{"id":322850,"date":"2026-03-21T00:05:15","date_gmt":"2026-03-20T23:05:15","guid":{"rendered":"https:\/\/borncity.com\/blog\/?p=322850"},"modified":"2026-03-24T07:53:38","modified_gmt":"2026-03-24T06:53:38","slug":"cisa-raet-us-behoerden-microsoft-intune-abzusichern","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2026\/03\/21\/cisa-raet-us-behoerden-microsoft-intune-abzusichern\/","title":{"rendered":"CISA r\u00e4t US-Beh\u00f6rden Microsoft Intune abzusichern"},"content":{"rendered":"

Nach dem fatalen Cyberangriff der iranischen Gruppe Handala auf den US-Medizinger\u00e4tehersteller Stryker, bei dem 200.000 Ger\u00e4te remote per Intune gel\u00f6scht wurden, werden Fragen nach der Absicherung laut. Die CISA fordert US-Beh\u00f6rden auf, Intune besser abzusichern. Und es gibt ein Intune-Sicherheitspack.<\/p>\n

<\/p>\n

CISA fordert zur Intune-Absicherung auf<\/h2>\n

\"\"Die US-Cybersicherheitsbeh\u00f6rde CISA hat anch dem fatalen Cyberangriff der iranischen Gruppe Handala auf den US-Medizinger\u00e4tehersteller Stryker eine Aufforderung herausgegeben, dringend Microsoft Intune besser abzusichern.<\/p>\n

\"CISA<\/a><\/p>\n

Der Angriff auf die Stryker Corporation verdeutlicht einen zunehmenden Trend, bei dem Angreifer Endpunktmanagement-Plattformen, insbesondere Microsoft Intune, ins Visier nehmen, um sich privilegierten Zugriff auf Unternehmensumgebungen zu verschaffen.<\/p>\n

Als Reaktion auf den Vorfall fordert die CISA alle Organisationen nachdr\u00fccklich auf, die k\u00fcrzlich von Microsoft ver\u00f6ffentlichten Best Practices zur Absicherung von Microsoft Intune<\/a> umzusetzen. Die CISA-Warnung vom 18. M\u00e4rz 2026 l\u00e4sst sich hier abrufen<\/a>.\u00a0Cybersecurity News weist in obigem Beitrag auf dieses Thema hin und hat die Details in diesem Artikel<\/a> zusammen getragen.<\/p>\n

Intune Detection Pack v2<\/h2>\n

Und es gibt noch folgenden Tweet<\/a>, der mir die Woche untergekommen ist. Dieser weist auf ein Intune Detection Pack v2 zur besseren Absicherung der Verwaltungsl\u00f6sung hin, welches bei ThreadHunter.AI beschrieben<\/a> und zum Download angeboten wird.<\/p>\n

\"Intune<\/a><\/p>\n

Dort wird empfohlen, die Intune-Genehmigung durch mehrere Administratoren f\u00fcr L\u00f6sch-, Ausmusterungs- und Entfernungsaktionen zu aktivieren. Das erfolgt in der Tenant-Verwaltung unter Tenant Administration > Multi Admin Approval. Das Einrichten der Genehmigung durch mehrere Administratoren <\/span>dauert weniger als 10 Minuten, sch\u00fctzt aber vor solchen Aktionen wie durch Handala bei Stryker. Es ist auch keine zus\u00e4tzliche Lizenzierung erforderlich.<\/p>\n

Weiterhin hei\u00dft es in obigem Tweet als Zitat aus dem Detection Pack: \"\u00dcberpr\u00fcfen Sie die PIM-Rolleneinstellungen f\u00fcr den globalen Administrator, den Intune-Administrator und den Cloud-Ger\u00e4teadministrator. Wenn Sie nur das Kontrollk\u00e4stchen 'Azure MFA erforderlich' sehen und kein Authentifizierungskontext konfiguriert ist, besteht dieselbe Sicherheitsl\u00fccke, die das L\u00f6schen des Stryker-Ger\u00e4ts erm\u00f6glicht hat. Konfigurieren Sie noch heute den Authentifizierungskontext mit FIDO2 oder zertifikatsbasierter Authentifizierung.\"<\/p>\n

Empfohlen wird, Regel 13 (Warnmeldung bei Schwellenwert f\u00fcr Massenl\u00f6schungen) bereitzustellen. F\u00fcnf L\u00f6schvorg\u00e4nge innerhalb von 15 Minuten von einer einzigen Identit\u00e4t aus l\u00f6sen dann die Warnmeldung aus. Verkn\u00fcpfen Sie diese mit einer Logic App, die \u00fcber Microsoft Graph die Funktion revokeSignInSessions<\/em>\u00a0f\u00fcr das ausl\u00f6sende Konto aufruft.<\/p>\n","protected":false},"excerpt":{"rendered":"

Nach dem fatalen Cyberangriff der iranischen Gruppe Handala auf den US-Medizinger\u00e4tehersteller Stryker, bei dem 200.000 Ger\u00e4te remote per Intune gel\u00f6scht wurden, werden Fragen nach der Absicherung laut. Die CISA fordert US-Beh\u00f6rden auf, Intune besser abzusichern. Und es gibt ein Intune-Sicherheitspack.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[7263,426],"tags":[1171,4328],"class_list":["post-322850","post","type-post","status-publish","format-standard","hentry","category-cloud","category-sicherheit","tag-cloud","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/322850","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=322850"}],"version-history":[{"count":4,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/322850\/revisions"}],"predecessor-version":[{"id":322856,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/322850\/revisions\/322856"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=322850"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=322850"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=322850"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}