Medienbericht zu EU-Arzneimittelbehörde Russische Hacker waren angeblich wochenlang im System der Ema

Ende 2020 gab die EU-Arzneimittelbehörde bekannt, Opfer eines Cyberangriffs geworden zu sein. Zugegriffen wurde dabei auch auf Dokumente von Biontech. Eine niederländische Zeitung liefert nun neue Details.
EU-Arzneimittelbehörde Ema: Hinter einem im Dezember öffentlich gemachten Cyberangriff auf die Behörde stehen angeblich russische Hacker

EU-Arzneimittelbehörde Ema: Hinter einem im Dezember öffentlich gemachten Cyberangriff auf die Behörde stehen angeblich russische Hacker

Foto: LEX VAN LIESHOUT / AFP

Wer hat die Arzneimittelbehörde Ema gehackt, die in der EU die Corona-Impfstoffe prüft? Und welches Ziel verfolgten der oder die Angreifer? Über diese Fragen wird seit Mitte Dezember diskutiert.

Damals hatte die Behörde öffentlich gemacht , dass sie in den Fokus einer Cyber-Attacke geraten war. Dabei gab sie aber keinerlei Details preis. Über Medien wurde schließlich bekannt, dass die Hacker bei ihrer Attacke unter anderem Zugriff auf Impfstoff-Dokumente der Mainzer Firma Biontech erlangten. Die Ema selbst sprach einige Tage später davon, dass »eine begrenzte Anzahl von Dokumenten, die Dritten gehören, unrechtmäßig eingesehen« worden sei.

Das niederländische Blatt »de Volkskrant« hat nun eine größere Recherche zu dem Fall veröffentlicht , auf Basis nicht namentlich genannter Quellen aus dem Umfeld der Ermittlungen. Deren Informationen nach waren es offenbar russische Hacker, denen es im Herbst zunächst mittels gefälschter E-Mails gelang, Einblick in den E-Mail-Verkehr der Ema zu bekommen.

Über die E-Mails ins System

In jenen Mails seien die Angreifer irgendwann auf eine Nachricht gestoßen, mit der die Zwei-Faktor-Authentifizierung für einen neuen Nutzer aktiviert werden sollte, heißt es. Diese Entdeckung hätten die Hacker genutzt, um ein eigenes Gerät an das Ema-System anzubinden. Aufgrund einer bestimmten technischen Einstellung sei es fortan sowohl dem eigentlichen neuen Nutzer, als auch den Hackern möglich gewesen, sich einzuloggen. Jene Schwachstelle im Sicherheitssystem hatte so gravierende Folgen.

Nach ihrem erfolgreichen Eindringen sollen die Hacker über Wochen und sogar länger als einen Monat unbemerkt Zugang zum System der Arzneimittelbehörde gehabt haben, schreibt »de Volkskrant«. Wie ihre Quellen der Zeitung berichteten, sollen die Angreifer dabei weniger an den Impfstoffen von Firmen wie Biontech selbst interessiert gewesen sein. Sie hätten eher wissen wollen, welche Länder sie in welchen Mengen kaufen, heißt es. »Klassische Wirtschaftsspionage«, wird eine der Quellen zitiert.

Im Zuge des Angriffs sind später zwar auch interne Dokumente der Ema im Netz gelandet, darunter auch miteinander kombinierte Auszüge erbeuteter E-Mails. Dies könnte Teil einer Desinformationskampagne sein, mit dem Ziel, das Vertrauen in die Ema, die EU oder auch die Sicherheit der Impfstoffe zu untergraben.

Die Insider vermuten jedoch, dass jenes Leak nicht das Hauptziel der Aktion gewesen ist. Eher hätten sich die russischen Hacker für die europäische Impfstoffstrategie interessiert, legt der Artikel nahe. Dieser Fokus ergibt insofern Sinn, dass Russland mit Sputnik V einen eigenen Impfstoff entwickelt hat, den es auch anderen Ländern anbietet.

Angeblich nur einer von zwei größeren Vorfällen

Hinweise darauf, dass staatliche Akteure hinter dem Angriff stecken könnten, gab es aus Ermittlerkreisen bereits im Dezember . Damals hieß es jedoch, es sei noch unklar, welcher Staat für die Attacke verantwortlich sein könnte.

Einen weiteren ernst zu nehmenden Cyberangriff auf die Ema soll es auch bereits im Frühjahr 2020 gegeben haben, schreibt »de Volkskrant«: Chinesische Spione hätten sich einigen Quellen zufolge damals über einen Angriff auf eine deutsche Universität Zugang zum Ema-System verschafft. Das genaue Ausmaß jener Attacke ist jedoch unklar, die Ema selbst bestreitet den Vorfall.

Die Details, die »de Volkskrant« nun zur angeblichen russischen Attacke veröffentlicht hat, hat die Arzneimittelbehörde bislang nicht kommentiert. Eine SPIEGEL-Anfrage zum Thema blieb am Samstag unbeantwortet. Der Nachrichtenagentur Reuters bestätigte die Behörde derweil nur, dass weiterhin strafrechtliche Ermittlungen zu dem Hack laufen, an denen die Ema auch selbst beteiligt sei.

Das russische Außenministerium äußerte sich Reuters gegenüber bislang nicht zu den Anschuldigungen, die Angreifer hätten im Auftrag Russlands gearbeitet. Moskau streitet Verstrickungen in Hackerangriffe jedoch regelmäßig ab.

Aufgeflogen sein soll der Ema-Hack nach einigen Wochen übrigens, als ein System-Manager der Behörde sogenannte Log-Daten prüfte. Dabei habe er bemerkt, dass sich ein bestimmter Mitarbeiter regelmäßig außerhalb der Bürozeiten ins Netzwerk einloggte, heißt es.

mbö