Erpressergruppe FulcrumSec fordert 25 Millionen Dollar von Novo Nordisk und droht mit Datenveröffentlichung

Hintergrund: Novo Nordisk als Ziel der Erpressung

Novo Nordisk gehört zu den wertvollsten Unternehmen Europas und stellt mit dem Diabetesmittel Ozempic und dem Abnehmpräparat Wegovy zwei Medikamente her, die Milliarden an Gewinn erwirtschaften. Ein FDA-Beschluss zur Zulassung des Präparats CagriSema zur Gewichtsreduktion wird für das vierte Quartal 2026 erwartet. Der Konzern bestätigte den IT-Sicherheitsvorfall am 11. Juni und erklärte, unbefugte Parteien hätten Zugriff auf eine begrenzte Zahl interner IT-Systeme erlangt, einschließlich bestimmter personenbezogener Daten.

Ein Sprecher von Novo Nordisk erklärte gegenüber Reuters, das Unternehmen nehme die Sache ernst und stehe im Kontakt mit den zuständigen Behörden. Reuters war zunächst nicht in der Lage, die Echtheit der veröffentlichten Daten unabhängig zu verifizieren. Auf Anfrage erklärte der Sprecher zudem: „Wir nehmen diese Angelegenheit ernst und halten den Betrieb unserer zentralen Systeme aufrecht.

Reaktion des Unternehmens

Nach Angaben von Reuters hatte FulcrumSec erstmals Kontakt zu nicht namentlich genannten Unternehmensvertretern aufgenommen, woraufhin Novo Nordisk am 3. Juni, etwa 48 Stunden später, mit der Gruppe in Kontakt trat. Reuters berichtete, dass das Unternehmen die Lösegeldforderung in Höhe von 25 Millionen US-Dollar ablehnt.

Die gestohlenen Daten sollen nach Angaben der Hacker Quellcodes, vertrauliche Informationen zu bereits zugelassenen und noch nicht veröffentlichten Medikamenten, Dokumente klinischer Studien sowie Daten zu Mitarbeitern, Ärzten und Patienten umfassen. Darüber hinaus sollen auch Informationen zu Produktionsanlagen sowie interne Daten zu KI-Modellen Teil des gestohlenen Materials sein.

FulcrumSec teilte mit, bestimmte Informationen zurückzuhalten, darunter Daten zu Tausenden Mitarbeitern, Ärzten und rund 11.500 pseudonymisierten Studienteilnehmern. Auch Daten zur Steuerung von Produktionsanlagen, die möglicherweise die Herstellung lebenswichtiger Medikamente gefährden könnten, will die Gruppe nicht veröffentlichen. Die Hacker begründeten diese Entscheidung als Teil ihrer sogenannten Schadensbegrenzungsstrategie.

Strategie der Erpressergruppe

Die Gruppe erklärte gegenüber Reuters, dass sie einen Verkauf eigentlich lieber vermeiden würde. Eine kostenlose Veröffentlichung schrecke andere Unternehmen wirksamer davon ab, Zahlungen zu verweigern. Dennoch kündigte FulcrumSec am Dienstag an, den Verkauf von Teilen der gestohlenen Daten auf dem Schwarzmarkt zu prüfen, da Novo Nordisk die Zahlung des Lösegolds verweigert hatte.

Die Malware-Rechercheplattform VX-Underground hatte am Montag unabhängig über einen unbekannten Angreifer berichtet, der ebenfalls Novo Nordisk-Systeme kompromittiert haben soll. FulcrumSec erklärte jedoch in seiner Kommunikation, der eigene Angriff stehe in keinem Zusammenhang mit dem von VX-Underground gemeldeten Vorfall.

Thomas Willkan, Forschungsdirektor beim Cybersicherheitsunternehmen Lab-1, erklärte gegenüber Reuters, die Fähigkeiten und Behauptungen von FulcrumSec seien grundsätzlich glaubwürdig. Ein weiterer Experte von Lab-1 ergänzte, die Fähigkeiten der Gruppe seien ernst zu nehmen und die Angaben erschienen plausibel.

Bedeutung für die Pharmaindustrie

Am Mittwoch lag die Novo-Nordisk-Aktie mit einem Plus von 1,69 Prozent bei 285,05 Dänischen Kronen. Seit Jahresbeginn hat das Papier allerdings rund 14 Prozent an Wert verloren. Der Konzern, der seinen Sitz in Dänemark hat, gehört zu den wichtigsten Akteuren im globalen Pharmamarkt und ist besonders durch seine Mittel gegen Diabetes und Adipositas bekannt.

FulcrumSec war nach eigenen Angaben erstmals im Oktober 2024 öffentlich in Erscheinung getreten. Die Gruppe vertritt das Modell der doppelten Erpressung: Einerseits verschlüsselt sie Daten der betroffenen Unternehmen, andererseits droht sie mit der Veröffentlichung sensibler Informationen, sollte das Lösegeld nicht gezahlt werden. Im aktuellen Fall hat sich Novo Nordisk entschieden, nicht auf die Forderungen einzugehen.

Die Hackergruppe sucht nach eigenen Angaben nach Käufern für die Daten, zieht eine kostenlose Veröffentlichung jedoch einem Verkauf vor. Ein Vertreter von FulcrumSec erklärte gegenüber Reuters, eine kostenlose Veröffentlichung wirke als wirksameres Abschreckungsmittel für künftige Unternehmen. Diese Strategie zielt darauf ab, andere Konzerne unter Druck zu setzen, die sich ebenfalls gegen eine Lösegeldzahlung entscheiden könnten.

Ausblick und offene Fragen

Der Vorfall wirft ein Schlaglicht auf die wachsende Bedrohung durch Cyberkriminalität für die Pharmaindustrie. Gesundheitsdaten und Forschungsergebnisse gehören zu den sensibelsten Informationen, die ein Unternehmen besitzen kann. Die Tatsache, dass FulcrumSec nach eigenen Angaben über zwei Monate unentdeckt in den Netzwerken von Novo Nordisk operieren konnte, verdeutlicht die Schwierigkeiten, mit denen selbst große und technologisch fortschrittliche Konzerne bei der Abwehr solcher Angriffe konfrontiert sind.

Novo Nordisk hat angekündigt, die zentralen Systeme weiterhin aufrechtzuerhalten und mit den Ermittlungsbehörden zusammenzuarbeiten. Der Konzern äußerte sich bisher nicht im Detail zum Umfang der Kompromittierung oder zu möglichen Auswirkungen auf laufende Forschungsprojekte. Auch bleibt unklar, welche konkreten Folgen eine Veröffentlichung der Daten für das Unternehmen und seine Patienten hätte.

Die Berichterstattung über den Vorfall wurde maßgeblich von Claudia Stephan aus dem Redaktionsteam von finanzen.net vorangetrieben. Mehrere unabhängige Quellen, darunter Reuters, DataBreaches.net und VX-Underground, haben über verschiedene Aspekte des Falls berichtet, wobei die Gesamtlage aufgrund der laufenden Ermittlungen noch unvollständig bleibt.