Novo Nordisk von 1,3-TB-Datenleck betroffen: Daten klinischer Studien gestohlen

Novo Nordisk von 1,3-TB-Datenleck betroffen: Daten klinischer Studien gestohlen

Novo Nordisk, der dänische Pharmariese hinter den Blockbuster-Medikamenten Ozempic und Wegovy, steht vor einer schwerwiegenden Datenschutzkrise im Pharmabereich, nachdem Hacker behauptet haben, 1,3 Terabyte sensibler interner Dateien gestohlen zu haben. Die Gruppe hinter dem Angriff gibt an, die Beute umfasse Daten aus klinischen Studien und KI-bezogene Materialien, und hat offenbar begonnen, Teile der gestohlenen Inhalte online zu veröffentlichen. Für ein Unternehmen im Zentrum einer der kommerziell bedeutendsten Arzneimittelkategorien der modernen Medizin werfen Zeitpunkt und Umfang dieses Datendiebstahls erhebliche Fragen auf, wie selbst die ressourcenstärksten Konzerne der Welt mit den Daten von Patientinnen und Studienteilnehmerinnen umgehen.

Was gestohlen wurde und was Novo Nordisk bestätigt hat

Die Angreifer behaupten, 1,3 TB an Daten entwendet zu haben – eine Menge, die weit über einen gezielten Raubzug hinausweist. Unter den geleakten Daten sollen sich Unterlagen aus klinischen Studien und Materialien zur KI-Entwicklung befinden. Daten aus klinischen Studien gehören zu den sensibelsten gesundheitsbezogenen Informationen überhaupt: Sie können die Krankengeschichte der Teilnehmenden, Dosierungsreaktionen, Aufzeichnungen über unerwünschte Ereignisse und identifizierende Details umfassen, die oft weit granulärer sind als das, was in einer herkömmlichen Patientenakte steht.

Zum Zeitpunkt der Berichterstattung hatte Novo Nordisk den vollen Umfang des Datendiebstahls oder die endgültige Kompromittierung von Patient*innen- und Teilnehmerdaten noch nicht öffentlich bestätigt. Dieses Schweigen, rechtlich vorsichtig, lässt den Einzelnen kaum die Möglichkeit, die eigene Betroffenheit einzuschätzen. Die Entscheidung der Hacker, aktiv Dateien zu veröffentlichen, erhöht den Druck, denn geleakte Daten, die kriminelle Märkte oder offene Foren erreichen, lassen sich kaum wieder zurückholen.

Warum die Pharmaindustrie ein hochwertiges Ziel für Ransomware-Gruppen ist

Pharmaunternehmen sind zu einigen der attraktivsten Ziele im Cyberkriminellen-Ökosystem geworden. Die Gründe gehen über schlichten Opportunismus hinaus. Diese Organisationen vereinen eine einzigartig dichte Kombination aus geistigem Eigentum, regulierten Gesundheitsdaten und Geschäftsgeheimnissen – alles Angriffspunkte mit unterschiedlichem Druckmittel-Potenzial.

Für ein Unternehmen wie Novo Nordisk, das außergewöhnliche Umsätze mit GLP-1-Rezeptoragonisten erzielt und massiv in KI-gestützte Arzneimittelforschung investiert hat, sind die Datenspeicher extrem wertvoll. Daten aus klinischen Studien können genutzt werden, um Wettbewerber zu unterbieten, an staatlich unterstützte Akteure verkauft werden, die an der Beschleunigung eigener Arzneimittelprogramme interessiert sind, oder schlicht als Druckmittel bei Lösegeldforderungen instrumentalisiert werden. KI-Trainingsdaten und Modellgewichte, sollten sie unter den gestohlenen Dateien sein, repräsentieren jahrelange Forschungsinvestition, die nicht einfach neu aufgebaut werden kann.

Der Pharmasektor weist zudem strukturelle Schwachstellen auf. Große globale Unternehmen stützen sich auf komplexe Netzwerke aus Auftragsforschungsinstituten, externen Datenverarbeitern und akademischen Kooperationspartnern. Jede Verbindung ist ein potenzieller Eintrittspunkt. Selbst Unternehmen mit einer starken internen Sicherheitshaltung können über einen Anbieter oder Partner mit schwächerer Verteidigung kompromittiert werden.

Wie Unternehmensdatenlecks individuelle Gesundheitsdaten gefährden

Die meisten Menschen, die an Ozempic-bezogenen oder anderen klinischen Studien von Novo Nordisk teilnahmen, haben Einwilligungserklärungen unterzeichnet und sind davon ausgegangen, dass ihre Daten gemäß den Standardrahmen der Forschungsethik geschützt würden. Was diese Rahmenwerke selten klar kommunizieren, ist das Restrisiko, das entsteht, wenn sensible Daten auf unbestimmte Zeit und lange nach Studienende auf Unternehmensservern liegen.

Bei einem Datenleck verschwinden diese Daten nicht. Sie gelangen in einen Sekundärmarkt, wo sie mit anderen geleakten Datensätzen kombiniert werden können – ein Prozess, der manchmal als Anreicherung von Daten bezeichnet wird –, um detaillierte Profile von Einzelpersonen zu erstellen, die weit über das ursprünglich Erhobene hinausgehen. Gesundheitsdaten sind besonders langlebig, denn Erkrankungen, Behandlungen und genetische Faktoren ändern sich nicht so wie eine Kreditkartennummer.

Dies ist Teil eines breiteren Musters, wonach personenbezogene Daten, einmal einem Unternehmen übergeben, weitgehend außerhalb der Kontrolle des Einzelnen liegen. Wie die Berichterstattung über KI und staatliche Überwachungsrahmen gezeigt hat, sind die Grenzen zwischen unternehmerischer Datensammlung und institutionellem Zugriff zunehmend porös. Daten, die in einer klinischen Studie beginnen, können unter bestimmten rechtlichen Bedingungen in Kontexten landen, die der Einzelne nie vorhergesehen hat.

Der Vorfall bei Novo Nordisk unterstreicht zudem eine unterschätzte Dimension des KI-Datenrisikos. Sollten sich KI-Trainingsdaten unter den gestohlenen Dateien befinden, könnte das bedeuten, dass Verhaltens-, biologische oder prädiktive Gesundheitsprofile, die auf echten Patienteneingaben basieren, nun in unbekannten Händen sind. Wie in der Berichterstattung zu wie KI-Systeme personenbezogene Daten sammeln und speichern untersucht wurde, schaffen Umfang und Dauerhaftigkeit KI-naher Daten Risiken, für die traditionelle Benachrichtigungsrahmen bei Datenlecks nie konzipiert wurden.

Schritte, die datenschutzbewusste Nutzerinnen und Nutzer unternehmen können, wenn ihre Daten auf Unternehmensservern liegen

Die ehrliche Antwort ist: Sobald Ihre Daten in einem Unternehmenssystem sind, ist Ihre direkte Kontrolle darüber begrenzt. Aber es gibt sinnvolle Schritte, die die laufende Exposition verringern und Ihnen helfen zu reagieren, falls Ihre Informationen in einem Leck auftauchen.

Löschung Ihrer Daten beantragen, wo rechtlich zulässig. Je nach Ihrer Rechtsordnung geben Ihnen Datenschutzgesetze möglicherweise das Recht, von einem Unternehmen die Löschung Ihrer personenbezogenen Daten zu verlangen. Die DSGVO in Europa und verschiedene Gesetze auf Bundesstaatenebene in den Vereinigten Staaten bieten diese Rechte. Ein formeller Löschantrag erzeugt einen dokumentierten Nachweis und verringert in einigen Fällen tatsächlich den Umfang Ihrer von einem Unternehmen gespeicherten Daten.

Überwachen Sie Ihre Daten in Leck-Datenbanken. Dienste, die bekannte Leck-Verzeichnisse durchsuchen, können Sie alarmieren, wenn Ihre E-Mail-Adresse oder andere Identifikatoren in veröffentlichten Datensätzen auftauchen. Dies verhindert kein Datenleck, gibt Ihnen aber ein schnelleres Reaktionsfenster, um Zugangsdaten zu ändern und Finanzinstitute zu benachrichtigen.

Minimieren Sie künftig, was Sie an Unternehmenseinheiten weitergeben. Wenn Sie sich für Studien, Kundenbindungsprogramme oder Gesundheits-Apps anmelden, prüfen Sie sorgfältig, welche Daten tatsächlich erforderlich und welche lediglich abgefragt werden. Die Angabe eines Minimums an identifizierenden Informationen reduziert Ihren Fußabdruck bei einem eventuellen Datenleck.

Verstehen Sie, dass Gesundheitsdaten einen langen Nachhall haben. Anders als Finanzdaten verfallen Gesundheitsinformationen nicht. Bedenken Sie, dass Daten, die Sie heute mit einem gesundheitsnahen Unternehmen teilen, in fünf oder zehn Jahren noch auf einem Server liegen könnten – in einer dann völlig anderen Bedrohungslandschaft.

Bleiben Sie informiert, wie KI-Systeme Ihre Daten nutzen. Wenn ein Unternehmen offenlegt, dass es KI-Tools in seiner Forschung oder seinen Abläufen einsetzt, ist das ein Signal, dass Ihre Daten in Systeme fließen könnten, die eigenen Speicher- und Zugriffsrichtlinien unterliegen. Ein Blick in unseren Leitfaden 2026 zum Schutz der Privatsphäre vor KI-Datensammlung ist ein praktischer Ausgangspunkt, um diese Risiken konkret zu verstehen.

Der größere Zusammenhang

Der Datendiebstahl bei Novo Nordisk ist kein Einzelfall. Er ist Teil eines dokumentierten Musters, wonach Pharma- und Gesundheitsorganisationen die sensiblen Daten, die ihnen von Patientinnen und Studienteilnehmerinnen anvertraut werden, nur unzureichend schützen. Was diesen Fall hervorhebt, ist die schiere Menge der beanspruchten Daten und die Tatsache, dass unter den gestohlenen Dateien KI-bezogene Materialien sein könnten – was den Vorfall in einen Bereich rückt, den bestehende Benachrichtigungs- und Reaktionsrahmen nur schwer bewältigen können.

Für den Einzelnen lautet die Schlussfolgerung nicht Hilflosigkeit, sondern informierte Skepsis. Zu verstehen, wie und wo Ihre Gesundheitsdaten gespeichert werden, welche Rechte Sie haben, deren Löschung zu verlangen, und wie sich Unternehmensdatenlecks in persönliche Risiken übersetzen, ist die Grundlage praktischer Privatsphäre in einer Welt, in der Ihre sensibelsten Informationen routinemäßig auf den Servern anderer liegen. Beginnen Sie mit den Ihnen verfügbaren Ressourcen, überprüfen Sie Ihre Datenexposition und unternehmen Sie noch in dieser Woche mindestens einen konkreten Schritt, um Ihren Fußabdruck in Systemen zu verringern, die Sie nicht kontrollieren können.