Das unterschätzte Risiko: Nordkoreanische IT-Scams erreichen deutsche Führungskräfte

Image

Wenn der perfekte Freelancer ein Alptraum wird

Ein Berliner Software-Unternehmer sucht dringend Entwickler für sein wachsendes Start-up. Die Bewerber auf Fiverr wirken vielversprechend: ausgezeichnete Referenzen, mehrjährige Erfahrung, verhandlungssichere Englischkenntnisse. Nach einigen Video-Calls stellt er zwei Kandidaten ein. Die Zusammenarbeit läuft gut – anderthalb Jahre lang. Bis zu dem Tag, an dem er zufällig beschließt, die angegebenen Adressen in Japan und China zu überprüfen. Die Wohnungen existieren nicht. Die Namen sind gefälscht. Und der Anruf, den er wenig später erhält, kommt vom Bundesamt für Verfassungsschutz.

Was wie ein Thriller-Szenario klingt, ist seit dem 1. Oktober 2024 offizielle Warnung der deutschen Sicherheitsbehörden: Nordkoreanische IT-Worker infiltrieren systematisch deutsche Unternehmen – und Manager, die unwissentlich solche Personen beschäftigen, haften persönlich, unbegrenzt und mit ihrem gesamten Privatvermögen.

Für Sie als Geschäftsführer, Vorstand oder Prokurist bedeutet das: Jede Remote-Einstellung ohne angemessene Due Diligence und verlässliche Identifizierung kann zur existenzbedrohenden Haftungsfalle werden. Und die Bedrohung ist real, akut und wächst rasant.

Die deutsche Bedrohungslage: Von der abstrakten Gefahr zur konkreten Warnung

Bundesamt für Verfassungsschutz (BfV) schlägt offiziell Alarm

Am 1. Oktober 2024 veröffentlichte das Bundesamt für Verfassungsschutz einen vierseitigen Sicherheitshinweis mit einer unmissverständlichen Botschaft: „Auch deutsche Firmen standen bereits in Vertragsbeziehungen mit nordkoreanischen IT-Workern.“ Das ist keine vage Vermutung, sondern eine dokumentierte Tatsache. Die Behörde warnt explizit vor den Risiken und gibt konkrete Handlungsempfehlungen – ein ungewöhnlich deutliches Signal für die Ernsthaftigkeit der Lage.

Die Warnung kommt nicht von ungefähr. Mindestens zwei deutsche Fälle sind bereits öffentlich dokumentiert:

Fall 1: Das Berliner Software-Unternehmen
Ein mittelständisches Tech-Unternehmen beschäftigte über einen Zeitraum von anderthalb Jahren zwei vermeintliche Entwickler aus Asien. Die Arbeit war einwandfrei, die Kommunikation professionell, die Lieferung pünktlich. Erst eine Zufallsentdeckung führte zur Enttarnung: Die angegebenen Wohnadressen in Japan und China existierten schlichtweg nicht. Weitere Recherchen ergaben, dass beide Personen nordkoreanische IT-Worker waren, die ihre Identität durch gefälschte Dokumente, VPN-Verschleierung und ausgeklügelte Deepfake-Technologie verschleiert hatten.

Fall 2: Diehl Defence unter Beschuss
Der deutsche Rüstungskonzern Diehl Defence aus Überlingen wurde Anfang 2024 Ziel einer gezielten Kampagne der nordkoreanischen Hackergruppe „Kimsuky“. Die Angreifer verschickten gefälschte Jobangebote für eine Position als „Sicherheitsbeauftragter in Berlin“ mit einem angeblichen Jahresgehalt von bis zu 100.000 US-Dollar. Die E-Mails enthielten Spionage-Software, die bei Öffnung sensible Unternehmensdaten hätte abgreifen können. Hier ging es nicht primär um Geldflüsse, sondern um Wirtschaftsspionage auf höchstem Niveau – mit nordkoreanischer Staatsfinanzierung.

220 Prozent Anstieg: Die Europa-Welle rollt

Die Zahlen sprechen eine deutliche Sprache: Laut Google Threat Intelligence verzeichnete Europa zwischen 2024 und 2025 einen Anstieg nordkoreanischer IT-Worker-Aktivitäten um 220 Prozent. Was jahrelang ein primär amerikanisches Problem war, verlagert sich massiv nach Europa – und Deutschland steht im Fokus.

Der Grund für diese Verlagerung ist simpel: Amerikanische Behörden haben massiv aufgerüstet. Das FBI führte allein 2024 über ein Dutzend Razzien gegen sogenannte „Laptop-Farmen“ durch – Privatwohnungen in den USA, in denen Helfer Dutzende Computer für nordkoreanische Remote-Worker betrieben. Der bekannteste Fall: Christina Chapman aus Arizona, die 90 Laptops verwaltete und 309 US-Unternehmen infiltrierte. Sie wurde im Juli 2025 zu 102 Monaten Gefängnis verurteilt.

Die verstärkte Strafverfolgung in den USA treibt die Scammer nun nach Europa – und hier sind die Abwehrmechanismen deutlich schwächer. Cybersecurity-Experten haben bereits neue Laptop-Farmen in Westeuropa, Rumänien, Polen und der Schweiz identifiziert. Deutschland mit seiner starken Mittelstandsstruktur, dem chronischen IT-Fachkräftemangel und der weitverbreiteten Remote-Work-Kultur ist ein attraktives Ziel.

Die wirtschaftliche Dimension: 250 bis 600 Millionen Dollar jährlich

Warum macht Nordkorea das? Die Antwort ist so simpel wie erschreckend: Geld für Atomwaffen. Die Vereinten Nationen schätzen, dass nordkoreanische IT-Worker weltweit jährlich zwischen 250 und 600 Millionen US-Dollar erwirtschaften – Geld, das direkt in die Kassen des Kim-Regimes und dessen Waffen- und Raketenprogramme fließt.

Die Scammer behalten dabei nur einen Bruchteil ihres Einkommens. Analysen zeigen, dass nordkoreanische IT-Worker oft weniger als 20 Prozent ihres Gehalts behalten dürfen. In einem dokumentierten Fall behielt ein Programmierer von seinem 5.000-Dollar-Monatsgehalt gerade einmal 200 Dollar – der Rest ging an das Regime. Für ein Unternehmen, das einen vermeintlichen Freelancer für 80.000 Euro jährlich beschäftigt, bedeutet das: Mindestens 64.000 Euro fließen direkt zur Finanzierung von Massenvernichtungswaffen.

Und genau hier beginnt die rechtliche Haftungsfalle für deutsche Manager.

Wie das System funktioniert: Anatomie eines perfekten Betrugs

Phase 1: Die perfekte Tarnung

Nordkoreanische IT-Worker sind keine Amateur-Betrüger. Hinter ihnen steht ein staatlich organisiertes System mit ausgefeilter Arbeitsteilung. Die Vorbereitung beginnt Monate vor der ersten Bewerbung:

Identitätsdiebstahl im großen Stil
Im Fall der US-amerikanischen Christina Chapman durchleuchteten die nordkoreanischen Auftraggeber über 1.700 US-Bürger durch Online-Background-Check-Dienste. Aus dieser Masse wählten sie 56 Zielpersonen aus und stahlen deren vollständige Identität: Name, Sozialversicherungsnummer, Steuernummer, Unterschrift, Wohnadresse und Lebensläufe. Diese echten Identitäten bilden die Grundlage für täuschend echte Bewerbungen.

Professionelle Lebensläufe und Portfolios
Die gestohlenen Identitäten werden mit plausiblen Berufsbiografien angereichert. Ein typischer Lebenslauf zeigt einen „Full-Stack-Developer“ mit über sechs Jahren Erfahrung, einem Master-Abschluss in Informatik von einer renommierten asiatischen Universität, Expertise in Blockchain, Machine Learning und modernen Programmiersprachen. Die Portfolio-Websites wirken professionell, die GitHub-Profile zeigen Code-Beiträge, die LinkedIn-Konten sind aktiv – alles sorgfältig konstruiert, um Vertrauen zu schaffen.

Deepfake-Technologie in 70 Minuten
Der vielleicht beunruhigendste Aspekt: Die Erstellung überzeugender Deepfakes ist heute trivial einfach. Eine Studie von Palo Alto Networks demonstrierte 2024, dass mit handelsüblicher Consumer-Hardware eine täuschend echte Deepfake-Identität in etwa 70 Minuten erstellt werden kann. Die Technologie erlaubt Real-Time-Video-Manipulation – das Gesicht im Video-Call ist nicht die Person, die vor dem Computer sitzt. KI-gestützte Tools wie ChatGPT liefern zudem in Echtzeit plausible Antworten auf technische Fragen, selbst wenn der tatsächliche Sprecher die Materie nicht beherrscht.

Phase 2: Die Infiltration

Jobplattformen als Einfallstor
Die primären Rekrutierungskanäle sind LinkedIn, Fiverr, Upwork und ähnliche Freelancer-Plattformen. Die Bewerber melden sich auf ausgeschriebene Remote-Positionen, oft zu auffallend günstigen Konditionen. Ein erfahrener deutscher Entwickler verlangt typischerweise 100 Euro pro Stunde oder mehr – die nordkoreanischen Scammer unterbieten mit Monatsgehältern von 2.000 bis 4.000 Euro deutlich, was sie in Zeiten knapper IT-Budgets besonders attraktiv macht.

Video-Interviews mit System
Im Bewerbungsgespräch zeigen sich oft erste Ungereimtheiten – die allerdings leicht als kulturelle Differenzen oder technische Probleme abgetan werden. Der Berliner Unternehmer erinnert sich: „Da war einer, der hat mit uns gesprochen, der konnte aber gar nicht richtig Englisch. Und dann sind hinten immer so ein, zwei Leute plötzlich durchs Bild gelaufen. Wir dachten, das sei ein ganzes Team.“

Tatsächlich sitzen oft mehrere Personen im Hintergrund: Eine spricht, eine andere gibt per Chat Antworten vor, eine dritte bedient die Deepfake-Software. Diese Arbeitsteilung erklärt die manchmal merkwürdigen Pausen und die Diskrepanz zwischen beeindruckenden Lebensläufen und holpriger Gesprächsführung.

Die Laptop-Farm: Herzstück der Täuschung
Sobald die Einstellung erfolgt, beginnt der technisch anspruchsvollste Teil des Betrugs. Die Arbeitgeber schicken Laptops an die im Vertrag angegebene Adresse – die allerdings nicht die tatsächliche Adresse des nordkoreanischen Workers ist, sondern die einer „Laptop-Farm“.

Christina Chapman aus Arizona betrieb eine solche Farm mit 90 Geräten. Ihre Aufgabe: Laptops entgegennehmen, Fernzugriffssoftware wie AnyDesk installieren, Zugänge freischalten. Für jeden Laptop erhielt sie 300 Dollar monatlich. Die eigentlichen Arbeiter saßen tausende Kilometer entfernt – in China, Russland oder Nordkorea selbst – und steuerten die Computer remote. Für den Arbeitgeber sah es so aus, als würde der Mitarbeiter in den USA arbeiten. In Wahrheit operierte er aus einem nordkoreanischen Rechenzentrum in Dandong, einer chinesischen Grenzstadt zu Nordkorea.

Phase 3: Die Arbeit – überraschend professionell

Hier liegt eine der größten Herausforderungen bei der Erkennung: Die meisten nordkoreanischen IT-Worker leisten tatsächlich gute Arbeit. Sie sind oft hochqualifizierte Programmierer, die unter extremem Druck stehen zu liefern. Ein Scheitern bedeutet für sie nicht nur den Verlust des Jobs, sondern möglicherweise schwerwiegende Konsequenzen in ihrer Heimat.

Der Berliner Unternehmer bestätigt: „Die ersten zwei, drei Monate lief das richtig gut.“ Ähnliche Berichte gibt es aus den USA: Die infiltrierten Freelancer waren zuverlässig, kommunikativ und fachlich versiert. Genau diese Professionalität macht die Enttarnung so schwierig.

Erst nach einigen Monaten zeigen sich manchmal Ungereimtheiten:

  • Wiederholte, identische Fragen zu bereits geklärten Themen
  • Plötzliche Änderungen bei Arbeitszeiten oder Verfügbarkeit
  • Wechselnde Accounts oder Kommunikationskanäle
  • Unstimmigkeiten bei der angeblichen geografischen Lokation

Phase 4: Der Geldrückfluss

Parallel zur Arbeitsleistung läuft der entscheidende Teil der Operation: der Geldtransfer. Die Gehälter werden zunächst auf Konten in den USA oder Europa überwiesen – oft auf Konten von Helfern wie Chapman. Von dort erfolgt der Weitertransfer über komplexe Routen:

  1. PayPal oder Wise für kleinere Beträge
  2. Kryptowährungen (Bitcoin, Monero) für größere Summen
  3. Hawala-ähnliche informelle Überweisungssysteme
  4. Scheinrechnungen über chinesische Scheinfirmen
  5. Letztendlich: Nordkoreanische Staatskonten

Ein UN-Bericht dokumentierte, dass diese Geldflüsse hochprofessionell verschleiert werden. Die Spur zu verfolgen ist selbst für Behörden extrem schwierig – für ein einzelnes Unternehmen praktisch unmöglich.

Die Variante: Erpressung und Spionage

Nicht alle nordkoreanischen IT-Worker haben das primäre Ziel, langfristig Gehälter zu kassieren. In einigen Fällen geht es um Wirtschaftsspionage oder Erpressung:

  • Datenexfiltration: Sobald Zugang zu Unternehmenssystemen besteht, werden sensible Daten kopiert
  • Backdoor-Installation: Schadsoftware für späteren Zugriff
  • Erpressung: Drohung, gestohlene Daten zu veröffentlichen
  • Intellectual Property Theft: Quellcode, Geschäftsgeheimnisse, Kundendaten

Der Fall Diehl Defence zeigt diese Dimension deutlich: Hier ging es nicht um Gehälter, sondern um militärisches Know-how im Wert von Millionen.

Warum Führungskräfte im Fokus stehen: Die persönliche Haftungsfalle

Unbegrenzte persönliche Haftung – nicht nur eine Floskel

Viele Manager glauben, dass ihre persönliche Haftung durch die Unternehmensstruktur (GmbH, AG) begrenzt ist. Ein fataler Irrtum. §43 GmbHG und §93 AktG regeln eindeutig: Geschäftsführer und Vorstandsmitglieder haften unbegrenzt mit ihrem gesamten Privatvermögen für Pflichtverletzungen.

Das bedeutet konkret:

  • Ihr Eigenheim kann gepfändet werden
  • Ihre Altersvorsorge kann zur Haftungsmasse gehören
  • Ihre Lebensversicherungen können verwertet werden
  • Ihr Aktiendepot, Ihre Ersparnisse – alles kann herangezogen werden

Und es kommt noch härter: Bereits einfache Fahrlässigkeit genügt für die Haftung. Sie müssen nicht vorsätzlich gehandelt haben. Es reicht, dass Sie nicht die Sorgfalt angewendet haben, die von einem ordentlichen und gewissenhaften Geschäftsführer zu erwarten ist.

Der OLG Nürnberg-Hammer: Compliance für alle

Am 30. März 2022 fällte das Oberlandesgericht Nürnberg ein wegweisendes Urteil (Az. 12 U 1520/19), das für jeden Geschäftsführer in Deutschland eine Zeitenwende bedeutet: Jeder Geschäftsführer – unabhängig von der Unternehmensgröße – hat die Pflicht, ein Compliance-Management-System zu implementieren.

Es gibt keinen Schwellenwert mehr. Keine Ausrede „wir sind zu klein“. Das Gericht definierte vier zentrale Pflichten:

  1. Compliance-Management-System (CMS): Einrichtung von Strukturen zur Rechtsbefolgung
  2. Legalitätspflicht: Sicherstellung, dass das Unternehmen rechtskonform arbeitet
  3. Überwachungspflicht: Kontinuierliche Kontrolle, ob Regeln eingehalten werden
  4. Oberaufsicht: Verantwortung für das Gesamtsystem

Übertragen auf das Thema nordkoreanische IT-Scams bedeutet das: Wer Remote-Mitarbeiter ohne angemessene Überprüfung einstellt, verletzt seine Compliance-Pflichten – und haftet persönlich.

Das Nike-Beispiel: 75.000 Dollar unwissentlich gezahlt

Nike ist ein Konzern mit ausgefeilten HR- und Compliance-Strukturen. Und trotzdem gelang es einem nordkoreanischen IT-Worker, sich fünf Monate lang als regulärer Mitarbeiter einzuschleusen. Das Unternehmen zahlte knapp 75.000 US-Dollar an diese Person – Geld, das letztlich zur Finanzierung von Waffenprogrammen verwendet wurde.

Der Fall zeigt: Selbst große Unternehmen mit Ressourcen und Expertise sind verwundbar. Für mittelständische Unternehmen ohne dedizierte Compliance-Abteilungen ist das Risiko noch deutlich höher.

Strafrechtliche Dimension: Bis zu 10 Jahre Haft

Die zivilrechtliche Haftung ist nur eine Seite der Medaille. Die andere ist strafrechtlich – und hier wird es existenziell.

Außenwirtschaftsgesetz (AWG)
Die EU hat umfassende Sanktionen gegen Nordkorea verhängt (EU-Verordnung 2017/1509). Zahlungen an nordkoreanische Staatsangehörige sind grundsätzlich verboten bzw. genehmigungspflichtig. Verstöße gegen das AWG werden mit Freiheitsstrafen von bis zu zehn Jahren geahndet (§17 AWG).

Die entscheidende Frage: Muss der Verstoß vorsätzlich sein? Nein. Bereits grobe Fahrlässigkeit reicht aus. Und „grob fahrlässig“ handelt, wer Remote-Mitarbeiter ohne angemessene Überprüfung einstellt, wenn die Behörden explizit vor genau diesem Risiko warnen.

Geldwäsche (§261 StGB)
Wer Geld transferiert, das zur Finanzierung von Straftaten dient, macht sich der Geldwäsche schuldig. Die Finanzierung von Nordkoreas Waffenprogrammen fällt eindeutig darunter. Strafrahmen: Bis zu fünf Jahre Freiheitsstrafe.

Die Chapman-Strafe: 102 Monate
Christina Chapman wurde zu 102 Monaten (8,5 Jahren) Gefängnis verurteilt – und sie war „nur“ die Laptop-Farm-Betreiberin, nicht die eigentliche Entscheidungsträgerin. Für einen Geschäftsführer, der systematisch und über längere Zeit nordkoreanische IT-Worker beschäftigt, könnten die Strafen noch härter ausfallen.

Beweislastumkehr: Sie müssen Ihre Unschuld beweisen

Im deutschen Zivilrecht gilt normalerweise: Wer einen Anspruch geltend macht, muss diesen beweisen. Bei der Managerhaftung ist das anders. Hier gilt eine Beweislastumkehr: Sie als Geschäftsführer müssen beweisen, dass Sie mit der Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters gehandelt haben.

Das bedeutet praktisch: Lückenlose Dokumentation ist nicht optional, sondern existenziell.

Sie müssen nachweisen können:

  • Welche Überprüfungen Sie vor der Einstellung durchgeführt haben
  • Welche Identitätsnachweise Sie eingefordert haben
  • Welche Sanktionslisten Sie gecheckt haben
  • Welche technischen Kontrollen Sie implementiert haben
  • Welche Schulungen Ihre HR-Abteilung erhalten hat

Fehlt diese Dokumentation, tragen Sie die Beweislast – und verlieren.

D&O-Versicherung: Der trügerische Schutz

Viele Geschäftsführer verlassen sich auf ihre D&O-Versicherung (Directors & Officers Liability Insurance). Doch hier lauert eine böse Überraschung: Sanktionsverstöße sind in vielen Policen explizit ausgeschlossen.

Typische Ausschlussklauseln:

  • Vorsätzliche Pflichtverletzungen
  • Straftaten
  • Verstöße gegen Wirtschaftssanktionen
  • Geldwäsche

Selbst wenn Sie subjektiv davon ausgingen, legal zu handeln: Sobald ein objektiver Verstoß gegen das AWG vorliegt, greift die Versicherung oft nicht. Die OLG-Rechtsprechung der letzten Jahre zeigt eindeutig: Bei wissentlichen Pflichtverletzungen zahlt die D&O nicht – und „wissentlich“ kann bereits bedeuten, dass Sie die BfV-Warnung kannten und trotzdem keine angemessenen Schutzmaßnahmen implementiert haben.

Fazit: Handeln Sie jetzt – bevor es zu spät ist

Die Bedrohung durch nordkoreanische IT-Worker ist keine ferne, theoretische Gefahr mehr. Sie ist in Deutschland angekommen, dokumentiert durch offizielle Behördenwarnungen und konkrete Fälle. Als Führungskraft tragen Sie eine persönliche Verantwortung – und eine persönliche Haftung, die Ihre Existenz bedrohen kann.

Die gute Nachricht: Sie können sich schützen. Die Maßnahmen sind bekannt, umsetzbar und im Verhältnis zum Risiko überschaubar aufwändig.

Drei Sofortmaßnahmen für diese Woche

  1. Laden Sie den BfV-Sicherheitshinweis herunter und lesen Sie ihn vollständig. Dokumentieren Sie, dass Sie dies getan haben.
  2. Führen Sie Video-Interviews als Pflicht ein – für alle Remote-Einstellungen, ohne Ausnahme. Bestehen Sie auf Ausweispräsentation im Video-Call.
  3. Prüfen Sie Ihren Versicherungsschutz: Deckt Ihre D&O-Versicherung Sanktionsverstöße ab? Falls nein: Welche Ergänzungen sind notwendig?

Die nächsten 30 Tage: Systematische Absicherung

In den kommenden Teilen dieser Serie werden wir detailliert behandeln:

  • Teil 2: Ihre persönliche Haftung im Detail – strafrechtlich und zivilrechtlich
  • Teil 3: Digitale Due Diligence – wie Sie Remote-Bewerber wirklich überprüfen
  • Teil 4: Compliance-Management-System – vom Zwang zur Chance
  • Teil 5: Versicherungsschutz – mehrschichtige Absicherung für Manager

Die Entscheidung liegt bei Ihnen: Ignorieren und hoffen, dass es Sie nicht trifft? Oder jetzt handeln und Ihre persönliche Position absichern?

Der Berliner Unternehmer hat Glück gehabt – er wurde vom Verfassungsschutz kontaktiert, bevor juristische Konsequenzen drohten. Das nächste Opfer könnte einen weniger glimpflichen Ausgang erleben.

Sie haben Fragen zur rechtlichen Absicherung bei Remote-Einstellungen? Als Fachanwalt für Arbeitsrecht mit Spezialisierung auf Führungskräfte unterstütze ich Sie bei der Implementierung rechtssicherer Prozesse. Vereinbaren Sie ein unverbindliches Erstgespräch.

Hinweis: Dieser Beitrag dient der allgemeinen Information und ersetzt keine individuelle Rechtsberatung.

Teile diesen Beitrag

Sie benötigen weiteren rechtlichen Rat?

Nutzen Sie unsere Online-Anfrage für einen schnellen Check.

Die Schilderung Ihres Problems und eine kurze Ersteinschätzung sind kostenlos, wenn Sie gekündigt wurden oder einen Aufhebungsvertrag erhalten haben.

Für alle anderen Anliegen können Sie gerne eine kostenpflichtige Erstberatung in Anspruch nehmen.

Jetzt beraten lassen

Kanzleibewertung

Erfahrungen & Bewertungen zu Pöppel Rechtsanwälte