Thought Leadership
Der Medizintechnikkonzern Stryker fährt zwei Wochen nach einem verheerenden Wiper-Angriff seine Produktion wieder hoch. Eine Schadsoftware im System habe es aber nun wohl doch gegeben.
Zwei Wochen hat es gedauert. Jetzt meldet der Medizintechnikhersteller in einem Update, dass die ersten Produktionslinien wieder anlaufen. Der Konzern war Ziel eines Cyberangriffs mutmaßlich iranischer Akteure, die einen ungewöhnlichen Weg wählten, um maximalen Schaden anzurichten: Sie kaperten die Geräte-Löschfunktion von Microsoft Intune und setzten damit auf einen Schlag mehr als 200.000 Firmengeräte in mehreren Ländern zurück.
Stryker korrigiert sich bei der Malware-Frage
Seit Beginn des Vorfalls hatte Stryker öffentlich und gegenüber Behörden erklärt, dass keine Schadsoftware im Spiel gewesen sei. Diese Darstellung musste das Unternehmen nun revidieren. Das hinzugezogene Incident-Response-Team Unit 42 von Palo Alto Networks fand eine schädliche Datei, über die sich die Angreifer im Netzwerk bewegen und ihre Spuren verwischen konnten. Laut Stryker war diese Datei allerdings nicht in der Lage, sich eigenständig weiterzuverbreiten: “Unsere Untersuchung hat zu keinem Zeitpunkt böswillige Aktivitäten festgestellt, die sich gegen unsere Kunden, Lieferanten, Anbieter oder Partner richteten”, heißt es.
Ärzte griffen auf Funk zurück
Wie empfindlich der Angriff die Gesundheitsversorgung traf, geht aus Gerichtsdokumenten des US-Justizministeriums hervor. In Krankenhäusern in Maryland fielen Kommunikationssysteme von Stryker aus, darunter Freisprechgeräte, über die sich Ärzte und Pflegekräfte normalerweise koordinieren. Vorübergehend musste auf Funk und direkte Absprachen umgestellt werden. Mehrere Kliniken kappten außerdem vorsorglich ihre Verbindung zu Stryker-Systemen. Laut Bloomberg konnten zudem einzelne Operationen nicht stattfinden, weil benötigte Implantate des Herstellers nicht lieferbar waren. Auch in Deutschland sind viele Einrichtungen Kunden von Stryker.
Wiederaufbau mit Priorität auf Kundensysteme
Stryker setzt beim Wiederaufbau auf zwei Wege: Entweder werden betroffene Systeme komplett neu aufgesetzt oder aus Sicherungskopien wiederhergestellt, die aus der Zeit vor dem Angriff stammen. Systeme, die bisher nicht wiederhergestellt werden konnten, bleiben vorerst vom Netz getrennt. Vorrang haben dabei laut dem Unternehmen alle Systeme, die unmittelbar mit Kundenbetreuung, Bestellwesen und Versand zu tun haben.
Unit-42-Vizechef Troy Bettencourt bestätigte schriftlich, dass die Angreifer aus der Stryker-Umgebung entfernt wurden und es keine Hinweise auf Zugriffe auf Systeme von Kunden oder Geschäftspartnern gibt. Die weitere Überwachung erfolge gemeinsam mit Microsoft.
