Novo Nordisk: Cyberkriminelle fordern nach Angriff 25 Millionen Dollar

Der dänische Pharmariese Novo Nordisk steht unter massivem Druck durch Cyberkriminelle. Die Hackergruppe FulcrumSec fordert nach einem erfolgreichen Datendiebstahl 25 Millionen Dollar Lösegeld und droht, gestohlene Informationen zu veröffentlichen oder an Dritte zu verkaufen. Das Unternehmen lehnte die Zahlung bislang ab – eine Entscheidung mit weitreichenden Konsequenzen.

Der Cyberangriff auf Novo Nordisk im Überblick

Novo Nordisk zählt zu den größten Pharmaunternehmen Europas und ist globaler Marktführer im Bereich Endokrinologie. Das Unternehmen versorgt Millionen Patienten mit Diabetes- und Adipositas-Medikamenten, darunter das weltweit gefragte GLP-1-Präparat Ozempic. Genau diese systemrelevante Stellung macht Novo Nordisk zu einem attraktiven Ziel für organisierte Cyberkriminalität: Angreifer kalkulieren, dass der Druck auf kritische Lieferketten die Zahlungsbereitschaft erhöht.

Die Hackergruppe FulcrumSec ist in der Cybersecurity-Community als professionell organisierte Ransomware-Bande bekannt. Sie setzt auf das sogenannte Double-Extortion-Modell: Zunächst exfiltrieren die Angreifer über Wochen unbemerkt große Datenmengen, bevor sie die Zielsysteme mit Ransomware verschlüsseln. In diesem Moment verfügen sie über zwei unabhängige Druckmittel – die Wiederherstellung gesperrter Systeme und die Drohung, gestohlene Daten zu veröffentlichen oder zu verkaufen.

Novo Nordisk entschied sich gegen eine Zahlung. Sicherheitsexperten des Bundesamts für Sicherheit in der Informationstechnik (BSI) empfehlen diese Haltung grundsätzlich, da Lösegeldzahlungen kriminelle Strukturen direkt finanzieren und weitere Angriffe begünstigen. Dennoch ist die Weigerung kein risikofreier Schritt: Das Unternehmen muss nun damit rechnen, dass sensible Daten – darunter möglicherweise Forschungsergebnisse, interne Kommunikation oder Geschäftsgeheimnisse – öffentlich werden.

Ransomware und Double-Extortion: Wie moderne Cyberkriminalität funktioniert

Das technische Konzept hinter Ransomware

Ransomware ist Schadsoftware, die Dateien und Systeme mit starker Verschlüsselung sperrt. Die Angreifer behalten den kryptografischen Schlüssel zur Entschlüsselung und geben ihn nur gegen Zahlung heraus – in der Regel in Kryptowährungen wie Bitcoin oder Monero, die Rückverfolgung erschweren. Technisch basiert die Verschlüsselung auf asymmetrischen Algorithmen wie RSA oder elliptischer Kurven-Kryptografie, denselben Standards, die im Bankwesen für sichere Transaktionen verwendet werden.

Die entscheidende Weiterentwicklung moderner Ransomware-Angriffe ist die vorgelagerte Datenexfiltration. Bevor die Schadsoftware aktiviert wird, verbringen die Angreifer oft Wochen im Netzwerk des Opfers, kartieren Systeme, eskalieren Zugriffsrechte und kopieren gezielt wertvolle Daten auf externe Server. Dieser stille Vorbereitungsprozess – in der Fachsprache als „Living off the Land" bezeichnet – nutzt oft legitime Systemwerkzeuge, um Sicherheitslösungen zu umgehen. Erst wenn die Exfiltration abgeschlossen ist, wird die Ransomware scharf geschaltet.

Für betroffene Unternehmen bedeutet das: Selbst wer über aktuelle Backups verfügt und die verschlüsselten Systeme wiederherstellen kann, steht weiterhin unter Druck – denn die gestohlenen Daten bleiben in den Händen der Angreifer. Dieses zweischneidige Erpressungsmodell macht Ransomware-Angriffe heute deutlich schwerer abzuwehren als noch vor fünf Jahren. Weitere Hintergründe zu aktuellen Cybersecurity-Bedrohungen für Unternehmen finden Sie in unserer Themensektion.

Warum Lösegeldzahlungen das Problem verschärfen

Das BSI und internationale Behörden wie das FBI raten konsequent von Lösegeldzahlungen ab. Die Gründe sind vielschichtig: Erstens garantiert eine Zahlung keine vollständige Datenrückgabe – Angreifer können Kopien zurückbehalten und später erneut damit erpressen. Zweitens fließt das Geld direkt in die Weiterentwicklung krimineller Infrastrukturen. Drittens signalisiert ein zahlendes Unternehmen seine Bereitschaft, was es als Ziel für Folgeangriffe attraktiver macht.

Novo Nordisks Entscheidung, nicht zu zahlen, ist daher auch ein Signal an die Branche – auch wenn das Unternehmen die Konsequenzen nun selbst tragen muss. In der Cybersecurity-Community wird dieser Kurs als langfristig richtig bewertet, kurzfristig jedoch als schmerzhaft eingestuft.

Der Fall Novo Nordisk verdeutlicht, dass kein Unternehmen – unabhängig von Größe oder Branche – vor gezielten Ransomware-Angriffen gefeit ist. Für den Pharmasektor sind die Risiken besonders hoch: Gestohlene Forschungsdaten können Milliarden-Investitionen in Mitleidenschaft ziehen, während Patientendaten Datenschutzbehörden und Klagen auf den Plan rufen. Experten erwarten, dass Angriffe auf kritische Infrastrukturen und forschungsintensive Industrien in den kommenden Jahren weiter zunehmen – und fordern verbindliche Mindeststandards für Cybersicherheit auf EU-Ebene, die über die bestehende NIS2-Richtlinie hinausgehen.