Ein schwerwiegender Cyberangriff auf den Medizintechnik-Hersteller Stryker zeigt, wie gefaehrlich die Kompromittierung eines einzelnen Cloud-Admin-Kontos sein kann. Angreifer nutzten die Unternehmensinstanz von Microsoft Intune, um per Remote Wipe die Daten von rund 80.000 Endgeraeten zu loeschen – ohne klassische Malware, ohne Ransomware und allein ueber legitime Verwaltungsfunktionen.
Cyberangriff auf Stryker: Remote Wipe ueber Microsoft Intune
Nach Unternehmensangaben beschraenkte sich der Vorfall auf die interne Microsoft-365- und Intune-Umgebung. Medizinische Produkte und medizinische Geraete von Stryker waren nach bisherigen Erkenntnissen nicht betroffen und gelten weiterhin als sicher im klinischen Einsatz.
Die Attacke ereignete sich am Morgen des 11. Maerz 2026 zwischen etwa 5:00 und 8:00 Uhr UTC. Betroffen waren sowohl unternehmenseigene Endgeraete als auch private Smartphones, Tablets und Laptops von Mitarbeitenden, die im Rahmen von Bring Your Own Device (BYOD) in Intune eingebunden waren.
Angriffsablauf: Vom kompromittierten Admin-Konto zur Massenloeschung
Den Ermittlungen zufolge gelang es den Taetern zunaechst, ein privilegiertes Administratorkonto in der Microsoft-Cloud zu kompromittieren. Im Anschluss wurde ein weiterer Account mit der Rolle Global Administrator eingerichtet. Diese hoechste Berechtigungsstufe erlaubt die vollstaendige Steuerung von Microsoft 365, Azure AD (heute Entra ID) und Microsoft Intune.
Ueber dieses Konto stiessen die Angreifer schliesslich einen massiven Remote-Wipe-Befehl an. Intune, eigentlich als zentrales Mobile-Device-Management (MDM) konzipiert, loeschte daraufhin die Daten auf tausenden verwalteten Endpunkten – exakt so, wie es in Notfall- oder Diebstahl-Szenarien vorgesehen ist, nur diesmal im Sinne der Angreifer.
Der Vorfall unterstreicht eine bekannte Erkenntnis aus zahlreichen Studien, etwa dem Verizon Data Breach Investigations Report: gestohlene oder missbrauchte Zugangsdaten gehoeren zu den haeufigsten Einfallstoren in Unternehmensumgebungen. Kommen privilegierte Konten hinzu, koennen bereits wenige Aktionen katastrophale Auswirkungen haben.
Rolle der Hackergruppe Handala und Ergebnisse der Forensik
Die mit dem Iran in Verbindung gebrachte hacktivistische Gruppe Handala reklamierte den Angriff fuer sich. In ihren Verlautbarungen behauptete die Gruppe, Daten auf mehr als 200.000 Geraeten zerstoert und rund 50 TB vertraulicher Informationen exfiltriert zu haben.
Die forensische Analyse, an der neben Stryker auch das Microsoft Detection and Response Team (DART) und die Expertinnen und Experten von Palo Alto Networks Unit 42 beteiligt waren, zeichnet jedoch ein anderes Bild. Bisher liegen laut Unternehmen keine Hinweise auf:
- Einsatz klassischer Malware oder Ransomware,
- Verschluesselung von Daten,
- bestaetigte Datenausleitung im von Handala behaupteten Umfang.
Damit handelt es sich vor allem um einen Missbrauch legitimer Management-Funktionen statt eines typischen Ransomware- oder Datendiebstahl-Szenarios – ein Angriffsmuster, das sich in Cloud- und SaaS-Umgebungen haeufiger beobachten laesst.
Auswirkungen auf Betrieb, Lieferketten und Patientenversorgung
Die Massenloeschung von Arbeitsplatzrechnern und mobilen Endgeraeten stoerte zentrale interne Geschaeftsprozesse bei Stryker. Prioritaet hatte die Wiederherstellung von:
- Systemen zur Auftragsbearbeitung,
- IT-gestuetzten Lieferketten,
- Ablaufen fuer die Auslieferung medizinischer Produkte an Kundinnen und Kunden.
Das Unternehmen betonte, dass alle bis waehrend der Attacke eingegangenen Bestellungen erfuellt werden sollen, sobald die Infrastruktur vollstaendig wiederhergestellt ist. Gerade im Gesundheitswesen koennen bereits kurze Lieferverzoegerungen die Verfuegbarkeit von Operationen oder lebenswichtigen Behandlungen beeinflussen.
Strafverfolgung: FBI nimmt Infrastruktur von Handala ins Visier
Parallel zum Vorfall ging die US-Strafverfolgung gegen die digitale Infrastruktur von Handala vor. Das FBI liess mindestens zwei von der Gruppe verwendete Domains beschlagnahmen: handala-redwanted[.]to und handala-hack[.]to. Beide leiten nun auf eine Seizure-Benachrichtigung auf Basis eines Beschlusses eines Bundesgerichts im US-Bundesstaat Maryland weiter.
Die DNS-Eintraege der Domains wurden auf ns1.fbi.seized.gov und ns2.fbi.seized.gov umgestellt. Laut den oeffentlichen Erklaerungen wurden die Domains fuer „malicious cyber activity in support of a foreign government“ verwendet. Ob und in welchem Umfang Ermittlungsbehoerden Zugriff auf Serverinhalte oder Logdaten erlangen konnten, ist bislang nicht oeffentlich bekannt.
Vertreter von Handala bestaetigten die Beschlagnahmung in ihrem Telegram-Kanal und kuendigten an, eine widerstandsfaehigere Infrastruktur aufzubauen. Dies deutet darauf hin, dass von der Gruppe weiterhin eine anhaltende Bedrohung ausgeht.
Lektionen fuer die Praxis: Schutz von Microsoft 365, Intune und MDM
Der Angriff auf Stryker macht deutlich, wie kritisch MDM- und Endpoint-Management-Systeme fuer die Cyberresilienz moderner Organisationen sind. Werden administrative Konten in Microsoft 365 oder Intune kompromittiert, verwandeln sich diese Werkzeuge in ein maechtiges Angriffsvehikel – ganz ohne eigene Malware.
Privilegierte Konten und Global Administrator absichern
Fachbehoerden wie CISA und Standards wie NIST SP 800-207 (Zero Trust) empfehlen seit laengerem, privilegierte Konten besonders stark zu schuetzen. Dazu gehoeren insbesondere:
- Verpflichtende Multi-Faktor-Authentifizierung (MFA) und moeglichst passwortarme Modelle,
- Nutzung getrennter, gehärteter Admin-Workstations statt Alltags-PCs fuer administrative Aufgaben,
- Minimierung der Anzahl von Global-Administrator-Konten und regelmaessige Ueberpruefung ihrer Aktivitaeten (Privileged Access Management),
- feingranulare Rollenmodelle statt allumfassender Vollzugriffe.
MDM-Richtlinien, BYOD und kritische Aktionen hart begrenzen
Organisationen sollten ihre Intune- und MDM-Konfigurationen im Lichte dieses Vorfalls kritisch ueberpruefen:
- Strikte Trennung von Unternehmens- und Privatgeraeten sowie klare, transparent kommunizierte BYOD-Policies,
- Einfuehrung von zusätzlichen Freigabeprozessen fuer hochkritische Aktionen wie Massen-Remote-Wipes,
- laufendes Security-Monitoring fuer auffaellige Aenderungen an Richtlinien oder Admin-Rollen,
- Umsetzung eines Zero-Trust-Ansatzes: Jeder Zugriff wird kontinuierlich geprueft – unabhaengig davon, ob er von „innen“ oder „aussen“ kommt.
Der Vorfall bei Stryker fuehrt vor Augen, dass selbst hochregulierte und technologisch fortgeschrittene Unternehmen verwundbar bleiben, wenn die Risiken von Cloud-Management-Loesungen unterschaetzt werden. Jetzt ist der richtige Zeitpunkt, eigene Microsoft-365- und Intune-Sicherheitsarchitekturen zu ueberdenken, Notfallplaene realistisch zu testen und Mitarbeitende fuer den sorgfaeltigen Umgang mit Zugangsdaten zu sensibilisieren, um aehnliche Vorfaelle und ihre Auswirkungen kuenftig zu begrenzen.
