6 konkrete IT-Security-Tipps, die uns der Fall Stryker lehrt
Der Hackerangriff auf den Medizintechnik-Konzern Stryker Corporation in den USA ruft ins Bewusstsein, dass zentralisierte mächtige Endpoint-Management-Lösungen sich nicht nur hervorragend zur Verwaltung großer Geräteflotten und Systeme eignen, sondern auch ein enormes Risikopotential bergen, wenn sie nicht ausreichend geschützt werden. Was es bedeutet, wenn plötzlich das Control Plane statt der Geräteperipherie angegriffen wird und mit welchen 6 Tipps sich Unternehmen effektiv schützen können, erläutern wir in diesem Blogartikel.
Der Fall Stryker ist kein Einzelfall
Mitte März hat ein Cyberangriff auf die Computersysteme des Stryker Konzerns zur weitreichenden Unterbrechung der Geschäftsprozesse geführt – es sollen mehr als 200.000 Systeme, Server und Mobilgeräte durch einen gezielten Angriff auf die Microsoft-Infrastruktur des Unternehmens gelöscht worden sein. Mitarbeiter:innen berichten, dass während des Angriffs auf Microsoft Intune sogar Daten von privaten Smartphones gelöscht wurden, die nur über Outlook mit der Unternehmensumgebung verbunden waren. Daraufhin folgte eine Warnung der US-Cybersicherheitsbehörde CISA: Man beobachte derzeit gezielte Angriffe auf Endpoint-Management-Systeme US-amerikanischer Organisationen. Die daraufhin folgenden Empfehlungen der Behörde lassen vermuten, dass privilegierte Accounts das Ziel des Stryker-Angriffs waren.
UEMs als Angriffspunkt und Schutzinstrument
Waren frühere Hackerangriffe eher im Bereich der verwalteten Endpunkte angesiedelt, so lässt dieser Angriff auf eine neue Dimension schließen: ein Hack der Admin-Struktur. Angreifer fokussieren dabei die sogenannte „Control Plane“ – also die zentrale Verwaltungsebene von cloudbasierten UEMs. Über sie lassen sich Geräte wie Laptops oder Smartphones konfigurieren, absichern und auch aus der Ferne löschen. Genau diese umfassenden Kontrollmöglichkeiten, die zentraler Baustein der modernen Sicherheitsarchitektur von Unternehmen sind, werden jedoch zur Schwachstelle, wenn Angreifer Zugriff darauf erhalten. Wer ein solches System kompromittiert, kann nicht nur auf sensible Unternehmensdaten zugreifen, sondern im schlimmsten Fall tausende Geräte manipulieren oder löschen.
Und die Krux daran: Zur Sabotage können legitime Verwaltungsfunktionen genutzt werden, denn wer den Schlüssel zum Cockpit hat und von dort aus agiert, handelt für das Sicherheitskonzept vermeintlich wie ein Admin, also berechtigt und erlaubt. Für Angreifer ist das ein enormer Hebel.
IT-Teams müssen umdenken und nachschärfen
Es zeigt auf, wie wichtig es ist, im Admin-Umfeld die Sicherheitsstrukturen zu stärken und auf mehrere Schultern zu verteilen. Diese Maßnahmen ließen sich eigentlich in dem meisten Unternehmen auch ohne Weiteres umsetzen. Aber es fehlen häufig Zeit und Know-how. Und damit schlummert die größte Gefahr im eigenen Unternehmen. Es ist nicht die fehlende Technologie, es ist die fehlende Zeit, sie richtig abzusichern.
Die konkreten Maßnahmen zum Schutz
Schauen wir auf die Empfehlungen der CISA, die die Behörde gemeinsam mit dem FBI herausgegeben hat und erweitern sie um konkrete Lösungsansätze:
Konsequente Umsetzung von Least-Privilege-Prinzipien:
Admin-Privilegien nach dem Prinzip der geringsten Rechte vergeben – beschränkt auf die Rechte, die sie wirklich brauchen und oft auch nur zeitlich begrenzt.
–> Microsoft Entra Privileged Identity Management bzw. Microsoft Entra ID oder auch der Ivanti Endpoint Manager und Microsoft Intune Endpoint Privilege Management sind Beispiele für gezielte Rechtevergaben. Auch Conditional Access spielt hier eine wichtige Rolle. Mehr Infos zu Identity & Access Management lesen Sie hier.Rollenbasierte Zugriffskontrollen (RBAC):
Untergliederung von Berechtigungen (Lesen, Schreiben, Löschen) und Bindung an Rollen statt Nutzer:innen (z.B. “Admin”, “User”,..).
–> Rollen und Gruppen können in Microsoft Entra ID oder anderen Identity Management Systems Managern eingerichtet werden, wir beraten Sie gerne zu sinnvollen Konzepten und Umsetzungslösungen.Einsatz von phishing-resistenter Multi-Faktor-Authentifizierung:
Phishing-resistente Multi-Faktor-Authentifizierung (MFA) schützt vor Angriffen, indem sie kryptografische Verfahren (z.B. FIDO2/WebAuthn) nutzt, die den Anmeldevorgang fest an die echte Website binden. Bei gefälschten Seiten funktionieren diese Methoden nicht, da sie keine abgreifbaren Codes senden. Klassische MFA ist für Admin-Konten oft nicht genug und passwortlose, phishing-resistente Anmeldung muss zur Pflicht werden.
–> AuthN by IDEE ermöglicht eine solche sichere Multifaktor-Authentifizierung (MFA), ohne dass ein Passwort oder Token eingegeben oder ein zweites Gerät verwendet werden muss – hier informieren.Einführung von Mehr-Augen-Freigaben für kritische Aktionen:
Etablierung von Genehmigungsprozessen bei Admin-Aktionen durch mehrere Admins.
–> Typischerweise kommt hier eine Kombination von Lösungen zum Einsatz – z. B. werden Rollen in einer IGA-Lösungen wie Microsoft Entra ID definiert und über eine PAM-Lösung temporär aktiviert. Zudem muss eine Freigabe eingeholt und der Prozess dokumentiert werden. Wie man hier sinnvoll vorgeht, berichten wir gerne aus unseren Kundenprojekten.Stärkere Orientierung an Zero-Trust-Architekturen:
Modernes Sicherheitskonzept, das auf dem Grundsatz “Niemals vertrauen, immer überprüfen” basiert.
–> Mehr zu Zero Trust, dem Sicherheitsstandard für moderne Unternehmen, lesen Sie hier.Mehr Transparenz und Kontrolle:
UEMs bieten Übersicht und Transparenz. Dadurch wird Sicherheit und Kontrolle geschaffen. Im Fall von Stryker scheint das bei Microsoft Intune ein Kernproblem gewesen zu sein: Privilegierte Konten und kritische Aktionen wurden nicht ausreichend überwacht und Angreifer konnten Geräte massenhaft löschen, ohne dass frühzeitig eingegriffen wurde.
–> Die Lösung Eido setzt genau hier bei Intune an: sorgt für mehr Transparenz über Compliancestatus, Admin-Rollen und riskante Konfigurationen; erkennt gefährliche Einstellungen, bevor sie zum Problem werden; und alarmiert bei kritischen Aktionen.
Fazit
In größeren Unternehmen führt heutzutage aus Steuerungs- aber auch Sicherheitsaspekten kein Weg mehr an UEMs vorbei. Sie vereinfachen das Leben der Admins enorm und helfen dabei, den Überblick zu behalten – können aber auch zum Risiko werden, wie beim Fall Stryker erlebt. Aber: Ein einziges kompromittiertes Konto darf nie ausreichen, um zehntausende Geräte zu löschen. Und deswegen muss auch das UEM selbst überwacht und ausreichend abgesichert werden. Die Gefahr ist nicht die fehlende Technologie, sondern es sind Zeit, Ressourcen und Know-How. Aber für all das gibt es Consulting-Firmen und Managed Services Provider, die genau diese Zeit- und Wissenslücken füllen und gerne an Ihrer Seite die Angriffslinie verteidigen.
