Corona-Impfstoffe: Cyber-Angriffe auf Lieferketten

Blog Cybersicherheit
Pic Source: Dimitri Houtteman via Unsplash

Kaum waren die ersten positiven Nachrichten zu Corona-Impfstoffen da, machten sich die Cyberkriminellen auch schon startbereit: Corona-Impfungen als Aufhänger für Phishing-Attacken, Spionage und Sabotage von Forschungsergebnissen, Angriffe auf die Lieferketten und zweifelhafte Angebote von gefälschten Impfstoffen im Darknet – die Cyberkriminellen haben das Thema schnell für sich instrumentalisiert. Wie kann man sie aufhalten?

Schon seit Beginn der Pandemie ist „Corona“ ein beliebtes Thema für Phishing-Kampagnen. Seitdem die ersten Pharmakonzerne von ihren Erfolgen bei der Herstellung eines Impfstoffs berichteten, passten die Phisher einfach die Betreffzeilen der Phishing-E-Mails an den aktuellen Status Quo an. Nun betreiben sie ihr kriminelles Social Engineering mit dem Aufhänger „Impfungen“ oder „Impftermine“.

Direkte Angriffe auf Impfstoffhersteller

Neben diesen neu gelabelten Phishing-Attacken steigt auch die Anzahl der direkten Angriffe auf Impfstoffhersteller:

  • Mitte November berichtete ein hochrangiger Microsoft-Manager auf einem Firmen-Blog über Cyberangriffe auf sieben bekannte Impfstoffhersteller in Kanada, Frankreich, Indien, Südkorea und den USA. Als Urheber der Angriffe wurden eine Hackergruppe aus Russland und zwei aus Nordkorea genannt. Alle drei Gruppen sollen in Verbindung mit staatlichen Stellen stehen.
  • Im Oktober berichtete das US-Cybersicherheitsunternehmen Crowdstrike über Angriffe auf japanische Impfstofflabore. Hier sollen die Angriffe aus China gekommen sein.
  • Bereits im Juli hatten Geheimdienste der USA, Kanadas und Englands in einer gemeinsamen Erklärung russische Hacker verantwortlich gemacht für Angriffe auf Organisationen, die mit der Entwicklung von Corona-Impfstoffen befasst sind. Dem britischen National Cyber Security Centre (NCSC) zufolge hatte es die Hackergruppe „Cozy Bear“ auf den „Diebstahl wertvollen geistigen Eigentums“ abgesehen, die nach Ansicht des NCSC „mit an Sicherheit grenzender Wahrscheinlichkeit“ als Teil des russischen Geheimdienstes operiert.
  • Ende November letzten Jahres bekamen Entwickler beim britisch-schwedischen Impfstoffhersteller AstraZeneca gefälschte E-Mails mit lukrativen Jobangeboten, gespickt mit digitalen Angriffswerkzeugen, mit denen die Hacker Zugriff auf die Rechner des Konzerns bekommen wollten. Anonyme Quellen vermuten deren Ursprung in Nordkorea.
  • Im letzten Oktober wurden die Niederlassungen des indischen Impfstoffherstellers Dr. Reddy´s in gleich fünf Ländern Opfer eines großangelegten Cyber-Angriffs. Diesmal waren wohl keine russischen Staatshacker daran beteiligt: Dr. Reddy’s war mit Tests für den russischen Corona-Impfstoff Sputnik 5 betraut.

BSI: Cyberkriminelle nutzen allgemeine Verunsicherung aus

Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) und die französische Sicherheitsagentur ANSSI stellten in einem gemeinsamen Bericht zur Cyber-Sicherheitslage in beiden Ländern fest, dass Cyberkriminelle flexibel auf die Corona-Pandemie reagiert haben und die allgemeine Verunsicherung der Unternehmen und der Bevölkerung gezielt ausnutzen. Das Gesundheitswesen in beiden Ländern stehe vor der großen Herausforderung, die Pandemie zu bekämpfen und sich gleichzeitig wirksam gegen mögliche Cyber-Angriffe zu wappnen. Denn Kliniken, Impfstoffhersteller und deren Lieferketten stünden zunehmend im Fokus von Cyberkriminellen. „Ausfälle in diesen Bereichen können verheerende Folgen haben, die wir uns gerade inmitten einer Pandemie nicht leisten können“, so das BSI. Daher sei das Bundesamt auch intensiv im Gespräch mit der Bundesregierung über den Schutz der Logistikketten für Impfstoffe.

Lieferketten und Kühlsysteme im Visier

Denn nach weit verbreiteten Versuchen, Forschungsergebnisse auszuspionieren, nehmen die Hacker zunehmend auch diese Lieferketten (in diesem Fall die Kühlketten) ins Visier: Sie versuchen, die Lieferketten zu unterbrechen, Kühlhäuser abzuschalten oder in die Versorgungssysteme einzudringen. Dass hier vor allem IoT-Systeme durchaus anfällig sind, zeigt ein Beispiel aus Israel: Dort versuchten Hacker, den Chlorgehalt des öffentlichen Trinkwassers drastisch zu erhöhen. Man stelle sich vor, die Hacker hätten direkten Zugriff auf die Impfstoffproduktion und würden die jeweiligen Anteile der Wirkstoffe verändern. Schon kleine Änderungen an der Formel können die Wirksamkeit deutlich beeinträchtigen. Das könnte durchaus in einer gesundheitlichen Katastrophe enden.

Neben der Produktion stellt auch die Lagerung und die recht aufwändige Logistik mögliche Angriffspunkte dar. Angreifer könnten die entsprechenden Temperaturkontrollsysteme anvisieren und die Lagertemperatur manipulieren. Das würde die Wirksamkeit der Impfstoffe stark reduzieren. Auch die Logistik bietet enorme Angriffsflächen, zum Beispiel für einen Ransomware-Angriff auf die Terminplanungssoftware, der zu Verzögerungen bei der Auslieferung führen und den Zeitplan für die Verteilung der Impfstoffe beeinflussen könnte. Zudem könnten Lagerräume nicht mehr zugänglich sein und Transportrouten ausfallen.

Angebote von gefälschten Impfstoffen im Darknet

Auch im Darknet haben sich die Angebote von Impfstoffen vervielfacht: Dort wurden Impfdosen des Biontec/Pfizer-Vaccins für 250 Euro pro Dosis angeboten. Europol beobachte außerdem einen massiven Anstieg von Werbung für Covid-19-Impfstoffe um 400 Prozent. Auch die Preise stiegen im Januar noch einmal deutlich auf 400 bis zu 1.000 Euro pro Dosis. Zudem werden nun keine einzelnen Dosen mehr allein verkauft, sondern Pakete mit mehreren Impfstoff-Dosen.

Weiterhin hohes Risiko von gezielten Angriffen

Entsprechend schätzt das BSI die Bedrohungslage auch der deutschen Pharmaunternehmen und Impfstoffhersteller als hoch ein. Gegenüber der Deutschen Welle erklärte BSI-Präsident Schönbohm: „Es besteht auch weiterhin das Risiko von gezielten Angriffen gegen Forschungseinrichtungen. Auch die Unternehmen müssen ihren Teil dazu beitragen, etwa durch angemessene Investitionen in die Informationssicherheit.“

Unternehmen können einige Maßnahmen ergreifen, die sofortigen Schutz bieten:

  • Awareness-Schulungen zum Schutz vor Phishing
  • Daten in der Cloud absichern
  • Sichere VPN-Verbindungen nutzen
  • Den Browser absichern
  • Daten auf allen Endgeräten schützen
  • Multifaktor-Authentifizierung

Sicherlich sind auch viele Ihrer Mitarbeiter an einem baldigen Impftermin interessiert. Da öffnet man vielleicht umso schneller eine E-Mail, die suggeriert, aktuelle Informationen dazu zu enthalten. Aus diesem Grund empfiehlt Perseus allen Unternehmen, die Mitarbeiter so schnell wie möglich durch entsprechende Trainings, z.B. mit simulierten Phishing-Angriffen für das Thema zu sensibilisieren.

Sprechen Sie uns gerne dazu an: 030/95 999 80 80 (Mo – Fr 09:00-18:00 mit Ausnahme von gesetzlichen Feiertagen) oder per E-Mail an info@perseus.de.

Wir nehmen Datenschutz ernst.

Wir nutzen Cookies, um Ihnen bestmögliche Funktionalitäten bieten zu können und Informationen zu erhalten, um die Webseite hinsichtlich Inhalt, Reichweite, Performance und Sicherheit ständig zu verbessern.

Essentielle Cookies (1)

Essentielle Cookies ermöglichen grundlegende Funktionen und sind daher für den reibungslosen Ablauf der Webseite notwendig, aus diesem Grund ist eine einzelne Deaktivierung nicht möglich. Sie werden ausschließlich von uns genutzt. Für die Nutzung von essentiellen Cookies ist Ihre Einwilligung nicht erforderlich.

Technische Cookies (1)

  • Google Tag Manager
    ?

    Der Google Tag Manager dient der Verwaltung von Webseiten-Tags. Er erfasst und verarbeitet keine personenbezogenen Daten. Allerdings kann er andere Cookies auslösen, die diese unter Umständen verarbeiten. Wir nutzen ihn für Cookie-Management. Über ihn wird die Einwilligung zum setzen von Cookies eingeholt und verwaltet.

    • Cookie-Namen:
      gtm, gtm_auth, gtm_debug, gtm_preview, eng_mt, trctestcookie
    • Ablaufdatum:
      2 Jahre, Sitzung, Sitzung, Sitzung, fortdauernd, Sitzung
    • Unternehmen:
      Google Ireland Ltd.

Funktionale Cookies (3)

Funktionale Cookies setzen wir ein, um personalisierte Daten, wie z.B. Ihre Sprachpräferenz anonymisiert zu speichern und so beim nächsten Mal automatisch wieder aufzurufen. Funktionale Cookies können außerdem dazu genutzt werden, angeforderte Funktionen wie das Abspielen von Videos zu ermöglichen. Die Daten werden nicht an Dritte weitergegeben und verfolgen nicht Ihre Bewegung auf anderen Internetseiten.

Darstellung (1)

  • Vimeo
    ?

    Mit Hilfe des Vimeo-Cookies können Sie die Erklärvideos auf unserer Webseite sehen.

    • Cookie-Namen:
      vuid
    • Ablaufdatum:
      2 Jahre
    • Unternehmen:
      Vimeo LLC

Kommunikation (2)

  • Freshworks Webforms
    ?

    Mit Hilfe des Cloudflare-Cookies können Sie unsere Kontaktformulare nutzen. Er dient dazu, vertrauenswürdigen Datenverkehr im Internet zu identifizieren.

    • Cookie-Namen:
      _cfduid
    • Ablaufdatum:
      30 Tage
    • Unternehmen:
      Cloudflare, Inc. im Formular von Freshworks, Inc.
  • SendInBlue
    ?

    Mit Hilfe des sib-Cookies können Sie unsere Kontaktformulare nutzen. Er dient dazu, vertrauenswürdigen Datenverkehr im Internet zu identifizieren.

    • Cookie-Namen:
      sib_cuid
    • Ablaufdatum:
      6 Monate
    • Unternehmen:
      Sendinblue

Analysen und Statistiken (3)

Statistik-Cookies erfassen Informationen pseudonym. Diese Informationen helfen uns zu verstehen, wie unsere Besucher die Webseite nutzen, zum Beispiel welche Seiten besonders häufig geklickt werden. Dadurch können wir unsere Inhalte und Funktionen an ihre Interessen anpassen. Bei Deaktivierung können Probleme mit einzelnen Funktionalitäten der Webseite auftreten.

Analytische Cookies (3)

  • Google Analytics / Google Analytics Audiences
    ?

    Google Analytics: Die Cookies von Google Analytics liefern uns durch statistische Auswertungen Informationen zur optimalen Gestaltung der Webseite für unsere Kunden. Google Analytics Audiences: Cookies von Google für Zielgruppen-Analyse. Dient der Gruppierung von Benutzern auf der Grundlage einer beliebigen Kombination von Attributen.

    • Cookie-Namen:
      _ga, _gat, _gid, ads/ga-audiences
    • Ablaufdatum:
      2 Jahre, 1 Tag, 1 Tag, Sitzung
    • Unternehmen:
      Google Ireland Ltd.
  • Google Optimize / Double Click
    ?

    Mit Google Optimize-Cookies können wir die Nutzererfahrung auf unserer Webseite verbessern.

    • Cookie-Namen:
      _gat
    • Ablaufdatum:
      2 Jahre
    • Unternehmen:
      Google Irland Ltd.
  • Hotjar
    ?

    Cookies von Hotjar für Webseiten-Analyse. Damit lassen sich die Bewegungen der Nutzer unserer Internetseite anonymisiert nachvollziehen (sog. Heatmaps) zur Verbesserung ihrer Bedienungsfreundlichkeit.

    • Cookie-Namen:
      _hjid, _hjid, _hjIncludedInSampl, _hjViewportId, _hjRecordingEnabled, _hjRecordingLastActivity, _hjTLDTest
    • Ablaufdatum:
      1 Jahr, fortdauernd, Sitzung, Sitzung, Sitzung, Sitzung, Sitzung
    • Unternehmen:
      Hotjar Ltd.

Marketing- und sonstige Third-Party-Cookies (2)

Cookies für Marketing und Cookies von Dritten (Third-Party-Cookies) werden bei uns genutzt, um den Erfolg von Marketingmaßnahmen messen zu können z.B. ob man eine Webseite besucht hat. Sie können auch dazu dienen, diese im Anschluss entsprechend zu steuern z.B. die Häufigkeit einer angezeigten Anzeige zu limitieren. Es ist möglich, dass diese Information mit Dritten, wie z.B. Werbetreibenden, geteilt wird. Häufig werden diese Cookies auch mit Seitenfunktionalitäten von Dritten verbunden.

Social Media (1)

  • Facebook Connect/ Facebook Pixel
    ?

    Durch den Einsatz des Facebook Pixels können wir Ihr Nutzungsverhalten nachvollziehen, nachdem Sie eine Facebook-Anzeige angesehen oder angeklickt haben. Facebook kann die Daten für die zielgerichtete Ausspielung von Werbeanzeigen nutzen.

    • Cookie-Namen:
      _fbp, fr, tr
    • Ablaufdatum:
      3 Monate, 3 Monate, Sitzung
    • Unternehmen:
      Facebook Ireland Ltd.

Personalisierte Werbung (1)

  • LinkedIn Marketing Solutions/LinkedIn Ads
    ?

    Durch den Einsatz der LinkedIn Marketinglösung-Cookies können wir Ihr Nutzungsverhalten nachvollziehen, nachdem Sie eine LinkedIn-Anzeige angesehen oder angeklickt haben.

    • Cookie-Namen:
      lang (2x), bcookie, bscookie, lidc, UserMatchHistory
    • Ablaufdatum:
      Sitzung, 2 Jahre, 2 Jahre, 1 Tag, 29 Tage
    • Unternehmen:
      LinkedIn Ireland Unlimited