Die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) hat eine dringende Warnung an Unternehmen bezüglich der Sicherheit ihrer Geräteverwaltungssysteme herausgegeben. Dies folgt auf einen großen Cyberangriff auf den Medizingerätehersteller Stryker, bei dem pro-iranische Hacker aus der Ferne Daten von Tausenden von vom Unternehmen verwalteten Geräten löschten.
Der Angriff auf Stryker: Eine Fallstudie zum Endpunktrisiko
Am 11. März bestätigte Stryker einen Cyberangriff, der zu „globalen Störungen“ seines Betriebs führte. Im Gegensatz zu typischen Ransomware-Angriffen setzten die Hacker keine Schadsoftware ein. Stattdessen nutzten sie den Zugriff auf das Microsoft Intune-System von Stryker, mit dem Mitarbeitergeräte verwaltet werden, um Daten auf Zehntausenden Telefonen, Tablets und Computern aus der Ferne zu löschen. Hierzu zählten sowohl unternehmenseigene als auch private Geräte, die mit dem Netzwerk verbunden waren.
Warum das wichtig ist: Dieser Vorfall zeigt eine kritische Schwachstelle bei der Verwaltung des Gerätezugriffs in vielen Unternehmen auf. Endpoint-Management-Systeme wie Intune bieten Administratoren eine umfassende Kontrolle, können jedoch bei Kompromittierung zu schweren Störungen führen.
Empfehlungen der CISA: Stärkung der Endpunktsicherheit
Die Leitlinien von CISA konzentrieren sich auf die Stärkung administrativer Kontrollen innerhalb von Geräteverwaltungsplattformen. Insbesondere empfiehlt die Behörde, dass Maßnahmen mit großer Auswirkung, wie z. B. das Löschen von Geräten aus der Ferne, die Genehmigung eines zweiten Administrators erfordern. Dieser „Zwei-Personen-Integritäts“-Ansatz bietet eine wichtige Schutzebene vor betrügerischen oder kompromittierten Konten.
Wichtige Erkenntnisse für Administratoren:
– Beschränken Sie sensible Aktionen auf Arbeitsabläufe mit mehreren Genehmigungen.
– Überprüfen Sie regelmäßig die Benutzerberechtigungen.
– Überwachen Sie Intune-Dashboards auf nicht autorisierte Aktivitäten.
Die Hacktivistengruppe hinter dem Angriff
Eine pro-iranische Hacktivistengruppe namens Handala übernahm die Verantwortung und behauptete, der Angriff sei eine Vergeltung für einen US-Luftangriff im Iran, bei dem Zivilisten getötet wurden. Die Gruppe behauptete, Daten aus Strykers Netzwerk exfiltriert zu haben, konnte jedoch noch keine Beweise liefern.
Stryker hat den Angriff eingedämmt und arbeitet an der Wiederherstellung der Systeme, die Lieferkette, die Bestell- und Versandabläufe bleiben jedoch weiterhin offline. Das Unternehmen hat keinen Zeitplan für die Wiederherstellung angegeben.
Fazit
Der Stryker-Angriff unterstreicht die wachsende Bedrohung durch Endpunktmanipulation. Unternehmen müssen der Sicherung von Geräteverwaltungssystemen mit robusten Verwaltungskontrollen Priorität einräumen, um ähnliche Vorfälle zu verhindern. Das Ignorieren dieses Risikos macht Unternehmen anfällig für lähmende Störungen, die sich auf kritische Abläufe auswirken können.
