Das Tübinger Unternehmen CureVac hat Probleme bei der Informationssicherheit. Über 60 Passwörter, die in Zusammenhang mit Mail-Adressen der Firma stehen, sind im Netz verfügbar. Außerdem sollen Datenbanken und Mailserver von außen erreichbar sein. Die Kommunikation soll unverschlüsselt laufen.

25 der 60 gestohlenen Passwörter sind mit der Adresse info@curevac.com verknüpft. Gängigen Empfehlungen entgegen, unterscheiden diese sich nur geringfügig voneinander. Die Passwörter stammen aus verschiedenen Datenlecks der letzten Jahre und sind frei im Netz verfügbar, wie zuerst die Welt berichtete. Nach Angaben des Unternehmens seien die Passwörter niemals für interne Zwecke verwendet worden und entsprächen nicht der systemisch geprüften Richtlinie.

Laut Welt habe jedoch ein IT-Sicherheitsexperte weitere Sicherheitsrisiken entdeckt. So würden sich Webseite und Mail-System von CureVac einen Server teilen und Datenbanken seien von außen über das Internet sichtbar. Die dafür verwendete Software sei veraltet und weise bekannte Schwachstellen auf. Die Kommunikation mit den Datenbanken erfolge zudem unverschlüsselt.

Lohnendes Ziel für Cyber-Spione

CureVac arbeitet wie viele andere Biotech-Unternehmen an einem Impfstoff gegen das Coronavirus. Weltweit bekannt wurde die Tübinger Firma, weil US-Präsident Donald Trump die Rechte an den Arbeitsergebnissen exklusiv sichern wollte – angeblich soll er bis zu eine Milliarde US-Dollar geboten haben. Motivation für gezielte Cyber-Spionage bei dem Hersteller besteht also allemal.