Identitätsbetrug im Recruiting : Remote-IT-Jobs als neues Einfallstor für Cyberkriminelle

Generative KI gibt Bedrohungsakteuren neue Möglichkeiten an die Hand und verändert die Cybersicherheitslage damit grundlegend. Mit KI-gestützten Tools kann ein einzelner Akteur nun die Arbeit von mehreren Angreifern erledigen. Anthropic analysierte kürzlich eine durch KI gesteuerte Cyberspionage-Kampagne. Dabei beobachteten die Forscher, dass der Bedrohungsakteur 80 bis 90 Prozent des Angriffs mit KI durchführte und nur sporadisch menschliche Eingriffe vornahm.

Viele Menschen haben bereits die Auswirkungen verbesserter Social-Engineering-Taktiken, die auf kompromittierende Informationen wie Passwörter, Bankdaten oder andere personenbezogene Daten abzielen, zu spüren bekommen. Ebenso ließ sich beobachten, wie KI dazu eingesetzt wird, Anmeldeseiten im Internet zu fälschen und so an die Login-Daten der Benutzer zu gelangen.

Darüber hinaus hat KI eine neue Klasse von Cyberkriminellen in die Lage versetzt, die lukrativen Möglichkeiten einer direkten Infiltration von Unternehmen ins Visier zu nehmen.

Gerade die Fortschritte bei generativer KI erlauben es Betrügern, den Einstellungsprozess für technische Remote-Arbeitsplätze auszunutzen. Kriminelle gelangen erfolgreich in Remote-IT-Jobs, indem sie mithilfe von KI-Tools fiktive Lebensläufe erstellen, die sie als die idealen Kandidaten ausgeben. Durch den Einsatz von Deepfake-Technologien bestehen sie Screenings und selbst Vorstellungsgespräche.

Das Auftauchen solcher KI-gestützten Betrugsmaschen wirft ein Schlaglicht auf einige der grundlegenden Herausforderungen der Identitätssicherheit in der KI-Ära. KI-Tools werden immer besser und Cyberkriminelle nutzen zunehmend agentenbasierte Prozesse in ihrem Vorgehen. Unternehmen müssen daher verstehen, wie sich ihre Angriffsfläche auf die Bereiche Rekrutierung und Onboarding ausgeweitet hat und welche Rolle ein effektives Identitätsmanagement bei der Stärkung ihrer Abwehr spielt.

Das Ausmaß der Bedrohung

Flexible Arbeitsregelungen haben sich in vielen Branchen als Norm etabliert. Laut Statistischem Bundesamt hat im Jahr 2024 fast ein Viertel aller Erwerbstätigen in Deutschland von zu Hause aus gearbeitet.

In den letzten Jahren war der Technologiesektor das Aushängeschild für Remote-Arbeitsmöglichkeiten. Mit einer hohen Konzentration von Software-Engineering- und verwandten technischen Positionen – Aufgaben, die im Wesentlichen überall ausgeführt werden können – hatten Tech-Unternehmen den Luxus, Talente aus der ganzen Welt rekrutieren zu können. Damit wurde die Tech-Branche zur ersten Zielscheibe für Angriffe durch falsche Remote-Mitarbeitende.

Die bisher bekanntesten Beispiele für diese Masche wurden von staatlich unterstützten Akteuren inszeniert. Sie sind in erster Linie motiviert, Devisen für ihren Staat zu beschaffen – und Jobangebote für Fernarbeitsplätze erschließen ihnen neue Geldquellen auf Kosten ahnungsloser Unternehmen.

Mit zunehmender Digitalisierung gibt es auch in anderen Branchen immer mehr Remote-Jobs für technische Rollen. So stellen beispielsweise Organisationen im Gesundheitswesen verstärkt Mitarbeitende für die Entwicklung mobiler Anwendungen und elektronischer Dokumentationsplattformen ein. Im Finanzdienstleistungssektor wurden neue Remote-Stellen in Back-Office-Bereichen wie Gehaltsabrechnung und Buchhaltung geschaffen. Neueste Untersuchungen zeigen, dass etwa die Hälfte der Unternehmen, die Ziel derartiger Angriffe waren, nicht aus der Technologiebranche stammen.

Ein Blick auf die Taktiken

Bei diesen Angriffen stützen sich die Bedrohungsakteure bei fast jedem Schritt auf generative KI-Tools. Auf der Grundlage der von Okta Threat Intelligence beobachteten Aktivitäten kann der typische Weg eines Betrügers zu einem erschlichenen Beschäftigungsverhältnis folgendermaßen aussehen:

Der Angreifer beginnt mit dem Einstellen einer gefälschten Stellenausschreibung auf einer KI-gestützten Job-Plattform. Sie sieht ähnlich oder vielleicht sogar identisch aus wie eine Stellenausschreibung eines seiner Zielunternehmen. Während sich legitime Kandidaten auf diese gefälschte Stellenanzeige bewerben, analysiert der Angreifer, wie echte Bewerbungen aussehen. Er trainiert die KI mit diesen Einsendungen, um seine eigene Bewerbung für die tatsächliche Stellenausschreibung zu entwickeln.

Nach der Erstellung des Lebenslaufs testet der Betrüger diese gefälschte Persona gegen die Bewerbermanagement-Software und verbessert so seine Chancen, die von vielen Rekrutierungsplattformen verwendeten automatischen Prüfungen zu bestehen.

Sobald eine Bewerbung erfolgreich war und ein Vorstellungsgespräch vereinbart wurde, wendet sich der Bedrohungsakteur an einen KI-gestützten Service zur Auswertung von Vorstellungsgesprächen per Webcam. Mittels Scheininterviews über einen dieser Dienste kann er die Wirksamkeit von Deepfake-Overlays und die Reaktion großer Sprachmodelle (LLMs) auf schwierige technische Fragen testen, was ihm beim Skripten von Interview-Antworten hilft.

Es ist nicht ganz klar, wie hoch der Anteil der Vorstellungsgespräche ist, die zu einem Arbeitsvertrag führen. Erhält der Betrüger jedoch eine Anstellung, verlässt er sich beim Verrichten seiner täglichen Aufgaben in hohem Maße auf KI-gestützte Chatbots.

Abwehrmaßnahmen müssen verstärkt werden

Angesichts dieser Tatsachen müssen Unternehmen ihre Abwehrmaßnahmen verstärken, wenn sie die Integrität ihrer Einstellungsprozesse gewährleisten wollen. Hierfür sollten sie die folgenden Schritte unternehmen:

1. Verschärfung von Screening und Recruiting: HR- und Recruiting-Teams sollten darin geschult werden, die subtilen Anzeichen für betrügerische Bewerber zu erkennen. Häufige Hinweise sind, dass Kandidaten zwischen den Gesprächsrunden ausgetauscht werden, sich weigern, ihre Kameras einzuschalten oder eine extrem schlechte Internetverbindung nutzen.

Die Einführung eines strukturierten technischen und verhaltensbezogenen Überprüfungsprozesses, etwa einer verpflichtenden Live-Demonstration von Fähigkeiten unter direkter Beobachtung, kann helfen, potenzielle Betrüger zu identifizieren. Darüber hinaus sollten Personalverantwortliche die digitalen Fußabdrücke ihrer Bewerber und die Authentizität der von ihnen angegebenen Arbeitshistorie unter die Lupe nehmen, um sicherzustellen, dass Arbeitsproben oder Projekte nicht von echten Profilen kopiert wurden.

2. Identitäten rigoros überprüfen: Unternehmen benötigen verifizierbare Ausweiskontrollen in verschiedenen Phasen des Bewerbungsprozesses und während der Beschäftigung. Dienste von Drittanbietern können bei der Authentifizierung von Identitätsdokumenten und akademischen Zeugnissen helfen. Um Standortfälschungen („Location Spoofing“) zu verhindern, sollten Unternehmen die angegebenen Standorte ihrer Bewerber mit technischen Daten wie IP-Adresse, Zeitzonenverhalten und Gehaltsabrechnungsdaten abgleichen.

Der Prozess der Identitätsüberprüfung sollte nicht aufhören, nachdem ein Mitarbeitender mit dem Onboarding begonnen hat. Unternehmen sollten rollenbasierte und getrennte Zugriffskontrollen durchsetzen, sodass neue Mitarbeitende zunächst mit den geringsten Berechtigungen und Zugriffsrechten arbeiten, bis ihre Probezeit und die Überprüfung abgeschlossen sind.

3. Monitoring von Insider-Bedrohungen: Unternehmen müssen eine spezielle Instanz für Insider-Risiken einrichten, um potenziellen Bedrohungen proaktiv zu begegnen. Dies geschieht häufig in Form einer Arbeitsgruppe, die sich aus Mitgliedern aus den Bereichen HR, Recht, Sicherheit und IT zusammensetzt. Diese Instanz hält Ausschau nach anormalen Zugriffsmustern, beispielsweise großen Datenabrufen, Anmeldungen außerhalb der Geschäftszeiten von ungewöhnlichen Standorten oder VPNs, oder die Weitergabe von Anmeldedaten – all dies können Anzeichen für ungewöhnliche Insideraktivitäten sein.

Nicht zuletzt müssen Unternehmen ihre Mitarbeitenden schulen und befähigen, verdächtige Aktivitäten zu beobachten und zu melden.

Erweitertes Spielfeld für Kriminelle

Generative KI erweitert das Spielfeld der Cybersicherheit. Der Bewerbungs- und Einstellungsprozess wird dabei zunehmend zu einem bedeutenden Angriffsvektor.

Da sich diese Betrugsmasche auf immer mehr Branchen ausgeweitet hat, kann sich kein Unternehmen mehr auf veraltete Screening-Prozesse verlassen. Ein verstärkter Schutz erfordert einen mehrschichtigen Ansatz für die Identitätssicherheit. Dabei stehen eine strenge Überprüfung und kontinuierliche Überwachung im Vordergrund, um zu verhindern, dass betrügerische Bewerber zu kritischen Insider-Bedrohungen werden.

Brett Winterford ist Vizepräsident bei dem Identity-Anbieter Okta Threat Intelligence. Okta Threat Intelligence ist der Informationsdienst für Okta-Kunden zur aktuellen Bedrohungslage, mit einem Schwerpunkt auf identitätsbasierten Bedrohungen. Zuvor war Winterford regionaler Chief Security Officer bei Okta für asiatisch-pazifischen Raum und beriet Organisationen in der Region in allen identitätsbezogenen Fragen.