Ein sechsmonatiges Aufdeckungsprogramm der Ethereum Foundation hat rund 100 nordkoreanische IT-Kräfte enttarnt, die sich in 53 Krypto-Projekte eingeschleust hatten. Der Fall zeigt das Ausmaß staatlich gesteuerter Infiltration im Blockchain-Sektor – und stellt Unternehmen weltweit vor ernste Sicherheitsfragen.
Nordkoreanische IT-Kräfte in Krypto-Projekten enttarnt – Ethereum Foundation koordinierte Aufdeckung
Koordinierte Aktion mit Branchenpartnern
Die Ethereum Foundation arbeitete bei der Aufdeckung eng mit der Security Alliance sowie dem Blockchain-Analyseunternehmen Chainalysis zusammen. Auch das Derivate-Protokoll Drift war an dem Programm beteiligt. Ziel war es, systematisch verdächtige Beschäftigungsmuster zu identifizieren, die auf nordkoreanische Staatsakteure hindeuten – Personen, die unter falscher Identität als freiberufliche Entwickler tätig waren.
Die betroffenen Projekte reichten von dezentralen Finanzprotokollen bis hin zu Infrastrukturanbietern im Ethereum-Ökosystem. In vielen Fällen hatten die eingeschleusten Mitarbeiter Zugang zu sensiblem Quellcode, internen Kommunikationskanälen und in einzelnen Fällen auch zu Verwaltungsrechten für Smart Contracts.
Muster staatlich gesteuerter Arbeitskräfte
Nordkoreanische IT-Kräfte operieren nach einem bekannten Schema: Sie nutzen gefälschte Identitäten, ausländische Proxy-Adressen und sorgfältig kuratierte Online-Profile auf Plattformen wie GitHub oder LinkedIn, um Vertrauen aufzubauen. Die erwirtschafteten Gehälter fließen direkt an das nordkoreanische Regime und dienen der Umgehung internationaler Sanktionen.
Chainalysis zufolge haben nordkoreanische Akteure im Jahr 2024 Kryptowerte im Wert von über 1,3 Milliarden US-Dollar gestohlen – die Kombination aus Beschäftigungsbetrug und gezielten Hacking-Operationen macht staatlich geförderte Gruppen wie Lazarus zur ernsthaften Bedrohung für die gesamte Branche.
Nach Erkenntnissen westlicher Geheimdienste fließen die so generierten Mittel auch in staatliche Rüstungsprogramme.
Strukturelles Problem bei Remote-Einstellungen
Der Fall offenbart ein Risiko, das weit über den Krypto-Sektor hinausgeht: Remote-First-Arbeitsmodelle und die globale Nachfrage nach Entwicklern erleichtern es staatlich gesteuerten Akteuren, in Unternehmen einzudringen. Besonders betroffen sind Organisationen ohne robuste Know-Your-Employee-Prozesse (KYE), die auf dezentrale Teamstrukturen setzen und Mitarbeiter ausschließlich über digitale Kanäle eingestellt haben.
Die Ethereum Foundation empfiehlt Projekten im Web3-Bereich konkrete Gegenmaßnahmen:
- Video-Verifizierungen bei Einstellungsgesprächen
- Abgleich von Identitätsdokumenten mit unabhängigen Quellen
- Kritische Prüfung von Arbeitsmustern – etwa ungewöhnliche Arbeitszeiten als Hinweis auf abweichende Zeitzonen
Einordnung für deutsche Unternehmen
Für deutsche Unternehmen im Blockchain- oder Web3-Umfeld ist der Fall ein klares Signal zur Überprüfung der eigenen Onboarding-Prozesse. Auch außerhalb des Krypto-Sektors – etwa in der Softwareentwicklung oder IT-Beratung – steigt das Risiko, unwissentlich Personal einzustellen, das staatlichen Akteuren zuzurechnen ist.
Compliance-Teams sollten KYE-Verfahren auf denselben Standard heben wie die im Finanzsektor etablierten Know-Your-Customer-Prozesse (KYC).
Branchenverbände wie Bitkom stellen erste Leitfäden bereit. Eine regulatorische Verpflichtung auf europäischer Ebene ist bislang nicht vorgesehen, dürfte aber mittelfristig auf die Agenda rücken.
Quelle: Decrypt AI