CISA rät US-Behörden Microsoft Intune abzusichern

Veröffentlicht am 21. März 2026 von Günter Born

Nach dem fatalen Cyberangriff der iranischen Gruppe Handala auf den US-Medizingerätehersteller Stryker, bei dem 200.000 Geräte remote per Intune gelöscht wurden, werden Fragen nach der Absicherung laut. Die CISA fordert US-Behörden auf, Intune besser abzusichern. Und es gibt ein Intune-Sicherheitspack.

Die Secure-Boot-Zertifikate laufen ab. Was sollen Admins tun? Kostenloses eBook » (Sponsored by IT Pro)

CISA fordert zur Intune-Absicherung auf

Die US-Cybersicherheitsbehörde CISA hat anch dem fatalen Cyberangriff der iranischen Gruppe Handala auf den US-Medizingerätehersteller Stryker eine Aufforderung herausgegeben, dringend Microsoft Intune besser abzusichern.

CISA zur Intune Absicherung

Der Angriff auf die Stryker Corporation verdeutlicht einen zunehmenden Trend, bei dem Angreifer Endpunktmanagement-Plattformen, insbesondere Microsoft Intune, ins Visier nehmen, um sich privilegierten Zugriff auf Unternehmensumgebungen zu verschaffen.

Als Reaktion auf den Vorfall fordert die CISA alle Organisationen nachdrücklich auf, die kürzlich von Microsoft veröffentlichten Best Practices zur Absicherung von Microsoft Intune umzusetzen. Die CISA-Warnung vom 18. März 2026 lässt sich hier abrufen. Cybersecurity News weist in obigem Beitrag auf dieses Thema hin und hat die Details in diesem Artikel zusammen getragen.

Intune Detection Pack v2

Und es gibt noch folgenden Tweet, der mir die Woche untergekommen ist. Dieser weist auf ein Intune Detection Pack v2 zur besseren Absicherung der Verwaltungslösung hin, welches bei ThreadHunter.AI beschrieben und zum Download angeboten wird.

Intune Absicherung

Dort wird empfohlen, die Intune-Genehmigung durch mehrere Administratoren für Lösch-, Ausmusterungs- und Entfernungsaktionen zu aktivieren. Das erfolgt in der Tenant-Verwaltung unter Tenant Administration > Multi Admin Approval. Das Einrichten der Genehmigung durch mehrere Administratoren dauert weniger als 10 Minuten, schützt aber vor solchen Aktionen wie durch Handala bei Stryker. Es ist auch keine zusätzliche Lizenzierung erforderlich.

Weiterhin heißt es in obigem Tweet als Zitat aus dem Detection Pack: "Überprüfen Sie die PIM-Rolleneinstellungen für den globalen Administrator, den Intune-Administrator und den Cloud-Geräteadministrator. Wenn Sie nur das Kontrollkästchen 'Azure MFA erforderlich' sehen und kein Authentifizierungskontext konfiguriert ist, besteht dieselbe Sicherheitslücke, die das Löschen des Stryker-Geräts ermöglicht hat. Konfigurieren Sie noch heute den Authentifizierungskontext mit FIDO2 oder zertifikatsbasierter Authentifizierung."

Empfohlen wird, Regel 13 (Warnmeldung bei Schwellenwert für Massenlöschungen) bereitzustellen. Fünf Löschvorgänge innerhalb von 15 Minuten von einer einzigen Identität aus lösen dann die Warnmeldung aus. Verknüpfen Sie diese mit einer Logic App, die über Microsoft Graph die Funktion revokeSignInSessions für das auslösende Konto aufruft.

Dieser Beitrag wurde unter Cloud, Sicherheit abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros. Kommentare abseits des Themas bitte unter Diskussion. Kommentare, die gegen die Regeln verstoßen, werden rigoros gelöscht.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.