Nordkorea-nahe Hackergruppen haben 2025 einen neuen Höchststand bei Krypto-Diebstählen erreicht. Laut dem aktuellen Financial Services Threat Landscape Report von CrowdStrike wurden digitalen Assets im Wert von rund 2,02 Milliarden Dollar durch DPRK-nahe Akteure gestohlen. Das entspricht einem Anstieg von 51 Prozent gegenüber dem Vorjahr.
Bemerkenswert ist dabei nicht nur die Summe, sondern die Entwicklung dahinter. Die Angriffe wurden offenbar nicht einfach häufiger, sondern gezielter. CrowdStrike beschreibt eine Verschiebung hin zu weniger, aber deutlich profitableren Operationen. Statt breite Kampagnen gegen kleine Ziele zu fahren, konzentrieren sich die Gruppen zunehmend auf hochwertige Ziele wie Krypto-Börsen, Fintechs, Web3-Projekte, DeFi-Protokolle und interne Entwicklerzugänge.
Für den Kryptomarkt ist das ein massives Warnsignal. Die größte Gefahr kommt längst nicht mehr nur von schlecht programmierten Smart Contracts oder anonymen Exploitern. Immer häufiger geht es um staatlich gestützte Gruppen, die Social Engineering, gefälschte Identitäten, Remote-Jobs, Malware, Supply-Chain-Angriffe und KI-generierte Täuschungen kombinieren.
Quickfacts: Nordkorea und Krypto-Hacks 2025
| Punkt | Einordnung |
|---|---|
| Gestohlene Summe 2025 | Rund 2,02 Milliarden Dollar |
| Veränderung zum Vorjahr | Plus 51 Prozent |
| Hauptziel | Krypto-Unternehmen, Fintechs, Exchanges, Web3-Projekte |
| Angriffsmuster | Weniger Kampagnen, aber höhere Schadenssummen |
| Wichtigster Risikofaktor | Social Engineering und kompromittierte Identitäten |
| Besonders gefährdet | Entwicklerteams, Multisigs, Treasury-Zugänge, Cloud-Umgebungen |
| Politische Dimension | Gestohlene Gelder sollen mutmaßlich staatliche Programme finanzieren |
| Neue Entwicklung | KI-generierte Identitäten, Fake-Recruiting, synthetische Videocalls |
Warum Nordkorea so stark auf Krypto setzt
Kryptowährungen sind für Nordkorea aus mehreren Gründen attraktiv. Digitale Assets lassen sich schneller bewegen als klassische Bankgelder, sie sind global handelbar und können über Bridges, Mixer, dezentrale Börsen oder verschachtelte Wallet-Strukturen verschleiert werden. Auch wenn Blockchain-Transaktionen grundsätzlich öffentlich nachvollziehbar sind, bleibt die praktische Verfolgung komplex, sobald Gelder über viele Netzwerke und Protokolle verteilt werden.
Dazu kommt die politische Lage. Nordkorea steht unter weitreichenden internationalen Sanktionen. Der Zugang zu Devisen, Banken und globalen Finanzkanälen ist stark eingeschränkt. Cyberdiebstahl im Kryptosektor wird dadurch zu einer Einnahmequelle, die klassische Sanktionen umgehen kann.
Genau deshalb ist der Kryptomarkt für DPRK-nahe Akteure so interessant. Er verbindet hohe Liquidität, junge Sicherheitsstrukturen, schnell wachsende Unternehmen und technische Komplexität. Viele Web3-Projekte verwalten inzwischen Vermögenswerte in Milliardenhöhe, haben aber nicht immer Sicherheitsprozesse, die mit traditionellen Finanzinstituten vergleichbar sind.
Die Angriffe werden professioneller
Der entscheidende Punkt im CrowdStrike-Bericht ist nicht nur die Schadenssumme. Es geht um die Professionalisierung der Angriffe. Nordkorea-nahe Gruppen agieren nicht mehr nur als klassische Hacker, die technische Schwachstellen suchen. Sie infiltrieren Unternehmen über Menschen.
Das kann über gefälschte Bewerbungen passieren, über angebliche Entwickler, über manipulierte Coding-Tests, über Fake-Recruiter oder über langfristig aufgebaute Beziehungen zu echten Teams. Besonders gefährlich ist dabei, dass Angreifer teilweise nicht sofort zuschlagen. Sie bauen Vertrauen auf, erhalten Zugriff auf interne Systeme und warten auf den richtigen Moment.
Für Krypto-Unternehmen ist das besonders kritisch, weil kleine Entwicklerteams oft Zugriff auf sehr sensible Infrastruktur haben. Ein kompromittierter Laptop, ein infizierter Build-Prozess oder ein manipuliertes Signaturverfahren kann ausreichen, um ganze Treasury-Bestände zu gefährden.
So greifen DPRK-nahe Gruppen Krypto-Projekte an
| Angriffsmethode | Warum sie gefährlich ist |
|---|---|
| Gefälschte Entwicklerprofile | Angreifer gelangen als scheinbare Mitarbeiter in Projekte |
| Fake-Recruiting | Bewerbungsprozesse werden genutzt, um Malware einzuschleusen |
| Manipulierte Coding-Tests | Entwickler führen schädlichen Code lokal aus |
| Supply-Chain-Angriffe | Software oder Tools werden kompromittiert |
| Social Engineering | Teams werden über Monate manipuliert |
| Cloud-Zugriffe | Interne Umgebungen werden ausgespäht oder übernommen |
| Multisig-Kompromittierung | Signaturprozesse werden manipuliert |
| KI-generierte Identitäten | Täuschungen werden skalierbarer und glaubwürdiger |
Gerade der letzte Punkt wird immer wichtiger. CrowdStrike beschreibt, dass DPRK-nahe Gruppen KI nutzen, um Identitäten, Bewerbungen, Recruiting-Szenarien und Videokonferenzumgebungen glaubwürdiger zu machen. Das senkt die Kosten für Täuschung massiv. Wo früher schlecht gemachte Profile oder auffällige Kommunikation ein Warnsignal waren, können Angreifer heute deutlich professioneller auftreten.
Web3 hat ein Personalproblem, nicht nur ein Codeproblem
Viele Sicherheitsdebatten im Kryptomarkt drehen sich um Smart-Contract-Audits. Das ist wichtig, reicht aber nicht mehr aus. Der aktuelle Trend zeigt, dass Angreifer zunehmend die Menschen hinter den Protokollen ins Visier nehmen.
Ein sauber geprüfter Smart Contract schützt nicht, wenn ein Entwicklerrechner kompromittiert ist. Eine Multisig schützt nicht, wenn Signer durch Social Engineering manipuliert werden. Eine gute Onchain-Architektur hilft wenig, wenn Angreifer über Cloud-Zugänge, interne Dashboards oder Build-Systeme Zugriff erhalten.
Für Web3-Projekte entsteht damit ein neues Sicherheitsmodell. Es reicht nicht, den Code vor dem Launch auditieren zu lassen. Projekte brauchen laufende Sicherheitsprozesse, Hintergrundprüfungen, Gerätehärtung, Zugriffskontrollen, interne Trennung sensibler Systeme, Incident-Response-Pläne und klare Regeln für externe Entwickler.
Drift Protocol zeigt, wie gefährlich Vertrauen werden kann
Besonders deutlich wurde diese Entwicklung 2026 beim Angriff auf Drift Protocol. Der Fall zeigte, wie stark Social Engineering und langfristige Infiltration inzwischen mit technischen Angriffen verschmelzen können. Berichten zufolge wurden Beziehungen über Monate aufgebaut, bevor es zu einem massiven Schaden kam. Solche Fälle sind für die Branche besonders beunruhigend, weil sie nicht in das einfache Bild eines plötzlichen Hacks passen.
Wenn Angreifer persönliche Beziehungen aufbauen, auf Konferenzen auftreten, über vermeintliche Drittpersonen Vertrauen schaffen oder sich als Teil des Ökosystems ausgeben, wird klassische Sicherheitsprüfung deutlich schwieriger. Genau deshalb müssen Krypto-Unternehmen ihre Bedrohungsmodelle erweitern. Nicht jeder Angriff beginnt mit einem Exploit im Code. Manche beginnen mit einer Bewerbung, einem Telegram-Chat oder einem scheinbar harmlosen Meeting.
Warum Börsen und Fintechs besonders gefährdet sind
Krypto-Börsen und Fintechs sind für staatlich unterstützte Hacker besonders attraktive Ziele. Sie verwalten hohe Summen, haben komplexe interne Systeme und müssen gleichzeitig schnell arbeiten. Kundensupport, Wallet-Infrastruktur, Compliance-Tools, API-Zugänge, Cloud-Systeme und interne Entwicklerumgebungen bieten viele Angriffspunkte.
Dazu kommt: Erfolgreiche Angriffe auf zentrale Plattformen liefern sofort liquide Beute. Bei klassischen Bankangriffen sind Zahlungswege stärker überwacht und Einfrieren von Geldern ist oft schneller möglich. Im Kryptomarkt können gestohlene Assets binnen Minuten über verschiedene Chains, Bridges und Wallets verteilt werden.
Das bedeutet nicht, dass Krypto grundsätzlich unsicher ist. Es bedeutet aber, dass die operative Sicherheit der Unternehmen entscheidend wird. Die Blockchain selbst kann intakt sein, während die Organisationen rundherum verwundbar bleiben.
Was Anleger daraus lernen sollten
Für private Anleger ist die wichtigste Botschaft nicht, dass sie jede Krypto-Plattform meiden sollten. Aber sie sollten verstehen, dass Plattformrisiko real ist. Wer Coins auf einer Börse liegen lässt, vertraut nicht nur der Blockchain, sondern auch der Sicherheitsarchitektur dieses Unternehmens.
Selbstverwahrung kann dieses Risiko reduzieren, bringt aber eigene Verantwortung mit sich. Hardware Wallets, Seed-Phrase-Schutz, keine Eingabe sensibler Daten in Webformulare, Vorsicht bei Phishing und getrennte Geräte für große Bestände bleiben zentral. Gleichzeitig sollten Anleger nicht blind jedem DeFi-Protokoll vertrauen, nur weil es hohe Renditen verspricht.
Bei größeren Summen wird Sicherheitsdisziplin wichtiger als die Jagd nach dem letzten Prozentpunkt Rendite. Viele Verluste entstehen nicht durch komplizierte Kryptografie-Angriffe, sondern durch gestohlene Zugangsdaten, falsche Signaturen, Phishing, manipulierte Webseiten oder kompromittierte Geräte.
Was Krypto-Unternehmen jetzt ändern müssen
Der Bericht zeigt sehr klar: Web3-Unternehmen müssen Sicherheit wie Finanzinstitute denken. Viele Projekte sind technisch innovativ, organisatorisch aber noch zu leicht angreifbar. Genau dort setzen nordkoreanische Gruppen an.
Wichtige Maßnahmen sind:
| Sicherheitsbereich | Warum er wichtig ist |
|---|---|
| Background Checks | Fake-Entwickler und Identitätsbetrug erkennen |
| Zero-Trust-Zugriffe | Keine pauschalen Rechte für interne Nutzer |
| Gerätehärtung | Entwickler-Laptops als kritische Infrastruktur behandeln |
| Multisig-Prozesse | Signaturen mit klaren Prüfketten absichern |
| Cloud-Sicherheit | Zugriffsschlüssel und Adminrechte streng begrenzen |
| Incident Response | Schnelle Reaktion bei kompromittierten Systemen |
| Onchain-Monitoring | Verdächtige Transfers früh erkennen |
| Schulungen | Social Engineering als Kernrisiko behandeln |
Die wichtigste Veränderung ist mental: Sicherheit ist kein einmaliger Audit, sondern ein laufender Prozess. Gerade staatlich unterstützte Angreifer warten auf organisatorische Schwächen. Sie suchen nicht nur nach Bugs, sondern nach Menschen, Routinen und Vertrauen.
Unsere Einschätzung: Krypto braucht institutionelle Sicherheit, nicht nur institutionelles Kapital
Der Kryptomarkt will institutionelles Kapital anziehen. Dafür reicht regulatorische Klarheit allein nicht aus. Institutionelle Investoren brauchen auch die Sicherheit, dass Börsen, DeFi-Protokolle und Custody-Anbieter gegen professionelle Angreifer bestehen können.
Die Zahlen von CrowdStrike zeigen, dass genau hier eine der größten Schwachstellen liegt. Wenn Nordkorea-nahe Gruppen über 2 Milliarden Dollar in einem Jahr stehlen können, ist das kein Randproblem. Es ist ein systemisches Vertrauensproblem für den gesamten Markt.
Für online24.de ist die Einordnung klar: Die nächste Reifephase von Krypto entscheidet sich nicht nur an Bitcoin-ETFs, Stablecoin-Regeln oder dem CLARITY Act. Sie entscheidet sich auch daran, ob die Branche ihre Sicherheitskultur professionalisiert. Wer Milliarden verwaltet, muss auch Sicherheitsstandards auf Milliarden-Niveau liefern.
Warum das Thema den Markt langfristig beeinflusst
Große Hacks wirken kurzfristig oft wie einzelne Schocks. Langfristig verändern sie aber den Markt. Sie erhöhen den Druck auf Regulierung, stärken professionelle Verwahrer, schwächen unprofessionelle Projekte und machen Security zu einem Wettbewerbsfaktor.
Für seriöse Anbieter kann das sogar positiv sein. Wer nachweislich starke Sicherheitsprozesse, transparente Verwahrung und professionelle Risikokontrollen hat, wird für institutionelle Kunden attraktiver. Für schwache Projekte wird es dagegen schwerer, Vertrauen zu gewinnen.
Nordkoreas Cyberaktivitäten sind deshalb mehr als ein Sicherheitsproblem. Sie sind ein Markttest. Der Kryptosektor muss beweisen, dass er nicht nur schnell wachsen, sondern auch professionell geschützt werden kann.
Was jetzt für Anleger und Projekte zählt
Anleger sollten künftig stärker prüfen, wo ihre Assets liegen, wie Plattformen mit Sicherheitsrisiken umgehen und ob ein Projekt nur Rendite verspricht oder auch belastbare Schutzmechanismen bietet. Gerade bei DeFi, Bridges und neuen Protokollen ist Vorsicht angebracht.
Projekte wiederum müssen sich darauf einstellen, dass Angreifer nicht mehr nur von außen kommen. Die gefährlichsten Angriffe beginnen oft mit scheinbar legitimen Kontakten. Wer Entwickler einstellt, Partnerschaften eingeht oder externe Dienstleister einbindet, muss Identität, Geräte, Zugriffe und Kommunikationswege strenger prüfen.
Der Kryptomarkt wird dadurch nicht unattraktiver. Aber er wird erwachsener. Sicherheit wird zu einem Kernbestandteil der Bewertung. Wer das ignoriert, riskiert nicht nur einzelne Hacks, sondern das Vertrauen der Nutzer.
