Die CISA verwies in ihrer Mitteilung ausdrücklich auf den Vorfall bei Stryker. “Der CISA ist bösartige Cyberaktivität bekannt, die sich gegen Endpoint-Management-Systeme von US-Organisationen richtet und auf dem Cyberangriff vom 11. März 2026 gegen die US-amerikanische Medizintechnikfirma Stryker Corporation beruht, der deren Microsoft-Umgebung betraf”, erklärte die Behörde am Mittwoch. Zur Abwehr ähnlicher Aktivitäten rief die CISA Organisationen dazu auf, die Konfiguration ihrer Endpoint-Management-Systeme mithilfe der im Hinweis genannten Empfehlungen und Ressourcen zu härten.
Die Empfehlungen der CISA gelten für Microsoft Intune ebenso wie für andere Endpoint-Management-Software. IT-Administratoren sollen dem Prinzip der minimalen Rechtevergabe folgen und Administratorrollen nur die jeweils erforderlichen Berechtigungen zuweisen — über die rollenbasierte Zugriffssteuerung (RBAC) von Microsoft Intune.
Zudem sollen Administratoren Mehr-Faktor-Authentifizierung und eine saubere Verwaltung privilegierter Zugriffe durchsetzen, um unbefugten Zugriff auf privilegierte Aktionen in Intune zu unterbinden — etwa über Funktionen von Microsoft Entra ID wie Conditional Access, Risikosignale und MFA. Für sensible Aktionen wie Gerätelöschungen, Anwendungsaktualisierungen und RBAC-Änderungen soll zudem eine Freigabe durch mehrere Administratoren erforderlich sein.
“Zusammengenommen helfen diese Praktiken dabei, sich von der Abhängigkeit von ‘vertrauenswürdigen Administratoren’ zu lösen und stattdessen eine von Grund auf besser geschützte Administration aufzubauen”, erklärt Microsoft: minimale Rechtevergabe, um die Auswirkungen einzudämmen, Entra-basierte Kontrollen, um sicherzustellen, dass Nutzer vertrauenswürdig und tatsächlich die sind, die sie vorgeben zu sein, sowie die Freigabe durch mehrere Administratoren, um die wichtigsten Änderungen zu steuern.
Die Gruppe Handala — auch bekannt als Handala Hack Team, Hatef und Hamsa — bekannte sich zu dem Angriff auf Stryker. Sie trat im Dezember 2023 als Hacktivisten-Operation in Erscheinung, die israelische Organisationen mit Windows- und Linux-Datenlösch-Malware angriff. Die Gruppe wird mit dem iranischen Geheimdienstministerium (MOIS) in Verbindung gebracht und ist dafür bekannt, sensible Daten aus kompromittierten Systemen zu entwenden und zu veröffentlichen.
