Im vergangenen Dezember, als in Deutschland die Impfzentren aus dem Boden gestampft und in der Bevölkerung so etwas wie Hoffnung auf ein baldiges Pandemie-Ende aufkeimte, wurde die Europäische Arzneimittelbehörde (EMA) zum Ziel einer Cyberattacke. Hacker waren in die IT-Systeme der Behörde eingedrungen und verschafften sich Einblick in Unterlagen der Impfstoffhersteller Pfizer und Biontech, deren Zulassungsanträge gerade zur Prüfung auf den Rechnern lagen.

Wenig später tauchten die vertraulichen Dokumente im Internet auf: Screenshots von E-Mail-Korrespondenzen, PDF, Powerpoint-Präsentationen. Wie die EMA später mitteilte, sollen Teile der gestohlenen Dokumente manipuliert worden sein.

Laut Recherchen der niederländischen Zeitung „De Volkskrant“ sollen russische und chinesische Geheimdienste hinter der Cyberattacke stecken. Demnach haben russische Hacker über einen Monat lang auf den Servern der Behörde herumspioniert – sie interessierten sich vor allem, wohin und zu welchem Preis das Vakzin von Biontech/Pfizer geliefert wird.

Fake-Jobs angeboten

Die Impflogistik ist extrem fragil. Im November 2020 sollen laut einem Bericht der Nachrichtenagentur Reuters mutmaßlich nordkoreanische Hacker in die Computersysteme des Impfstoffherstellers Astrazeneca eingedrungen sein, um Medizindaten zu stehlen. Die Hacker sollen sich auf LinkedIn sowie in WhatsApp als Recruiter ausgegeben und Mitarbeitern des Pharmakonzerns Fake-Jobs angeboten haben. Um Zugriff auf die Rechner zu erlangen, schleusten die Hacker über die fingierten Stellenausschreibungen eine Schadsoftware ein.

Daten für den Impfstoff von Astrazeneca sollten ausspioniert werden.
Daten für den Impfstoff von Astrazeneca sollten ausspioniert werden. | Bild: dpa

Trotz seiner Isolation und rudimentären Infrastruktur hat Nordkorea in den letzten Jahren eine schlagkräftige Elite-Hacker-Einheit aufgebaut. Das Bureau 121 und die ihm unterstehende Hackergruppe Lazarus wird für zahlreiche Cyberattacken verantwortlich gemacht. Dazu gehören ein Angriff auf Sony, die Einschleusung der Schadsoftware Wannacry sowie der digitale Bankraub auf die Zentralbank von Bangladesch. Dabei nutzen die Hacker gezielt soziale Netzwerke, um potenzielle Opfer aufzuspüren.

Hacker-Attacken auf die Gesundheits-Infrastruktur

In dem hermetisch abgeriegelten Nordkorea gibt es offiziell keine Corona-Fälle. Laut einem Bericht der WHO waren von den 13.259 getesteten Personen im Land alle negativ. Epidemiologen halten diese Statistik für unglaubwürdig. Die Dunkelziffer ist vermutlich viel höher. Es ist nicht auszuschließen, dass das unterentwickelte und verarmte Land mithilfe seiner Hacker-Armee versucht, Bauanleitungen für die Herstellung eines Impfstoffes zu bekommen, um ihn dann zu kopieren.

Nordkoreaner und Russen sind auf Datenfang

Hinter dem Gerangel um Impfstoff-Chargen tobt ein erbitterter Cyberkrieg. Wie Microsoft in einem Blogbeitrag mitteilte, haben die nordkoreanischen Gruppen „Zinc“ und „Cerium“ sowie die russische Hackergruppe „Strontium“ Attacken auf „sieben prominente Unternehmen“ ausgeübt, „die direkt an der Impfstoffforschung oder an Behandlungsmethoden für Covid-19 beteiligt sind“.

Unter den Zielen sollen Impfstoffhersteller sowie ein Hersteller für Tests sein. Die russischen Angreifer von Strontium sollen mithilfe einer sogenannten Brut-Force-Attacke versucht haben, an Zugangsdaten zu gelangen. Dabei handelt es sich um eine Methode, durch wahlloses, automatisiertes Ausprobieren Passwörter zu knacken.

Die nordkoreanischen Hacker setzten auf Phishing-Mails: Sie gaben sich als Mitarbeiter der Weltgesundheitsorganisation WHO aus, um Schadsoftware einzuschmuggeln. Eine perfide Masche. Zwar konnte nach Angaben von Microsoft die Mehrheit dieser Attacken abgewehrt werden. Cybersicherheits-Experten sind dennoch alarmiert.

Kühlketten gefährdet

Erst kürzlich hatten mutmaßlich chinesische Staatshacker Sicherheitslücken in den Servern von Microsoft Exchange ausgenutzt. Betroffen waren Forschungseinrichtungen für Infektionskrankheiten, Anwaltskanzleien, Hochschulen, Verteidigungsunternehmen, politische Denkfabriken und Nichtregierungsorganisationen. Was zeigt: Wenn alle dieselben Werkzeuge nutzen, steigen die Verwundbarkeiten.

IBMs Sicherheitsteam X-Force warnte bereits im vergangenen Dezember, dass es die Angreifer auch auf die Kühlketten der Impfstoffe abgesehen haben. Durch das Abgreifen von Zugangsdaten könnten Cyberkriminelle Solarpanels ausschalten und so die Kühlkette unterbrechen. Ein Albtraum. Der politische und wirtschaftliche Schaden eines solchen Sabotageakts wäre immens: Impftermine müssten ausfallen, Öffnungen verschoben werden, Geschäfte Insolvenz anmelden. Ob die Bürger einen Impftermin bekommen, hängt deshalb wesentlich davon ab, wie robust die Cybersicherheit in der Lieferkette ist.