US Medizintechnik-Anbieter Stryker nach iranischem Cyberangriff digital ausgeknipst

Der US-Medizinanbieter Stryker ist nach einem Cyberangriff, der von Akteuren aus dem Iran ausgeführt wurde, digital komplett "ausgeknipst". Zehntausende Geräte wurden remote gelöscht – Informationen zufolge konnten die Angreifer das über Intune erreichen. Das zeigt, wo die Reise hin geht.

Ich hatte die Tage bereits die Warnung von Tenable gesehen, dass iranische Cyberakteure wie Hanela auf Grund des Iran-Konflikts bei Cyberangriffen dazu übergangen sind, sogenannte "Wiper" einzusetzen. Diese dringen in Computersysteme ein und löschen alle Dateien.

Dort wurde auch erwähnt, dass Angriffe auf Hikvision-Überwachungskameras über Schwachstellen erfolgen, die teilweise seit 2017 gepatcht sind. Weiterhin gab es eine Information von Check Point Research zur Gruppe Hanela mit Details zu deren Angriffen.

Ich bin nicht dazu gekommen, das hier alles im Blog aufzugreifen, weil ein Vorfall den nächsten jagt. Für Stryker waren diese Warnungen aber zu spät, die wurden komplett digital abgeschaltet.

US-Medizinanbieter Stryker ausgeknipst

Denn am 11.März 2026 wurde auch bekannt, dass US-Medizinanbieter Stryker nach einem Wiper-Angriff durch Hanela quasi digital handlungsunfähig ist. Stryker ist ein führender  US-Hersteller von Medizinprodukten. Das Unternehmen beschäftigt weltweit 56.000 Mitarbeiter, und stellt chirurgische und bildgebende Geräte, Defibrillatoren, Krankenhausbetten, Gelenkersatzsysteme und andere medizinische Geräte her. Es gibt auch Verbindungen zum US-Militär (Produkte zur Versorgung verwundeter Soldaten).

Mitarbeiter von Stryker in den USA, Australien, Indien, Irland und anderen Ländern begannen am Morgen des 11. März 2026, in einem Reddit-Forum über einen Cyberangriff zu berichten. Die ersten Medienberichte über den Hackerangriff kamen aus Irland, wo das Unternehmen eine Niederlassung unterhält.

Der obige Tweet greift das auf und gibt an, dass auch alle Mobilgeräte, die mit dem Mobile Device Management (MDM) des Unternehmens verbunden sind, gelöscht werden. Weitere Berichte besagten, dass die internen Anmelde- und Admin-Seiten von Stryker mit dem Logo der Hackergruppe Handala verunstaltet sei. Auf den Systemen wurde eine Nachricht der Hacker veröffentlicht, in der sie behaupteten, mehr als 200.000 Stryker-Server, -Systeme und -Mitarbeitergeräte angegriffen zu haben. Viele der Systeme seien gelöscht worden. Zudem habe die Gruppe rund 50 Terabyte an Daten gestohlen.

Die iranische Hacktivisten-Gruppe Handala veröffentlichte auf gehackten Systemen und in sozialen Medien entsprechende Nachrichten, in denen sie sich zu dem Angriff auf den Hersteller bekannte – zetter-zeroday.com hat hier diese Nachricht veröffentlicht. Auch die Kollegen von Bleeping Computer haben die obigen Informationen in diesem Beitrag berichtet.

Kurze Zeit später veröffentlichte Stryker eine Erklärung (wird kontinuierlich aktualisiert), in der es bestätigte, dass es "eine globale Netzwerkstörung gibt, die die Windows-Umgebung betrifft". Alle Notebooks, Mobilgeräte und Systeme von Stryker, die mit dem Firmennetzwerk verbunden sind, sind vom Vorfall betroffen. Es hieß in der Mitteilung "Unsere Teams arbeiten aktiv daran, die Systeme und den Betrieb so schnell wie möglich wiederherzustellen. Stryker verfügt über Maßnahmen zur Aufrechterhaltung des Geschäftsbetriebs, und wir sind bestrebt, unsere Kunden weiterhin zu bedienen."

Der Fluch der Cloud: Mit Intune zum Jackpot?

Dann las ich auf X, dass 200.000 über Microsoft Intune verwaltete Geräte von Stryker von dem Vorfall betroffen und gelöscht worden seien. Golem hat gestern im Beitrag Wipe-Attacke: Hackergruppe legt Medizintechnik-Konzern Stryker lahm in einer Nachlese die interessanteren Details aufbereitet (Ergänzung: Ein Leser wies nach Veröffentlichung  meines Blog-Beitrags darauf hin, dass heise es heute hier auch aufgegriffen habe).

Unter Bezug auf Krebs on Security schreibt Golem, dass die Angreifer die cloudbasierte Geräteverwaltungsplattform Microsoft Intune nutzten, um remote Löschbefehle auf verbundenen Geräten auszuführen. Damit waren die Angreifer in der Lage, die komplette digitale Stryker-Infrastruktur auszuknipsen.

Von Illumio liegt mir eine Stellungnahme vor, die die Risiken dieser Infrastrukturen zeigt.  Die schreiben, dass der mutmaßliche Angriff auf Stryker ein Muster zeigt, das man bei vielen großen Cybervorfällen sehen: Wenn Unternehmen stark zentralisierte, homogene Umgebungen betreiben, kann eine einzige Kompromittierung sehr schnell zu einer Lawine führen, insbesondere wenn zwischen Systemen und Diensten implizites Vertrauen besteht.

Wenn ein Cyberangreifer die Kontrolle über ein zentrales Identitäts- oder Gerätemanagementsystem erlangt, ist plötzlich alles, was damit verbunden ist, gefährdet. So kommt es von einem anfänglichen Breach zu einer Cyberkatastrophe: Geräte werden gelöscht, Systeme offline genommen und der Betrieb kommt zum Erliegen.

Die Lehre daraus ist: Nicht nur wie bisher zu versuchen, Angriffe an der Eingangstür zu stoppen. Sondern den "Blast Radius" eines Cyberangriffs zu begrenzen. Dann können Fehler passieren oder Zugangsdaten gestohlen werden, ohne dass Cyberangreifer gleich die Schlüssel zur gesamten IT-Umgebung bekommen. Aber das würde ein Umdenken der Verantwortlichen erfordern.

Illumio schreibt, dass dieses Risiko auch der Grund sei, warum viele Unternehmen verstärkt auf Phishing-resistente Authentifizierungsmethoden setzen – beispielsweise Hardware-Sicherheitsschlüssel – um das Risiko zu verringern, dass ein einziger gestohlener Zugangsdatensatz zur Übernahme von Kernsystemen genutzt werden kann. Hilft aber nicht, wenn Sicherheitslücken oder künftig AI-Funktionen weitere Löcher aufreißen.