Datenleck bei Ozempic-Hersteller Novo Nordisk

Das große Pharmaunternehmen Novo Nordisk hat einen IT-Vorfall bestätigt, bei dem die Angreifer unter anderem persönliche Informationen von internen IT-Systemen abgegriffen haben. Die Cybergang FulcrumSec behauptet nun, dafür verantwortlich zu sein und stellt ein mehr als 250 GByte großes Paket als Ausschnitt aus den geklauten Daten im Darknet als Sample bereit.

Novo Nordisk hat bereits in der vergangenen Woche den Datenabfluss eingeräumt. Demnach sind etwa begrenzte Mengen an Informationen über Patienten darunter, die an klinischen Studien teilgenommen haben. Es seien keine Patientennamen oder andere direkt identifizierbare Daten darunter, versichert der Hersteller. Die kriminelle Bande FulcrumSec gibt auf ihrer Darknet-Seite an, dass es sich um Daten von etwa 11.500 pseudonymisierten Studienteilnehmern handelt. Laut Novo Nordisk umfassen die Datensätze jeweils die Patienten-ID, Geschlecht, Geburtsjahr, Biomarker, Gesundheits- und Immunogenitätsdaten und Informationen zum Lebensstil wie Alkoholkonsum, Rauchen oder etwa Body Mass Index.

Das Pharmaunternehmen hat Untersuchungen mit IT-Sicherheitsexperten gestartet und etwa Sicherheitsmaßnahmen ergriffen. Dabei wurden einige interne IT-Systeme zeitweise offline genommen. Die sollen nun wieder stückweise online gebracht werden, das soll jedoch noch etwas dauern.

Möglicherweise wertvolle Firmengeheimnisse entfleucht

Die vorgeblichen Täter von FulcrumSec führen auf ihrer Darknetseite aus, dass sie insgesamt 4748 Quellcode-Repositories, 41.144 Medikamente oder Bestandteile mitsamt deren Strukturen, mehr als 30 proprietäre KI-Modelle und 70 zugehörige Datensätze, Daten von 163.234 Angestellten und etwa das konkrete Rezept für Amycretin ergattert haben – letzteres ist ein experimentelles Medikament, das zu höherem Gewichtsverlust beitragen soll als Ozempic / Semaglutid. Angeblich sind auch fünf unveröffentlichte Programme, die nicht in Veröffentlichungen von Novo Nordisk oder SEC-Unterlagen auftauchen. Insgesamt soll die Datensammlung einen Umfang von 1,3 TByte haben.

Laut Reuters fordert FulcrumSec 25 Millionen US-Dollar Lösegeld von Novo Nordisk, das Unternehmen weigert sich demnach jedoch zu zahlen. Am 3. Juni soll das Unternehmen Kontakt zu den Erpressern aufgenommen haben, etwa zwei Tage, nachdem die Täter Manager von Novo Nordisk kontaktiert hatten. Die Echtheit der Sample-Daten konnte Reuters noch nicht bestätigen; Novo Nordisk bestätigt jedoch die Veröffentlichung der Daten.

Derartige IT-Vorfälle sind nach wie vor eines der häufigsten IT-Sicherheitsprobleme. Am Dienstag wurde etwa bekannt, dass der Haushaltsroboterhersteller Ecovacs Opfer eines IT-Einbruchs wurde. Auch hier drohen die Täter mit dem Verkauf der dabei erbeuteten Daten, sollte das Unternehmen kein Lösegeld zahlen.

(dmk)