FALL:
003
DATUM:
Juli 2024 (Bekanntwerden)
ORT:
USA (Florida)
SCHADEN:
Kein finanzieller Schaden - Angriff rechtzeitig erkannt
VEKTOR:
Echtzeit-Deepfake + gestohlene Identität im Bewerbungsprozess
STATUS:
Dokumentiert, öffentlich

Fallanalyse: Der Deepfake-Bewerber

Im Juli 2024 stellte ein US-Sicherheitsunternehmen einen neuen Software-Entwickler ein - der sich nach wenigen Stunden als Angreifer mit gefälschter Identität entpuppte. Der Fall ist deshalb so lehrreich, weil das Unternehmen zu den erfahrensten in Sachen Security Awareness überhaupt gehört und trotzdem fast getäuscht worden wäre. Er zeigt eine neue Angriffsfläche, die viele noch gar nicht auf dem Schirm haben: den Bewerbungsprozess selbst.

Der Fall

Das betroffene Unternehmen, KnowBe4, ist ein Anbieter von Security-Awareness-Trainings - ein Unternehmen also, dessen Kerngeschäft es ist, andere vor Social Engineering zu schützen. Es suchte einen Software-Entwickler und führte einen gründlichen Einstellungsprozess durch: mehrere Videointerviews, eine Hintergrundprüfung, ein Abgleich der Referenzen. Der Kandidat wirkte qualifiziert, machte im Gespräch einen guten Eindruck und bestand alle Prüfungen. Er wurde eingestellt.

Der Angreifer hatte dafür eine gestohlene, echte US-Identität verwendet und ein Foto mit KI so verändert, dass es zu ihm passte. Auf dem Papier - und im Video - war er eine reale, unbescholtene Person.

Auffällig wurde er erst nach Arbeitsbeginn. Kurz nachdem ihm der Firmen-Laptop zugestellt worden war, registrierte die Sicherheitssoftware des Unternehmens verdächtige Aktivitäten: Der neue Mitarbeiter versuchte, Schadsoftware auf dem Gerät auszuführen. Das Sicherheitsteam griff sofort ein, isolierte das Gerät und stellte fest, dass der vermeintliche Entwickler nicht der war, für den er sich ausgegeben hatte. Es entstand kein Schaden - der Angriff wurde in den ersten Stunden gestoppt.

Wer dahintersteckt

Die Ermittlungen ordneten den Fall einem inzwischen gut dokumentierten Phänomen zu: nordkoreanischen IT-Arbeitern, die mit gefälschten Identitäten Fernarbeitsstellen bei westlichen Unternehmen ergattern. Das Muster ist staatlich organisiert und dient zwei Zwecken - der Beschaffung von Devisen (die Gehälter fließen zurück und finanzieren staatliche Programme) und, je nach Fall, der Spionage oder dem Einschleusen von Schadsoftware.

Das Ausmaß ist erheblich: Behörden und Sicherheitsforscher haben über 300 US-Unternehmen identifiziert, die auf diese Weise unwissentlich solche Kräfte beschäftigt haben - darunter Fortune-500-Konzerne. Der Fokus dieser Kampagnen hat sich zuletzt auch nach Europa verlagert. Die Bewerber sind oft technisch echt qualifiziert, was den Verdacht zusätzlich senkt.

Die Rolle der Deepfake-Technik

Anfangs arbeiteten diese Angreifer vor allem mit gestohlenen Identitäten und manipulierten Standfotos. Die beunruhigende Weiterentwicklung ist der Einsatz von Echtzeit-Deepfakes im Videointerview: Das Gesicht, das die Interviewer sehen, ist ein künstlich erzeugtes, live über die echte Person gelegtes Abbild.

Das bringt den Angreifern zwei Vorteile. Erstens können sie sich mit verschiedenen synthetischen Identitäten mehrfach auf dieselbe Stelle bewerben. Zweitens verschleiern sie ihr wahres Aussehen und entgehen so dem Abgleich mit Fahndungshinweisen. Sicherheitsforscher haben gezeigt, wie zugänglich das inzwischen ist: Ein Forscher ohne jede Vorerfahrung erstellte mit frei verfügbaren Werkzeugen und günstiger Hardware in gut einer Stunde eine funktionierende synthetische Interview-Identität.

Woran solche Angreifer scheitern

So gut die Täuschung ist - sie hat charakteristische Schwachstellen, und interessanterweise liegen die wichtigsten nicht in der Technik, sondern im Verhalten. In dokumentierten Fällen fielen Deepfake-Bewerber unter anderem so auf:

Technische Artefakte im Echtzeit-Deepfake: Bei schnellen Kopfbewegungen entstehen Ruckler, eine Hand, die vors Gesicht geführt wird, "zerstört" für einen Moment das gefälschte Bild, Lippenbewegung und Ton geraten leicht asynchron. Der bekannteste praktische Test besteht darin, den Bewerber zu bitten, die Hand vors Gesicht zu halten - die Landmarken-Erkennung vieler Systeme bricht dann sichtbar zusammen.

Verhaltensauffälligkeiten: In einem dokumentierten Fall gaben zwei aufeinanderfolgende "Bewerber" an, an mexikanischen Universitäten studiert und in Mexiko gelebt zu haben - konnten aber auf Nachfrage kein Wort Spanisch. Ausweichen bei unerwarteten persönlichen oder landeskundlichen Fragen ist ein wiederkehrendes Muster.

Technische Metadaten im Hintergrund: Verbindungen über VPNs und Anonymisierungsdienste, Telefonnummern von VoIP-Anbietern, Login-Versuche aus geografisch unplausiblen Regionen, das sofortige Installieren von Fernwartungssoftware auf einem frisch zugestellten Laptop.

Warum dieser Fall ein Muster ist

Der KnowBe4-Fall ist kein Einzelfall, sondern das sichtbare Beispiel einer strukturellen Verschiebung. Die Analysten von Gartner prognostizieren, dass bis 2028 weltweit eines von vier Bewerberprofilen gefälscht sein könnte - ein Hinweis darauf, wie schnell sich diese Angriffsfläche entwickelt. Für Unternehmen bedeutet das eine neue, unbequeme Frage.

Besonders brisant ist die Kombination aus Fernarbeit und Vertrauensvorschuss: Ein neuer Mitarbeiter erhält Zugang zu Systemen, Daten und internen Netzen - oft bevor ihn je ein Mensch physisch gesehen hat. Genau diese Lücke nutzen die Angreifer aus.

Was schützt: Verifikation im Bewerbungsprozess

Die gute Nachricht ist dieselbe wie bei jedem Deepfake-Angriff: Der Schutz liegt nicht darin, die Fälschung mit dem Auge zu erkennen, sondern in einem Prozess, der Identität unabhängig prüft. Der KnowBe4-Fall zeigt beides - der Bewerbungsprozess allein wurde getäuscht, aber die technische Überwachung nach Arbeitsbeginn fing den Angriff auf. Eine gute Verteidigung setzt an mehreren Stellen an.

CHECKLISTE: Schutz im Recruiting

  • Verifizieren Sie die Identität dokumentenbasiert und unabhängig: amtliches Ausweisdokument, abgeglichen mit der Person im Interview - nicht allein auf das Videobild verlassen.
  • Bauen Sie einfache Deepfake-Tests in Videointerviews ein: um seitliche Kopfbewegungen bitten, die Hand kurz vors Gesicht führen lassen, auf Ton-Bild-Synchronität achten.
  • Stellen Sie unerwartete, persönliche oder landeskundliche Fragen, die sich nicht vorab einstudieren lassen - besonders zu angeblichem Wohnort, Ausbildung, Sprache.
  • Prüfen Sie technische Signale: Bewerbungen über Anonymisierungsdienste, VoIP-Nummern, geografisch unplausible IP-Adressen.
  • Behandeln Sie die Zeit nach der Einstellung als Teil der Sicherheit: Überwachen Sie ungewöhnliche Aktivitäten auf neu ausgegebenen Geräten - genau das hat im KnowBe4-Fall den Schaden verhindert.
  • Werten Sie auffällige Muster aus: Wunsch nach Zusendung des Laptops an eine abweichende Adresse, sofortige Installation von Fernwartungssoftware, Arbeit zu unplausiblen Zeiten.

Die Lektion

Dieser Fall erweitert das Deepfake-Thema um eine Dimension, die über den klassischen Zahlungsbetrug hinausgeht. Hier geht es nicht darum, mit einer Fälschung eine einzelne Überweisung zu erschleichen, sondern darum, sich dauerhaft Zugang zu einem Unternehmen zu verschaffen - als scheinbar legitimer Mitarbeiter.

Die Verteidigung folgt demselben Grundprinzip wie überall auf dieser Seite: Nicht dem Anschein vertrauen, sondern die Identität über unabhängige Wege verifizieren. Und der KnowBe4-Fall fügt eine wichtige zweite Lektion hinzu: Verteidigung endet nicht mit der Einstellung. Dass hier kein Schaden entstand, lag nicht am perfekten Bewerbungsprozess - der wurde getäuscht -, sondern an der aufmerksamen technischen Überwachung danach. Sicherheit ist eine Kette, und der Bewerbungsprozess ist nur ihr erstes Glied.

Wie Verifikationsprozesse grundsätzlich aufgebaut sein sollten, beschreibt der Leitfaden zu Verifikationsprozessen. Worauf man bei Videofälschungen achten kann - und warum das allein nicht genügt -, behandelt die Seite zum Erkennen von Deepfake-Videos.

Quellen

Weiterführend auf deepfake.de

Norbert Hofmann, Cyber Defense Analyst und Betreiber von deepfake.de

Norbert Hofmann

Cyber Defense Analyst

Über den AutorLinkedIn