Staatliche Hacker zielen nicht mehr nur auf Spionage, sondern auf die Zerstörung kritischer Infrastruktur. Der Angriff auf den Medizintechnik-Riesen Stryker markiert eine gefährliche Wende.
In den vergangenen 72 Stunden wurde die Verwundbarkeit globaler Unternehmensnetzwerke auf brutale Weise demonstriert. Am 11. und 12. März 2026 legte ein massiver Cyberangriff die internen Systeme des US-Medizintechnikkonzerns Stryker lahm. Hunderte Tausende Firmengeräte weltweit wurden gelöscht. Die US-Cybersicherheitsbehörde CISA leitete umgehend eine Untersuchung ein. Gleichzeitig warnten nationale Sicherheitszentren vor weiteren Angriffswellen auf kritische Infrastrukturen. Der digitale Raum wird zum direkten Schauplatz geopolitischer Konflikte.
Angesichts der massiven Zunahme von Angriffen auf kritische Infrastrukturen stehen viele Unternehmen vor der Herausforderung, ihre Abwehr strategisch neu auszurichten. Dieser Experten-Report enthüllt effektive Strategien, wie sich Organisationen ohne Budget-Explosion gegen hochprofessionelle Cyberkriminelle wappnen können. Effektive Strategien gegen Cyberkriminelle jetzt kostenlos entdecken
Verwaltungssoftware als Waffe: So lief der Angriff ab
Der Angriff auf Stryker unterstreicht einen besorgniserregenden Trend: Hacker missbrauchen zunehmend legitime Verwaltungssoftware als Waffe. Laut Vorfallberichten vom 12. März umgingen die Angreifer herkömmliche Malware. Stattdessen kompromittierten sie die Microsoft Intune-Umgebung des Konzerns. Dieses weit verbreitete Tool zur Geräteverwaltung enthält auch Funktionen zum Fernlöschen von Geräten.
Genau diese administrative Funktion nutzten die Bedrohungsakteure. Sie gaben Betriebssystem-Rückstellbefehle für das globale Netzwerk des Unternehmens frei. Verantwortung für den Einbruch übernahm die mit dem Iran in Verbindung gebrachte Hackergruppe Handala, auch bekannt als Void Manticore. Die Gruppe gab an, Daten von über 200.000 Systemen, Servern und Mobilgeräten in 79 Ländern gelöscht und 50 Terabyte an kritischen Firmendaten erbeutet zu haben.
Trotz der schweren internen Störung bestätigte Stryker, dass keine Ransomware eingesetzt wurde. Die medizinischen Produkte und Krankenhaus-Kommunikationssysteme seien sicher. Die American Hospital Association bestätigte diese Einschätzung am 13. März. Es habe keine unmittelbaren Störungen des US-Krankenhausbetriebs gegeben, doch die Alarmbereitschaft bleibe hoch.
Bundesbehörden in Alarmbereitschaft: CISA ermittelt
Das Ausmaß der Störung löste sofortige Maßnahmen der US-Cybersicherheitsbehörden aus. CISA leitete am 12. März eine formelle Untersuchung ein. Der kommissarische Direktor Nick Andersen bestätigte, die Behörde unterstütze das betroffene Unternehmen technisch und stehe bereit, die nationale kritische Infrastruktur zu verteidigen.
Die Reaktion des Bundes geht weit über die Einzelfall-Untersuchung hinaus. Zwischen dem 12. und 13. März veröffentlichten mehrere Information Sharing and Analysis Centers (ISACs) dringende Sicherheitshinweise. Diese warnen, dass staatlich geförderte Hacker, Hacktivisten und Cyberkriminelle ihre Angriffe auf kritische Infrastrukturen in der aktuellen Phase geopolitischer Spannungen massiv verstärken dürften.
Die Behörden betonen, dass Angreifer eine Mischung aus DDoS-Attacken, Spear-Phishing und dem Diebstahl von Zugangsdaten nutzen. Sie fordern Betreiber kritischer Infrastrukturen auf, sofort die Zugriffsrechte für Verwaltungstools zu überprüfen, strenge Multi-Faktor-Authentifizierung für alle Administrations-Portale einzuführen und Daten-Backups komplett offline zu halten, um Massenlöschungen zu verhindern.
Die größere Gefahr: Angriffe auf die reale Welt
Während der Stryker-Vorfall primär IT-Umgebungen traf, bereitet die Bedrohung für Operational Technology (OT) und physische Infrastrukturen Verteidigungsexperten gleichermaßen Kopfzerbrechen. Eine Studie des Industrielle-Sicherheitsunternehmens Dragos vom 5. März zeigt, dass staatliche Bedrohungsgruppen ihren Fokus im vergangenen Jahr grundlegend verlagert haben. Statt nur Netzwerkzugang zu halten, kartieren sie aktiv Wege, um physische Industrieprozesse in den Sektoren Energie, Wasser und Verkehr zu stören.
Neben technischen Schwachstellen nutzen Hacker oft psychologische Faktoren und Phishing-Methoden, um Zugriff auf sensible Netzwerke zu erhalten. In diesem Experten-Guide erfahren Sie in 4 Schritten, wie Sie Ihr Unternehmen wirksam vor modernen Hacker-Methoden und Phishing-Attacken schützen. Kostenlosen Guide zur Hacker-Abwehr anfordern
Der Bericht hebt hervor, dass Gruppen wie Voltzite und Kamacite internet-exponierte Industrie-Steuerungsgeräte scannen. Dazu gehören frequenzgeregelte Antriebe, Mobilfunk-Gateways und intelligente Stromzähler. Diese systematische Erkundung deutet darauf hin, dass Gegner ganze Steuerungsschleifen kartieren, um herauszufinden, welche Bedingungen katastrophale Prozessstilllegungen auslösen könnten. Experten warnen, dass weniger als jeder zehnte OT-Netzwerk die nötige Überwachung hat, um diese Art von Aufklärung zu erkennen.
Hinzu kommt der Faktor Künstliche Intelligenz. Ein globaler Bedrohungsbericht von Flashpoint vom 11. März zeigt, dass agentic AI für moderne Angreifer zum Force Multiplier wird. Durch die Automatisierung von Aufklärung und Schwachstellenausnutzung in Maschinengeschwindigkeit industrialisieren staatliche Akteure ihren Zugang zu kritischen Infrastrukturnetzen. Die Verteidigung wird für private Betreiber damit immer schwieriger.
Paradigmenwechsel: Von Spionage zur Sabotage
Branchenanalysten sehen in den Ereignissen der Märzmitte 2026 einen Paradigmenwechsel. Der Stryker-Angriff demonstriert die verheerende Wirkung von Living-off-the-Land-Techniken. Hacker missbrauchen dabei legitime Verwaltungstools, die bereits in der Zielumgebung vorhanden sind. Diese Methode umgeht oft traditionelle Erkennungssysteme, die nur nach bekannten Malware-Signaturen suchen.
Das primäre Motiv der jüngsten Angriffe scheint nicht finanzielle Erpressung, sondern Datenzerstörung und operative Lähmung zu sein. Die Verbindung staatlicher Geheimdienstoperationen mit lautstarken Hacktivisten-Personas schafft eine hoch volatile Bedrohungslage. Gruppen wie Handala verfolgen das doppelte Ziel, maximalen operativen Schaden anzurichten und gleichzeitig psychologische Kriegsführung durch öffentliche Datenleaks zu betreiben.
Die gezielten Angriffe auf Gesundheitsversorgung und medizinische Lieferketten bereiten auch lokalen Regierungen große Sorgen. In einer Lagebesprechung am 12. März warnten Cybersicherheitsberater, dass kommunale Infrastrukturen – einschließlich öffentlicher Schulen und lokaler Gesundheitseinrichtungen – häufig zwischen die Fronten staatlicher Cyberkampagnen geraten. Finanzanalysten und Ratingagenturen wie S&P Global warnten in einem Bulletin vom 12. März, dass anhaltende Cyberangriffe auf kritische Infrastrukturen kaskadierende Effekte auf globale Lieferketten, Rohstoffpreise und die gesamtwirtschaftliche Stabilität haben könnten.
Ausblick: Proaktive Verteidigung wird überlebenswichtig
Die Branche der digitalen Infrastruktur muss sich auf eine längere Phase erhöhter Bedrohungsaktivität einstellen. Cybersicherheitsfirmen erwarten, dass Rüstungsunternehmen, staatliche Zulieferer und kommunale Infrastrukturbetreiber in den kommenden Monaten im Fokus bleiben werden. Die oberste Priorität für IT-Administratoren ist nun, privilegierten Zugang zu Unternehmensverwaltungskonsolen abzusichern und alle Fernadministrations-Fähigkeiten aggressiv zu überprüfen.
Die Entwicklung automatisierter, KI-gesteuerter Cyberoperationen bedeutet, dass reaktive Sicherheitsmaßnahmen nicht mehr ausreichen. Organisationen müssen ein kontinuierliches Monitoring sowohl interner Verhaltensanomalien als auch externer Bedrohungsaktivitäten einführen. Da sich geopolitische Konflikte weiter im Cyberspace manifestieren, hängt die Widerstandsfähigkeit kritischer digitaler Infrastrukturen maßgeblich vom schnellen Austausch von Geheimdienstinformationen zwischen Privatunternehmen und staatlichen Sicherheitsbehörden ab.
