Novo Nordisk kontaktiert Behörden wegen angeblichen 1-TB-Datenlecks

Novo Nordisk kontaktiert Behörden wegen angeblichen 1-TB-Datenlecks

Der Pharmariese Novo Nordisk hat bestätigt, mit den zuständigen Behörden in Kontakt zu stehen, nachdem eine Hackergruppe behauptet hat, mehr als ein Terabyte an Unternehmensdaten gestohlen und veröffentlicht zu haben. Der Arzneimittelhersteller, vor allem bekannt für seine Diabetes- und Abnehmmittel, gibt an, seine Systeme zu überwachen und den normalen Betrieb aufrechtzuerhalten, während er den gemeldeten Vorfall untersucht.

Der Vorfall wirft dringende Fragen auf, wie Gesundheits- und Pharmaunternehmen mit sensiblen Daten umgehen und was Patienten und Mitarbeiter tun können, wenn Organisationen, denen sie vertrauen, zur Zielscheibe werden.

Was Novo Nordisk bisher gesagt hat

Novo Nordisks Reaktion war zurückhaltend. Das Unternehmen bestätigte, sich der Behauptungen bewusst zu sein, und erklärte, im Rahmen seiner Reaktion mit den Behörden zusammenzuarbeiten. Über das Eingeständnis hinaus, dass eine Hackergruppe angeblich Daten veröffentlicht hat, hat Novo Nordisk noch keine detaillierte Bestätigung gegeben, welche Informationen genau betroffen sind oder wie der Verstoß möglicherweise stattgefunden hat.

Diese Art vorsichtiger, begrenzter Offenlegung ist in der Frühphase eines Cybervorfalls in Unternehmen üblich. Unternehmen stehen unter widersprüchlichem Druck: der gesetzlichen Verpflichtung, betroffene Parteien zu benachrichtigen, dem operativen Bedarf, zu ermitteln, bevor man endgültige Aussagen trifft, und dem Reputationsrisiko, entweder zu viel zu kommunizieren oder den Anschein zu erwecken, ein schwerwiegendes Ereignis herunterzuspielen. Das Ergebnis ist oft eine Wartezeit, die potenziell Betroffene ohne klare Antworten zurücklässt.

Wie gesondert berichtet, weist dieser Vorfall Merkmale auf, die mit einer Cyber-Erpressungskampagne übereinstimmen, bei der Angreifer Daten stehlen und drohen, sie zu veröffentlichen, wenn Forderungen nicht erfüllt werden. Dieses Muster ist branchenübergreifend immer häufiger geworden, hat aber im Gesundheits- und Pharmasektor besonderes Gewicht, da die betroffenen Daten klinische Aufzeichnungen, Patientenidentifikatoren und proprietäre Forschung umfassen können.

Für einen breiteren Kontext zu den Behauptungen rund um diesen Verstoß, einschließlich berichteter Details über die angeblich betroffenen Datenarten, bietet Novo Nordisk von 1,3-TB-Verstoß getroffen: Daten klinischer Studien gestohlen zusätzliche Hintergründe.

Warum Datenlecks bei Pharmaunternehmen besonders schwerwiegend sind

Die meisten Menschen verbinden Datenlecks mit Finanzinformationen, Passwörtern oder Social-Media-Konten. Ein Verstoß bei einem großen Pharmaunternehmen hat andere und möglicherweise länger anhaltende Folgen.

Pharmaunternehmen verfügen über eine Reihe sensibler Kategorien: Aufzeichnungen von Teilnehmern klinischer Studien, Krankengeschichten, persönliche Mitarbeiterdaten, proprietäre Arzneimittelforschung und in einigen Fällen Informationen über medizinisches Fachpersonal, das mit dem Unternehmen interagiert. Anders als eine gestohlene Kreditkartennummer, die gesperrt und ersetzt werden kann, sind Gesundheitsdaten dauerhaft. Sie können für Versicherungsbetrug, Identitätsdiebstahl oder gezielte Phishing-Angriffe genutzt werden, die das Wissen über die Krankengeschichte einer Person ausnutzen.

Der Gesundheitssektor ist gerade wegen dieser Sensibilität zunehmend zu einem Hauptziel für Erpressergruppen geworden. Der Einsatz ist so hoch, dass Organisationen unter Druck geraten können, Forderungen zu bezahlen, und Aufsichtsbehörden in vielen Rechtsordnungen behandeln Gesundheitsdatenverstöße mit besonderer Ernsthaftigkeit. Eine ähnliche Dynamik zeigte sich beim iRhythm-Vorfall mit Drittanbieter-Cloudanwendungen, bei dem Patientengesundheitsdaten über Systeme außerhalb der direkten Infrastruktur des Unternehmens offengelegt wurden.

Was das für Sie bedeutet

Wenn Sie Patient sind und an klinischen Studien von Novo Nordisk teilgenommen, dessen Medikamente eingenommen haben oder wenn Ihr Gesundheitsdienstleister mit dem Unternehmen interagiert hat, sollten Sie die Möglichkeit ernst nehmen, dass Ihre Daten von dem mutmaßlichen Diebstahl betroffen sind, auch bevor offizielle Benachrichtigungen eintreffen.

Folgendes können Sie jetzt tun:

Achten Sie auf Phishing. Erpressergruppen, die gestohlene Daten veröffentlichen, verkaufen oder verteilen diese oft an andere kriminelle Akteure. Möglicherweise bemerken Sie eine Zunahme von E-Mails oder Nachrichten, die sich auf Ihre Gesundheitszustände, Medikamente oder persönliche Details beziehen. Behandeln Sie jede unerwünschte Kontaktaufnahme zu Ihrer Gesundheit mit erhöhter Skepsis.

Überprüfen Sie Ihre Krankenversicherungsabrechnungen. Betrügerische Anträge mit gestohlenen Gesundheitsdaten können Monate nach einem Datenschutzverstoß auftauchen. Achten Sie auf Leistungen, die Sie nicht erhalten haben, oder Anbieter, die Sie nicht aufgesucht haben.

Achten Sie auf offizielle Benachrichtigungen. Je nach Wohnort kann Novo Nordisk gesetzlich verpflichtet sein, Personen zu benachrichtigen, deren Daten betroffen sind. Aufsichtsbehörden in der EU gemäß DSGVO und in den USA gemäß HIPAA (sofern anwendbar) legen Fristen für Benachrichtigungen fest. Achten Sie auf jegliche offizielle Kommunikation des Unternehmens oder der zuständigen Gesundheitsbehörden.

Verwenden Sie starke, einzigartige Anmeldedaten. Wenn Sie ein Konto bei Novo Nordisk oder einem zugehörigen Gesundheitsportal haben, ändern Sie sofort Ihr Passwort und aktivieren Sie die Multi-Faktor-Authentifizierung.

Ziehen Sie eine Datenschutzprüfung in Betracht. Dieser Vorfall ist ein nützlicher Anlass, um zu überprüfen, welche Daten Sie mit Organisationen teilen, ob Pharmaunternehmen oder andere, und die unnötige Weitergabe von Daten nach Möglichkeit zu minimieren.

Das größere Muster, das Aufmerksamkeit verdient

Novo Nordisk ist kein Einzelfall. Große Pharma- und Gesundheitsunternehmen waren in den letzten Jahren einer steigenden Flut von Cyber-Erpressung und Datendiebstahlversuchen ausgesetzt. Diese Organisationen verfügen über riesige Mengen sensibler Informationen, oft über komplexe globale Lieferketten, Partnernetzwerke und veraltete IT-Systeme hinweg, die sich nur schwer einheitlich absichern lassen.

Bemerkenswert an diesem Vorfall ist das Ausmaß des mutmaßlichen Diebstahls und die Einbindung von Behörden in wahrscheinlich mehreren Rechtsordnungen angesichts der globalen Aktivitäten von Novo Nordisk. Das Ergebnis dieser Untersuchung wird wahrscheinlich Aufschluss darüber geben, wie vergleichbare Unternehmen ihre eigene Datensicherheitshaltung anpassen.

Für den Einzelnen ist die wichtigste Erkenntnis, dass der Schutz der Privatsphäre nicht vollständig an die Organisationen delegiert werden kann, die Ihre Daten speichern. Es wird zunehmend unerlässlich, persönliche Gewohnheiten in Bezug auf Datenminimierung, Anmeldehygiene und Wachsamkeit gegenüber Social Engineering zu entwickeln – unabhängig davon, ob Sie in der Technologie arbeiten oder einfach medizinische Versorgung erhalten. Bleiben Sie aufmerksam für offizielle Aktualisierungen von Novo Nordisk und den zuständigen Aufsichtsbehörden, während sich diese Situation weiterentwickelt.