US-Komplizen, der den Mitarbeiter wie einen Inländer aussehen lässt. Der eigentliche Arbeiter sitzt physisch in China, Russland oder anderswo; ein „Laptop-Farm"-Betreiber in den USA nimmt den Firmenlaptop entgegen, installiert Fernzugriffssoftware und lässt die Person aus dem Ausland einloggen. Das Unternehmen glaubt, es habe einen einheimischen Engineer eingestellt. Das stimmt nicht. Das US-Justizministerium erklärt, Nordkorea habe „Tausende hochqualifizierter IT-Arbeiter rund um den Globus eingesetzt", und das Netzwerk der Helfer erstreckt sich über mehrere Länder (Quelle: [DOJ, landesweite Aktion im Juni 2025](https://www.justice.gov/opa/pr/justice-department-announces-coordinated-nationwide-actions-combat-north-korean-remote)). Das ist keine Handvoll Gelegenheitstäter. Es ist eine industrialisierte Einnahmequelle mit Arbeitsteilung, eigenem Werkzeugkasten und einem Zweck zur Sanktionsumgehung dahinter. ### Die Zahlen, entschlüsselt: 2,8 Mrd. Dollar Krypto vs. 250–600 Mio. Dollar Gehälter Zwei Zahlen werden ständig durcheinandergeworfen, und sie auseinanderzuhalten ist der schnellste Weg, zu erkennen, wer das Thema wirklich verstanden hat. Das Multilateral Sanctions Monitoring Team (MSMT) beziffert *sämtliche* Cyber- und IT-Arbeiter-Einnahmen der DVRK auf rund **2,8 Milliarden US-Dollar zwischen Januar 2024 und September 2025** – der Großteil davon entfällt jedoch auf **Kryptodiebstahl**, nicht auf Gehälter (Quelle: [MSMT-Bericht des US-Außenministeriums](https://www.state.gov/releases/office-of-the-spokesperson/2026/01/multilateral-sanctions-monitoring-team-report-on-dprk-violations-and-evasions-of-un-sanctions-through-cyber-and-information-technology-worker-activities), zusammengefasst von [Chainalysis](https://www.chainalysis.com/blog/msmt-report-north-korea-dprk-cyber-threats/)). Das **Schein-IT-Arbeiter-Programm im engeren Sinne** ist ein separater, kleinerer Strom, den die UN auf **250 bis 600 Millionen US-Dollar pro Jahr** an betrügerischen Gehältern schätzt (Quelle: [Fortune](https://fortune.com/2026/04/25/north-korean-it-worker-scheme-american-faciliators/), unter Berufung auf UN-Berichte). Einzelne Arbeiter verdienen Berichten zufolge zwischen 3.500 und 10.000 US-Dollar im Monat. Wenn Sie also „2,8 Milliarden Dollar durch gefälschte IT-Arbeiter" lesen, ist das schlicht falsch. Das Gehaltsprogramm ist eine Säule einer größeren Maschinerie – und es ist die Säule, die mitten durch Ihr Bewerbermanagementsystem läuft. ### Die Pipeline: gestohlene Identität, US-Helfer, Laptop-Farm, Geldwäsche Der Ablauf ist über alle verhandelten Fälle hinweg derselbe: 1. **Gestohlene oder geliehene Identität.** Der Agent verwendet den echten Namen, die SSN und die Adresse eines Amerikaners – oft gekauft oder aus früheren Datenlecks beschafft. 2. **Ein in den USA ansässiger Helfer.** Ein bezahlter Komplize (der „Laptop-Farm"-Betreiber) verschafft dem Programm eine inländische Präsenz, indem er den Firmenlaptop an einer US-Adresse entgegennimmt. 3. **Fernzugriff.** Der Helfer installiert Fernsteuerungssoftware, sodass der Arbeiter aus dem Ausland so agieren kann, als säße er an genau diesem US-Schreibtisch. 4. **Gehaltswäsche.** Die Löhne fließen zunächst an den Helfer, werden dann ins Ausland an die DVRK weitergeleitet – teils über Kryptowährungen. Die Helfer reichen von wissenden Geldmachern bis hin zu Menschen, die über „Arbeite von zu Hause"-Anzeigen angeworben wurden und nicht ganz begreifen, worauf sie sich eingelassen haben. So oder so sieht das Unternehmen am anderen Ende einen sauberen Lohnabrechnungseintrag und einen funktionierenden Engineer. ## Das ist kein Hype, sondern ein Fall für die Bundesstaatsanwaltschaft Falls Sie das unter „Marketing von Security-Anbietern" abgelegt haben: aktualisieren Sie das. Das Justizministerium hat mehrjährige Haftstrafen gegen die US-Helfer erwirkt, die das Programm am Laufen halten, und die Aktenlage liest sich wie ein Handbuch für diese Betrugsoperation. ### Die Laptop-Farm in Arizona: 309 Unternehmen, 17 Mio. Dollar, 102 Monate Der Musterfall ist Christina Chapman, die aus ihrem Haus in Arizona eine Laptop-Farm betrieb. Am 24. Juli 2025 wurde sie zu **102 Monaten Haft** verurteilt. Ihr Programm erwirtschaftete **mehr als 17 Millionen US-Dollar**, betrog **309 US-Unternehmen** (darunter einer der fünf größten TV-Sender, ein Silicon-Valley-Tech-Konzern und Fortune-500-Firmen) und stützte sich auf **68 gestohlene US-Identitäten** (Quelle: [DOJ](https://www.justice.gov/opa/pr/arizona-woman-sentenced-17m-information-technology-worker-fraud-scheme-generated-revenue)). Bei einer Durchsuchung ihres Hauses im Jahr 2023 wurden **mehr als 90 Laptops** in einem organisierten Aufbau sichergestellt, und sie hatte **49 Geräte ins Ausland verschickt**, darunter mehrere Lieferungen in eine chinesische Stadt an der Grenze zu Nordkorea (Quellen: DOJ; [The Record](https://therecord.media/arizona-woman-sentenced-north-korean-laptop-farm)). Stellen Sie sich das vor: ein Vorstadthaus mit 90 surrenden Firmenlaptops in den Regalen – jeder einzelne ein Remote-Engineer bei einem anderen Unternehmen. Die US-Staatsanwältin Jeanine Pirro brachte die Lehre in einem Satz auf den Punkt: > Der Anruf kommt aus dem Inneren des Hauses ... Unternehmen, die virtuelle Mitarbeiter nicht verifizieren, stellen ein Sicherheitsrisiko für alle dar. Sie sind die erste Verteidigungslinie gegen die nordkoreanische Bedrohung. ### Die landesweite Razzia 2025: 16 Bundesstaaten, 29 Laptop-Farmen Chapman war kein Einzelfall. Im Juni 2025 erstreckte sich eine koordinierte DOJ-Aktion über **16 Bundesstaaten** mit Durchsuchungen von **29 bekannten oder vermuteten Laptop-Farmen** und der Beschlagnahmung von **rund 200 Computern, 29 Finanzkonten und 21 betrügerischen Websites**. Die Arbeiter hatten sich Stellen bei **mehr als 100 US-Unternehmen** verschafft. In einem Fall stahlen sie **exportkontrollierte US-Militärtechnologie**; in einem anderen entwendeten DVRK-Arbeiter bei einer Blockchain-Firma in Atlanta rund **900.000 US-Dollar in Kryptowährung** (Quelle: [DOJ](https://www.justice.gov/opa/pr/justice-department-announces-coordinated-nationwide-actions-combat-north-korean-remote)). Im April 2026 wurden zwei weitere Helfer, Kejia Wang und Zhenxing Wang, zu 108 bzw. 92 Monaten verurteilt, weil sie DVRK-Arbeiter bei **mehr als 100 US-Unternehmen** untergebracht hatten – unter Verwendung von **mindestens 80 gestohlenen Identitäten** und mit Einnahmen von **über 5 Millionen US-Dollar** für das Regime. Die Einordnung des stellvertretenden Generalstaatsanwalts war unmissverständlich: Die Masche habe „nordkoreanische IT-Arbeiter auf die Gehaltslisten ahnungsloser US-Unternehmen und in US-Computersysteme gebracht und damit unserer nationalen Sicherheit geschadet" (Quelle: [DOJ](https://www.justice.gov/opa/pr/two-us-nationals-sentenced-facilitating-fraudulent-remote-information-technology-worker)). Das Muster ist inzwischen gefestigte Rechtsprechung. Hunderte Unternehmen, Beträge im acht- und neunstelligen Bereich und Haftstrafen, die in Jahren gemessen werden. ## Wie KI den Einsatz erhöht – und die Täter zugleich verrät KI hat dieses Programm nicht erfunden. Sie ist ein Beschleuniger, der dem Kernbetrug aus gestohlener Identität plus Helfer aufgesetzt wurde. Aber sie ist ein echter Beschleuniger – und dieselben Werkzeuge, mit denen ein Agent ein Gespräch fälscht, hinterlassen auch Spuren, auf die Sie achten können. ### Ein Echtzeit-Deepfake in 70 Minuten Die Unit 42 von Palo Alto Networks führte das Experiment durch, das jeden Hiring Manager beunruhigen sollte: **Ein einzelner Forscher ohne Erfahrung in Bildmanipulation, mit begrenztem Deepfake-Wissen und einem fünf Jahre alten Rechner baute in 70 Minuten eine synthetische Identität für Vorstellungsgespräche** – mit einer Consumer-GPU aus dem Jahr 2020 und kostenlosen Tools (Quelle: [Unit 42](https://unit42.paloaltonetworks.com/north-korean-synthetic-identity-creation/)). Das ist heute die Messlatte. Kein Staatslabor, keine Spezialhardware. Siebzig Minuten an einem alten Gaming-PC. Die Täter kombinieren Echtzeit-Gesichtstausch im Video mit **Echtzeit-Stimmwerkzeugen, um Akzente zu kaschieren**, sodass die Person in Ihrem Call genauso aussehen und klingen kann wie der Amerikaner, dessen Identität sie gestohlen hat (Quellen: Unit 42; [Dark Reading](https://www.darkreading.com/remote-workforce/north-korean-operatives-deepfakes-it-job-interviews)). Die gute Nachricht: Echtzeit-Deepfakes sind rechnerisch anfällig. Sie versagen unter Bedingungen, für die das Modell nicht trainiert wurde. Bitten Sie die Person, Folgendes zu tun: - Die Hand langsam vor dem Gesicht vorbeiführen - Sich vollständig ins Profil drehen und so verharren - Eine schnelle Kopfbewegung machen - Eine plötzliche Veränderung der Beleuchtung herbeiführen Jede dieser Aktionen führt in der Regel zu Verzerrungen, Verzögerungen oder Artefakten, mit denen der Gesichtstausch nicht mithalten kann. Nichts davon ist unhöflich zu verlangen, und alles davon ist mit minimalem Aufwand machbar. ### Stimmkaschierung, synthetische Identitäten und „zu saubere" Profile Über den Live-Call hinaus erzählt auch die Aktenlage eine Geschichte, wenn man sie liest. Achten Sie auf eine Identität ohne organische digitale Vorgeschichte: ein brandneues GitHub-Profil bei einem Lebenslauf mit angeblich zehn Jahren Erfahrung, ein LinkedIn-Profil, das verdächtig dürftig oder verdächtig glattgebügelt wirkt, Referenzen, die niemand erreichen kann, sowie VoIP- oder Google-Voice-Nummern statt eines echten Mobilfunkanschlusses (Quellen: [SpyCloud](https://spycloud.com/blog/how-we-identified-fake-north-korean-it-workers/); Unit 42). Ein Profil, das „zu sauber" ist, ist genauso ein Warnsignal wie eines voller Lücken. Zum breiteren Ehrlichkeitsproblem, das KI in Vorstellungsgesprächen schafft, lesen Sie unseren Beitrag über [Deepfake-Bewerber und KI-Recruiting-Betrug](/blog/deepfake-candidates-ai-hiring-fraud); in diesem Artikel geht es um einen konkreten, sanktionierten Gegner, der eine vollständige Betrugs-Pipeline betreibt. ## Recruiting ist jetzt eine Angriffsfläche Der Grund, warum ein Security-Team sich für Ihren Recruiting-Funnel interessieren sollte, ist, dass der Funnel der Einstiegsvektor ist. Es gibt keinen Perimeter, den man durchbrechen müsste, wenn der Gegner mit einem gültigen Angebotsschreiben hereinspaziert. Sobald sie eingestellt sind, kassieren diese Arbeiter nicht bloß ein Gehalt. In verhandelten Fällen haben sie exportkontrollierte Militärtechnologie und Kryptowährung von ihren Arbeitgebern gestohlen (Quelle: [DOJ](https://www.justice.gov/opa/pr/justice-department-announces-coordinated-nationwide-actions-combat-north-korean-remote)). Und der Schaden endet nicht mit der Kündigung: Nachdem sie aufgeflogen oder entlassen wurden, haben einige DVRK-IT-Arbeiter **ehemalige Arbeitgeber erpresst** und gedroht, gestohlenen Quellcode und vertrauliche Daten zu veröffentlichen – was gezielte FBI-Warnungen ausgelöst hat (Quelle: [Bitdefender/FBI](https://www.bitdefender.com/en-us/blog/hotforsecurity/north-korea-it-workers-us-extortion-employer-fbi)). Der Fehlerfall ist hier also nicht „wir haben eine Fehlbesetzung eingestellt, die zu wenig geleistet hat". Es geht um Sanktionsrisiken, Diebstahl von geistigem Eigentum und eine Erpressungsdrohung mit Ihren privaten Repositories als Druckmittel. Das macht aus der Identitätsprüfung statt einer netten HR-Geste eine Sicherheitskontrolle – dieselbe Verschiebung, über die wir im Kontext der [blinden Flecken im Recruiting bei SOC 2](/blog/soc2-hiring-compliance-risk) geschrieben haben. ## Das Kontroll-Set: Eingang, Interview, Onboarding Die Verteidigung ist ein mehrschichtiges Kontroll-Set, auf das FBI/IC3, OFAC und Unit 42 übereinstimmend kommen. Keine einzelne Prüfung ist für sich entscheidend; zusammen machen sie Ihre Pipeline so aufwendig, dass die Täter sich ein leichteres Ziel suchen. Hier das Vorgehen Phase für Phase. ### Identität beim Eingang verifizieren (Dokumentenforensik + Liveness-Erkennung) Beginnen Sie vor dem ersten Gespräch. Erfassen Sie einen amtlichen Ausweis und prüfen Sie ihn auf Manipulationen, Ablaufdatum und länderspezifische Sicherheitsmerkmale; weisen Sie Bilder schlechter Qualität rundheraus zurück. Kombinieren Sie den Ausweis mit einer **Liveness-Erkennung (Liveness Detection)**, um ein statisches Foto oder einen Deepfake auszuschließen, und führen Sie einen **Gesichtsabgleich** der Live-Aufnahme mit dem Ausweisfoto durch (Quellen: [FBI IC3 PSA](https://www.ic3.gov/PSA/2025/PSA250723-4); [ID Dataweb](https://www.iddataweb.com/shadow-workers/)). Das Ziel beim Eingang ist einfach: den Menschen verifizieren, nicht nur den Lebenslauf. Genau hier zählt ein verifizierter Bewerberkanal. Das Kandidatenportal von Kit nutzt [passwortlosen Zugang per Magic-Link](/blog/why-we-killed-passwords-for-candidates) statt eines Freitext-Bewerbungsformulars. Das gibt Ihnen als ersten Schritt einen einzigen, verifizierten Kommunikationskanal – und den natürlichen Ort, um Dokumenten- und Liveness-Prüfung darauf aufzusetzen. ### Interview-Integritätssignale, die Stellvertreter und Deepfakes entlarven Machen Sie eingeschaltete Kameras zur Pflicht und zeichnen Sie Gespräche mit Einwilligung auf. Sorgen Sie dann dafür, dass sich das Gespräch nicht vorab einstudieren lässt: - Stellen Sie **spontane, nicht googelbare Fragen**: lokale Sehenswürdigkeiten in der Nähe der hinterlegten Adresse, tagesaktuelle Nachrichten, das heutige Wetter dort, wo die Person zu sein behauptet. - **Rotieren Sie die Fragensätze**, damit Antworten nicht aus Glassdoor auswendig gelernt werden können. - Achten Sie auf **lange Pausen bei Allgemeinwissensfragen** – das verräterische Zeichen dafür, dass jemand Antworten von einem Teamkollegen außerhalb des Bildes durchgereicht bekommt. - Führen Sie die oben genannten **physischen Liveness-Tests** durch, um jeden Echtzeit-Gesichtstausch auffliegen zu lassen. (Quellen: [Help Net Security](https://www.helpnetsecurity.com/2026/04/20/north-korean-job-interview-infiltration-video/); [WeLiveSecurity](https://www.welivesecurity.com/en/business-security/recruitment-spot-spy-job-seeker/).) ### Bestätigen, dass die bewertete Person auch die eingestellte ist Die schärfste Waffe des Programms ist der Stellvertreter: Ein starker Engineer glänzt im Gespräch, dann erledigt eine andere Person die Arbeit. Ihre Aufgabe ist es, zu beweisen, dass die Person, die Sie bewertet haben, auch die Person ist, die Sie bezahlen. Eine **strukturierte Code-Aufgabe plus ein Live-Folgegespräch** ist der sauberste Test, den es gibt. Lassen Sie die Person echte Arbeit erledigen und bitten Sie sie dann in einer aufgezeichneten Live-Sitzung, den eigenen Code zu erläutern, ihn zu erweitern und Entscheidungen zu begründen, an die sie sich erinnern sollte, wenn sie ihn tatsächlich geschrieben hat. Genau dafür sind Kits [Code-Aufgaben](/blog/how-to-structure-code-assignments) gemacht. Die Aufgabe liefert eine echte Aufgabenstellung aus einem GitHub-Template-Repository, und eine Live-Interview-Phase lässt Sie verifizieren, dass die Person, die die Arbeit eingereicht hat, auch die Person im Raum ist. Kontinuität über alle Phasen hinweg – derselbe verifizierte Bewerber von der Bewerbung über die Aufgabe bis zur Live-Runde – ist der Prüfpfad, der den Stellvertreter aushebelt.

Befürchten Sie, dass ein Stellvertreter durchrutschen könnte? Kit verknüpft jede Phase mit einer verifizierten Bewerberidentität, von der Magic-Link-Bewerbung über die Code-Aufgabe bis zum Live-Interview – damit Sie beweisen können, dass die bewertete Person auch die eingestellte ist.

Kostenlos testen

### Logistik- und Zugriffsdisziplin Das ist die aussagekräftigste operative Kontrolle und zugleich die günstigste in der Durchsetzung. Gemäß den Empfehlungen von FBI und OFAC: **Versenden Sie Geräte ausschließlich an die per Ausweis verifizierte Adresse** und verlangen Sie bei jeder Adressänderung eine zusätzliche Verifizierung. Schulen Sie HR und Hiring Manager darauf, **Adress- oder Zahlungsplattform-Änderungen mitten im Onboarding zu melden** – das ist der Moment, in dem eine Laptop-Farm die Hardware umleitet. Und gewähren Sie **keinen Systemzugriff, bevor die Hintergrundprüfung sauber durchläuft** (Quellen: [FBI IC3 PSA](https://www.ic3.gov/PSA/2025/PSA250723-4); [OFAC/Treasury-Hinweis](https://ofac.treasury.gov/media/923126/download?inline=)). Ein plötzliches „ach, schicken Sie es doch an diese andere Adresse" direkt nach dem Angebot ist eines der lautesten Signale im gesamten Programm. Wenn eine Phase ein Warnsignal auslöst – Deepfake-Artefakte im Call, eine VoIP-Nummer, eine Adressänderung mitten im Onboarding –, sollte es nicht in einem Slack-Thread verschwinden. Es sollte in einen strukturierten Betrugs-Workflow mit klarer Zuständigkeit geleitet werden, genauso wie ein Security-Team eine eingehende Schwachstellenmeldung behandelt. Diese CSIRT-artige Behandlung eines Identitätssignals ist die Brücke zwischen Recruiting und Security, die den meisten Unternehmen fehlt. ## So führen Sie betrugssicheres Recruiting in Kit durch Kit ist ein [KI-natives ATS](/blog/what-is-ai-native-ats), das die Schnittstelle abdeckt, die die meisten Tools ignorieren: Recruiting als Workflow und Security als Disziplin. Die obigen Kontrollen funktionieren nur, wenn sie Standardeinstellungen in Ihrer Pipeline sind – keine Erinnerungen, von denen Sie hoffen, dass sie unter Termindruck jemand befolgt. So lässt sich jede einer konkreten Funktion zuordnen. | Kontrolle (vom Eingang bis zum Onboarding) | Wie Kit sie unterstützt | |---|---| | Den Menschen beim Eingang verifizieren | Magic-Link-Kandidatenportal gibt einen verifizierten Kanal pro Bewerber – der Ort, um Dokumenten-/Liveness-Prüfungen aufzusetzen | | Bewertete Person = eingestellte Person bestätigen | Strukturierte Code-Aufgabe aus einem GitHub-Template-Repo + eine Live-Interview-Phase, um zu verifizieren, dass dieselbe Person die Arbeit erledigt hat | | Prüfpfad, wer bewertet wurde | Phasenbasierte Pipeline mit zugewiesenen Prüfern und protokollierten Bewertungen: wer hat wann worüber interviewt | | Betrugssignale weiterleiten, nicht achselzuckend abtun | CSIRT-artige strukturierte Behandlung, damit ein Deepfake- oder Adressänderungssignal einen Verantwortlichen und ein SLA bekommt – statt einer verlorenen Nachricht | | Logistikdisziplin | Onboarding-Felder und -Notizen, um die Regeln „Versand nur an verifizierte Adresse" und „kein Zugriff vor Freigabe" festzuhalten | Um den Rahmen klar abzustecken: Kit kann für Sie weder einen Dokumentenforensik-Scan noch einen Lebendnachweis durchführen, und kein ATS hätte den Fall Chapman im Alleingang „verhindert". Was Kit tut, ist, die Workflow-Kontrollen – diejenigen, die das Programm tatsächlich auffliegen lassen – zum Standardpfad statt zur Ausnahme zu machen. Verifizierte Identität an der Tür, strukturiert und live verifizierte Aufgaben sowie ein belastbarer Nachweis, wer in welcher Phase genau bewertet wurde. Dasselbe Csirt-Modul hinter Kits [Vulnerability-Disclosure-Programm](/blog/how-to-set-up-vulnerability-disclosure-program) liefert Ihnen das strukturierte Muster, um ein Recruiting-Signal wie ein Sicherheitsereignis zu behandeln. ## Häufig gestellte Fragen **Ist die Bedrohung durch nordkoreanische IT-Arbeiter real oder Anbieter-Hype?** Real und vor Bundesgerichten verhandelt. Das DOJ hat Haftstrafen von 102, 108 und 92 Monaten gegen US-Helfer erwirkt, in einer einzigen Aktion 2025 29 Laptop-Farmen in 16 Bundesstaaten durchsucht und Hunderte geschädigter Unternehmen dokumentiert. Das ist Strafverfolgungsrealität, kein Marketing. **Wie groß ist das Programm?** Allein der Teil mit den gefälschten IT-Arbeitern bringt der DVRK geschätzte 250 bis 600 Millionen US-Dollar pro Jahr an betrügerischen Gehältern ein. Das steckt in einer breiteren DVRK-Cyber-Einnahmemaschinerie, die die UN auf rund 2,8 Milliarden US-Dollar über zwei Jahre beziffert – wovon das meiste Kryptodiebstahl ist, nicht Gehälter. **Was sind die Warnsignale?** Ein „zu sauberes" oder brandneues digitales Profil bei einem langen Lebenslauf; VoIP- oder Google-Voice-Nummern; Widerwille, die Kamera einzuschalten; lange Pausen bei einfachen Fragen; Deepfake-Artefakte bei Kopfdrehungen oder beim Hand-vor-dem-Gesicht-Test; und – das lauteste – die Bitte, kurz nach dem Angebot die Versandadresse oder Zahlungsplattform zu ändern. **Kann eine Hintergrundprüfung allein das stoppen?** Nein. Das Programm ist darauf ausgelegt, eine Hintergrundprüfung zu bestehen, weil es die verifizierte Identität eines echten Amerikaners nutzt. Die Prüfung muss kombiniert werden mit per Liveness verifizierter Identität beim Eingang, Interview-Integritätssignalen, dem Nachweis, dass die bewertete Person auch die eingestellte ist, und Logistikdisziplin beim Versand an die verifizierte Adresse. Mehrschichtige Verteidigung, nicht ein einzelnes Tor. ## Lassen Sie nicht zu, dass die Vordertür zur Angriffsfläche wird Das nordkoreanische IT-Arbeiter-Programm ist der bisher klarste Beweis dafür, dass Recruiting ein Sicherheitsperimeter ist. Der Gegner nutzt keine CVE aus; er besteht Ihr Gespräch, unterschreibt Ihr Angebot und loggt sich per Fernzugriff aus einer Laptop-Farm im Gästezimmer von jemandem ein. Die Lösung ist kein Anbieter für Hintergrundprüfungen, der nach dem Angebot drangeschraubt wird. Es sind betrugssichere Kontrollen, die von der ersten Bewerbung an in den Recruiting-Workflow eingebaut sind: verifizierte Identität beim Eingang, Interview-Integritätssignale, die Stellvertreter und Deepfakes entlarven, ein Prüfpfad darüber, wer genau bewertet wurde, und strukturierte Behandlung, wenn etwas nicht stimmt. Jede einzelne dieser Kontrollen ist eine Entscheidung, die Sie treffen, bevor der Laptop verschickt wird. Wenn Sie ein Remote-Engineering-Team aufbauen, behandeln Sie Ihre Pipeline als das, was sie ist: eine Angriffsfläche. Wenn Sie bereit sind, diese Kontrollen zum Standard zu machen, können Sie [kostenlos testen](/users/sign_up) und noch am selben Tag einen verifizierten, prüfungssicheren Recruiting-Workflow am Laufen haben.