Die iranische Gruppe Handala übernahm die Verantwortung für den Angriff. In einem Beitrag auf X erklärte sie, neben dem Löschen von rund 200.000 Geräten auch 50 Terabyte an Daten erbeutet zu haben. “Strykers Büros in 79 Ländern wurden zur Schließung gezwungen”, behauptete die Gruppe; die erbeuteten Daten lägen nun “in den Händen der freien Menschen der Welt, bereit für den wahren Fortschritt der Menschheit”.

Stryker bestätigte den Vorfall am Mittwoch als “globale Netzwerkstörung” seiner Microsoft-Umgebung, die man für eingedämmt halte. Das Unternehmen arbeite noch daran, das tatsächliche Ausmaß zu erfassen, und verfüge über Notfallpläne zur Unterstützung von Kunden und Partnern. Am Donnerstag teilte der Konzern mit, dass die Wiederherstellung der betroffenen Systeme weiterhin laufe, Produkte wie die robotergestützte Operationsplattform, die Echtzeit-Kommunikationsplattform für medizinisches Personal sowie Monitore und Defibrillatoren für die erweiterte Notfallversorgung jedoch sicher nutzbar seien.

Auf eine Anfrage von Dark Reading zu Handalas Angaben über die Zahl betroffener Systeme und den behaupteten Datendiebstahl reagierte Stryker zunächst nicht. Mehrere Medien berichteten allerdings, dass Beschäftigte in den USA und anderen Ländern nach Hause geschickt wurden, nachdem ihre Geräte – einschließlich am Arbeitsplatz genutzter Mobiltelefone – auf Werkseinstellungen zurückgesetzt worden waren.

Sicherheitsexperten warnen seit dem Beginn der Militäroperationen der USA und Israels vor Vergeltungsangriffen iranischer Gruppen gegen US-Unternehmen. Der Wiper-Angriff auf Stryker sei der erste große dieser Art, weitere dürften folgen. In einer Analyse nannte Flashpoint mehrere Technologiekonzerne, darunter Amazon, Google, Microsoft, Oracle, Palantir und Nvidia, die das iranische Korps der Islamischen Revolutionsgarde (IRGC) mit Angriffen bedroht habe.

Fachleute sehen in dem Vorfall vor allem eine Mahnung für Notfall- und Wiederherstellungskonzepte. Kim Larsen, Group CISO bei Keepit, warnt, dass Geschäftskontinuität zusammenbreche, wenn die Wiederherstellung von denselben Systemen abhänge, die gerade kompromittiert wurden: “Wenn Identitätsebene, Endgeräte und Backups gemeinsam ausfallen, ist Resilienz weitgehend theoretisch.” Bei global tätigen Organisationen erschwere die Verteilung der Daten über Plattformen, Regionen und Rechtsräume die Wiederherstellung zusätzlich.

Vincenzo Iozzo, CEO und Mitgründer von SlashID, empfiehlt häufige Backups von Cloud-Umgebungen sowie den Einsatz von Infrastructure as Code, um Umgebungen schneller wiederherzustellen. Globale Administratorrechte sollten auf wenige “Break-Glass”-Konten beschränkt bleiben, während Routineaufgaben über separate Konten mit niedrigeren Rechten laufen müssten.

Collin Hogue-Spears von Black Duck betont, dass viele Notfallpläne davon ausgingen, dass Verwaltungsebene, Identitätsinfrastruktur und Unternehmenskommunikation einen Angriff überstünden – ein Wiper breche alle drei Annahmen zugleich. “CISOs müssen ihre BCDR-Pläne um ein Totalverlust-Szenario herum aufbauen, nicht um ein wiederherstellbares Ransomware-Szenario.” Nötig seien unveränderliche, von der Identitätsebene isolierte Backups, von der Unternehmensinfrastruktur unabhängige Kommunikationswege sowie Wiederherstellungspläne, die von null funktionierenden Endgeräten am ersten Tag ausgingen. Die größte Schwierigkeit sei nicht die Technik: “Behandelt Ihr Plan 79 Länder als eine einzige Wiederherstellungszone, stellen Sie während des Vorfalls fest, dass es eigentlich 79 separate Wiederherstellungen ohne Koordination sind.”