Kaum waren die ersten positiven Nachrichten zu Corona-Impfstoffen da, machten sich die Cyberkriminellen auch schon startbereit: Corona-Impfungen als Aufhänger für Phishing-Attacken, Spionage und Sabotage von Forschungsergebnissen, Angriffe auf die Lieferketten und zweifelhafte Angebote von gefälschten Impfstoffen im Darknet – die Cyberkriminellen haben das Thema schnell für sich instrumentalisiert. Wie kann man sie aufhalten?

Schon seit Beginn der Pandemie ist „Corona“ ein beliebtes Thema für Phishing-Kampagnen. Seitdem die ersten Pharmakonzerne von ihren Erfolgen bei der Herstellung eines Impfstoffs berichteten, passten die Phisher einfach die Betreffzeilen der Phishing-E-Mails an den aktuellen Status Quo an. Nun betreiben sie ihr kriminelles Social Engineering mit dem Aufhänger „Impfungen“ oder „Impftermine“.

Direkte Angriffe auf Impfstoffhersteller

Neben diesen neu gelabelten Phishing-Attacken steigt auch die Anzahl der direkten Angriffe auf Impfstoffhersteller:

• Mitte November berichtete ein hochrangiger Microsoft-Manager auf einem Firmen-Blog über Cyberangriffe auf sieben bekannte Impfstoffhersteller in Kanada, Frankreich, Indien, Südkorea und den USA. Als Urheber der Angriffe wurden eine Hackergruppe aus Russland und zwei aus Nordkorea genannt. Alle drei Gruppen sollen in Verbindung mit staatlichen Stellen stehen.
• Im Oktober berichtete das US-Cybersicherheitsunternehmen Crowdstrike über Angriffe auf japanische Impfstofflabore. Hier sollen die Angriffe aus China gekommen sein.
• Bereits im Juli hatten Geheimdienste der USA, Kanadas und Englands in einer gemeinsamen Erklärung russische Hacker verantwortlich gemacht für Angriffe auf Organisationen, die mit der Entwicklung von Corona-Impfstoffen befasst sind. Dem britischen National Cyber Security Centre (NCSC) zufolge hatte es die Hackergruppe „Cozy Bear“ auf den „Diebstahl wertvollen geistigen Eigentums“ abgesehen, die nach Ansicht des NCSC „mit an Sicherheit grenzender Wahrscheinlichkeit“ als Teil des russischen Geheimdienstes operiert.
• Ende November letzten Jahres bekamen Entwickler beim britisch-schwedischen Impfstoffhersteller AstraZeneca gefälschte E-Mails mit lukrativen Jobangeboten, gespickt mit digitalen Angriffswerkzeugen, mit denen die Hacker Zugriff auf die Rechner des Konzerns bekommen wollten. Anonyme Quellen vermuten deren Ursprung in Nordkorea.
• Im letzten Oktober wurden die Niederlassungen des indischen Impfstoffherstellers Dr. Reddy´s in gleich fünf Ländern Opfer eines großangelegten Cyber-Angriffs. Diesmal waren wohl keine russischen Staatshacker daran beteiligt: Dr. Reddy’s war mit Tests für den russischen Corona-Impfstoff Sputnik 5 betraut.

BSI: Cyberkriminelle nutzen allgemeine Verunsicherung aus

Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) und die französische Sicherheitsagentur ANSSI stellten in einem gemeinsamen Bericht zur Cyber-Sicherheitslage in beiden Ländern fest, dass Cyberkriminelle flexibel auf die Corona-Pandemie reagiert haben und die allgemeine Verunsicherung der Unternehmen und der Bevölkerung gezielt ausnutzen. Das Gesundheitswesen in beiden Ländern stehe vor der großen Herausforderung, die Pandemie zu bekämpfen und sich gleichzeitig wirksam gegen mögliche Cyber-Angriffe zu wappnen. Denn Kliniken, Impfstoffhersteller und deren Lieferketten stünden zunehmend im Fokus von Cyberkriminellen. „Ausfälle in diesen Bereichen können verheerende Folgen haben, die wir uns gerade inmitten einer Pandemie nicht leisten können“, so das BSI. Daher sei das Bundesamt auch intensiv im Gespräch mit der Bundesregierung über den Schutz der Logistikketten für Impfstoffe.

Lieferketten und Kühlsysteme im Visier

Denn nach weit verbreiteten Versuchen, Forschungsergebnisse auszuspionieren, nehmen die Hacker zunehmend auch diese Lieferketten (in diesem Fall die Kühlketten) ins Visier: Sie versuchen, die Lieferketten zu unterbrechen, Kühlhäuser abzuschalten oder in die Versorgungssysteme einzudringen. Dass hier vor allem IoT-Systeme durchaus anfällig sind, zeigt ein Beispiel aus Israel: Dort versuchten Hacker, den Chlorgehalt des öffentlichen Trinkwassers drastisch zu erhöhen. Man stelle sich vor, die Hacker hätten direkten Zugriff auf die Impfstoffproduktion und würden die jeweiligen Anteile der Wirkstoffe verändern. Schon kleine Änderungen an der Formel können die Wirksamkeit deutlich beeinträchtigen. Das könnte durchaus in einer gesundheitlichen Katastrophe enden.

Neben der Produktion stellt auch die Lagerung und die recht aufwändige Logistik mögliche Angriffspunkte dar. Angreifer könnten die entsprechenden Temperaturkontrollsysteme anvisieren und die Lagertemperatur manipulieren. Das würde die Wirksamkeit der Impfstoffe stark reduzieren. Auch die Logistik bietet enorme Angriffsflächen, zum Beispiel für einen Ransomware-Angriff auf die Terminplanungssoftware, der zu Verzögerungen bei der Auslieferung führen und den Zeitplan für die Verteilung der Impfstoffe beeinflussen könnte. Zudem könnten Lagerräume nicht mehr zugänglich sein und Transportrouten ausfallen.

Angebote von gefälschten Impfstoffen im Darknet

Auch im Darknet haben sich die Angebote von Impfstoffen vervielfacht: Dort wurden Impfdosen des Biontec/Pfizer-Vaccins für 250 Euro pro Dosis angeboten. Europol beobachte außerdem einen massiven Anstieg von Werbung für Covid-19-Impfstoffe um 400 Prozent. Auch die Preise stiegen im Januar noch einmal deutlich auf 400 bis zu 1.000 Euro pro Dosis. Zudem werden nun keine einzelnen Dosen mehr allein verkauft, sondern Pakete mit mehreren Impfstoff-Dosen.

Weiterhin hohes Risiko von gezielten Angriffen

Entsprechend schätzt das BSI die Bedrohungslage auch der deutschen Pharmaunternehmen und Impfstoffhersteller als hoch ein. Gegenüber der Deutschen Welle erklärte BSI-Präsident Schönbohm: „Es besteht auch weiterhin das Risiko von gezielten Angriffen gegen Forschungseinrichtungen. Auch die Unternehmen müssen ihren Teil dazu beitragen, etwa durch angemessene Investitionen in die Informationssicherheit.“

Unternehmen können einige Maßnahmen ergreifen, die sofortigen Schutz bieten:

• Awareness-Schulungen zum Schutz vor Phishing
• Daten in der Cloud absichern
• Sichere VPN-Verbindungen nutzen
• Den Browser absichern
• Daten auf allen Endgeräten schützen
• Multifaktor-Authentifizierung

Sicherlich sind auch viele Ihrer Mitarbeiter an einem baldigen Impftermin interessiert. Da öffnet man vielleicht umso schneller eine E-Mail, die suggeriert, aktuelle Informationen dazu zu enthalten. Aus diesem Grund empfiehlt Perseus allen Unternehmen, die Mitarbeiter so schnell wie möglich durch entsprechende Trainings, z.B. mit simulierten Phishing-Angriffen für das Thema zu sensibilisieren.

Sprechen Sie uns gerne dazu an: 030/95 999 80 80 (Mo – Fr 09:00-18:00 mit Ausnahme von gesetzlichen Feiertagen) oder per E-Mail an info@perseus.de.