- Früher dachte ich bei „Fake-Profil“ zuerst an Dating-Apps, schlecht ausgeschnittene Sonnenbrillenfotos und Menschen, die angeblich „gerne wandern“, aber nach drei Treppenstufen Sauerstoff brauchen.
Heute ist das Thema ernster. Fake-Profile sitzen nicht mehr nur in Social Media. Sie bewerben sich auf IT-Stellen. Sie bestehen Interviews. Sie bekommen Firmen-Laptops. Und im schlimmsten Fall erhalten sie Remote-Zugriff auf Systeme, Daten und Quellcode.
Willkommen in einer neuen Spielart der Cybersecurity: Fake IT Worker. Oder weniger elegant gesagt: Angreifer kommen nicht durch die Firewall. Sie kommen durch den Bewerbungsprozess.
CSO Online hat das Thema prominent aufgegriffen: Fake IT Worker nutzen KI, um Lebensläufe zu bauen, Interviews zu bestehen und am Ende Remote-Zugriff auf Unternehmenssysteme zu erhalten.
Deshalb gehört das Thema auf den Tisch der IT-Security sowie in HR, Legal, Einkauf und Geschäftsführung.
Was sind Fake IT Worker überhaupt?
Fake IT Worker sind Personen oder Gruppen, die sich unter falscher Identität auf Remote-Jobs bewerben, häufig in technischen Rollen. Also zum Beispiel als Entwickler, DevOps-Spezialist, IT-Administrator, Cloud Engineer oder Freelancer.
Das Ziel ist nicht immer der klassische „Hollywood-Hack“ mit Kapuze, Kellerraum und fünf Monitoren. Oft geht es viel banaler los: einen Job bekommen, Zugriff erhalten, Gehalt kassieren, Daten abziehen, Systeme ausspähen oder im Extremfall später Druck auf das Unternehmen ausüben.
Besonders bekannt ist das Muster bei nordkoreanischen IT-Arbeitern. Das FBI warnt, dass solche Akteure falsche Identitäten und Mittelsmänner nutzen, um Remote-Beschäftigungen zu bekommen und Zugriff auf Unternehmensnetzwerke zu erhalten. Damit sollen Einnahmen für das nordkoreanische Regime generiert werden.
Und ja: Das klingt erstmal wie der Plot einer Serie, bei der man nach Folge drei sagt: „Ach komm, das ist doch übertrieben.“ Leider ist es real.
Warum KI das Problem größer macht
Früher musste ein Fake-Bewerber zumindest halbwegs überzeugend selbst basteln: Lebenslauf schreiben, Profil pflegen, Interviewfragen beantworten, technische Aufgaben lösen. Heute hilft KI dabei, genau diese Hürden zu senken.
KI kann Bewerbungsunterlagen polieren, passende Projekterfahrung formulieren, Antworten auf Interviewfragen vorbereiten, Sprachbarrieren reduzieren und sogar bei technischen Aufgaben unterstützen. Microsoft beschreibt, dass nordkoreanische Remote-IT-Arbeiter unter anderem gefälschte Identitäten nutzen, Beschäftigungsprüfungen umgehen und technologiebezogene Rollen in verschiedenen Branchen infiltrieren.
Das FBI weist außerdem darauf hin, dass nordkoreanische IT Worker bereits mit KI und Face-Swapping-Technologie in Video-Interviews beobachtet wurden, um ihre wahre Identität zu verschleiern.
Heißt übersetzt: Der Lebenslauf kann künstlich aufgehübscht sein, das Anschreiben klingt wie von einem preisgekrönten Bewerbungscoach, das Videointerview kann manipuliert sein und hinter dem freundlich nickenden Gesicht sitzt möglicherweise jemand ganz anderes.
Das ist ungefähr so, als würdest du einen neuen Kollegen einstellen – und später feststellen, dass du eigentlich eine sehr gut organisierte Cybercrime-WG onboardest.
Warum gerade IT-Rollen so attraktiv sind
IT-Rollen sind für Angreifer besonders spannend, weil sie oft dort sitzen, wo der Schlüsselbund hängt. Entwickler sehen Code. Admins verwalten Rechte. Cloud Engineers arbeiten an Infrastruktur. Support-Mitarbeitende kommen an Systeme, Tickets und Nutzerdaten. Freelancer werden häufig schnell eingebunden, weil Projekte drücken und Deadlines selten höflich fragen, ob Governance gerade Zeit hat.
Dazu kommt: Remote-Arbeit ist normal geworden. Das ist grundsätzlich gut. Cloud, verteilte Teams und flexibles Arbeiten sind aus modernen Unternehmen nicht mehr wegzudenken. Aber Remote-Arbeit verändert auch die Sicherheitslage. Wenn jemand nie vor Ort ist, nie persönlich gesehen wurde und Geräte per Versand bekommt, dann muss der Prozess drumherum sehr sauber sein.
Das US-Justizministerium berichtete 2025 von koordinierten Maßnahmen gegen nordkoreanische Remote-IT-Worker-Systeme. Dabei ging es unter anderem um falsche Identitäten, Laptop-Farmen und Fälle, in denen Beschäftigte Zugriff auf sensible Unternehmensdaten und Quellcode erhielten.
Laptop-Farmen sind dabei besonders charmant – im Sinne von: charmant wie ein Wasserschaden im Serverraum. Dabei werden Firmen-Laptops an Adressen in einem Land geschickt, während sich die eigentlichen Akteure remote darauf verbinden, um ihren tatsächlichen Standort zu verschleiern.
Das ist kein reines HR-Problem
Man könnte jetzt sagen: „Na gut, dann muss HR eben besser prüfen.“ Ja. Aber das wäre zu kurz gedacht.
Fake IT Worker sind ein Schnittstellenthema. HR sieht Bewerbung, Lebenslauf, Interview und Vertrag. IT sieht Account, Gerät, Rechte, Zugriff und Verhalten im System. Security sieht Risiken, Logs, Anomalien und mögliche Incident-Signale. Legal und Compliance sehen Identitätsprüfung, Datenschutz, Arbeitsrecht und Vertragsgestaltung.
Wenn diese Bereiche nicht miteinander sprechen, entsteht genau die Lücke, durch die Fake Worker schlüpfen. Und zwar nicht mit Brecheisen, sondern mit einem freundlich formulierten Lebenslauf und einem GitHub-Profil, das nach „Senior Full Stack Ninja“ aussieht.
Cybersecurity beginnt hier also nicht erst beim Endpoint oder in der Cloud-Konsole. Sie beginnt im Recruiting-Prozess.
Typische Warnsignale im Bewerbungsprozess
Natürlich ist nicht jeder kleine Widerspruch ein Angriff. Menschen haben schlechte Kameras, schlechte Internetverbindungen und manchmal auch einfach schlechte Tage. Wer morgens um acht ein technisches Interview führt, sieht ohnehin oft aus wie ein ungeladener Systemprozess.
Trotzdem gibt es Muster, bei denen HR und IT aufmerksam werden sollten:
-
Ein Kandidat wirkt im Lebenslauf extrem passend, fast zu passend. Alle gesuchten Technologien sind exakt enthalten, die Projekterfahrung klingt wie aus der Stellenanzeige kopiert und Lücken oder Wechsel sind schwer nachvollziehbar.
-
Im Video-Interview gibt es seltsame Verzögerungen, unnatürliche Mimik, auffällige Bildartefakte oder eine Stimme, die nicht sauber zum Bild passt. Das allein beweist nichts, aber es sollte Fragen auslösen.
-
Die Person weicht einfachen Identitätsprüfungen aus, möchte keine Live-Übungen machen oder kann Details aus angeblichen Projekten nicht überzeugend erklären. Gerade bei technischen Rollen ist Tiefe wichtiger als Buzzword-Bingo.
-
Auffällig ist auch, wenn mehrere Bewerbungen sehr ähnliche Lebensläufe, Formulierungen, Kontaktinformationen oder Portfolios enthalten. Das FBI empfiehlt unter anderem, HR-Systeme auf Bewerber mit gleichen Lebenslaufinhalten oder Kontaktinformationen zu prüfen. (
Nach der Einstellung können weitere Signale dazukommen: ungewöhnliche Login-Zeiten, Verbindungen über auffällige VPNs, Remote-Desktop-Werkzeuge, die nicht zum Standard gehören, oder der Versuch, Sicherheitsvorgaben zu umgehen.
Was Unternehmen konkret tun können
Die gute Nachricht: Du musst jetzt nicht jeden Bewerber behandeln, als käme er mit Trojaner im Rucksack. Aber du brauchst klare Prozesse. Nicht misstrauisch gegenüber Menschen, sondern professionell gegenüber Risiken.
1. HR und IT müssen gemeinsam einstellen
Bei IT-Rollen sollte Security nicht erst auftauchen, wenn der Account schon Adminrechte hat. Definiert gemeinsam, welche Rollen besonders kritisch sind, welche Prüfungen nötig sind und wann IT oder Security in den Bewerbungsprozess eingebunden werden.
Das gilt besonders für Rollen mit Zugriff auf Cloud-Umgebungen, Quellcode, Kundendaten, Produktionssysteme oder administrative Konten.
2. Identität sauber prüfen
Remote Hiring braucht mehr als ein „Kamera kurz an, passt schon“. Unternehmen sollten Identitätsprüfung, Dokumentenprüfung und nachvollziehbare Onboarding-Schritte etablieren. Das FBI empfiehlt Identitätsverifikation nicht nur während Interview und Onboarding, sondern auch während der Beschäftigung von Remote-Arbeitern. (ic3.gov)
Wichtig: Das muss rechtlich sauber und diskriminierungsfrei passieren. Es geht nicht darum, Menschen aufgrund von Herkunft, Akzent oder Wohnort unter Generalverdacht zu stellen. Es geht darum, Identität und Zugriffsrisiko professionell zu prüfen.
3. Technische Interviews praxisnäher machen
KI kann Standardfragen gut beantworten. Deshalb sollten technische Prüfungen stärker auf echte Problemlösung, Rückfragen, gemeinsames Denken und konkrete Erfahrungen setzen.
Ein guter Ansatz: Live-Szenarien, Pairing-Aufgaben oder Architekturgespräche. Nicht als Stress-Test mit „Wer schneller tippt, gewinnt“, sondern als Plausibilitätsprüfung. Wer wirklich an ähnlichen Themen gearbeitet hat, kann erklären, warum Entscheidungen getroffen wurden. Wer nur KI-generierte Schlagworte vorliest, kommt schneller ins Schwimmen.
4. Zugriff minimal halten
Der Klassiker bleibt wichtig: Least Privilege. Neue Mitarbeitende oder externe Kräfte sollten nur die Rechte bekommen, die sie wirklich brauchen. Nicht „Willkommen im Team, hier ist der Generalschlüssel für alles, bitte nicht verlieren.“
Gerade bei Remote-Rollen sollten Zugriffe zeitlich, technisch und organisatorisch sauber begrenzt werden. Rollenbasierte Berechtigungen, Conditional Access, MFA, Gerätemanagement, Logging und regelmäßige Rezertifizierung sind hier keine Luxusausstattung. Das ist der Sicherheitsgurt.
5. Geräte und Zugriffe kontrollieren
Wenn Firmen-Laptops versendet werden, muss klar sein, wohin, an wen und wie sie genutzt werden. Geräte sollten verwaltet, verschlüsselt, überwacht und bei Auffälligkeiten schnell isolierbar sein.
Auch ungewöhnliche Remote-Zugriffe gehören auf den Radar. Wenn ein Gerät offiziell in Land A steht, aber Nutzungsverhalten, IP-Adressen und Arbeitszeiten eher nach „internationaler Überraschungstüte“ aussehen, sollte das geprüft werden.
6. Offboarding ernst nehmen
Wird ein Arbeitsverhältnis beendet, müssen Zugriffe sofort sauber entzogen werden. Das klingt selbstverständlich, ist aber in der Praxis oft der Moment, in dem noch irgendwo ein Token, ein Git-Zugang oder ein Cloud-Account weiterlebt wie ein vergessener Joghurt im Bürokühlschrank.
Bei Verdachtsfällen sollte Offboarding mit Security abgestimmt werden: Accounts sperren, Geräte sichern, Logs prüfen, Zugriffe analysieren, Datenabfluss ausschließen.
Warum das Thema auch den Mittelstand betrifft
Man könnte meinen, solche Angriffe treffen vor allem Konzerne, Tech-Giganten oder Unternehmen mit besonders spannenden Geheimnissen. Aber das ist zu bequem gedacht.
Auch mittelständische Unternehmen haben wertvolle Daten: Kundendaten, Konstruktionspläne, Finanzinformationen, Zugang zu Lieferketten, Branchenwissen, Software, Cloud-Infrastrukturen und interne Prozesse. Außerdem arbeiten viele Mittelständler mit externen Dienstleistern, Freelancern und Remote-Spezialisten. Genau dort entstehen Schnittstellen.
Und Schnittstellen sind in der Security wie offene Chipstüten im Büro: Irgendwann greift jemand rein.
Für IT-Entscheider bedeutet das: Fake IT Worker sind soohl ein Recruiting-Risiko, als auch ein Identitäts-, Zugriffs- und Governance-Risiko.
Was das mit Cloud-Sicherheit zu tun hat
Sehr viel. Denn moderne IT-Arbeit findet häufig in Cloud-Umgebungen statt. Microsoft 365, Azure, AWS, GitHub, SaaS-Plattformen, Ticket-Systeme, CI/CD-Pipelines – all das ist remote erreichbar. Das ist der große Vorteil der Cloud. Und gleichzeitig der Grund, warum Identität heute der neue Perimeter ist.
Früher war die Frage: „Kommt jemand durch unsere Firewall?“ Heute ist die Frage oft: „Hat jemand gültige Zugangsdaten und sieht auf den ersten Blick aus wie ein normaler Mitarbeiter?“
Deshalb gehören Identity & Access Management, Conditional Access, Gerätesicherheit, Zero Trust, Logging und saubere Rollenmodelle zusammen – als praktisches Sicherheitsnetz.
Der Bewerbungsprozess ist Teil deiner Cyberabwehr
Fake IT Worker zeigen, wie sich Cyberangriffe verändern. Angreifer suchen nicht immer die technische Schwachstelle im System. Manchmal suchen sie die organisatorische Schwachstelle im Prozess.
Der Lebenslauf wird zur Eintrittskarte. Das Interview zur Tarnung. Der Firmen-Laptop zur Brücke ins Netzwerk.
Das heißt nicht, dass du Remote Hiring verteufeln solltest. Ganz im Gegenteil. Remote-Arbeit ist wertvoll, effizient und für viele Unternehmen unverzichtbar. Aber sie braucht Sicherheitsmaßnahmen.
HR und IT müssen enger zusammenarbeiten. Identitäten müssen sauber geprüft werden. Zugriffe müssen begrenzt und überwacht werden. Und Security muss dort mitdenken, wo neue Menschen, neue Geräte und neue Berechtigungen ins Unternehmen kommen.
Denn am Ende willst du keine Kultur des Misstrauens. Du willst eine Kultur der Klarheit.
Oder anders gesagt: Vertrauen ist gut. Conditional Access ist besser.
