Experten: Nordkorea zielt systematisch auf Krypto, um harte Devisen zu generieren
Sicherheitsforscher sehen in großangelegten, öffentlich sichtbaren Krypto‑Diebstählen eine staatliche Einnahmestrategie Nordkoreas, die sich strukturell von Russlands und Irans Vorgehen unterscheidet.
Nach Angaben von Sicherheitsfachleuten erklärt sich Nordkoreas wiederholtes Vorgehen gegen Kryptowährungs‑Infrastrukturen primär aus dringenden Finanzbedürfnissen. Mehrmonatige Infiltrationszyklen wie bei Drift und die Milliardenbeträge, die in jüngeren Exploits erbeutet wurden, würden zeigen, dass Pjöngjang Krypto nicht nur als Zahlungsrail, sondern als direkte Einnahmequelle nutze. Die Angriffe seien deshalb weniger als verdeckte Umgehung von Sanktionen denn als bewusste Akquisitionsstrategie zu lesen.
Im Mittelpunkt der Analyse steht eine strukturelle Abweichung zu anderen staatlichen Akteuren. Zugleich verfügten Russland und Iran noch über Exportgüter und regionale Vermittler, die wirtschaftliche Kontakte ermöglichten; Nordkorea hingegen habe kaum legale Waren, die sich auf internationalen Märkten verwerten ließen. Krypto‑Diebstahl biete dagegen sofort verfügbare, globale Liquidität, ohne dass ein kooperierender Handelspartner notwendig sei. Diese Funktion als unmittelbare Geldquelle unterscheide nordkoreanische Operationen grundlegend von den meisten staatlich getragenen Cyberkampagnen.
Nach dem Schritt in die operative Ebene werden auch Taktiken und Ziele deutlich anders beschrieben. Daneben ähneln viele nordkoreanische Angriffe eher Geheimdienstoperationen als gewöhnlicher Cyberkriminalität: monatelanger Beziehungsausbau, fingierte Identitäten und gezielte Supply‑Chain‑Infiltrationen, um Personen mit Signaturrechten oder Infrastrukturzugängen zu kompromittieren. Die Drift‑Kampagne gilt in der Branche als Beispiel dafür, wie Angreifer systematisch einzelne Mitarbeiter ins Visier nehmen, statt allein auf automatisierte Exploits zu setzen.
Zugleich trägt die Architektur öffentlicher Blockchains zur Wirksamkeit dieser Strategie bei. Sobald Transaktionen bestätigt sind, gelten sie als endgültig; klassische Finanzinstrumente wie Rückbuchungen oder Korrespondenzbankprüfungen greifen auf Protokollebene nicht. Sicherheitsforscher verweisen auf frühere Missbrauchsfälle und auf Fälle sehr schneller Geldbewegungen in Exploits, die zeigen, wie rasch Werte aus dem System abfließen können. Diese Kombination aus dringendem Finanzbedarf, geduldiger, zielgerichteter Vorgehensweise und der Unwiderruflichkeit blockchainbasierter Transfers mache Nordkorea zu einem besonders hartnäckigen Akteur im Krypto‑Raum.
Unterdessen ziehen Fachleute daraus klare Schlussfolgerungen für die Verteidigung: Schutzstrategien müssten stärker auf Prävention gegen gezielte, langfristig geplante Kompromittierungen von Personen und Schlüsselverwaltung ausgerichtet sein. Es reiche nicht mehr, allein technische Schwachstellen zu schließen; Unternehmen müssten auch soziale Angriffsflächen minimieren, Zugriffsrechte restriktiver vergeben und das Risikomanagement auf die Gefahr spezialisierter, staatlich getriebener Operationen einstellen.