Stryker Hack: Wie ein kompromittiertes Admin-Konto 80.000 Geräte löschte – und wie Multi-Admin Approval das verhindert hätte.

Am Morgen des 11. März 2026 kamen Mitarbeitende des Medizintechnik-Konzerns Stryker in 79 Ländern zur Arbeit – und fanden leere Bildschirme vor. Laptops, Server, Smartphones: alles auf Werkseinstellungen zurückgesetzt. Sogar private Mobiltelefone, die über das BYOD-Programm (Bring Your Own Device) in der Firmenverwaltung registriert waren, wurden komplett gelöscht. Fotos, eSIMs, Authenticator-Apps – alles weg.

Was war passiert? Die iranische Hackergruppe Handala hatte sich Zugang zu einem Administrator-Konto verschafft und darüber einen neuen Global Administrator in Microsoft Entra ID angelegt. Von dort aus nutzten sie eine ganz reguläre Funktion von Microsoft Intune: den Remote Wipe. Laut BleepingComputer löschten sie zwischen 5:00 und 8:00 Uhr UTC rund 80.000 Endgeräte – Handala selbst behauptet sogar 200.000 Systeme, Server und Mobilgeräte. Ohne eine einzige Zeile Schadcode. Kein Virus, kein Trojaner, keine Ransomware. Das System tat exakt das, wofür es gebaut wurde. Nur eben für die falsche Person.

Stryker – ein Fortune-500-Unternehmen mit 56.000 Mitarbeitenden und rund 25 Milliarden US-Dollar Jahresumsatz – stand still. Produktion, Logistik, Bestellsysteme: alles offline. Die interne Kommunikation lief zeitweise über WhatsApp, weil die gesamte Firmen-IT nicht mehr existierte. In einer SEC-Meldung bestätigte Stryker, dass der Angriff die Auftragsbearbeitung, Produktion und den Versand beeinträchtigt – eine Wiederherstellungsdauer konnte zunächst nicht genannt werden.

Microsoft Intune ist eines der weltweit meistgenutzten Mobile Device Management (MDM) und Endpoint Security Systeme. Es verwaltet Geräterichtlinien, rollt Software aus und kann im Notfall Geräte aus der Ferne zurücksetzen – etwa bei Verlust oder Diebstahl. Diese Funktion ist gewollt und sinnvoll.

Das Problem: In der Standardkonfiguration reicht ein einziges kompromittiertes Admin-Konto, um die Remote-Wipe-Funktion auf alle verwalteten Geräte gleichzeitig anzuwenden. Kein Vier-Augen-Prinzip, keine Rückfrage, kein Sicherheitsnetz. Wie Forrester-Analyst Paddy Harrington gegenüber Cybersecurity Dive betonte: Der Angriff zeigt keine inhärente Schwachstelle in Intune – er nutzt vielmehr eine Living-off-the-Land-Technik, bei der die legitimen Werkzeuge des Unternehmens gegen es selbst eingesetzt werden.

Sicherheitsforscher von Palo Alto Networks Unit 42 verweisen auf einen Bericht des israelischen National Cyber Directorate vom 6. März 2026, der bereits vor destruktiven Wiper-Angriffen warnte, bei denen Angreifer legitime Zugangsdaten nutzen, um initialen Zugang zu Systemen zu erlangen. Der Stryker-Vorfall bestätigt dieses Muster: Kein Zero-Day, kein Exploit – nur gültige Credentials und zu weitreichende Administratorrechte.

Die US-Cybersecurity-Behörde CISA hat nach dem Stryker-Angriff eine offizielle Empfehlung veröffentlicht, in der alle Unternehmen aufgefordert werden, den Zugang zu MDM-Systemen wie Microsoft Intune abzusichern.

Was viele IT-Verantwortliche nicht wissen: Microsoft Intune bietet eine Funktion namens Multi-Admin Approval (Mehrfachgenehmigung durch mehrere Administratoren). Und genau diese Funktion hätte den Stryker-Angriff in seiner Wirkung massiv eingeschränkt oder sogar komplett verhindert.

So funktioniert es: Sie definieren sogenannte Zugriffsrichtlinien für kritische Aktionen in Intune. Dazu gehören unter anderem Geräteaktionen wie Zurücksetzen (Wipe), Außerbetriebnahme (Retire) und Löschen (Delete) – also exakt die Aktionen, die bei Stryker missbraucht wurden. Wenn Multi-Admin Approval aktiviert ist, kann ein einzelner Administrator diese Aktionen nicht mehr eigenständig ausführen. Stattdessen wird eine Genehmigungsanforderung erstellt, die ein zweiter Administrator aus einer definierten Genehmigungsgruppe aktiv freigeben muss. Erst nach dieser Freigabe führt Intune die Aktion aus.

Das Prinzip entspricht dem klassischen Vier-Augen-Prinzip aus dem Bankenwesen – übertragen auf Ihre IT-Infrastruktur.

Was Multi-Admin Approval konkret schützt:

• Geräteaktionen (Wipe, Retire, Delete)
• App-Bereitstellungen
• Konformitäts- und Konfigurationsrichtlinien
• Rollenbasierte Zugriffssteuerung (RBAC)
• Skript-Bereitstellungen auf Windows-Geräten
• Mandantenkonfiguration und Gerätekategorien
• Die Zugriffsrichtlinien selbst

Besonders der letzte Punkt ist entscheidend: Auch die Multi-Admin-Approval-Richtlinien selbst sind geschützt. Ein Angreifer kann sie nicht einfach deaktivieren, selbst wenn er Admin-Zugriff hat.

Laut BleepingComputer und KrebsOnSecurity lief der Stryker-Angriff in drei Schritten ab: Der Angreifer kompromittierte ein Administrator-Konto, erstellte damit einen neuen Global Administrator in Entra ID und führte anschließend massenhaft Remote-Wipe-Befehle über Microsoft Intune aus.

Mit aktiviertem Multi-Admin Approval wäre bei jedem einzelnen Wipe-Befehl eine Genehmigungsanforderung an die definierte Genehmigungsgruppe gegangen. Kein zweiter, legitimer Administrator hätte diese Anforderungen genehmigt – der Angriff wäre ins Leere gelaufen.

Zusätzlich hätte die schiere Menge an Genehmigungsanforderungen sofort Alarm ausgelöst. Zehntausende Wipe-Anforderungen innerhalb von drei Stunden? Das wäre selbst dem unaufmerksamsten Admin aufgefallen – und hätte wertvolle Zeit gewonnen, um die kompromittierten Konten zu sperren, bevor Schaden entsteht.

Die genaue initiale Kompromittierung wird noch untersucht. Sicherheitsforscher von Halcyon, Check Point Research und Coalition haben jedoch mehrere wahrscheinliche Angriffsvektoren identifiziert:

Adversary-in-the-Middle Phishing (AiTM): Proofpoint dokumentierte aktive AiTM-Kampagnen der iranischen Gruppe TA450 (MuddyWater, mit Verbindungen zu Handala) gegen US-Organisationen noch am 8. März – drei Tage vor dem Angriff. Bei AiTM-Phishing fängt der Angreifer die Session-Tokens ab, die nach einer erfolgreichen MFA-Anmeldung ausgestellt werden. Klassische MFA (SMS, Authenticator-App, Push-Benachrichtigungen) schützt dagegen nicht – nur phishingresistente Credentials wie FIDO2-Sicherheitsschlüssel und Passkeys (z.B. Windows Hello for Business) sind immun.

Infostealer-Malware: Coalition vermutet, dass Infostealer-Logs mit gültigen SSO-Credentials auf dem Schwarzmarkt verfügbar waren und dem Angreifer den initialen Zugang ermöglichten – ein gängiger Weg, bei dem ein einzelner kompromittierter Laptop die gesamte Anmeldekette offenlegt.

VPN-Kompromittierung: Check Point Research beobachtete hunderte Anmeldeversuche gegen VPN-Infrastruktur, die Handala zugeordnet werden – teilweise über kommerzielle VPN-Knoten, nach der iranischen Internet-Abschaltung im Januar 2026 auch über Starlink-IP-Bereiche.

Die gemeinsame Lehre aus allen drei Vektoren: Standard-MFA reicht für Administrator-Konten nicht aus. Phishingresistente Authentifizierung (FIDO2, Passkeys) ist Pflicht.

1. Multi-Admin Approval aktivieren: Prüfen Sie in Ihrem Microsoft Intune Admin Center unter Mandantenverwaltung → Zugriffsrichtlinien, ob Multi-Admin Approval aktiviert ist. Wenn nicht: Ändern Sie das. Heute noch. Die Einrichtung dauert keine 30 Minuten.
2. Global Administrators minimieren: Beschränken Sie die Anzahl der Global Administrators auf das absolute Minimum. Verwenden Sie stattdessen rollenbasierte Zugriffssteuerung (RBAC) mit granularen Berechtigungen.
3. Phishingresistente MFA für alle Admin-Konten: Aktivieren Sie FIDO2-Sicherheitsschlüssel oder Passkeys (Windows Hello for Business) für alle Konten mit administrativen Rechten. Klassische MFA (SMS, Authenticator Push) schützt nicht gegen AiTM-Phishing.
4. Zugriff auf das Intune Admin Center einschränken: Konfigurieren Sie Conditional Access Richtlinien, die den Zugriff auf das Admin-Portal auf vertrauenswürdige Netzwerke (Named Locations) und verwaltete, konforme Geräte beschränken.
5. Alerting für Massen-Aktionen einrichten: Erstellen Sie Warnungen für ungewöhnliche Bulk-Aktionen – jeder Wipe-Befehl an mehr als 3–5 Geräte innerhalb eines kurzen Zeitfensters sollte sofortige Untersuchung auslösen.
6. Audit-Logs regelmäßig prüfen: Überwachen Sie die Entra ID und Intune Audit-Logs auf die Erstellung neuer Administrator-Konten, Änderungen an Rollen und ungewöhnliche Anmeldeaktivitäten.
7. Privileged Identity Management (PIM) aktivieren: Administrator-Rollen sollten nicht dauerhaft zugewiesen sein, sondern nur bei Bedarf (Just-in-Time) für einen begrenzten Zeitraum aktiviert werden.
8. Microsoft Secure Score prüfen und verbessern: Ermitteln Sie Ihren aktuellen Secure Score und setzen Sie die empfohlenen Maßnahmen um. Ein Score unter 70% deutet auf erhebliche Sicherheitslücken hin.

1. Der Stryker-Vorfall zeigt eindrücklich, dass die Absicherung von Microsoft Intune kein optionales Projekt ist – sondern eine Grundvoraussetzung für jedes Unternehmen, das Endgeräte über die Cloud verwaltet. Als Microsoft Solutions Partner für Sicherheit und Modernes Arbeiten betreuen wir mit mehr als 80.000 Microsoft 365 Lizenzen zahlreiche Unternehmen, bei denen Intune im produktiven Einsatz ist.

   Unsere Spezialisten in Bielefeld und Hamburg unterstützen Sie bei der Absicherung Ihrer Intune-Umgebung – von der Einrichtung von Multi-Admin Approval über die Konfiguration von Conditional Access für das Admin-Portal bis zur Härtung Ihres gesamten Microsoft 365 Tenants. Im Rahmen unseres Microsoft Secure Score Managed Service (SSMS) überwachen wir fortlaufend Ihren Secure Score und stellen sicher, dass Konfigurationen wie Multi-Admin Approval aktiviert sind und neue Microsoft-Empfehlungen zeitnah umgesetzt werden.

   Wenn Sie unsicher sind, ob Ihre Intune-Umgebung gegen einen Angriff wie bei Stryker geschützt ist, starten Sie mit unserem Microsoft 365 Tenant Securitycheck für 299 € netto – eine strukturierte Überprüfung Ihrer gesamten Microsoft 365 Sicherheitskonfiguration mit konkreten Handlungsempfehlungen.

"Es ist bestürzend mitzuerleben, wie viele durch Angriffe in ihrer Existenz bedrohte Unternehmen sich bei uns melden. Und ebenso bestürzend ist es zu wissen, dass die Mehrzahl der Angriffe mit überschaubaren Kosten vermeidbar gewesen wäre."

Thomas Honemeyer, Vorstand InSys AG

InSys AG | EXPERTS IN DIGITAL STRATEGY.

Die InSys AG unterstützt Unternehmen des Mittelstandes und aus dem Enterprise-Segment im Prozess ihrer digitalen Transformation. Unsere Schwerpunkte liegen zum einen in der Einführung moderner Arbeitsweisen im Themenkomplex „Secure Modern Workplace“ auf Basis von Microsoft Cloudlösungen wie Microsoft 365, Office 365 und Azure sowie Microsoft Dynamics und zum anderen in Consultingleistungen zur Entwicklung digitaler Geschäftsmodelle und -prozesse.

Den digitalen Wandel aktiv mitgestalten. Geschäftsmodelle und -prozesse erfolgreich transformieren. Mit der InSys AG - Ihrem IT Systemhaus aus Bielefeld und Hamburg.

Thomas Honemeyer, Vorstand der InSys AG, ist auch Gründungsmitglied von 4digital (for digital). Vier Digitale für Digitales. Sparringspartner für Vorstände und CEOs. Ideengeber und Gesprächspartner.

1. Multi-Faktor-Authentifizierung (MFA) ist für alle Benutzerkonten und Administratorkonten aktiviert – idealerweise mit Passkeys oder FIDO2-Sicherheitsschlüsseln statt SMS.
2. Microsoft Intune ist als MDM-Lösung eingerichtet und alle unternehmenseigenen Geräte sind registriert und werden zentral verwaltet.
3. Compliance-Richtlinien in Intune sind definiert: Mindestversion des Betriebssystems, BitLocker-Verschlüsselung aktiv, Firewall aktiviert, Microsoft Defender Virenschutz läuft.
4. Conditional Access Richtlinien sind konfiguriert: Nur konforme Geräte erhalten Zugriff auf Microsoft 365 – nicht konforme Geräte werden automatisch blockiert.
5. Private Geräte (BYOD) sind per MAM-Richtlinie geschützt: Unternehmensdaten in Outlook, Teams und OneDrive sind verschlüsselt und vom privaten Bereich getrennt.
6. Windows Autopilot ist eingerichtet: Neue Geräte werden automatisch konfiguriert – ohne manuelles Staging durch die IT-Abteilung.
7. Gruppenrichtlinien (GPOs) sind auf Intune Konfigurationsprofile migriert – Geräte erhalten Richtlinien über die Cloud, nicht über den Domänencontroller.
8. Eine zentrale Update-Strategie ist vorhanden: Windows-Updates werden über Intune Update-Ringe oder Windows Autopatch gesteuert, mit Pilotgruppe und automatischem Rollout.
9. App-Deployment läuft über Intune: Microsoft 365 Apps, Win32-Anwendungen und Store Apps werden zentral verteilt und aktuell gehalten.
10. Hard- und Softwareinventarisierung ist aktiv: Sie kennen jederzeit den Status aller Endgeräte – Betriebssystemversionen, installierte Software, ausstehende Updates.
11. Es gibt definierte Anmeldestandorte (Geofencing): Zugriffe aus unerwarteten Ländern werden automatisch blockiert oder erfordern zusätzliche Verifizierung.
12. Microsoft Defender for Endpoint ist auf allen Endgeräten aktiviert und in das Microsoft Defender XDR Portal integriert.
13. Alle Unternehmensstandorte verfügen über aktuelle Firewallsysteme – idealerweise mit IDS/IPS und zentralem Management.
14. Ihr Microsoft Secure Score liegt über 70% und wird regelmäßig überprüft – idealerweise im Rahmen eines Managed Secure Score Service.
15. Ein getestetes Backup- und Recovery-Konzept für Microsoft 365 Daten (Exchange, SharePoint, OneDrive, Teams) ist vorhanden und wird regelmäßig überprüft.

Sie können nicht alle Punkte abhaken? Unsere Microsoft Intune Spezialisten unterstützen Sie gerne – vom Tenant Securitycheck über die Intune-Einführung bis zum dauerhaften Managed Secure Score Service (SSMS).

BleepingComputer: Stryker attack wiped tens of thousands of devices, no malware needed (17. März 2026)
KrebsOnSecurity: Iran-Backed Hackers Claim Wiper Attack on Medtech Firm Stryker (März 2026)
TechCrunch: Stryker says it's restoring systems after pro-Iran hackers wiped thousands of employee devices (17. März 2026)
TechCrunch: CISA urges companies to secure Microsoft Intune systems (19. März 2026)
Cybersecurity Dive: Stryker attack raises concerns about role of device management tool (März 2026)
Lumos Security: The Stryker Hack – Technical Breakdown (März 2026)
Coalition: How Infostealers May Have Opened the Door to the Stryker Wipe (März 2026)