SchwachstellenHackerangriffeCloud-Sicherheit

Microsoft Intune im Visier: FBI und CISA warnen vor Iran-gestütztem Cyberangriff auf Stryker

Microsoft Intune im Visier: FBI und CISA warnen vor Iran-gestütztem Cyberangriff auf Stryker
Zusammenfassung

Das US-amerikanische FBI und die Cybersecurity and Infrastructure Security Agency (CISA) warnen vor erheblichen Sicherheitsrisiken bei der Nutzung von Microsoft Intune, nachdem eine dem Iran zugeordnete Hackergruppe namens Handala das Medizintechnikunternehmen Stryker angegriffen hat. Bei dem Angriff wurden über 200.000 Unternehmensgeräte gelöscht, indem die Angreifer das legitime Microsoft-Verwaltungssystem infiltrierten – ohne dabei Malware einzusetzen. Dies stellt eine besonders tückische Bedrohung dar, da legitime Administrationstools als Angriffsvektor missbraucht wurden. Die US-Behörden empfehlen betroffenen Organisationen dringend, ihre Intune-Konfigurationen zu härten, mehrstufige Authentifizierung zu implementieren und rollenbasierte Zugriffskontrollrichtlinien zu verschärfen. Für deutsche Unternehmen und Behörden, die Intune zur Verwaltung ihrer IT-Infrastruktur einsetzen, ist diese Warnung von hoher Relevanz. Die Attacke zeigt die Verwundbarkeit zentraler Device-Management-Systeme und unterstreicht die Notwendigkeit, administrative Funktionen – insbesondere das Löschen von Geräten – durch zusätzliche Genehmigungsprozesse zu schützen. Deutsche Organisationen sollten ihre Intune-Sicherheitseinstellungen überprüfen und die empfohlenen Best Practices zeitnah umsetzen.

Die US-amerikanischen Cybersecurity-Behörden haben am Mittwochabend eine dringende Warnung vor Sicherheitsrisiken in Microsoft Intune ausgegeben. Der Grund: der erfolgreich durchgeführte Angriff auf Stryker, einen führenden Hersteller von medizinischen Geräten. Die iranische Hacker-Gruppe Handala verschaffte sich Zugriff auf das Intune-System des Unternehmens und löschte systematisch über 200.000 Geräte, ohne dabei auf Malware angewiesen zu sein.

Dieser Ansatz ist besonders bemerkenswert, da die Angreifer eine legitimierte Microsoft-Verwaltungssoftware als Waffe missbrauchten. Dadurch entging der Angriff möglicherweise traditionellen Malware-Erkennungssystemen. Tausende Mitarbeiter von Stryker wurden in der Folge von ihren Systemen ausgesperrt und konnten in Fabriken weltweit nicht arbeiten. Besonders problematisch: Einige Nutzer hatten Intune auch auf privaten Geräten installiert, weshalb auch ihre persönlichen Daten gelöscht wurden.

Both der FBI und CISA empfehlen Organisationen dringend, ihre Intune-Konfigurationen zu verstärken. Die Maßnahmen sind konkret: rollenbasierte Zugriffskontrolle mit minimalen Berechtigungen, Multi-Faktor-Authentifizierung und die Implementierung von Microsoft Entra ID sollen unbefugte Zugriffe verhindern. Besonders kritisch ist die Forderung nach Vier-Augen-Prinzipien bei sensiblen Operationen wie Gerätewischungen.

Die US-Behörden haben bereits reagiert: Eine mit der Handala-Gruppe verbundene Website wurde von Bundesbehörden abgeschaltet. Das FBI hinterließ einen Hinweis, dass die Seite für Cyberangriffe im Auftrag eines ausländischen Staates genutzt wurde. Auch israelische Quellen berichten, dass mehrere führende Köpfe der Handala-Gruppe in Luftangriffen getötet wurden.

Für deutsche Unternehmen und öffentliche Institutionen, die Microsoft Intune einsetzen, sollte dieser Angriff ein Weckruf sein. Die Sicherheitsrichtlinien des Bundesamtes für Sicherheit in der Informationstechnik (BSI) werden voraussichtlich ähnliche Empfehlungen ausgeben. Intune ist in Deutschland weit verbreitet – sowohl im privaten Sektor als auch in Behörden. Ein vergleichbarer Angriff hätte massive Auswirkungen auf die nationale Infrastruktur.

Ähnliche Artikel