HackerangriffeSchwachstellenCloud-Sicherheit

Stryker-Cyberangriff: 80.000 Geräte gelöscht – ohne Malware, aber mit großem Schaden

Stryker-Cyberangriff: 80.000 Geräte gelöscht – ohne Malware, aber mit großem Schaden
Zusammenfassung

Der Medizintechnik-Konzern Stryker wurde Anfang März Opfer eines Cyberangriffs, bei dem eine dem Iran nahestehende Hackergruppe namens Handala nach eigenen Angaben über 200.000 Geräte löschte. Der Angreifer verschaffte sich Zugang zum Microsoft-Umfeld des Unternehmens, kompromittierte ein Administrator-Konto und nutzte Microsofts Cloud-Verwaltungsdienst Intune, um zwischen 5 und 8 Uhr UTC am 11. März etwa 80.000 Geräte ferngesteuert zu löschen – ganz ohne Malware-Einsatz. Das Unternehmen versichert, dass seine medizinischen Produkte nicht beeinträchtigt wurden, betont aber, dass elektronische Bestellsysteme offline sind und Kunden ihre Bestellungen nun manuell über Vertriebsmitarbeiter aufgeben müssen. Für deutsche Nutzer und Unternehmen ist der Fall bemerkenswert, da er zeigt, wie gering die Hürde für großflächige Gerätezerstörung sein kann, wenn Administrator-Konten kompromittiert werden. Besonders kritisch ist, dass auch persönliche Geräte von Mitarbeitern betroffen waren, die in das Netzwerk integriert waren. Der Vorfall verdeutlicht die wachsende Bedrohung durch sogenannte Wiper-Attacken und unterstreicht die Notwendigkeit robuster Zugangskontrollen und Backup-Strategien in deutschen Behörden und Unternehmen.

Der Cyberangriff auf Stryker offenbart eine beunruhigende Sicherheitslücke in der modernen IT-Infrastruktur: Mit minimalen technischen Mitteln gelang es Hackern, zehntausende Geräte auszuschalten. Das Entscheidende dabei – es war keine aufwendige Malware nötig.

Die genaue Vorgehensweise ist rekonstruiert: Die Angreifer verschafften sich zunächst Zugriff auf ein Administrator-Konto. Anschließend erstellten sie ein neues Global-Administrator-Konto und nutzten dann Microsoft Intune – Microsofts Cloud-basiertes Geräteverwaltungssystem – um den Befehl zum Löschen aller Daten auszuführen. Etwa 80.000 Geräte wurden zwischen 5 und 8 Uhr UTC am 11. März gelöscht.

Das ist ein Angriffsmuster, das deutschen Unternehmen zu denken geben sollte. Denn viele Organisationen vertrauen auf Cloud-Dienste wie Intune zur Verwaltung ihrer IT-Infrastruktur – mit dem berechtigten Gedanken, dass dies Sicherheit bietet. Der Fall Stryker zeigt jedoch: Wenn Administrator-Konten kompromittiert werden, kann die Cloud-Infrastruktur selbst zur Waffe werden.

Stryker betont in seinen Stellungnahmen, dass kein Malware-Code auf den Systemen installiert wurde und es sich nicht um einen Ransomware-Angriff handelt. Das stimmt zwar technisch, vermittelt aber einen falschen Eindruck von Sicherheit. Ein Angreifer, der Administratorrechte hat, braucht keine Malware – der Zugriff selbst ist das Problem.

Die Hackergruppe Handala reklamierte den Angriff für sich und behauptete, über 200.000 Systeme gelöscht sowie 50 Terabyte Daten gestohlen zu haben. Ermittler fanden jedoch keine Hinweise auf Datenabfluss. Dass Daten nicht entwendet wurden, ist jedoch kein Trost: Der wirtschaftliche Schaden durch den Betriebsstillstand ist erheblich.

Besonders problematisch: Einige Mitarbeiter hatten ihre privaten Geräte in das Stryker-Netzwerk integriert. Diese verloren ebenfalls ihre Daten. Ein Fehler, der zeigt, wie wichtig klare Richtlinien für die Gerätetrennung sind.

Aktuell arbeitet Stryker an der Wiederherstellung. Medizinische Produkte sind nicht betroffen, aber Bestellsysteme sind offline. Kunden müssen Bestellungen manuell über Vertreter aufgeben. Microsoft DART und Sicherheitsexperten von Palo Alto Unit 42 unterstützen die Ermittlungen.

Das Incident zeigt: IT-Sicherheit ist nicht primär ein Malware-Problem. Kompromittierte Zugangsdaten und schwache Authentifizierungsmechanismen bleiben die größten Risiken – auch in großen Unternehmen.

Ähnliche Artikel