HackerangriffeSchwachstellenCloud-Sicherheit

Iranischer Hackerangriff auf Stryker: 200.000 Geräte gelöscht ohne Malware

Iranischer Hackerangriff auf Stryker: 200.000 Geräte gelöscht ohne Malware
Zusammenfassung

Der US-amerikanische Medizintechnik-Konzern Stryker wurde Opfer eines massiven Cyberangriffs durch die iranisch verknüpfte Hackergruppe Handala, die nach Eigenangaben über 200.000 Geräte gelöscht und 50 Terabyte Daten erbeutet haben soll. Der Angriff verursachte erhebliche globale Störungen in der Microsoft-Umgebung des Unternehmens, insbesondere in den Bereichen Auftragsverarbeitung, Herstellung und Versand. Besonders bemerkenswert ist die Angriffsmethode: Statt klassischer Malware nutzten die Hacker die legitime Cloud-Management-Software Microsoft Intune, um Systeme zu löschen – eine „Living-off-the-Land"-Taktik, die Sicherheitsdetektionen erschwert. Der Incident verdeutlicht eine wachsende Bedrohung durch iranische Akteure, die seit Ausbruch des US-Israel-Iran-Konflikts ihre Aktivitäten gegen vermeintliche Israel-Verbündete intensiviert haben. Für deutsche Unternehmen und Behörden ist dies ein Warnsignal: Besonders jene mit medizintechnischen Produkten, IT-Infrastruktur oder geopolitischen Verbindungen zum Westen könnten ins Visier geraten. Der Fall zeigt zudem kritische Sicherheitslücken bei der Verwaltung von Cloud-Management-Tools auf, die deutschen Organisationen zu sofortiger Überprüfung ihrer IT-Governance veranlassen sollte.

Der Angriff auf Stryker markiert einen neuen Wendepunkt in der Cyberkriminalität: Die Hackergruppe Handala nutzte nicht traditionelle Malware, sondern Microsofts Cloud-basiertes Endpoint-Management-System Microsoft Intune, um mehr als 200.000 Geräte zu löschen. Dies bestätigten Cybersicherheitsexperten und Quellen mit Insiderwissen, nachdem zunächst von Wiper-Malware ausgegangen worden war. Stryker selbst erklärte in offiziellen Stellungnahmen, dass weder Malware noch Ransomware während der Ermittlungen gefunden wurden.

Die Auswirkungen waren verheerend: Weltweit kam es zu Störungen in Microsoft-Umgebungen des Unternehmens. Besonders betroffen war Irland, wo sich Strykers größtes Außenzentrum außerhalb der USA befindet. Dort wurden Support-Mitarbeiter, administrative Angestellte und Ingenieure nach Hause geschickt. Die Kommunikation erfolgte über WhatsApp – ein deutliches Zeichen der Ernst der Lage. Die Produktion von chirurgischen Instrumenten, orthopädischen Implantaten und Neurotechnologie-Produkten stockte.

Handala, deren Bezeichnung als Tarnname für die iranische staatliche Hackergruppe Void Manticore gilt, rühmt sich der Attacke und behauptet, 50 Terabyte an Daten geplündert zu haben. Die Gruppe wird von Cybersicherheitsexperten dem iranischen Geheimdienst (Ministry of Intelligence and Security, MOIS) zugeordnet. Seit Ausbruch des US-israelisch-iranischen Konflikts im Februar intensivierte Handala seine Aktivitäten gegen Ziele, die als Israel-freundlich wahrgenommen werden.

Die Missbrauchsmethode von Microsoft Intune offenbart eine kritische Sicherheitslücke: Legitime Administrator-Tools können zur Waffe werden, wenn Angreifer Zugang zu entsprechenden Credentials erhalten. Dies erschwert die Detektion erheblich, da die Systeme nur reguläre Management-Befehle ausführen – ohne verdächtige Malware-Signaturen.

Für deutsche Unternehmen, insbesondere im Healthcare- und Medizintechnik-Sektor, sollte dieser Angriff Anlass zur kritischen Überprüfung von Zugangsschutzmaßnahmen zu Endpoint-Management-Systemen sein. Multi-Faktor-Authentifizierung, strenge Zugriffskontrollen und Logging-Mechanismen sind essentiell.

Ähnliche Artikel