Der 1923 gegründete Pharmakonzern Novo Nordisk, nach eigenen Angaben der weltweit größte Insulinhersteller, hat einen Datenschutzvorfall bekannt gemacht. Das Unternehmen beschäftigt rund 67.900 Mitarbeiter an 80 Standorten weltweit und ist unter anderem Hersteller der GLP-1-Rezeptoragonisten Wegovy und Ozempic.

Wie Novo Nordisk am Donnerstag mitteilte, verschafften sich Angreifer Zugang zu internen IT-Systemen und zu Daten über Patienten, die an einigen klinischen Studien teilnehmen. Nach Angaben des Unternehmens umfassten die extern kopierten Daten Patienten-IDs, Informationen zur Teilnahme an Studien, Geschlecht, Geburtsjahr, Biomarker, Gesundheits- und Immunogenitätsdaten sowie Lebensstilfaktoren wie Rauchen, Alkoholkonsum und BMI.

Novo Nordisk erklärte dazu, dass es sich um pseudonymisierte Daten handele. In einer Stellungnahme schrieb das Unternehmen, man habe entdeckt, dass bestimmte nicht öffentliche Daten, darunter personenbezogene Daten, unbefugt extern kopiert worden seien. Die betroffenen Stellen würden entsprechend informiert.

Zugleich betonte der Konzern, die offengelegten Informationen seien nicht direkt mit den Namen von Patienten oder anderen unmittelbaren Identifikatoren verknüpft. Um Personen namentlich zu identifizieren, wäre laut Novo Nordisk ein Zugriff auf zugrunde liegende Identitätsdaten erforderlich. Diese Informationen seien nicht offengelegt worden. Deshalb gehe das Unternehmen nicht davon aus, dass der Vorfall Dritten die Identifizierung von Teilnehmern klinischer Studien ermögliche.

Neben den Studiendaten betrifft der Vorfall auch eine nicht genannte Zahl von Healthcare Professionals. Deren Namen, Registrierungsnummern, E-Mail-Adressen, Telefonnummern, WhatsApp-Angaben und Bürostandorte wurden offengelegt.

Novo Nordisk warnte die betroffenen Fachkräfte vor unerwarteten Nachrichten oder Anrufen. Nach Einschätzung des Unternehmens könnten sie Ziel von Phishing-Angriffen per E-Mail, Telefon, WhatsApp oder betrügerischen Nachrichten werden, die sich als Mitteilungen von Kollegen ausgeben.

Als Reaktion nahm Novo Nordisk die kompromittierten internen IT-Systeme offline. Die Kerngeschäftsprozesse seien davon jedoch nicht betroffen und liefen weiter, erklärte das Unternehmen. Zugleich arbeite man daran, die betroffenen Systeme kontrolliert und sicher wieder in Betrieb zu nehmen, räumte aber ein, dass dieser Prozess Zeit brauche.

Die laufende Untersuchung führt Novo Nordisk mit Unterstützung externer Cybersicherheitsexperten durch, um das volle Ausmaß und die Reichweite des Vorfalls zu bewerten. Offen bleibt bislang, wann der Datenabfluss entdeckt wurde und wie viele Personen von der Offenlegung ihrer persönlichen und patientenbezogenen Daten betroffen sind.

Auf eine Anfrage von BleepingComputer zu weiteren Einzelheiten verwies ein Sprecher von Novo Nordisk lediglich auf die Pressemitteilung des Unternehmens.