Stryker von iranischer Hackergruppe lahmgelegt: Globale Auswirkungen auf Medizintechnik-Lieferketten
Was ist passiert?
Am 11. März 2026 wurde der US-Medizintechnikkonzern Stryker, einer der weltweit größten Hersteller von Gelenkprothesen, OP-Equipment und Neurotechnologie, Opfer eines massiven Cyberangriffs. Innerhalb von Sekunden gingen sämtliche IT-Systeme weltweit offline. Betroffen sind Standorte in den USA, Europa und Asien.
Die 56.000 Mitarbeiter in 61 Ländern wurden von ihren Laptops ausgesperrt. Allein am Standort Cork (Irland) konnten 4.000 Beschäftigte nicht mehr arbeiten und wurden nach Hause geschickt.
Wer steckt dahinter?
Auf den internen Login- und Admin-Seiten von Stryker erscheint das Logo von Handala, einer pro-iranischen Hackergruppe, die seit Dezember 2023 im Kontext des Israel-Hamas-Kriegs aktiv ist. Die Gruppe hat sich bereits in der Vergangenheit zu Angriffen auf israelische Behörden und hochrangige Politiker bekannt.
Wiper-Angriff: Das Worst-Case-Szenario
Besonders besorgniserregend: Es handelt sich offenbar um einen sogenannten Wiper-Angriff. Anders als bei Ransomware, wo Daten verschlüsselt und gegen Lösegeld freigegeben werden, werden bei einem Wiper-Angriff die Daten unwiederbringlich gelöscht. Das bedeutet:
- Keine Verhandlung möglich: es gibt nichts zu entschlüsseln
- Vollständige Wiederherstellung nur aus Backups
- Das Ziel ist maximale Zerstörung, nicht Erpressung
Das deutet auf eine politisch motivierte Aktion hin, nicht auf gewöhnliche Cyberkriminalität.
Auswirkungen auf das Gesundheitswesen
Stryker ist kein kleiner Nischenhersteller. Das Unternehmen ist ein kritischer Lieferant für Krankenhäuser und Rettungsdienste weltweit. Zu den Produkten gehören:
- Gelenkprothesen (Hüfte, Knie)
- Chirurgische Instrumente und Navigationssysteme
- Neurotechnologische Geräte
- Medizintechnische Verbrauchsmaterialien
Ein längerer Ausfall könnte Lieferketten für OP-Säle direkt beeinträchtigen. Geplante Operationen, die auf Stryker-Implantate angewiesen sind, könnten verschoben werden müssen.
Die Stryker-Aktie fiel am selben Tag um rund 4,5 %.
Kontext: Iranische Eskalation
Der Angriff fällt in eine Phase massiver iranischer Eskalation im Nahen Osten:
- Drohnenangriffe auf Nachbarländer
- Angriffe auf Handelsschiffe im Persischen Golf
- Drohungen gegen Banken in Dubai (Evakuierung bei Citi und Standard Chartered)
- Paralleler Hack der Website der Akademie der Hebräischen Sprache in Israel
Was man daraus lernen kann
Dieser Vorfall zeigt einmal mehr:
- Kein Unternehmen ist zu groß für einen erfolgreichen Angriff: Stryker ist ein Fortune-500-Unternehmen
- Wiper-Angriffe sind die nuklearste Option: ohne funktionierendes Backup-Konzept ist man erledigt
- Medizintechnik-Lieferketten sind verwundbar: und damit indirekt auch die Patientenversorgung
- Geopolitische Konflikte treffen auch scheinbar unbeteiligte Unternehmen
Update 13. März: Stryker bestätigt offiziell, Details zum Angriffsvektor
Zwei Tage nach dem Angriff hat Stryker den Vorfall nun offiziell bestätigt. Was bisher Vermutung war, ist jetzt Fakt: Die Geschäftsprozesse sind massiv gestört. Bestellbearbeitung, Produktion und Versand stehen still.
Der Angriffsvektor: Microsoft Intune als Waffe
Der vielleicht erschreckendste Aspekt dieses Angriffs: Die Angreifer haben laut einer vertrauenswürdigen Quelle gegenüber Brian Krebs Microsofts Intune für die Fernlöschung genutzt. Intune ist Microsofts cloudbasierte Lösung für Mobile Device Management (MDM) und Endpoint Management, die in praktisch jedem größeren Unternehmen im Einsatz ist.
Das bedeutet: Die Angreifer haben nicht jedes Gerät einzeln kompromittiert, sondern die zentrale Verwaltungsinfrastruktur übernommen und darüber einen Löschbefehl an alle verbundenen Geräte geschickt. Über 200.000 Systeme, Server und Mobilgeräte sollen betroffen sein.
Ein Mitarbeiter berichtete gegenüber dem Irish Examiner, dass jedes Gerät mit Microsoft Outlook gelöscht wurde. Die Login-Seiten zeigen das Handala-Logo.
Was das für die Branche bedeutet
Intune ist kein exotisches Tool. Es ist Standard. Wenn ein Angreifer die Kontrolle über das MDM eines Unternehmens erlangt, hat er im Grunde einen Kill-Switch für die gesamte Endgeräteflotte. Das wirft unangenehme Fragen auf:
- Wie war der Intune-Admin-Zugang gesichert? MFA? Conditional Access? Privileged Identity Management?
- Gab es Monitoring auf ungewöhnliche Intune-Aktionen? Ein Wipe-Befehl an 200.000 Geräte gleichzeitig sollte Alarm auslösen
- Gibt es eine Trennung zwischen MDM-Admin und globalem Admin? Oder reicht ein kompromittierter Account für alles?
Stryker betont, dass patientenbezogene Dienste und Medizinprodukte nicht betroffen seien. Die finanziellen Folgen sind noch nicht absehbar.
Motivation: Vergeltung für Schulangriff
Handala behauptet, der Angriff sei eine Vergeltung für einen Angriff auf eine Mädchenschule in Minab im Süden Irans Ende Februar. Das unterstreicht den politischen Charakter: Kein Lösegeld, keine Verhandlung, reine Zerstörung.
Quellen:
- The Mirror - Stryker cyber attack LIVE (11. März 2026)
- Reuters - Stryker flags disruption to orders, manufacturing day after cyberattack (12. März 2026)
- Brian Krebs - Iran-Backed Hackers Claim Wiper Attack on MedTech Firm Stryker (13. März 2026)
- heise online - Stryker: IT-Systeme nach Cyberangriff vermutlich iranischer Akteure gelöscht (13. März 2026)