SchwachstellenHackerangriffeCloud-Sicherheit

Warnung vor Intune-Angriffen: CISA fordert deutsche Unternehmen zu besserer Absicherung auf

Warnung vor Intune-Angriffen: CISA fordert deutsche Unternehmen zu besserer Absicherung auf
Zusammenfassung

Der Medizintechnologie-Konzern Stryker ist Opfer eines massiven Cyberangriffs geworden, bei dem iranisch-verbundene Hackergruppe Handala gezielt die Cloud-basierte Verwaltungslösung Microsoft Intune missbrauchte, um etwa 80.000 Geräte zu löschen. Die Angreifer verschafften sich zunächst Zugang zu einem Administrator-Konto, erstellten daraufhin einen neuen Global-Administrator-Account und nutzten diesen, um über Intunes integrierte Lösch-Funktion flächendeckend Systeme zu deaktivieren. Dabei sollen sie vorher etwa 50 Terabyte an Daten entwendet haben. Das Incident Response Team CISA warnt nun alle US-amerikanischen Organisationen vor ähnlichen Angriffen und fordert sie auf, ihre Intune-Umgebungen zu härten. Für deutsche Unternehmen und Behörden ist dieses Szenario ebenfalls hochrelevant: Viele verwenden Microsoft Intune zur Verwaltung ihrer IT-Infrastruktur. Der Angriff zeigt, wie kritisch eine unzureichend geschützte Administrator-Authentifizierung ist und welche verheerenden Folgen die Kompromittierung von Verwaltungskonten haben kann. Deutsche Organisationen sollten daher dringend Multi-Faktor-Authentifizierung, Least-Privilege-Prinzipien und Multi-Admin-Genehmigungsprozesse für sensible Aktionen implementieren, um sich gegen vergleichbare Bedrohungen zu schützen.

Der Angriff auf Stryker verdeutlicht eine neue Dimension von Cyberbedrohungen: Statt Malware oder klassische Ransomware einzuschleusen, nutzten die Angreifer die legitimen Funktionen von Microsoft Intune selbst, um massiven Schaden anzurichten. Dabei gingen die Hacker gezielt vor: Zuerst kompromittierten sie ein Administrator-Konto, erstellten dann ein neues Global-Administrator-Konto und führten von diesem aus die Wipe-Befehle durch. Diese Vorgehensweise macht deutlich, dass das Sicherheitsrisiko nicht nur bei Schwachstellen in der Software liegt, sondern auch bei unzureichendem Zugangsmanagement.

Handala, auch unter den Namen Handala Hack Team oder Hatef bekannt, ist seit Dezember 2023 aktiv. Die Gruppe wird mit dem iranischen Geheimdienst MOIS verknüpft und hatte sich zunächst auf Operationen gegen israelische Organisationen konzentriert. Der Angriff auf Stryker markiert eine Expansion ihres Aktionsradius und zeigt, dass europäische und deutsche Unternehmen gleichermaßen im Fokus solcher Operationen stehen können.

CISAs Empfehlungen sind konkret und praktikabel: Organisationen sollten das Prinzip der minimalen Berechtigung (Least-Privilege) umsetzen – Administrator-Rollen erhalten nur die Berechtigungen, die sie tatsächlich benötigen. Besonders wichtig ist die Implementierung von Multi-Faktor-Authentifizierung (MFA) und die Anforderung mehrfacher Administrator-Genehmigungen für kritische Aktionen wie Gerätlöschungen oder RBAC-Änderungen.

Microsoft hat bereits Hardening-Richtlinien veröffentlicht, die auf Entra-ID-Funktionen wie Conditional Access und Risk Signals setzen. Das Konzept wird von Microsoft selbst als “Protection by Design” bezeichnet – eine Sicherheitsarchitektur, die weniger auf das Vertrauen in Administratoren setzt, sondern auf technische Kontrollen und mehrschichtige Genehmigungsprozesse.

Für deutsche Organisationen, Behörden und Unternehmen, insbesondere in kritischen Infrastrukturen und der Medizintechnik, sollte dies oberste Priorität haben. Der Stryker-Angriff zeigt, dass gut gepflegte Admin-Accounts zum Einfallstor für großflächige Zerstörung werden können. Die Härtung von Intune-Umgebungen ist kein optionales Sicherheits-Upgrade, sondern eine notwendige Verteidigungsmaßnahme gegen ein reales und gegenwärtiges Risiko.

Ähnliche Artikel