Ein Laptop in Arizona, ein Arbeiter in Asien 20.12.2025, 10:35 Uhr

110 ms zu viel: Wie Amazon einen Nordkoreaner enttarnte

Eine Tipp-Verzögerung von 110 ms brachte Amazon auf die Spur eines nordkoreanischen IT-Maulwurfs. Der Fall zeigt neue Risiken der Remote-Arbeit.

Flaggen von Nordkorea und den USA

Ein IT-Spezialist aus Nordkorea hat Undercover bei Amazon in den USA gearbeitet. Das fiel dadurch auf, dass die Tastatureingaben mit Verzögerung auf den Servern ankamen.

Foto: Smarterpix / ronniechua

Ein externer Admin, ein Laptop in Arizona, ein Homeoffice-Job. Auf dem Papier sah alles sauber aus. Doch bei Amazon reichte ein winziges technisches Detail, um die Tarnung auffliegen zu lassen: Tastatureingaben kamen mit rund 110 ms Verzögerung auf den Servern an. Für Menschen nicht spürbar. Für Netzwerkspezialisten ein klarer Ausreißer. Zu viel für einen Arbeitsplatz innerhalb der USA. Genau dieser Wert machte das Sicherheitsteam misstrauisch.

Inhaltsverzeichnis

Verdacht aus der Leitung

Der Administrator war über einen Personaldienstleister ins Unternehmen gekommen. Amazon schickte ihm die Hardware nach Arizona. Von dort sollte gearbeitet werden. Auf dem Laptop lief allerdings Sicherheitssoftware, die ständig misst, wie lange Signale vom Gerät bis zu den internen Systemen brauchen. Normal wären ein paar Dutzend Millisekunden. Gemessen wurden stabil rund 110.

Solche Laufzeiten passen nicht zu einer Verbindung innerhalb der USA. Sie deuten darauf hin, dass die Daten deutlich weiter reisen. Für sich genommen kein Beweis, aber ein starkes Indiz. Amazon ließ den Zugang weiterlaufen, beobachtete genau – und zog dann die Reißleine.

Stellenangebote im Bereich Arbeitssicherheit

Arbeitssicherheit Jobs
ias health and safety GmbH-Firmenlogo
Sicherheitsingenieur / Fachkraft für Arbeitssicherheit (m/w/d) - Festanstellung ias health and safety GmbH
München Zum Job 
voestalpine Track Solutions Duisburg GmbH-Firmenlogo
Sicherheitstechniker:in als Manager:in Qualität, Umwelt, Sicherheit & Energieeffizienz (m/w/d) voestalpine Track Solutions Duisburg GmbH
Duisburg Zum Job 
Deutsche Gesetzliche Unfallversicherung e.V.-Firmenlogo
Ingenieur/Ingenieurin (m/w/d) im Referat "Gefahrstoffemission" Deutsche Gesetzliche Unfallversicherung e.V.
Sankt Augustin Zum Job 

„Wir hätten ihn sonst nicht entdeckt“

Öffentlich wurde der Fall erst später. Amazons Sicherheitschef schilderte den Ablauf gegenüber Bloomberg erstaunlich offen. Sein Fazit fiel nüchtern aus: Ohne gezielte Suche hätte man den Zugriff vermutlich nie bemerkt.

Der Administrator kam nicht an sensible Daten. Trotzdem wertete Amazon den Vorfall als Warnsignal. Die Tarnung war professionell. Und sie funktionierte lange genug, um gefährlich zu werden.

Die Helfer vor Ort

Die Adresse in Arizona war kein Arbeitsplatz. Sie war eine Zwischenstation. Dort lebte eine Frau, die den Laptop entgegennahm, ans Netz anschloss und einen Fernzugang einrichtete. Die eigentliche Arbeit erledigte jemand tausende Kilometer entfernt in Asien. Auch das Gehalt lief über diese Adresse und wurde weitergeleitet.

Solche Konstruktionen sind kein Einzelfall. In einem US-Strafverfahren wurde dieselbe Frau später zu achteinhalb Jahren Haft verurteilt. Das Gericht sah es als erwiesen an, dass sie mehr als 300 US-Unternehmen beim Einschleusen nordkoreanischer IT-Fachkräfte unterstützt hatte.

Homeoffice als Schwachstelle

Für Unternehmen ist das kein exotisches Randproblem. Remote-Arbeit spart Geld, beschleunigt Projekte und erweitert den Talentpool. Gleichzeitig wächst die Angriffsfläche. Bewerbungen lassen sich fälschen. Lebensläufe kopieren. Video-Interviews manipulieren. Was sich kaum überlisten lässt, ist Physik – konkret die Laufzeit von Datenpaketen.

Amazon spricht von einer vierstelligen Zahl an Bewerbungen, die als nordkoreanische Betrugsversuche eingestuft wurden. Seit April 2024 habe der Konzern mehr als 1800 Anläufe blockiert. Tendenz steigend. In der direkt angestellten Belegschaft will Amazon bislang keine verdeckten Fälle gefunden haben.

Muster jenseits der Technik

Die Analyse endet nicht bei der Netzwerktechnik. Auch die Bewerbungsunterlagen liefern Hinweise. Immer wieder tauchen dieselben ausländischen Bildungseinrichtungen und Arbeitgeber auf, die sich kaum überprüfen lassen. Auffällig sind auch kleine sprachliche Brüche: fehlende Artikel, untypische Redewendungen, leicht „unrundes“ Englisch.

Ein einzelnes Detail reicht nicht für eine Enttarnung. Zusammengenommen ergeben sie jedoch ein klares Muster. Amazon gibt offen zu, gezielt nach solchen Profilen zu suchen.

Geld, Sanktionen, Zugang

Das Motiv ist bekannt. Nordkorea nutzt Remote-Jobs im Ausland, um Devisen zu beschaffen. Internationale Sanktionen blockieren den regulären Handel. Einnahmen aus IT-Dienstleistungen fließen dagegen in harter Währung. Zusätzlich geht es um potenziellen Informationszugang – selbst dann, wenn dieser im konkreten Fall begrenzt bleibt.

Im November bekannten sich in den USA fünf weitere Unterstützerinnen und Unterstützer schuldig. Die Ermittler gehen davon aus, dass ähnliche Netzwerke weiterhin aktiv sind. Und dass es nur eine Frage der Zeit ist, bis der nächste Fall auffliegt – vielleicht wieder wegen ein paar Millisekunden.

Ein Beitrag von:

  • Dominik Hochwarth

    Redakteur beim VDI Verlag. Nach dem Studium absolvierte er eine Ausbildung zum Online-Redakteur, es folgten ein Volontariat und jeweils 10 Jahre als Webtexter für eine Internetagentur und einen Onlineshop. Seit September 2022 schreibt er für ingenieur.de.

Empfehlung der Redaktion

Kündigung schreiben steht auf einem Post-it
Fokus

Kündigung
Fokus

Studium
Fokus

Arbeitsvertrag

Ähnliche Artikel

Arbeit bei der Hitze
Extremtemperaturen

Hitze am Arbeitsplatz – Erfahrungen aus sonnigen Ländern
Elon Musk
Geld geht vor?

Ex-Angestellter spricht offen über Sicherheitsprobleme bei SpaceX
Leisure Sickness
Studie

Leisure Sickness: Warum viele Arbeitnehmer im Urlaub krank werden
Psychische Belastungen am Arbeitsplatz:
Welttag für Sicherheit und Gesundheit am Arbeitsplatz

Warum gesunde Führung heute wichtiger ist als je zuvor

Zu unseren Newslettern anmelden

Das Wichtigste immer im Blick: Mit unseren beiden Newslettern verpassen Sie keine News mehr aus der schönen neuen Technikwelt und erhalten Karrieretipps rund um Jobsuche & Bewerbung. Sie begeistert ein Thema mehr als das andere? Dann wählen Sie einfach Ihren kostenfreien Favoriten.

Jetzt anmelden

Auch auf dieser Seite werden Cookies verwendet. Wir können damit die Seitennutzung auswerten, um nutzungsbasiert redaktionelle Inhalte und Werbung anzuzeigen. Das ist für uns wichtig, denn unser Angebot finanziert sich über Werbung. Die Nutzung der Seite gilt als Zustimmung zur Cookie-Nutzung. Weitere Infos