Stryker-Angriff: Wenn die eigene Sicherheitssoftware zur Waffe wird

Ein Cyberangriff auf den Medizintechnik-Riesen Stryker hat die IT-Sicherheitsbranche in Alarmbereitschaft versetzt. Angreifer nutzten die firmeneigene Verwaltungssoftware, um Hunderttausende Geräte weltweit zu löschen – und stellen damit das Konzept der mobilen Geräteverwaltung infrage.

Katastrophaler Angriff mit System

Am 11. und 12. März 2026 traf es einen der größten Player im Gesundheitssektor: Stryker, ein Fortune-500-Unternehmen mit einem Jahresumsatz von über 25 Milliarden Euro. Die Angreifer, eine mit dem Iran in Verbindung gebrachte Hacktivisten-Gruppe namens Handala, gingen dabei äußerst clever vor. Statt eigene Schadsoftware zu entwickeln, kaperten sie die legitime Verwaltungsinfrastruktur des Konzerns.

Der massive Angriff auf Stryker verdeutlicht, wie verwundbar Unternehmensstrukturen durch moderne Cyber-Attacken geworden sind. Dieser Experten-Report enthüllt effektive Strategien, wie sich mittelständische Unternehmen ohne Budget-Explosion gegen Cyberkriminelle wappnen können. Kostenlosen Cyber-Security-Leitfaden jetzt herunterladen

Nachdem sie Administrator-Zugänge für Strykers Microsoft 365-Umgebung erbeutet hatten, übernahmen sie die Kontrolle über Microsoft Intune – die Cloud-Plattform zur Verwaltung aller Firmengeräte. Von diesem vertrauenswürdigen Administrations-Konsol aus gaben sie dann gleichzeitig Fernlösch-Befehle für Hunderttausende Systeme heraus. Die Bilanz ist verheerend: Über 200.000 Server, Computer und mobile Geräte in 79 Ländern wurden gelöscht.

BYOD-Sicherheit im Kreuzfeuer

Der Angriff trifft den Nerv der modernen Arbeitswelt: Bring Your Own Device (BYOD). In unzähligen Unternehmen müssen Mitarbeiter ihre privaten Smartphones und Laptops in eine Mobile Device Management (MDM)-Plattform einbinden, um auf Firmenressourcen zugreifen zu können. Diese Einbindung erlaubt IT-Administratoren normalerweise, Sicherheitsrichtlinien durchzusetzen und bei Verlust Daten aus der Ferne zu löschen.

Doch genau diese legitime Funktion wurde bei Stryker zur Waffe. „Die Angreifer haben sich den virtuellen Generalschlüssel für jedes eingebundene Gerät verschafft“, erklärt ein IT-Sicherheitsexperte. Das Problem: Herkömmliche Sicherheitssysteme erkennen solche Aktionen nicht als bösartig, wenn sie von der autorisierten Verwaltungssoftware ausgehen.

Notfallmaßnahmen und neue Sicherheitskonzepte

Die Branche reagiert mit Notfall-Empfehlungen. Sicherheitsfirmen wie ThreatLocker veröffentlichen spezielle Richtlinien, die Fernlösch-Befehle isolieren sollen. Selbst wenn sie von legitimen Verwaltungskomponenten initiiert werden, würden unautorisierte Massenlöschungen so blockiert.

Da Angreifer zunehmend psychologische Schwachstellen und legitime Tools ausnutzen, ist eine proaktive Abwehr wichtiger denn je. Dieser Experten-Guide zeigt in 4 Schritten, wie Sie Ihr Unternehmen wirksam vor Phishing und anderen gezielten Hacker-Methoden schützen. Anti-Phishing-Paket zur Hacker-Abwehr kostenlos sichern

Experten fordern drastische Konsequenzen: Unternehmen müssten Zero-Trust-Architekturen einführen, die für kritische Befehle mehrstufige Authentifizierungen verlangen. „Ein einzelner Administrator sollte niemals die Macht haben, Hunderttausende Geräte zu löschen“, betont eine Analystin. Stattdessen seien Vier-Augen-Prinzipien und zusätzliche Freigabeschritte unverzichtbar.

Automatisierung als Gegenmittel

Trotz der offenkundigen Risiken bleiben MDM-Plattformen für verteilte Belegschaften unverzichtbar. Hersteller arbeiten daher an intelligenteren Lösungen. Am 11. März kündigte ProMobi Technologies eine wichtige Erweiterung für seine Scalefusion UEM-Plattform an: Programmierbare benutzerdefinierte Eigenschaften.

Diese neue Funktion automatisiert die Aktualisierung von Gerätemetadaten über Skripte. Bisher mussten Angaben wie Abteilungszugehörigkeit oder Compliance-Status manuell gepflegt werden – eine Fehlerquelle, die zu Sicherheitslücken führen konnte. Jetzt können Skripte automatisch prüfen, ob ein Gerät verschlüsselt ist oder unerlaubte Software enthält, und es im Verwaltungskonsol entsprechend kennzeichnen.

Paradigmenwechsel in der Cybersicherheit

Der Stryker-Angriff markiert einen Wendepunkt. Angreifer setzen zunehmend auf „Living off the Land“ – sie nutzen vorhandene Verwaltungswerkzeuge statt eigene Malware zu entwickeln. Diese Taktik ist besonders tückisch, weil sie traditionelle Sicherheitsperimeter umgeht.

Für kritische Infrastrukturen wie das Gesundheitswesen ist diese Entwicklung alarmierend. Die Verwaltungskonsole, einst das Herzstück der Sicherheit, wird zum Einfallstor. Die Konsequenz: Unternehmen müssen ihre Management-Plattformen genauso streng schützen wie die Endgeräte selbst.

Die Balance zwischen Komfort und Sicherheit muss neu justiert werden. Die Bequemlichkeit von BYOD und zentraler Geräteverwaltung steht nun der Erkenntnis gegenüber, dass diese mächtigen Werkzeuge im falschen Händen verheerende Wirkung entfalten können.