Am 11. März 2026 wurde der US-amerikanische Medizintechnikkonzern Stryker Opfer eines gezielten Cyberangriffs, der erhebliche Störungen in der weltweiten Microsoft-Umgebung des Unternehmens verursachte. Betroffen waren Auftragsverarbeitung, Fertigung und Logistik – in Irland, dem größten Standort außerhalb der USA, wurden Mitarbeitende nach Hause geschickt. Die Hackergruppe Handala beansprucht die Tat für sich und gibt an, über 200.000 Geräte gelöscht und 50 TB Daten gestohlen zu haben.
Besonders bemerkenswert an diesem Angriff ist die Methode: Statt klassischer Schadsoftware sollen die Angreifer Microsoft Intune missbraucht haben – ein legitimes, cloudbasiertes Verwaltungswerkzeug, das Unternehmen zur Geräteverwaltung einsetzen. Damit konnten Systeme remote gelöscht werden, ohne dass Antiviren-Software anschlägt. Stryker selbst bestätigt, dass weder Malware noch Ransomware gefunden wurde, was diese These stützt. Solche „Living-off-the-Land“-Angriffe sind schwer zu erkennen, weil sie keine verdächtigen Werkzeuge einschleusen, sondern vorhandene IT-Infrastruktur gegen das Unternehmen wenden.
Handala wird von Sicherheitsforschern mehrheitlich als Tarnung für Void Manticore gewertet, eine mutmaßlich iranisch staatlich gesteuerte Gruppe unter dem iranischen Geheimdienst MOIS. Die Gruppe ist seit dem Wiederaufflammen des US-Israel-Iran-Konflikts Ende Februar deutlich aktiver geworden und zielt bevorzugt auf Organisationen, die als israelnahe gelten.
Für Krankenhäuser und Gesundheitseinrichtungen, die Stryker-Produkte einsetzen: Medizinische Geräte wie LIFEPAK, Mako oder Vocera waren laut Stryker nicht betroffen und können weiterhin sicher genutzt werden. Bestellungen und Lieferketten hingegen können verzögert sein – der direkte Kontakt zum Stryker-Vertrieb wird empfohlen.
Was lernen wir daraus? Privilegierte Cloud-Management-Plattformen wie Microsoft Intune sind hochwertige Angriffsziele. Organisationen sollten prüfen, ob Zugriffsrechte auf solche Systeme nach dem Least-Privilege-Prinzip vergeben sind, Multi-Faktor-Authentifizierung konsequent erzwungen wird und ungewöhnliche Massenaktionen auf Endgeräten durch Monitoring-Systeme erkannt würden.
Weitere Informationen und laufende Updates direkt von Stryker: stryker.com/newsroom – Originalbericht auf SecurityWeek: securityweek.com
