Der Bundesverfassungsschutz warnt vor zunehmenden Hackangriffen aus Nordkorea. Die Kimsuky-Gruppe nimmt verstärkt deutsche Ziele ins Visier – mit raffinierten Phishing-Attacken und KI-gestützten Social Engineering-Methoden.
Cyberangriffe sind längst alltägliche Realität geworden. Während wir uns an russische und chinesische Hackergruppen gewöhnt haben, rückt ein anderer Akteur immer stärker in den Fokus: Nordkorea. Der Verfassungsschutz warnt gemeinsam mit südkoreanischen Sicherheitsbehörden vor einer dramatischen Zunahme nordkoreanischer Cyberoperationen gegen deutsche Ziele.
Die Hacker-Einheit „Kimsuky“ hat ihre Aktivitäten 2025 massiv ausgeweitet und nutzt dabei modernste Technologien – von KI-generierten Phishing-Mails bis hin zu Zero-Day-Exploits in gängigen Browsern und Apps.
Cyberangriffe werden immer professioneller und gefährlicher
Nordkorea: Vom Entwicklungsland zur Cyber-Supermacht
Während 99% der nordkoreanischen Bevölkerung nach wie vor vom Internet abgeschnitten sind, hat Kim Jong-Un systematisch Elite-Hacker-Einheiten aufgebaut. Diese operieren oft aus China, Russland oder anderen Ländern mit besserer Internetinfrastruktur.
Seit 2020 haben nordkoreanische Hackergruppen Kryptowährungen im Wert von über 3 Milliarden US-Dollar gestohlen – allein 2025 waren es geschätzte 1,2 Milliarden Dollar. Diese Gelder finanzieren direkt das Atom- und Raketenprogramm des Regimes.
Die Professionalisierung ist beeindruckend: Nordkoreanische Hacker nutzen heute fortgeschrittene KI-Tools für Social Engineering, entwickeln maßgeschneiderte Malware und betreiben komplexe, monatelange Spionagekampagnen.
Kimsuky: Die gefährlichste nordkoreanische Hackergruppe
Der Bundesverfassungsschutz warnt explizit vor „Kimsuky“ (auch bekannt als „APT43“, „Velvet Chollima“ oder „Emerald Sleet“). Diese Gruppe ist seit 2012 aktiv und hat sich zur professionellsten nordkoreanischen Cyber-Einheit entwickelt.
Ihre Spezialisierung liegt in langfristiger Cyberspionage gegen strategische Ziele:
– Regierungsstellen und Diplomatinnen
– Forschungseinrichtungen und Universitäten
– Think Tanks und Sicherheitsexpertinnen
– Journalistinnen und Korea-Spezialistinnen
– Verteidigungs- und Rüstungsunternehmen
Besonders raffiniert: Kimsuky baut oft monatelang Vertrauen zu ihren Zielen auf, bevor sie zuschlagen. Sie geben sich als Forschende, Journalistinnen oder Diplomatinnen aus und führen scheinbar legitime Korrespondenz.
Deutsche Ziele im Fadenkreuz
2025 registrierten deutsche Sicherheitsbehörden eine dramatische Zunahme nordkoreanischer Cyberangriffe. Besonders betroffen:
- Bundesministerien und nachgeordnete Behörden
- Universitäten mit Korea-Forschung
- Stiftung Wissenschaft und Politik (SWP)
- Deutsche Gesellschaft für Auswärtige Politik (DGAP)
- Rüstungsunternehmen wie Rheinmetall oder Hensoldt
- Koreanisch-deutsche Kulturorganisationen
Die Angreifer nutzen dabei geschickt aktuelle politische Ereignisse: Fake-Einladungen zu Korea-Konferenzen, gefälschte Forschungsanfragen oder vermeintliche Stellenausschreibungen bei internationalen Organisationen.
Moderne Hacker-Angriffe sind hochprofessionell und schwer zu erkennen
Neue Angriffsmethoden: KI-Phishing und Browser-Exploits
Kimsuky setzt 2025/2026 auf modernste Technologien:
KI-generierte Phishing-Mails: ChatGPT und ähnliche Tools erstellen perfekte deutsche Texte ohne Grammatikfehler. Die Mails sind oft ununterscheidbar von echter Korrespondenz.
Browser-Exploits: Besonders Chrome, Edge und Firefox sind betroffen. Zero-Day-Schwachstellen ermöglichen Angriffe ohne Nutzerinteraktion – allein der Besuch einer präparierten Website reicht.
Mobile Angriffe: Android-Apps im Google Play Store enthalten versteckte Spyware. Selbst iOS-Geräte sind durch Webkit-Exploits gefährdet.
Supply-Chain-Angriffe: Kompromittierung von Softwarelieferanten, um Zugang zu Zielnetzwerken zu erlangen.
Deepfake-Technologie: Gefälschte Videoanrufe mit vermeintlichen Kolleginnen oder Geschäftspartnern zur Informationsbeschaffung.
So schützt ihr euch vor Kimsuky
Der Verfassungsschutz empfiehlt konkrete Schutzmaßnahmen:
E-Mail-Sicherheit:
– Misstrauen bei unaufgeforderten Korea-bezogenen Anfragen
– Absenderadressen genau prüfen (kim@gmali.com statt gmail.com)
– Nie Anhänge oder Links von unbekannten Absendern öffnen
– Bei verdächtigen Mails: Telefon-Rückfrage beim angeblichen Absender
Browser-Sicherheit:
– Automatische Updates aktivieren
– JavaScript für unbekannte Websites deaktivieren
– Sandbox-Modus nutzen (Chrome, Firefox)
– Keine verdächtigen Browser-Erweiterungen installieren
Allgemeine IT-Sicherheit:
– Multi-Faktor-Authentifizierung überall aktivieren
– VPN für sensible Verbindungen nutzen
– Regelmäßige Sicherheitsschulungen
– Endpoint Detection and Response (EDR) implementieren
Social Engineering erkennen:
– Vorsicht bei „dringenden“ Anfragen
– Identität neuer Kontakte verifizieren
– Keine sensiblen Infos über soziale Medien teilen
– Bei Videoanrufen: Spontane Fragen zur Identitätsverifikation
Geopolitische Dimensionen
Die Kimsuky-Aktivitäten sind Teil einer größeren nordkoreanischen Cyber-Strategie. Während das Land international isoliert ist, verschafft es sich über den Cyberraum Zugang zu wertvollen Informationen und Devisen.
Besonders brisant: Die erbeuteten Informationen werden oft an China oder Russland weitergegeben. Deutschland steht damit im Zentrum eines globalen Informationskriegs.
Die Bundesregierung prüft deshalb schärfere Sanktionen und bessere internationale Koordination der Cyberabwehr. Auch private Unternehmen sind aufgerufen, ihre Sicherheitsmaßnahmen zu verstärken.
Fazit: Nordkoreanische Hacker sind keine exotische Randerscheinung mehr, sondern eine reale Bedrohung für deutsche Interessen. Wachsamkeit und moderne Sicherheitstechnologien sind unverzichtbar geworden.
Zuletzt aktualisiert am 19.02.2026
