Am 11. Juni 2026 bestätigte Novo Nordisk einen Cybersicherheitsvorfall, der das Unternehmen bis heute beschäftigt. Die Hackergruppe FulcrumSec hatte sich seit März 2026 Zugang zu internen IT-Systemen des dänischen Pharmariesen verschafft, blieb über 60 Tage unentdeckt und entwendete 1,3 Terabyte Daten, darunter geistiges Eigentum zu Ozempic, Wegovy, Amycretin und CagriSema sowie 30 trainierte KI-Modelle. Die geforderten 25 Millionen Dollar Lösegeld lehnte Novo Nordisk ab. Jetzt werden die Daten im Darknet zum Kauf angeboten.
Die wichtigsten Fakten auf einen Blick
| Fakt | Detail |
|---|---|
| Datum der Offenlegung | 11. Juni 2026 |
| Angreifer | FulcrumSec (gegründet Oktober 2025) |
| Zugriff seit | März 2026 (60+ Tage unentdeckt) |
| Gestohlene Datenmenge | 1,3 Terabyte, 700.000+ Dateien |
| Betroffene Patienten | ca. 11.500 (pseudonymisiert) |
| KI-Modelle gestohlen | 30 trainierte Modelle, 70 Datensätze, 494 GB Mikroskopie-Daten |
| Lösegeldforderung FulcrumSec | 25 Mio. USD (verweigert) |
| Zweite Forderung (TheUSERS007) | 50 Mio. USD (verweigert) |
| Einstiegspunkt | Azure-Zugangsdaten in JavaScript-Bundle + GitHub-Token |
Was ist FulcrumSec? Das Profil der Gruppe
FulcrumSec ist keine gewöhnliche Ransomware-Bande. Die Gruppe tauchte im Oktober 2025 öffentlich auf, war aber bereits ab September 2025 aktiv. Ihr entscheidender Unterschied zu klassischen Ransomware-Gruppen: Keine Verschlüsselung der Systeme. FulcrumSec setzt ausschließlich auf Datenexfiltration und anschließende Erpressung, das sogenannte Double-Extortion-Modell ohne Betriebsunterbrechung. Die Opferfirmen bleiben arbeitsfähig, können den Angriff daher länger übersehen, und die Täter gewinnen Zeit für vollständige Datenkopien.
Die Angriffsmethodik folgt einem klaren Muster: FulcrumSec sucht nach nicht rotierten API-Schlüsseln, fehlkonfigurierten Cloud-Berechtigungen auf AWS und Azure sowie nach Zugangsdaten, die versehentlich in JavaScript-Bundles oder GitHub-Repositories hinterlassen wurden. Sobald ein erster Zugang besteht, bewegt sich die Gruppe lateral durch das Netzwerk und kopiert systematisch Datenbanken, Quellcode und proprietäre Dateien.
Sicherheitsforscher, die FulcrumSec seit Monaten beobachten, beschreiben die Gruppe als „in der Regel sehr glaubwürdig, sowohl was Fähigkeiten als auch Behauptungen betrifft”, wie SecurityWeek berichtete. Diese Einschätzung unterscheidet FulcrumSec von Gruppen, die Angriffe nur behaupten, ohne Beweise liefern zu können.
Bekannte Opfer von FulcrumSec vor dem Novo-Nordisk-Angriff umfassen LexisNexis/RELX Group (März 2026, 2,04 GB strukturierte AWS-Daten, 3,9 Millionen Datenbankeinträge), Arup Group (Mai 2026), das australische Fintech-Unternehmen youX sowie ParkEngage. Bei LexisNexis nutzten die Angreifer eine ungepatchte Schwachstelle namens React2Shell, um initialen Zugriff auf AWS-Systeme zu erlangen. Dort stahlen sie unter anderem 118 Profile mit .gov-E-Mail-Adressen von US-Bundesrichtern, Staatsanwälten des Justizministeriums und SEC-Mitarbeitern.
Angriffsmethode: Azure-Credentials im JavaScript-Bundle
Der Einstieg in die Systeme von Novo Nordisk erfolgte im März 2026 über zwei Angriffspunkte gleichzeitig. Laut Angaben von FulcrumSec an DataBreaches.net enthielt ein clientseitiges JavaScript-Bundle des Unternehmens ein fest eincodiertes Azure-Container-Registry-Zugangsdaten-Paar. Derartige Credentials werden typischerweise für den Zugriff auf Docker-Images und interne Container-Registries verwendet und ermöglichen tiefgreifenden Einblick in die Softwareinfrastruktur.
Parallel dazu fand FulcrumSec einen GitHub Personal Access Token (PAT) mit Lese- und Klonrechten für Hunderte private Repositories von Novo Nordisk. Mit diesen Credentials kopierte die Gruppe zunächst den gesamten Quellcode und suchte in den Repository-Historien nach weiteren internen Zugangsdaten, Passwörtern und Konfigurationsdateien. Diese Technik, bekannt als Credential Harvesting from Source Control, erlaubt den Zugang zu Systemen, die nach außen abgeschottet sind, weil frühere Entwickler versehentlich Geheimnisse eingecheckt haben.
Über 60 Tage blieb FulcrumSec unentdeckt und führte laut eigenen Angaben eine „kontinuierliche, langsame Datenexfiltration” durch. Die Strategie, keine Verschlüsselung einzusetzen, macht genau das möglich: Keine Lösegeldforderung, keine auffälligen Anomalien im Netzwerkverkehr für Standardeindringerkennungssysteme. Erst als die Gruppe Novo Nordisk am 1. Juni 2026 kontaktierte und eine Liste mit 700.000 Dateien als Beweis vorlegte, wurde der Angriff intern erkannt. Das Unternehmen bestätigte den Vorfall öffentlich am 11. Juni 2026.
Gestohlene Daten: Alles außer Patientennamen
Die 1,3 Terabyte gestohlener Daten gliedern sich in mehrere kritische Kategorien. Quellcode bildet mengenmäßig den größten Block, insgesamt über 700.000 Dateien aus hunderten privater GitHub-Repositories. Dieser Code enthält laut FulcrumSec Produktionssysteme, interne Tools und proprietäre Algorithmen.
Besonders brisant ist der Diebstahl von 30 trainierten KI-Modellen mitsamt 70 dazugehörigen Datensätzen und rund 494 Gigabyte proprietärer Cell-Painting-Mikroskopie-Bilder. Diese Modelle werden in der Wirkstoffforschung eingesetzt und repräsentieren Jahre an Entwicklungsarbeit. Wenn ein Konkurrent diese Modelle erhält, kann er Novo Nordisks Forschungsvorsprung in bestimmten Bereichen erheblich reduzieren, wie die Shieldworkz-Analyse von Juni 2026 festhielt.
Zu den gestohlenen Mitarbeiter- und Ärztedaten zählen laut FulcrumSec echte Namen, Approbationsnummern, Mobiltelefonnummern, WhatsApp-Adressen und Klinikanschriften von tausenden Beschäftigten und Ärzten, die mit Novo Nordisk zusammenarbeiten. Diese Daten sind nicht pseudonymisiert und stellen ein direktes Datenschutzproblem dar.
Zu den klinischen Patientendaten sagte ein Sprecher von Novo Nordisk: „Wir sind uns der Behauptungen bewusst, dass Daten, die angeblich ohne Genehmigung extern kopiert wurden, online veröffentlicht wurden. Wir nehmen diese Angelegenheit ernst und halten den Betrieb unserer Hauptplattformen aufrecht. Wir stehen mit den zuständigen Behörden in Kontakt.” Das Unternehmen betonte, dass Patientendaten pseudonymisiert seien und eine direkte Identifizierung ohne Zugangsdaten zur Master-Key-Datenbank nicht möglich sei.
Klinische Studien betroffen: SELECT, FLOW, SOUL, FOCUS
FulcrumSec gibt an, Zugriff auf pseudonymisierte Daten von rund 11.500 Studienteilnehmern gehabt zu haben. Betroffen sind laut Pharmaphorum mehrere Großstudien des Unternehmens. Die SELECT-, FLOW-, SOUL- und FOCUS-Studien untersuchen den GLP-1-Wirkstoff Semaglutid, bekannt als Ozempic (Diabetes) und Wegovy (Gewichtsreduktion). Die ONWARDS-Studie beschäftigt sich mit dem langwirkenden Insulin Icodec. Die Mim8-Studie testet den Denecimig-Antikörper gegen Hämophilie A.
Diese Studien repräsentieren Milliarden Dollar an Forschungsinvestitionen. Semaglutid-basierte Produkte wie Ozempic und Wegovy erzielten zuletzt einen globalen Umsatz von über 20 Milliarden Dollar jährlich. Für den deutschen Markt sind diese Medikamente besonders relevant: Ozempic ist in Deutschland seit 2018 zur Behandlung von Typ-2-Diabetes zugelassen, Wegovy seit 2023 für die Gewichtstherapie bei Adipositas.
Ob FulcrumSec tatsächlich Zugang zu de-pseudonymisierenden Daten hatte, die eine Identifizierung einzelner Patienten ermöglichten, ist nach aktuellem Stand nicht bestätigt. Das Unternehmen besteht darauf, dass „Kenntnis der Patientenidentität den Zugriff auf weitere Informationen erfordert hätte, die nicht Teil des Vorfalls waren.” Der HIPAA Journal zufolge gab das Unternehmen an, die zuständigen Behörden in mehreren Ländern informiert zu haben.
30 KI-Modelle und Ozempic-Geheimnisse: Das eigentliche Ziel
Der wertvollste Teil der gestohlenen Daten sind die proprietären KI-Modelle. Novo Nordisk nutzt maschinelles Lernen intensiv in der Wirkstoffforschung: zur Vorhersage von Molekülbindungen, zur Optimierung von Dosierungsformen und zur Analyse von Zellbildern. Die gestohlenen 494 Gigabyte Cell-Painting-Mikroskopie-Bilder mit zugehörigen Analysealgorithmen könnten einem Konkurrenten ermöglichen, Jahre an Forschungsarbeit zu überspringen.
Besonders kritisch ist der Diebstahl proprietärer Verbindungsstrukturen für Amycretin und CagriSema, zwei Medikamente, die sich derzeit in späten klinischen Phasen für Gewichtsreduktion und Diabetes befinden. CagriSema, eine Kombination aus Semaglutid und dem Amylin-Analogon Cagrilintid, gilt als potenzieller Blockbuster mit erwartetem Jahresumsatz im zweistelligen Milliardenbereich. FulcrumSec gibt außerdem an, Zugang zur Dicerna-RNAi-Pipeline gehabt zu haben, die Novo Nordisk nach der Akquisition von Dicerna Pharmaceuticals weiterentwickelt.
FulcrumSec erklärte in einer Mitteilung, die Daten lieber „Open Source” zu stellen als privat zu verkaufen, da dies ein effektiverer Abschreckungseffekt für künftige Opfer sei. Zum Zeitpunkt der Veröffentlichung hat die Gruppe damit aber noch nicht begonnen und hält den Verkauf über Dark-Web-Kanäle als Option offen.
Zweiter Angreifer TheUSERS007: 50 Millionen Dollar via „Venomware”
Während die Ermittlungen zu FulcrumSec liefen, meldete sich am 15. Juni 2026 bei DataBreaches.net ein weiterer Angreifer: TheUSERS007. Die Person oder Gruppe behauptet, zwischen dem 5. und 7. Juni 2026, also nach FulcrumSecs Zugriff, eigenständig in Novo-Nordisk-Systeme eingedrungen zu sein. Ziel soll die Exfiltration von KI-Assets gewesen sein.
TheUSERS007 beschreibt das eingesetzte Tool als „Venomware, eine selbstlernende, adaptive KI-Engine zur gezielten Extraktion von geistigem Eigentum.” Diese Beschreibung erinnert stark an KI-gestützte Angriffswerkzeuge, die seit 2025 in Sicherheitskreisen diskutiert werden, ist aber unabhängig nicht verifiziert. Novo Nordisk hat den zweiten Angriff bislang nicht öffentlich bestätigt. Die geforderten 50 Millionen Dollar wurden ebenfalls nicht bezahlt.
Das parallele Auftreten zweier unabhängiger Angreifergruppen beim gleichen Ziel ist selten, aber nicht ohne Präzedenz. Es könnte bedeuten, dass die in JavaScript-Bundles exponierten Credentials von mehr als einer Partei gefunden wurden, bevor Novo Nordisk sie invalidierte, oder dass TheUSERS007 von FulcrumSecs Angriff in Darknet-Foren erfuhr und eigene Zugangspunkte exploitierte.
Dark Web: Dateiverkauf nach verweigerten 25 Millionen Dollar
Nachdem Novo Nordisk die Zahlung von 25 Millionen Dollar ablehnte, begannen FulcrumSec-Vertreter mit dem Angebot von Datenpaketen auf Dark-Web-Kanälen. Die Gruppe listet ausgewählte Pakete zum privaten Kauf an, darunter die 30 KI-Modelle, die 70 Datensätze und die Mikroskopie-Bilddaten. Komplett-Dumps mit Quellcode und Mitarbeiterdaten werden separat angeboten.
FulcrumSec betonte in ihrer Kommunikation eine Art „Schadensbegrenzungsstrategie”: Die Gruppe erklärt, sie werde die pseudonymisierten Patientendaten der 11.500 Studienteilnehmer sowie operative Technologiedaten aus Produktionsstätten nicht veröffentlichen oder verkaufen. Ob diese Zusage belastbar ist, lässt sich nicht kontrollieren.
Für Unternehmen und Behörden in Deutschland ist die Situation eindeutig: Wenn FulcrumSec die Daten tatsächlich verkauft, könnten sie in den Händen von Konkurrenzunternehmen, staatlichen Akteuren oder kriminellen Gruppen enden. Besonders die Verbindungsstrukturen von Amycretin und CagriSema haben einen potenziell immensen wirtschaftlichen Wert. Europäische Pharmaunternehmen, die im GLP-1-Markt um Marktanteile kämpfen, profitieren direkt, wenn Novo Nordisk dieses IP-Kapital verliert.
DSGVO-Risiko: Bußgelder bis 4 Prozent des Jahresumsatzes
Der Vorfall hat klare DSGVO-Implikationen für den deutschen und europäischen Markt. Nach Artikel 33 DSGVO war Novo Nordisk verpflichtet, die zuständigen Datenschutzbehörden innerhalb von 72 Stunden nach Bekanntwerden des Vorfalls zu informieren. Das Unternehmen bestätigte, mit „zuständigen Behörden in Kontakt” zu stehen, nannte aber keine spezifischen Behörden.
Obwohl die klinischen Patientendaten pseudonymisiert waren, besteht nach DSGVO dennoch eine Meldepflicht, da Pseudonymisierung keine vollständige Anonymisierung ist und unter bestimmten Umständen rückgängig gemacht werden kann. Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) könnte eine Untersuchung einleiten, insbesondere wenn sich herausstellt, dass die Zugangsdaten lange Zeit in JavaScript-Bundles exponiert waren, was auf ein strukturelles Sicherheitsversagen hindeutet.
Potenziell relevant ist auch Artikel 35 DSGVO zur Datenschutz-Folgenabschätzung. Wenn Novo Nordisk keine aktuelle DPIA für die betroffenen Systeme vorliegen hatte, droht eine Verschärfung des DSGVO-Bußgelds. Bei einem Unternehmen mit einem Jahresumsatz von über 30 Milliarden Euro könnten Bußgelder theoretisch bis zu mehreren hundert Millionen Euro erreichen, sollte eine grobe Fahrlässigkeit bei der Verwaltung von Cloud-Zugangsdaten festgestellt werden.
Novo Nordisk im Vergleich: Andere große Pharma-Datenpannen
| Angriff | Jahr | Gruppe | Datenmenge | Lösegeld | Besonderheit |
|---|---|---|---|---|---|
| Novo Nordisk (FulcrumSec) | 2026 | FulcrumSec | 1,3 TB / 700.000+ Dateien | 25 Mio. $ (verweigert) | 30 KI-Modelle, Wirkstoff-IP gestohlen |
| Change Healthcare | 2024 | ALPHV/BlackCat | 6 TB | ~22 Mio. $ (bezahlt) | Apotheken-Ausfälle in ganz USA |
| MOVEit Transfer | 2023 | Cl0p | 100+ Mio. Datensätze | Variabel | Massenangriff auf Gesundheits-daten |
| Universal Health Services | 2020 | Ryuk | N/A | ~67 Mio. $ Gesamtschaden | 400 Krankenhäuser offline |
| Merck (NotPetya) | 2017 | GRU (Russland) | N/A | Nicht erpresserisch | ~870 Mio. $ Schaden |
Der entscheidende Unterschied zwischen dem Novo-Nordisk-Vorfall und früheren Pharma-Angriffen liegt im Fokus auf geistiges Eigentum statt auf Patientendaten. Change Healthcare 2024 und MOVEit 2023 zielten primär auf Krankenakten und persönliche Gesundheitsdaten ab. FulcrumSec interessierte sich für Forschungsdaten, KI-Algorithmen und Wirkstoffstrukturen. Das macht den Angriff zu einem Hybrid aus Cyberkriminalität und Wirtschaftsspionage.
FulcrumSecs Opferliste: Von Fintech bis Pharmariese
| Opfer | Datum | Sektor | Gestohlene Daten | Einstiegsvektor |
|---|---|---|---|---|
| Novo Nordisk | Juni 2026 | Pharma | 1,3 TB, 30 KI-Modelle, Wirkstoff-IP | Azure-Creds in JS-Bundle + GitHub-Token |
| Arup Group | Mai 2026 | Ingenieurbüro | Nicht öffentlich | Nicht öffentlich |
| LexisNexis/RELX | März 2026 | Rechts-/Datendienste | 2,04 GB, 3,9 Mio. DB-Einträge, 400K Profile | React2Shell-Schwachstelle auf AWS |
| ParkEngage | 2025/2026 | Parktechnologie | Nicht öffentlich | Nicht öffentlich |
| youX (Australien) | 2025/2026 | Fintech | Cloud-Datenbanken | Nicht rotierte API-Schlüssel |
Das Muster der FulcrumSec-Angriffe zeigt eine klare Strategie: hochwertige Ziele in Industrien mit großen Mengen an proprietären Daten und Cloud-Infrastruktur. Die Gruppe nutzt keine Zero-Days, sondern ausschließlich Credential-Exposures durch Entwicklerfehler: fest eincodierte Geheimnisse in JavaScript-Bundles, GitHub-Repositories mit gespeicherten Tokens, nicht rotierte API-Schlüssel. Das sind keine ausgefeilten Exploits, sondern vermeidbare Konfigurationsfehler.
Auswirkungen auf den deutschen Arzneimittelmarkt
Für Deutschland hat der Vorfall mehrere direkte Implikationen. Ozempic ist eines der meistverordneten Diabetes-Medikamente im deutschen GKV-System. Über 1,3 Millionen Patienten in Deutschland werden mit GLP-1-Rezeptoragonisten behandelt, ein erheblicher Teil davon mit Semaglutid-basierten Präparaten von Novo Nordisk. Jede Verzögerung bei der Entwicklung von Folgemitteln wie Amycretin betrifft diese Patientengruppe direkt.
Auf der Unternehmensseite droht Novo Nordisk ein Wettbewerbsnachteil, wenn die gestohlenen Wirkstoffstrukturen und KI-Modelle an konkurrierende Pharmaunternehmen geraten. Eli Lilly, der direkteste Wettbewerber mit Tirzepatid (Mounjaro/Zepbound), hat erheblich in eigene GLP-1-Forschung investiert. Ähnliches gilt für europäische Unternehmen wie AstraZeneca und Sanofi, die eigene Adipositas-Programme führen.
Für die gesamte Pharmaindustrie ist der Vorfall ein Warnsignal. Unternehmen, die KI-Modelle in der Wirkstoffforschung einsetzen, müssen diese Modelle mit mindestens der gleichen Sicherheitsstufe wie Patientendaten behandeln. Die Datenschutzbestimmungen der DSGVO decken KI-Modelle bislang nicht ausdrücklich ab, obwohl sie in manchen Fällen Rückschlüsse auf personenbezogene Trainingsdaten ermöglichen. Die EU-KI-Verordnung, die 2026 in Kraft tritt, wird hier neue Anforderungen bringen.
Historischer Kontext: Cloud-Credential-Pannen in der Pharmaindustrie
Das Problem exponierter Cloud-Zugangsdaten ist nicht neu. Eine 2023 durchgeführte Studie von GitGuardian fand in über 10 Millionen öffentlichen GitHub-Commits Geheimnisse wie API-Schlüssel, Passwörter und Cloud-Tokens. Im Pharmasektor wurden zwischen 2022 und 2025 mehrfach Fälle bekannt, bei denen Entwickler Zugangsdaten in internen Repositorys oder Build-Artefakten hinterlassen hatten.
Der konkrete Fall bei Novo Nordisk, ein Azure-Container-Registry-Credential in einem öffentlich zugänglichen JavaScript-Bundle, ist technisch trivial. JavaScript-Bundles werden an Browser ausgeliefert, sind also per Definition öffentlich lesbar. Zugangsdaten, die im Client-seitigen Code eingebettet sind, können von jedem Nutzer oder Crawler extrahiert werden. Dies ist ein Lehrbuchfehler in der sicheren Softwareentwicklung und seit Jahren in OWASP-Richtlinien dokumentiert.
Dass ein Unternehmen von der Größe und Regulierungsdichte von Novo Nordisk einen solchen Fehler über Monate nicht bemerkte, zeigt eine systemische Schwäche in der Secrets-Management-Praxis großer Konzerne. Lösungen wie HashiCorp Vault, AWS Secrets Manager und Azure Key Vault existieren genau für diesen Zweck. Ebenso könnten automatisierte Pre-Commit-Hooks und regelmäßige Credential-Scans solche Exposures verhindern.
Prognosen: Was als nächstes zu erwarten ist
1. Regulatorische Untersuchungen in mehreren EU-Ländern. Der Bundesbeauftragte für den Datenschutz und die dänische Datenschutzbehörde Datatilsynet werden mit hoher Wahrscheinlichkeit formelle Untersuchungen einleiten. Novo Nordisk hat seinen Hauptsitz in Dänemark, führt aber klinische Studien und verarbeitet personenbezogene Daten in Deutschland. Mit einem Bußgeld unter 10 Millionen Euro ist bei einer festgestellten Pflichtverletzung nicht zu rechnen.
2. Industrieweite Überprüfung von Pharma-Cloud-Sicherheit. Nach Change Healthcare 2024 und Novo Nordisk 2026 werden Pharmaunternehmen weltweit ihre Secrets-Management-Protokolle neu bewerten. Regulierungsbehörden wie die EMA und FDA werden wahrscheinlich aktualisierte Leitlinien für Cloud-Sicherheit in GxP-regulierten Umgebungen herausgeben.
3. FulcrumSec-Angriffe werden zunehmen. Die Gruppe hat bewiesen, dass ihre Methode funktioniert und erhebliche öffentliche Aufmerksamkeit erzeugt. Mit großer Wahrscheinlichkeit werden weitere Pharmaunternehmen, Biotechs und Forschungseinrichtungen ins Visier genommen, solange das Problem nicht rotierter Cloud-Credentials im Sektor systematisch angegangen wird.
4. Dunkler Markt für Pharma-KI-Modelle entsteht. Wenn FulcrumSec die 30 KI-Modelle erfolgreich verkauft, schafft das einen Präzedenzfall und einen Markt für gestohlene Pharma-KI-Assets. Staatliche Akteure, insbesondere solche mit eigenen GLP-1-Forschungsprogrammen, könnten zu zahlungskräftigen Käufern werden.
5. Novo Nordisk wird die Entwicklungskosten erhöhen. Das Unternehmen wird erheblich in Sicherheitsinfrastruktur, Incident Response und regulatorische Compliance investieren müssen. Diese Kosten werden indirekt auf Medikamentenpreise und Entwicklungsgeschwindigkeit wirken. Für den deutschen Markt bedeutet das potenziell längere Wartezeiten auf neue GLP-1-Präparate.
FAQ: Novo Nordisk Datenpanne 2026
Sind meine Ozempic-Patientendaten von dem Angriff betroffen?
Direkte Patientendaten aus Arztbesuchen und Apotheken sind nicht betroffen. Der Angriff richtete sich gegen interne IT-Systeme von Novo Nordisk und betraf Daten aus klinischen Studien. Diese Daten waren pseudonymisiert und konnten ohne Zugang zu einer separaten Master-Datenbank nicht mit Einzelpersonen verknüpft werden. Wenn Sie an einer Novo-Nordisk-Studie teilgenommen haben, sollten Sie die offizielle Kommunikation des Unternehmens verfolgen.
Was ist FulcrumSec und woher kommt die Gruppe?
FulcrumSec ist eine Cyberkriminalitätsgruppe, die ab September 2025 aktiv wurde und im Oktober 2025 öffentlich in Erscheinung trat. Die Gruppe spezialisiert sich auf die Exfiltration von Cloud-Datenbanken durch Ausnutzung schlecht gesicherter API-Schlüssel und Cloud-Konfigurationsfehler. Im Gegensatz zu Ransomware-Gruppen verschlüsseln sie keine Systeme, sondern kopieren Daten und erpressen die Opfer mit deren Veröffentlichung.
Warum hat Novo Nordisk das Lösegeld nicht bezahlt?
Novo Nordisk hat die Gründe nicht öffentlich kommuniziert. In der Branche ist es zunehmend üblich, keine Lösegeldzahlungen zu leisten, da Zahlungen keine Garantie gegen Datenweitergabe bieten und kriminelle Gruppen zur Nachahmung anregen. Das FBI und europäische Strafverfolgungsbehörden raten generell von Lösegeldzahlungen ab.
Welche Gesetze gelten für Novo Nordisk nach diesem Vorfall in Deutschland?
Relevant sind die DSGVO (Meldepflicht, Bußgelder), das BSIG (Gesetz über das Bundesamt für Sicherheit in der Informationstechnik), die NIS2-Richtlinie sowie, sofern Novo Nordisk als kritische Infrastruktur eingestuft wird, zusätzliche sektorspezifische Anforderungen. Bei klinischen Studien greift auch das Arzneimittelgesetz (AMG) bezüglich des Schutzes von Studiendaten.
Könnte sich die Datenpanne auf die Zulassung neuer Medikamente auswirken?
Theoretisch ja. Wenn gestohlene Studiendaten oder Wirkstoffstrukturen vor der offiziellen Veröffentlichung durch Novo Nordisk an Dritte gelangen, könnten Wettbewerber Zulassungsanträge für ähnliche Verbindungen einreichen. Die EMA und FDA haben Mechanismen, um solche Fälle zu prüfen. In der Praxis sind derartige Patentstreitigkeiten langwierig, aber wirtschaftlich erheblich.
Wie kann ich mein Unternehmen vor ähnlichen Angriffen schützen?
Die wichtigsten Maßnahmen: Automatisierte Secrets-Scans in CI/CD-Pipelines einrichten (z.B. mit GitGuardian oder Trufflehog). Alle Cloud-Zugangsdaten regelmäßig rotieren. Pre-Commit-Hooks einsetzen, die Geheimnisse in Code-Änderungen erkennen und blockieren. Keine Credentials fest in Anwendungscode einbauen, stattdessen Secrets-Manager wie HashiCorp Vault oder AWS Secrets Manager verwenden. GitHub-Personal-Access-Tokens mit minimalen Rechten und kurzer Gültigkeit ausstellen.
Weiterführende Quellen
Externe Berichte zum Novo-Nordisk-Vorfall:
- SecurityWeek: Cybercrime Group Claims Novo Nordisk Hack
- Pharmaphorum: Hacking ring seeks to extort Novo Nordisk
- HIPAA Journal: Hackers Claim Responsibility for Novo Nordisk Cyberattack
- Shieldworkz: Deep Dive into the Novo Nordisk Cyber Extortion
- CyberPress: LexisNexis Data Breach (FulcrumSec)
Verwandte Berichte
- Carnival Datenpanne: ShinyHunters stehlen 6 Mio. Reisedaten [2026]
- Verizon DBIR 2026: 22.000 Datenpannen, Lücken schlagen Passwörter
- NIS2 Deutschland: 29.500 Firmen unter neuem BSIG, Bußgelder bis 10 Mio. €
- Die Linke gehackt: Qilin klaut 1,5 TB Daten [2026]
- Akira Ransomware: 1.400 Opfer, 244 Mio $ [2026]
- Ransomware: 81 % aller EU-Cyberangriffe [2026]
