Inhaltsverzeichnis
Overview
Textüberschrift-Link

Datensicherheit für Pharmaunternehmen: Schutz von F&E- und IP-Daten

Apr 20, 2023
Datensicherheit für Pharmaunternehmen: Schutz von F&E- und IP-Daten

Pharma-Daten sind einer doppelten Dosis von Cyber-Bedrohungen ausgesetzt. Während weiterhin profitorientierte Akteure Pharmaunternehmen wegen monetarisierbarer Daten ins Visier nehmen (letztes Jahr bot Industrial Spy gestohlene Novartis-Daten für 500.000 US-Dollar im Darknet zum Verkauf an), nehmen auch staatlich unterstützte Bedrohungsakteure die Pharmaindustrie ins Visier, um politische Punkte zu sammeln.

Das daraus resultierende Cyberrisiko kann so groß sein, dass es schwer zu beziffern ist. Ein Beispiel: Merck führt immer noch milliardenschwere Gerichtsverfahren, nachdem einige seiner Tochtergesellschaften 2017 zum Ziel russischer, staatlich unterstützter Cyberkrimineller wurden.

Um sich gegen diese zweiköpfige Hydra der Bedrohungslandschaft zu wehren, müssen Pharmaunternehmen genau analysieren, woher das Datenrisiko stammt und was einer Risikominderung im Wege steht.

Die Daten, die das größte Risiko verursachen

In der Regel gilt: Wenn Daten für Ihr Unternehmen geschäftlichen Wert haben, sind sie gefährdet.

Bedrohungsakteure werden jede Information ins Visier nehmen, die sie an Ihre Wettbewerber im Darknet verkaufen, an Sie zurückerpressen oder zur Entwicklung von Nachahmerlösungen in ihren Heimatregionen nutzen können.

Zwei Kategorien sensibler Daten, die speziell bei Pharmaunternehmen häufig ins Visier genommen werden, sind:

Forschungs- und Entwicklungsdaten (F&E)

Proprietäre Daten stehen im Zentrum der Arzneimittelentwicklung – von klinischen Informationen, die während Patiententests gesammelt werden, bis hin zu internen Finanzprognosen und Marktanalysen.

Wird F&E-Daten durch eine Datenpanne offengelegt, kann dies indirekte finanzielle Schäden verursachen, etwa durch den Verlust von Wettbewerbsvorteilen. Außerdem drohen Bußgelder nach Gesetzen wie dem Health Insurance Portability and Accountability Act (HIPAA) und der Datenschutz-Grundverordnung (GDPR), wenn in den geleakten F&E-Daten personenbezogene Daten (PII) enthalten sind.

Der französische Anbieter von Laborsoftware, Dedalus Biologie, wurde kürzlich mit einer Geldstrafe von 1,5 Millionen Euro durch die DSGVO belegt, nachdem es zu einer Datenpanne gekommen war, bei der die personenbezogenen Daten (PII) von fast 500.000 Personen aus 28 Laboren offengelegt wurden. In diesem Fall wurden die Daten zwar nicht direkt von einem Pharmaunternehmen geleakt, aber Drittanbieter wie Dedalus Biologie bedienen Organisationen aus den Life Sciences und können versehentlich F&E-Daten offenlegen, wenn diese im Verlauf des Arzneimittelentwicklungsprozesses geteilt werden.

Geistiges Eigentum (IP)

Für Arzneimittelhersteller kann geistiges Eigentum (IP) technische Daten wie ELN (Elektronisches Laborbuch), Berichte, geheime Herstellungsverfahren, personenbezogene Daten wie nicht registrierte Patienteninformationen sowie finanzielle Informationen wie Preisstrategien umfassen.

Geistiges Eigentum (IP) ist ein Hauptziel für viele Bedrohungsakteure. Die jährlichen Kosten durch Lecks von Pharma-IP (und die daraus resultierende Herstellung von gefälschten Produkten) werden auf etwa 4 % des Jahresumsatzes der Pharmaindustrie geschätzt.

Die Verschiebung des Ortes, an dem Daten gespeichert werden

Die Markteinführung eines Medikaments dauert im Durchschnitt über ein Jahrzehnt, aber die Pharmaindustrie wechselt in Rekordtempo in die Cloud.

  • Über 83 % der Pharmaunternehmen nutzten zwischen 2021 und 2022 öffentliche, hybride oder private Cloud-Umgebungen
  • Der Begriff „Cloud Computing“ tauchte 65 % häufiger in den Jahresberichten von Pharmaunternehmen auf

Cloud-basierte Workloads haben enorme Vorteile für den gesamten Arzneimittelentwicklungszyklus eröffnet. Zum Beispiel ermöglichte die skalierbare, nahezu unbegrenzte Rechenleistung der Cloud, dass Moderna seinen COVID-Impfstoff nur 42 Tage nach der ersten Sequenzierung des Coronavirus in Phase 1 bringen konnte.

Dieser digitale Wandel vollzog sich weitaus schneller, als die meisten Unternehmen je geplant hatten. Umfragen zufolge liegt die Pharmaindustrie etwa fünf Jahre vor den Prognosen zur digitalen Transformation vor Covid-19.

Während rascher Wandel enorme Vorteile bringen kann, entstehen dadurch auch neue Risiken. Datenpannen richten heute größeren Schaden an als je zuvor. Laut IBM lag der durchschnittliche Schaden einer Datenpanne in der Pharmaindustrie im Jahr 2022 bei etwas über 5 Millionen US-Dollar – der dritthöchste Wert aller Branchen.

Die Bedrohungen für Pharma-Daten

Der Nachteil einer schnellen Cloud-Migration besteht darin, dass die Angriffsfläche eines typischen Pharmaunternehmens weit über das hinausgeht, was Sicherheitsteams mit herkömmlichen Methoden absichern können.

Pharmaunternehmen stehen heute vor mehreren Bedrohungen:

Zu großzügige Zugriffsrechte

Übermäßiger Zugriff auf sensible Daten ist ein Beispiel für Schwachstellen, die Sicherheits­teams entgehen können.

Zu großzügige Zugriffsrechte entstehen oft durch Fehlkonfigurationen, zum Beispiel wenn eine Ressource in einer Cloud-Umgebung ohne die richtigen Sicherheitskontrollen bereitgestellt wird. Das kann ein cloudbasiertes Speichermedium sein, das dem Internet ausgesetzt ist, oder ein S3-Bucket mit unverschlüsselten Daten. Und Bedrohungsakteure scannen Netzwerke ständig nach solchen fehlkonfigurierten Assets.

F&E-Daten-Drift

Nehmen Sie ein beliebiges Pharmaunternehmen, das heute tätig ist, und die Wahrscheinlichkeit, dass dort sensible Informationen in nicht autorisierten Umgebungen gespeichert werden, ist äußerst hoch.

Was hier passiert, ist, dass F&E-Daten nur in bestimmten, gut kontrollierten Datenspeichern gemäß den internen Richtlinien zur Datenverwaltung eines Unternehmens gespeichert werden sollten. Doch ohne Wissen des Sicherheitsteams sind diese Daten stattdessen in einen öffentlich zugänglichen Datenspeicher gelangt.

Die meisten Vorfälle bleiben unbemerkt, aber im Jahr 2020 erlitt Pfizer eine massive Datenpanne, als Forscher einen öffentlich zugänglichen Google Cloud Storage-Bucket entdeckten, der Informationen zur Arzneimittelsicherheit enthielt.

Insider-Bedrohungen 

Fehlkonfigurierte Cloud-Ressourcen erhöhen zudem das Risiko durch Insider-Bedrohungen.

Obwohl Unternehmen bestrebt sind, Zero Trust zum Schutz von Daten einzusetzen, sieht die Realität in den meisten Fällen fast gegenteilig aus. Mitarbeitende in der Pharmaindustrie können Zugriff auf Hunderte oder Tausende sensible Dateien haben. Nur eine winzige Minderheit der Insider stellt jemals ein kalkuliertes Cybersecurity-Risiko dar. Dennoch ist durch die Cloud der Zugriff auf sensible Informationen einfacher geworden, sodass der Schaden, den eine einzelne böswillige Person anrichten kann, enorm ist.

Falsche Kennzeichnung von Daten

Die falsche Kennzeichnung von Medikamenten gefährdet das Leben von Patienten, aber die falsche Einstufung der Datensensibilität gefährdet ganze Organisationen. Das liegt daran, dass nicht alle IP-Daten gleich sind.

Beispielsweise sollten die neuesten Methoden der Arzneimittelherstellung auf eine kleine interne Gruppe beschränkt werden, während Preisinformationen für Arzneimittel breiter mit Anbietern entlang der Lieferkette der Arzneimittelentwicklung geteilt werden müssen. Beide Arten von Daten gelten als geistiges Eigentum (IP). Mit herkömmlichen Methoden zur Datenentdeckung und -klassifizierung sind viele Pharmaunternehmen jedoch gezwungen, allen IP-Daten pauschal ein Sensitivitätslabel zuzuweisen oder IP-Daten manuell zu trennen und zu klassifizieren.

Wie Cyera dabei helfen kann, F&E- und IP-Daten zu schützen

Um Ihre Datensicherheit zu stärken und das Risiko von Datenpannen zu verringern, müssen Sie wissen, wo sich sensible Daten befinden und wie Sie diese schützen können.

Cyera bietet eine ganzheitliche Datensicherheitslösung, die R&D- und IP-Daten effektiv schützen kann. Cyera entdeckt, klassifiziert und stellt dynamisch einen umfassenden Kontext zu sensiblen Daten in IaaS-, PaaS- und SaaS-Umgebungen her – ganz ohne Agenten oder Konnektoren. Cyera ermöglicht es Ihnen, Fehlkonfigurationen zu beheben und sensible Daten zu schützen, auf die es Angreifer abgesehen haben. Dazu gehört auch das Erkennen sensibler Daten, die außerhalb genehmigter Umgebungen abgewandert sind, sowie das Benachrichtigen von Teams über sensible Daten, die dem öffentlichen Internet ausgesetzt sind.

Darüber hinaus vereinfacht und beschleunigt Cyera Compliance-Audits, indem es Ihnen ermöglicht, Ihre Datensicherheits- und Datenschutzkontrollen proaktiv mit einem zentralisierten Verzeichnis sensibler Daten zu verbessern, sodass Ihr Team schnell und vollständig auf Audits reagieren kann. Die Plattform stellt die Einhaltung von Richtlinien sicher, die Risiken für HIPAA, DSGVO und weitere Regularien aufzeigen.

Erfahren Sie mehr darüber, wie Cyera F&E, geistiges Eigentum und andere sensible Daten für Pharmaunternehmen schützt – vereinbaren Sie noch heute eine Demo.

Thema

Thought Leadership

Teilen

Analyze this article with AI:
chatgpt Summarize in ChatGPT
Copy Prompt & Open Claude
Summarize in Claude
Ask Perplexity
grok--v2 Copy Prompt & Open Grok
grok--v2 Summarize in Grok

Verwandte Ressourcen

Button-Text
BLOG

Sep 3, 2025

Sep 3, 2025

Cyera Named to the 2025 Forbes Cloud 100

Cyera Named to the 2025 Forbes Cloud 100

BLOG

Sep 2, 2025

Sep 2, 2025

Tal Eisner

Farmers Insurance Breach: A New Chapter in Salesforce-Targeted Attacks

Farmers Insurance Breach: A New Chapter in Salesforce-Targeted Attacks

BLOG

Sep 2, 2025

Sep 2, 2025

Tal Eisner

Lessons from the Salesloft Drift Exposure: What Happened, Its Impact, and How Cyera Can Help

Lessons from the Salesloft Drift Exposure: What Happened, Its Impact, and How Cyera Can Help

Erlebe Cyera

Um Ihr Datenversum zu schützen, müssen Sie zunächst herausfinden, was darin enthalten ist. Lassen Sie uns helfen.

Holen Sie sich eine Demo →
Decorative