Thought Leadership
Die Hackergruppe Handala will über 200.000 Systeme des US-Konzerns Stryker zerstört und 50 TByte Daten erbeutet haben. Büros in 79 Ländern sollen betroffen sein.
Der US-amerikanische Medizintechnikkonzern kämpft mit den Folgen eines massiven Cyberangriffs. Das Unternehmen, das zu den Fortune-500-Konzernen zählt und mit rund 56.000 Beschäftigten einen Jahresumsatz von über 25 Milliarden US-Dollar erwirtschaftet, ist ein wichtiger Zulieferer für Krankenhäuser weltweit. Stryker stellt unter anderem chirurgische Instrumente, orthopädische Implantate und Neurotechnologie her, auch für deutsche Einrichtungen.
Hacker-Logo auf Anmeldebildschirmen
Die Verantwortung für den Angriff hat die Gruppe Handala übernommen, die enge Verbindungen zum iranischen Staat haben soll. Die Hacker sprechen von einem beispiellosen Schlag gegen das Unternehmen. Nach eigenen Angaben wollen sie mehr als 200.000 Server, Mobilgeräte und weitere Systeme gelöscht sowie 50 TByte an Daten gestohlen haben. In der Folge habe Stryker Büros in 79 Ländern herunterfahren müssen.
Das Wall Street Journal berichtete am Mittwoch, dass Stryker den Vorfall bestätigt habe. Mitarbeiter und externe Dienstleister hätten beim Einloggen das Logo der Hackergruppe auf ihren Anmeldebildschirmen vorgefunden. Telefone, Laptops und andere Geräte mit Zugang zum Firmennetz seien gelöscht worden, besonders Windows-Systeme seien stark betroffen gewesen. Stryker habe seine Belegschaft angewiesen, Firmengeräte nicht einzuschalten und sich sofort von allen Netzwerken zu trennen.
Stryker spricht von eingedämmtem Vorfall
Intern kommunizierte Stryker die Lage offenbar deutlich. Gegenüber Mitarbeitern am irischen Standort Cork sprach das Unternehmen laut dem Irish Mirror von einer schweren, globalen Störung, die sämtliche Laptops und Systeme mit Netzwerkanbindung betreffe.
In einem öffentlichen Update am Mittwochnachmittag teilte Stryker mit, es handle sich um eine globale Netzwerkstörung in der Microsoft-Umgebung infolge eines Cyberangriffs. Es gebe keine Hinweise auf Ransomware oder Schadsoftware, und man gehe davon aus, dass der Vorfall eingedämmt sei.
SEC-Meldung bestätigt den Angriff offiziell
Inzwischen hat Stryker den Vorfall auch gegenüber der US-Börsenaufsicht SEC in einem sogenannten Form 8-K offiziell bestätigt. Darin erklärt das Unternehmen, am 11. März 2026 einen Cybersicherheitsvorfall identifiziert zu haben, der bestimmte IT-Systeme betroffen und zu einer globalen Störung der Microsoft-Umgebung geführt habe. Man habe umgehend den eigenen Notfallplan aktiviert und gemeinsam mit externen Beratern und Cybersicherheitsexperten eine Untersuchung eingeleitet.
Stryker räumt in der Meldung ein, dass die Störung den Arbeitsalltag weiterhin beeinträchtigen werde, einschließlich des Zugangs zu Netzwerksystemen und geschäftskritischen Anwendungen. Einen konkreten Zeitplan für die vollständige Wiederherstellung nannte das Unternehmen nicht.
Handala: Hacktivisten oder iranische Staatshacker?
Die Gruppe Handala ist seit Beginn des Konflikts zwischen den USA, Israel und dem Iran verstärkt aktiv. Oberflächlich betrachtet handelt es sich um eine hacktivistische Gruppierung mit pro-palästinensischer und anti-israelischer Ausrichtung. In der Cybersicherheitsbranche wird allerdings weithin vermutet, dass Handala als Fassade für Void Manticore dient, einen Bedrohungsakteur, der dem iranischen Staat zugerechnet wird.
Die Gruppe ist bekannt für Phishing-Angriffe, Datendiebstahl, Erpressung und den Einsatz speziell entwickelter Wiper-Malware, die darauf ausgelegt ist, Systeme unwiederbringlich zu zerstören. Das Threat-Intelligence-Unternehmen Flashpoint ordnet Handala zudem Informationsoperationen und psychologische Kriegsführung zu.
Seit Beginn des Konflikts hat Handala nach eigener Darstellung unter anderem israelische Militärserver für Wetterdaten gelöscht, Sicherheitskameras in Jerusalem angezapft, Daten verschiedener Unternehmen gestohlen und gelöscht, israelische Geheimdienstmitarbeiter enttarnt sowie ein israelisches Öl- und Gasunternehmen gehackt. Die Gruppe verbreitet ihre angeblichen Erfolge regelmäßig über Telegram und X. Die Behauptungen lassen sich allerdings häufig nicht unabhängig überprüfen.
