Vom Code bis zum Cloud-Key: Die Anatomie des AstraZeneca-Hacks

Es ist ein Szenario, das jeder CISO (Chief Information Security Officer) fürchtet: Die berüchtigte Hackergruppe Lapsus$ behauptet, tief in die IT-Infrastruktur des Pharmariesen AstraZeneca eingedrungen zu sein. Rund 3 Gigabyte an komprimierten Daten stehen laut aktuellen Meldungen in Untergrundforen zum Verkauf.

Dabei geht es nicht um "nur" ein paar Dokumente, sondern um das Herzstück der modernen Softwareentwicklung: Quellcodes, Cloud-Konfigurationen und interne Anmeldedaten. Für ein Unternehmen, das Milliarden in Forschung und digitale Prozesse investiert, ist das der absolute Super-GAU.

Dabei geht es nicht um "nur" ein paar Dokumente, sondern um das Herzstück der modernen Softwareentwicklung: Quellcodes, Cloud-Konfigurationen und interne Anmeldedaten. Für ein Unternehmen, das Milliarden in Forschung und digitale Prozesse investiert, ist das der absolute Super-GAU.

Tiefe Einblicke: Was die Hacker wirklich erbeutet haben

Die Analyse der veröffentlichten Samples lässt wenig Gutes erahnen. Die Angreifer haben offenbar Zugriff auf interne GitHub Enterprise-Repositories erlangt. Der Leak umfasst Java-basierte Applikationskomponenten – von Controllern bis hin zu Spring Boot-Ressourcen – sowie Python- und Angular-Pakete. Besonders brisant: Auch Details zur Cloud-Infrastruktur auf Basis von Azure, AWS und Terraform sollen Teil des Pakets sein.

Wer die Struktur von modernen Cloud-Umgebungen versteht, weiß, dass gestohlene Terraform-Files wie eine Landkarte für Angreifer funktionieren. Sie zeigen exakt, wie das Netzwerk aufgebaut ist und wo potenzielle Schwachstellen liegen. Hinzu kommen Berichte über entwendete Private Keys, Tokens und Anmeldedaten von Mitarbeitern. Damit ist die Gefahr nicht mit dem Diebstahl beendet – die Hacker könnten diese Schlüssel nutzen, um noch tiefer in die Systeme einzudringen oder langfristige Backdoors zu installieren.

Das Schweigen der Lämmer

AstraZeneca selbst hält sich bisher bedeckt und hat den Vorfall nicht offiziell kommentiert. Das ist bei Konzernen dieser Größe zwar üblich, lässt aber Raum für Spekulationen über das wahre Ausmaß des Schadens. Interessant ist die Rolle der Lapsus$-Gruppe, die bereits in der Vergangenheit Giganten wie Microsoft und NVIDIA attackiert hat. Dass sie die Daten nun direkt zum Verkauf anbieten, anstatt klassische Erpressung (Ransomware) zu betreiben, zeigt eine Verschiebung in der Strategie: Die Daten selbst sind wertvoll genug, um auf dem Schwarzmarkt direkt zu Geld gemacht zu werden.

Was mich persönlich an diesem Fall besonders stört: Es scheint wieder einmal ein Problem des Identity & Access Managements (IAM) zu sein. Wenn 3 GB an Daten unbemerkt exfiltriert werden können, haben die internen Alarmsysteme versagt. Für uns Technik-Nerds ist das eine mahnende Erinnerung daran, dass selbst die modernsten Cloud-Stacks wertlos sind, wenn die Absicherung der Zugangsdaten – zum Beispiel durch eine konsequente Multi-Faktor-Authentifizierung (MFA) und strikte "Least Privilege"-Policies – vernachlässigt wird.

Der AstraZeneca-Hack ist kein einfacher Datendiebstahl, sondern ein massiver Verlust von geistigem Eigentum und Infrastruktur-Geheimnissen. Solange Unternehmen ihre Entwickler-Umgebungen nicht wie Hochsicherheitstrakte behandeln, werden Gruppen wie Lapsus$ leichtes Spiel haben. Der Schaden für AstraZeneca könnte weit über den materiellen Wert der Daten hinausgehen, wenn Wettbewerber oder staatliche Akteure die gestohlenen Codes für Industriespionage nutzen.