Thought Leadership
Ein Tag nach dem massiven Hackerangriff erklärte der Medizintechnikkonzern Stryker den Vorfall für eingedämmt. Ein Incident-Response-Experte erklärt, warum diese Einschätzung verfrüht sein könnte.
Stryker hat den Cyberangriff vom 11. März für eingedämmt erklärt, nur einen Tag nach Bekanntwerden des Vorfalls. Doch in der Sicherheitsbranche stößt diese schnelle Entwarnung auf Skepsis. Corey Staas, Incident Response Engineer beim US-Sicherheitsunternehmen ProCircular, ordnet die Lage für it-daily.net ein und warnt vor voreiligen Schlüssen.
Was “eingedämmt” technisch bedeutet
Stryker hatte in einer auf Englisch verfassten Stellungnahme erklärt, der Vorfall sei “contained”, also eingedämmt. Staas greift diesen Begriff auf: “‘Contained’ hat in der Incident Response eine spezifische technische Bedeutung”, erklärt er. Die initiale Zugangsstelle müsse identifiziert, die laterale Bewegung nachvollzogen, alle betroffenen Systeme erfasst und der Zugang des Angreifers vollständig gekappt sein. “Das ist selten unkompliziert, besonders wenn Identitätsinfrastruktur wie Microsoft Entra ID betroffen ist.”
Genau das scheint hier der Fall zu sein. Berichten zufolge wurde Strykers Entra ID mit Admin-Rechten kompromittiert. Das eröffne laut Staas mehrere zusätzliche Persistenzpfade, die sich nur schwer schnell überprüfen ließen: “Die Synchronisation schädlicher Änderungen ins lokale Active Directory über Entra Connect, der Missbrauch föderierter Identität oder veralteter Authentifizierungsprotokolle, oder das Aufrechterhalten von Zugang über SaaS-Anwendungen, die an diese Identitätsebene angebunden sind.”
Unternehmen, die eine solche Aussage von einem Zulieferer innerhalb so kurzer Zeit erhielten, sollten diese richtig einordnen: “Wer als Geschäftspartner eine solche Stellungnahme in so kurzer Zeit erhält, sollte sie als erste Einschätzung verstehen, nicht als endgültige Antwort.”
Fairerweise räumt Staas ein, dass die geleistete Arbeit durchaus Respekt verdiene: “Dieser Zeitrahmen von einem Tag spiegelt eine große, leistungsfähige Sicherheitsorganisation wider, die rund um die Uhr arbeitet.” Ein gut ausgestattetes Team könne echte Fortschritte bei der Eindämmung erzielen. “Wenn sie sagen, der Vorfall sei eingedämmt, könnten sie durchaus recht haben.”
Neue Screenshots werfen Fragen auf
Allerdings schränkt Staas diese vorsichtig optimistische Einschätzung selbst wieder ein. Am 16. März tauchten Screenshots auf, die den Zugriff der Angreifer auf Strykers Rubrik- und vSphere-Umgebungen zeigen sollen. Beides ist keine Microsoft-Infrastruktur. Strykers eigene Statusseite beschreibt den Umfang des Vorfalls aber durchgängig als auf die interne Microsoft-Unternehmensumgebung begrenzt.
Staas sieht darin ein mögliches Problem: “Wenn diese Screenshots echt sind, könnte sich das forensische Bild noch weiterentwickeln.” Die Untersuchung werde die Eindämmungsbehauptung weiter validieren müssen. Sein Rat an alle Betroffenen: “Jeder, der auf Stryker angewiesen ist, sollte die weiteren Updates aufmerksam verfolgen, während das forensische Bild klarer wird.”
Hintergrund: Was bisher bekannt ist
Die Hackergruppe Handala hatte den Angriff für sich beansprucht und behauptet, mehr als 200.000 Systeme gelöscht und 50 TByte Daten erbeutet zu haben. In der Sicherheitsbranche gilt die Gruppe als Fassade für Void Manticore, einen dem iranischen Staat zugerechneten Bedrohungsakteur. Stryker, ein Fortune-500-Unternehmen mit rund 56.000 Beschäftigten und über 25 Milliarden US-Dollar Jahresumsatz, hat den Vorfall gegenüber der SEC in einem Form 8-K offiziell bestätigt, nennt aber keinen Zeitplan für die vollständige Wiederherstellung. Das Unternehmen ist ein wichtiger Zulieferer für Krankenhäuser weltweit, auch in Deutschland.
