Thought Leadership
Nach dem Angriff auf den US-Konzern Stryker schlägt die CISA Alarm: Endpoint-Management-Systeme wie Microsoft Intune stehen offenbar verstärkt im Visier von Angreifern. Die Behörde gibt konkrete Handlungsempfehlungen.
Die US-Cybersicherheitsbehörde CISA hat am Mittwoch eine dringliche Warnung an Organisationen in den USA herausgegeben. Hintergrund der Cyberangriff auf den Medizintechnik-Konzern Stryker, bei dem Angreifer offenbar gezielt die Microsoft-Infrastruktur des Unternehmens ins Visier nahmen. Die Behörde sieht darin kein Einzelphänomen, sondern einen breiteren Trend: Man beobachte derzeit gezielte Angriffe auf Endpoint-Management-Systeme US-amerikanischer Organisationen. Das dürfte auch für deutsche Unternehmen wichtig sein.
Intune als Einfallstor und Waffe zugleich
Im Mittelpunkt steht Microsoft Intune, eine cloudbasierte Plattform, mit der Unternehmen ihre Geräteflotten zentral verwalten. Laptops, Smartphones, Tablets, alles lässt sich darüber konfigurieren, absichern und im Ernstfall auch aus der Ferne löschen. Genau diese Mächtigkeit wird zum Problem, wenn Angreifer die Kontrolle übernehmen. Im Fall von Stryker berichten Mitarbeiter, dass während des Angriffs sogar private Smartphones gelöscht wurden, die lediglich über Outlook mit der Unternehmensumgebung verbunden waren.
Wer ein solches System kompromittiert, hat also nicht nur Zugriff auf Unternehmensdaten, sondern kann im schlimmsten Fall Tausende Geräte gleichzeitig manipulieren oder unbrauchbar machen. Für Angreifer ist das ein enormer Hebel.
Konkrete Empfehlungen der CISA
Die Behörde hat gemeinsam mit dem FBI eine Reihe von Maßnahmen formuliert, die Organisationen umsetzen sollten. Wichtig ist dabei die Absicherung privilegierter Zugänge: Administrative Rollen sollten nach dem Prinzip der geringsten Rechte vergeben werden, rollenbasierte Zugriffskontrollen seien Pflicht. Besonders kritische Aktionen wie das Löschen von Geräten, Konfigurationsänderungen oder die Ausführung von Skripten sollten künftig nur noch mit Freigabe durch mehrere Administratoren möglich sein, also ein Vier-Augen-Prinzip für die IT-Infrastruktur.
Darüber hinaus empfiehlt die CISA den Einsatz von phishing-resistenter Mehrfaktorauthentifizierung, den Ausbau privilegierter Zugangsverwaltung über Microsoft Entra ID sowie eine konsequente Ausrichtung an Zero-Trust-Prinzipien. Die Behörde verweist dabei ausdrücklich auf bestehende Microsoft-Dokumentation zur Absicherung von Intune-Umgebungen.
Stryker-Vorfall zeigt die Tragweite
Wie gravierend die Folgen eines solchen Angriffs sein können, zeigt der Fall Stryker selbst. Der Konzern aus Michigan, der unter anderem robotergestützte Chirurgiesysteme und individuell angefertigte Implantate herstellt, musste einräumen, dass Bestell-, Fertigungs- und Versandprozesse gestört sind. In mehreren US-Krankenhäusern wurden Operationen verschoben, weil maßgeschneiderte Implantate nicht rechtzeitig geliefert werden konnten. Auch deutsche Einrichtungen sind auf Stryker angewiesen.
Die pro-iranische Hacktivistengruppe Handala hat den Angriff für sich beansprucht und behauptet, über 200.000 Systeme gelöscht zu haben. Stryker selbst erklärt, keine Hinweise auf Ransomware gefunden zu haben, und spricht von einer schrittweisen Wiederherstellung der Systeme. Die Untersuchungen laufen.
Für Unternehmen, die Intune oder vergleichbare Plattformen einsetzen, dürfte die CISA-Warnung ein Anlass sein, die eigene Konfiguration kritisch zu prüfen, bevor Angreifer es tun.
