HackerangriffeSchwachstellenMalware

Stryker nach Iran-verknüpftem Cyberangriff wieder vollständig operativ

Stryker nach Iran-verknüpftem Cyberangriff wieder vollständig operativ
Zusammenfassung

Der amerikanische Medizintechnik-Konzern Stryker ist Ziel eines massiven Cyberangriffs geworden, der von der iranisch-verbundenen Hacktivistengruppe Handala durchgeführt wurde. Am 11. März beschädigten die Angreifer systematisch etwa 80.000 Geräte und löschten Daten aus Strykers Systemen, nachdem sie zuvor 50 Terabyte an Informationen gestohlen haben sollen. Das Fortune-500-Unternehmen mit über 53.000 Mitarbeitern und einem Jahresumsatz von 22,6 Milliarden Dollar musste daraufhin große Teile seiner globalen Operationen herunterfahren. Nach etwa drei Wochen intensiver Wiederherstellungsbemühungen gab Stryker diese Woche bekannt, wieder vollständig operativ zu sein. Der Angriff unterstreicht ein wachsendes Risiko für kritische Infrastrukturen im Gesundheitswesen, das auch deutsche Krankenhäuser und Medizinunternehmen betrifft. Handala ist bekannt dafür, gezielt Organisationen mit Windows- und Linux-Malware anzugreifen und gestohlene Daten zu veröffentlichen. Die US-Behörden CISA und FBI sowie Microsoft haben Sicherheitsrichtlinien veröffentlicht, um ähnliche Angriffe zu verhindern. Für deutsche Gesundheitseinrichtungen und Medizintechnik-Unternehmen ist dieser Fall ein warnendes Beispiel für die Notwendigkeit robuster Cybersicherheitsmaßnahmen und Notfallpläne.

Stryker Corporation hat am Mittwoch mitgeteilt, dass der Konzern wieder vollständig operational ist und die Produktion in allen globalen Fertigungsanlagen wieder auf Vor-Angriffs-Niveau läuft. “Wir sind diese Woche vollständig funktionsfähig in unserem globalen Herstellungsnetzwerk. Die Produktion bewegt sich schnell in Richtung maximaler Kapazität”, erklärte das Unternehmen und versicherte, dass die Produktversorgung stabil bleibt und die meisten Produktlinien gut verfügbar sind.

Der Angriff hatte am 11. März morgens begonnen, als die Handala-Gruppe eine neue “Global Administrator”-Aktion nach Kompromittierung eines Windows-Domain-Admin-Kontos ausnutzte. Über diesen privilegierten Zugang gelang es den Angreifern, etwa 80.000 Geräte zu löschen. Nach eigenen Angaben hatten sie zuvor 50 Terabyte sensible Daten exfiltriert.

Handala, auch als Handala Hack Team, Hatef oder Hamsa bekannt, ist eine im Dezember 2023 aufgetauchte iranisch-verbundene Pro-Palästina-Hacktivist-Gruppe. Sie wird mit dem iranischen Geheimdienst (MOIS) verlinkt und hatte sich zunächst auf Windows- und Linux-Malware gegen israelische Organisationen spezialisiert. Dass sie nun ein US-amerikanisches Medizintechnik-Unternehmen attackierte, signalisiert eine Ausweitung ihres Aktionsradius.

Die Sicherheitsbehörden reagierten zügig: Das Cybersecurity and Infrastructure Security Agency (CISA) und Microsoft veröffentlichten Härtungsanleitungen für Windows-Domänen und Intune-Sicherheit. Das FBI beschlagnahmte zwei Websites, die Handala für Datenlecks nutzte.

Besonders bemerkenswert ist eine später gemachte Entdeckung: Obwohl zunächst angenommen wurde, dass die Angreifer keine Malware verwendeten, fanden Cybersicherheits-Experten während der Untersuchung eine bösartige Datei, die den Hackern half, ihre Aktivitäten im Netzwerk zu verschleiern.

Die schnelle Wiederherstellung innerhalb von drei Wochen ist beeindruckend, reflektiert aber auch die enormen Ressourcen, die global tätige Konzerne mobilisieren können. Für deutsche Kliniken und medizinische Einrichtungen ist der Fall ein Weckruf: Viele sind abhängig von einer kleinen Zahl internationaler Medizintechnik-Lieferanten. Versorgungsengpässe könnten unmittelbar Patienten gefährden und zeigen die kritische Bedeutung von Cybersicherheit in der Gesundheitsinfrastruktur.

Ähnliche Artikel