Die folgende Geschichte, veröffentlicht an diesem Wochenende, ist wahr, alarmierend und hat Auswirkungen für uns alle, die wir in der Sicherheit tätig sind: Hiring-Prozesse in Unternehmen müssen überdacht und Background Checks wasserdicht gemacht werden. Die Story zeigt nämlich, dass selbst verifizierte Identitäten und Lebensläufe einen hinters Licht führen können. Höchste Zeit, Lücken zu schließen. 4 Praxis-Tipps.
Von Sebastian Okada
Der beste Kandidat
Das amerikanische IT-Unternehmen KnowBe4 stellte kürzlich einen Software-Ingenieur für sein KI-Team ein, der sich im Nachhinein als nordkoreanischer Hacker herausstellte, wie das Unternehmen am Wochenende in seinem Firmenblog berichtete.
Der Hiring-Prozess war auf den ersten Blick sauber: Bewerber wurden in Videocalls interviewt und, wie in den USA Standard, Background Checks durchgeführt. Alles im grünen Bereich, der beste Bewerber wurde eingestellt.
Er erhielt, wie bei einem Remote-Mitarbeiter üblich, den Laptop postalisch an eine Inlandsadresse zugestellt. Kaum hatte der Mann jedoch seine Arbeit aufgenommen, lud er Schadsoftware auf die Firmensysteme. Bemerkt wurde dies, weil KnowBe4 standardmäßig die Laptops neuer Mitarbeiter technisch isoliert und zu Beginn überwacht.
Der Neue war dabei, Malware hochzuladen und Logs und History zu manipulieren, um seine Spuren zu verwischen, als das Unternehmen ihn um 21.55 Uhr Ortszeit fragte, was los sei. Erst erhielt es ausweichende Erklärungen und später nur noch Schweigen als Antwort. Die IT-Sicherheit agierte beherzt und schaltete seine Zugänge nur 25 Minuten später, um 22.20 Uhr, ab. Jetzt ermittelt das FBI.
KnowBe4 – ausgerechnet spezialisiert auf Sicherheits-Awareness-Trainings – verdient Anerkennung, weil das Unternehmen offen über diesen Infiltrationsversuch in seinem Firmenblog berichtete, um andere zu warnen. Auch deutsche Medien, wie Stern und SPIEGEL, berichteten über den haarsträubenden Fall.
Die Tricks des Täters
Trick #1: Die Bewerber-Identität war von einer realen Person gestohlen, das war die Hauptfinte des Nordkoreaners. Denn damit lief die Verifikation der Identität und des Lebenslaufes ins Leere, denn die Person gab es ja. Sie hatte eben nur keine Ahnung, dass sie sich gerade bei KnowBe4 „bewarb“.
Trick #2: Der Nordkoreaner verwendete Deep Fake-Technologie, um aus einem Stockfoto eines beliebigen Mannes eine asiatische Version herzustellen (siehe Foto). Dieses Bild verwendete der Täter dann in der Bewerbung. Es ist zu vermuten, dass er das Deep Fake Foto, bzw. eine animierte Version davon, in den insgesamt vier (!) Videocalls verwendete, die das HR-Team mit ihm durchführte. Das Unternehmen erläuterte dieses Detail zwar nicht explizit in seinem Blog zu dem Vorfall, aber das würde erklären, weshalb das Bewerberfoto mit dem im Videocall gesehenen Mann übereinstimmte. Entsprechende Deep Fake-Software gibt es bereits, Tutorials dazu kursieren frei im Internet.
Trick #3: Der Laptop des neuen Mitarbeiters war ja an eine US-Inlandsadresse geschickt worden. Wie kann es also sein, dass der Täter ihn von Nordkorea aus remote steuern konnte? Laut dem Blog des geschädigten Unternehmens war die Inlandsadresse offenbar eine „IT mule laptop farm“. Also eine Einrichtung, in der Laptops und andere Endgeräte aufgesetzt und lokal ans Internet angeschlossen werden, um dann remote bedient zu werden, ohne eine ausländische IP-Adresse zu hinterlassen. Die Täter wählen sich per VPN-Tunnel von zuhause in die „Farm“ ein und übernehmen die Kontrolle des jeweiligen Gerätes. Eine hoch professionelle Methode, praktiziert von Organisierter Kriminalität und Geheimdiensten.
Was also tun?
4 Tipps für HR-, IT- und Sicherheitsabteilungen
1)
Interviews in Person, physisch beim Arbeitgeber, sind das Maß aller Dinge. Die Bewerber sollten standardmäßig ihre Ausweisdokumente (Personalausweis und Reisepass) zum Gespräch mitbringen und vorlegen.
2)
Falls physische Interviews nicht möglich sind, sollten Bewerber standardmäßig Fotos ihrer Personalausweise und Reisepässe an die Personalabteilung e-mailen, egal ob inländische oder ausländische Kandidaten. Manche Unternehmen praktizieren dies bereits. Solche digitalen Dokumente sind allerdings natürlich auch mit Photoshop & Co. manipulierbar; daher sollten sie künftig auch beim Videointerview in die Kamera gehalten werden. Banken verlangen dies bei Neukunden auch, inklusive Kippen des Ausweisdokuments, um die Sicherheitsfeatures sichtbar zu machen. Das sollte bei rein digitalen Einstellungsprozessen Standard werden. (Achtung: Auch dieser Identifikationsprozess ist bereits in einzelnen Versuchen erfolgreich manipuliert worden. Hohe Aufmerksamkeit ist gefordert.)
3)
Gründlichere Background Checks: Standard sollte die Verifikation der Lebenslaufstationen sein, z.B. durch unabhängige Recherchen sowie Kontakt zu ehemaligen Arbeitgebern, und zwar am besten mit Vorlage des Fotos des Ex-Mitarbeiters! Zweitens sollte der wahre Aufenthaltsort des Kandidaten verifiziert werden. Warum? Professionelle Täter halten sich absichtlich nicht an dem Ort auf, wo die gestohlene Identität ansässig ist, allein schon um sich vor Verfolgung zu schützen. Der Nordkoreaner etwa saß, wie gesagt, am anderen Ende der Welt in seinem Heimatland während er vorgab, ein amerikanischer Bewerber zu sein. Der Background Check muss also ein Element enthalten, den Wohnort eines Kandidaten zu verifizieren, am besten durch physischen Besuch an der angegebenen Wohnanschrift. Das kann etwa mit Hilfe eines Sicherheitsdienstleisters geschehen, der landesweit Kontakte in Städten vor Ort hat.
4)
Zusammenarbeit der HR-, IT- und Sicherheitsabteilung bei Hiring-Prozessen. Engmaschige Kooperation und Abstimmung sind deutlich effektiver als wenn jede Abteilung nur ihren Teil der Hiring-Aufgaben für sich alleine bearbeitet. Das gleiche gilt, falls externe Sicherheitsdienstleister eingebunden sind. Der Einstellungsprozess sollte zudem im Unternehmen standardisiert und schriftlich für alle beteiligten Fachabteilungen (und Externe) fixiert sein, damit es nicht zu unbeabsichtigten Lücken kommt.
Fazit: Die Einstellung eines Fake Mitarbeiters ist kein Science Fiction mehr. Wir müssen alle daran arbeiten, dass dies nicht zu einer Epidemie wird.
Zum Autor:
Sebastian Okada führt seit mehr als 15 Jahren Screenings zu Bewerbern für sensible Positionen durch. Er leitet bei der Sicherheitsberatung Corporate Trust in München die Abteilung Intelligence & Investigations.
intelligence@corporate-trust.de
Tel. +49 (89) 599 88 75 80
Corporate Trust Sicherheitsblog 