Die Folgen des Cyberangriffs auf Stryker wirken sich auf Krankenhäuser weltweit aus, auch in Deutschland. Während das Unternehmen an der Wiederherstellung seiner internen IT-Infrastruktur arbeitet, sind derzeit nur manuelle Bestellprozesse möglich. Vertriebsmitarbeiter koordinieren Nachschub direkt mit Kunden, um die Versorgung mit medizinischen Produkten sicherzustellen. Stryker kündigte an, dass bereits aufgegebene Bestellungen nachgespielt werden, sobald die Systeme wieder online sind.
Mit besonderem Nachdruck versichert das Unternehmen, dass alle vernetzten medizinischen Produkte in Kliniken weiterhin sicher funktionieren. Der Angriff beschränkte sich nach Unternehmensangaben auf die interne Microsoft-Umgebung von Stryker und hatte keine Auswirkungen auf klinische Geräte wie elektronische Betten, Tragen, das Vocera-Sprachkommunikationssystem oder das Care.ai-Sensorsystem. Auch Operationsvisualisierungsplattformen, Endoskopie-Systeme und die Tupfer-Verwaltung für Operationen blieben unberührt.
Cybersicherheitsexperten von Cisco Talos enthüllten das Angriffsverfahren: Die Angreifer kompromittierten hochrangige Administrative-Konten und gelangten in die Microsoft-Intune-Konsole von Stryker. Von dort aus missbrauchten sie eine native “Remote-Wipe”-Funktion, um hunderte Geräte gleichzeitig zu löschen – eine sogenannte “Living-off-the-Land”-Technik, die ohne traditionelle Malware auskommt. Cisco Talos fand hunderte geleakte Stryker-Anmeldedaten im Darknet.
Stryker betont die Unbedenklichkeit seiner medizinischen Geräte für klinischen Betrieb und versichert, dass Onsite-Einsätze von Mitarbeitern sowie Telefon- und E-Mail-Kommunikation problemlos möglich sind. Das Unternehmen plant zwar nicht, einen exakten Zeitplan zur Systemwiederherstellung zu nennen, konzentriert sich aber auf die Wiederherstellung von Bestellungs-, Versand- und Kundensupport-Plattformen. Die Gruppe Handala hatte den Angriff als Reaktion auf Strykers Zusammenarbeit mit dem US-Verteidigungsministerium begründet.