6 Min.
Intune als Ransomware-Waffe: Was der Stryker-Hack Hamburger Unternehmen lehrt

Intune als Ransomware-Waffe: Was der Stryker-Hack Hamburger Unternehmen lehrt

Jens Hagel
Jens Hagel in IT-Sicherheit

Inhalt in Kürze

  • Iran-nahe Angreifer haben im November 2025 über ein kompromittiertes Microsoft-Intune-Admin-Konto bei Stryker rund 80.000 Geräte gewiped – Laptops und Smartphones auf Werkseinstellungen zurückgesetzt.
  • Der Angriff war ein Kontodiebstahl, kein Zero-Day: Phishing, fehlende Phishing-resistente MFA und ein Admin-Konto mit zu vielen Rechten haben den Angriff erst möglich gemacht.
  • Sieben Maßnahmen sind jetzt Pflicht: privilegierte Rollen reduzieren, Multi-Admin-Approval aktivieren, FIDO2-Hardware-Keys, dedizierte Admin-Workstation, Break-Glass-Konto, Conditional Access und ein dokumentiertes Wipe-Rollback.
  • Für Hamburger KMU gilt: Wer Intune produktiv nutzt, sollte die Härtung innerhalb von 30 Tagen abschließen – der Stryker-Angriff wird sich wiederholen, die Playbooks sind längst öffentlich.

Im November 2025 hat eine Hacker-Gruppe namens Handala Hack Team beim US-Medizintechnikkonzern Stryker rund 80.000 Geräte remote gelöscht. Kein Ransomware-Trojaner, kein verschlüsseltes Netzwerk – die Angreifer haben einfach Microsoft Intune als Werkzeug benutzt. Das Werkzeug, mit dem Stryker selbst seine Laptops und Smartphones verwaltet. Das sollten Sie ernst nehmen, wenn Ihr Unternehmen Intune einsetzt: Die Angriffsmethode ist öffentlich, das Playbook funktioniert in jedem M365-Tenant – und die Absicherung ist kein Hexenwerk.

Was beim Stryker-Intune-Hack passiert ist

Stryker ist ein US-Medizintechnikkonzern mit rund 52.000 Mitarbeitenden. Am 17. November 2025 meldete das Unternehmen eine „Cyber-Sicherheitsangelegenheit" – in Wahrheit hatte die iran-nahe Gruppe Handala Hack Team ein privilegiertes Intune-Konto kompromittiert und über die MDM-Funktion einen Remote-Wipe für rund 80.000 Geräte ausgelöst. Die Details haben InSys AG und Health-ISAC ausführlich dokumentiert.

Das Erschreckende: Es war kein Zero-Day-Exploit, keine Schwachstelle in Microsoft Intune selbst. Die Angreifer haben sich Zugang zu einem Admin-Konto verschafft – vermutlich per Phishing oder gestohlenen Session-Cookies – und dann legitime Intune-Funktionen missbraucht.

Warnung:

Der gleiche Angriff funktioniert in jedem M365-Tenant, der privilegierte Intune-Admins ohne Phishing-resistente MFA, ohne dedizierte Admin-Geräte und ohne Vier-Augen-Prinzip betreibt. Und das sind nach unserer Erfahrung in Hamburg rund 80 Prozent aller KMU.

Warum Intune ein lohnendes Ziel ist

Microsoft Intune ist das zentrale Mobile Device Management (MDM) in Microsoft 365. Damit verwalten Unternehmen Laptops, Tablets, Smartphones – inklusive Konfiguration, App-Deployment, Sicherheitsrichtlinien und eben auch Remote-Aktionen wie Wipe oder Reset. Ein Intune-Admin ist faktisch der Administrator jedes verwalteten Geräts in Ihrem Unternehmen.

Wer die Kontrolle über einen Intune-Admin hat, kann:

  • Alle Geräte remote wipen. Laptops, Surfaces, iPhones, Android-Geräte – in Minuten, irreversibel.
  • Malware via App-Deployment verteilen. Eine neue Win32-App auf alle Endpoints pushen ist eine Intune-Standardfunktion.
  • Sicherheits-Policies entfernen. BitLocker deaktivieren, Defender ausschalten, Scripting freigeben – alles möglich.
  • Conditional Access manipulieren. MFA-Anforderungen abschwächen, neue Geräte-IDs als „compliant" markieren.

Das macht den Intune-Admin zum wertvollsten Konto in Ihrer IT. Ein Domain-Admin im Active Directory hat ähnliche Rechte im lokalen Netz. Der Intune-Admin hat ähnliche Rechte auf jedem Laptop Ihrer Mitarbeitenden – auch im Homeoffice, auch auf Geschäftsreise.

Wenn ich mir bei einem Neukunden in Hamburg den M365-Tenant anschaue, fange ich immer beim Intune an. Wer darf dort administrieren, wie ist MFA geregelt, gibt es ein Break-Glass-Konto? Die Antwort bei 8 von 10 Kunden: Das haben wir nie bewusst gesteuert. Und genau das ist das Einfallstor.

Jens Hagel, Geschäftsführer hagel IT-Services GmbH Hamburg Jens HagelGeschäftsführer, hagel IT-Services GmbH

Sieben konkrete Maßnahmen zur Intune-Härtung

Die folgende Checkliste kommt aus unserer Praxis bei der Betreuung von über 150 Mittelstandsunternehmen in Hamburg und Norddeutschland. Sie bildet auch die Grundlage unserer Cybersecurity-Audits und unseres Managed Security-Angebots:

  1. Privilegierte Rollen auf das Minimum reduzieren. Im Schnitt finden wir 5–8 User mit globalem Admin oder Intune Administrator. Richtig wären 2 – plus ein Break-Glass-Konto. Alle anderen bekommen rollenbasierten Zugriff (Endpoint Security Manager, Help Desk Operator), nicht die Vollmacht.
  2. Multi-Admin-Approval (MAA) für kritische Aktionen aktivieren. Seit 2025 unterstützt Intune Access Policies, die für Wipe, Löschen von Richtlinien und App-Uploads eine Zweitbestätigung erzwingen. Einrichtung dauert eine Stunde, blockiert aber den kompletten Stryker-Angriffspfad.
  3. FIDO2-Hardware-Keys für alle Admins. SMS-MFA ist tot, App-MFA ist phishbar (Adversary-in-the-Middle). Nur FIDO2 (YubiKey, Feitian) oder Windows Hello for Business ist phishing-resistent. Kosten: rund 60 € pro Admin – einmalig.
  4. Dedizierte Admin-Workstation (PAW). Administrative Tätigkeiten nie vom selben Laptop wie Mail und Web-Browsing. Ein separates, gehärtetes Gerät für Intune- und Entra-Admin-Aufgaben. Kann auch ein Cloud PC (Windows 365) sein.
  5. Break-Glass-Konto einrichten. Ein Notfall-Administrator außerhalb von MFA-Zyklen und Conditional Access, mit 32-stelligem Passwort im Safe. Dient als Rückfallebene, wenn der Haupt-Admin gesperrt ist. Wird einmal im Quartal getestet, sonst nie benutzt.
  6. Conditional Access für Admins. Intune-Administratoren dürfen sich nur aus dem Firmennetz, nur mit compliantem Gerät und nur mit FIDO2 anmelden. Ein Angreifer aus Teheran oder Bukarest fällt durch das Raster, auch wenn er das Passwort hat.
  7. Wipe-Rollback dokumentieren. Wenn der Angriff doch erfolgt: Welche Backups sind greifbar, wie reimport man 200 Geräte, wer informiert die Nutzer? Der Stryker-Wipe war irreversibel – aber die Geschäftsfähigkeit nach dem Wipe hängt von Ihrem Plan ab.

Was das konkret für Hamburger Mittelständler bedeutet

Wir betreuen mit unserer Managed IT über 150 Unternehmen im Raum Hamburg, Bremen, Kiel und Lübeck. Bei rund zwei Drittel der Neukunden finden wir bei der Erstaufnahme mindestens drei der sieben Lücken aus der Liste oben. Die häufigsten Befunde:

80 %
Tenants ohne Multi-Admin-Approval
6,4
privilegierte Rollen im Schnitt pro 40-MA-Firma
0
Break-Glass-Konten bei Neukunden
< 30 %
nutzen FIDO2-Keys für Admins

Die gute Nachricht: Jeder einzelne Punkt ist in Microsoft 365 schon enthalten, keine zusätzliche Lizenz nötig (ab M365 Business Premium). Die schlechte Nachricht: Die Einrichtung ist nicht selbsterklärend, und die Microsoft-Doku überlässt Ihnen die Entscheidung, welche Rollen wie restriktiv sein sollen.

Wir hatten eine Woche lang das Thema, dass unser Support-Dienstleister einen neuen Admin angelegt hat, aber nie jemand kontrolliert hat, wer welche Rechte hat. Erst als hagel IT kam, haben wir verstanden: Da waren sieben Konten mit Vollzugriff auf Intune. Heute sind es zwei plus ein Break-Glass.

Andreas Weber · Finanzleitung, Bauunternehmen, 150 Mitarbeiter

Was jetzt zu tun ist

Wenn Ihr Unternehmen Microsoft Intune nutzt – und das tun mittlerweile fast alle KMU mit Microsoft 365 Business Premium – dann sollten Sie innerhalb der nächsten 30 Tage drei Fragen beantworten:

Das Wichtigste: Der Stryker-Angriff war kein exotischer Zero-Day, sondern missbrauchte Standard-Intune-Funktionen über ein gestohlenes Admin-Konto. Die Gegenmaßnahmen sind Microsoft-Standard, kosten fast nichts – aber sie müssen bewusst aktiviert werden.
  1. Wer hat in Ihrem Tenant globalen Admin oder Intune Administrator?
  2. Ist für Wipe-Aktionen Multi-Admin-Approval aktiv?
  3. Können sich die Admins mit einem gephishten Passwort + App-MFA anmelden?

Wenn eine der drei Antworten ungünstig ausfällt, hat Ihr Unternehmen das gleiche Risiko wie Stryker. Wir helfen gerne bei der Bestandsaufnahme – egal ob Sie danach bei Ihrem aktuellen IT-Partner bleiben oder zu uns wechseln. Den Cybersecurity-Check machen wir für Unternehmen aus Hamburg, Bremen und dem gesamten norddeutschen Raum in der Regel innerhalb einer Woche.

Intune absichern, bevor es der nächste trifft.

30 Minuten Erstgespräch. Kostenlos. Wir schauen uns Ihren M365-Tenant an und sagen ehrlich, wo die größten Risiken sind.

Termin buchen →
Jens Hagel
Gründer & Geschäftsführer, hagel IT-Services GmbH

Seit 2004 begleite ich Hamburger Unternehmen bei der IT-Modernisierung. Microsoft Solutions Partner, WatchGuard Gold Partner, ausgezeichnet als Deutschlands bester IT-Dienstleister 2026 (Brand eins/Statista). Wenn Sie IT-Fragen haben, bin ich direkt erreichbar.

Thorsten Eckel

„Mit Hagel IT haben wir einen erfahrenen Partner, auf den wir uns jederzeit zu 100 % verlassen können.“

Thorsten Eckel
Geschäftsführer · Hanse Service
Deutschlands beste IT-Dienstleister 2026 — brand eins / Statista
Bester IT-Dienstleister
2026 — brand eins / Statista
IT-Sicherheit für Kleinunternehmen Hamburg: Schluss mit „Bastel-Lösungen“
Fallstudie · Software
IT-Sicherheit für Kleinunternehmen Hamburg: Schluss mit „Bastel-Lösungen“
Ausgezeichnete Bewertung
Basierend auf 46 Bewertungen

„Wir arbeiten seit einiger Zeit mit hagel IT zusammen und sind absolut zufrieden. Das Team ist kompetent, freundlich und immer schnell zur Stelle, wenn Hilfe gebraucht wird. Besonders schätzen wir die individuelle Beratung, den zuverlässigen Support und die modernen IT-Lösungen, die perfekt auf unsere Bedürfnisse abgestimmt sind. Ein rundum professioneller Partner, den wir uneingeschränkt weiterempfehlen können!"

Robin Koppelmann
Sicherheit

Sicher — ohne dass Sie Experte sein müssen.

Verschlüsselung, Backup und Zwei-Faktor laufen im Hintergrund und werden monatlich geprüft. Fragt jemand nach — Versicherung, Kunde oder Behörde — haben Sie den Nachweis auf Knopfdruck.

Kjello · Sicherheits-Report
Geprüft & lückenlos dokumentiert
Sicherheits-Vertrauensanker im Portal: Audit-Trail lückenlos geprüft und Zugriffs-Delegation aktiv — beide grün bestätigt
Ergebnis
Nachweis auf Knopfdruck
Was Sie tun
Nichts
Was wir & die Automatik tun
Einrichten · überwachen · monatlich prüfen · nachweisen
Früher — Sicherheit auf Hoffnung
  • Hoffen, dass nichts passiert
  • Backup nie wirklich getestet
  • Kein Nachweis, wenn jemand fragt
  • Blindflug bei Verschlüsselung und Co.
Ein Risiko, das keiner sehen will

„Muss ich Security verstehen?“ — Nein. Sie müssen nichts einstellen und nichts überwachen. Das ist unser Job — Sie bekommen nur den grünen Haken.

Häufig gestellte Fragen

Eine iran-nahe Hacker-Gruppe namens Handala Hack Team kompromittierte im November 2025 ein privilegiertes Microsoft-Intune-Konto beim US-Medizintechnikkonzern Stryker und löste darüber einen Remote-Wipe für rund 80.000 Geräte aus – Laptops und Smartphones wurden auf Werkseinstellungen zurückgesetzt. Der Angriff gelang, weil das Admin-Konto nicht ausreichend geschützt war und kein Vier-Augen-Prinzip für kritische MDM-Aktionen hinterlegt war.

Microsoft Intune hat als zentrales Mobile-Device-Management vollen Zugriff auf alle verwalteten Endgeräte. Wer dort einen Admin übernimmt, kann Konfigurationen ändern, Apps installieren, Richtlinien manipulieren und im schlimmsten Fall alle Geräte remote löschen. Das macht das Intune-Admin-Konto wertvoller als jeder einzelne Client – ein einziger kompromittierter Admin kann das ganze Unternehmen lahmlegen.

Multi-Admin-Approval (MAA) zwingt bei kritischen Aktionen wie Remote-Wipe, Löschen von Richtlinien oder Anlegen neuer Apps zu einer Zweitbestätigung durch einen weiteren Administrator. Microsoft hat diese Funktion nach dem Stryker-Vorfall angekündigt und sie ist mittlerweile in Intune verfügbar. Allein reicht MAA nicht – aber in Kombination mit Conditional Access, dedizierten Admin-Workstations und Phishing-resistenter MFA schließt es die größte Lücke.

Der wichtigste erste Schritt: Privilegierte Rollen reduzieren, Multi-Admin-Approval für Wipe und Policy-Änderungen aktivieren, FIDO2-Hardware-Keys für alle Admins einführen und eine dedizierte Admin-Workstation nutzen. Wir prüfen bei unseren Kunden in Hamburg und Norddeutschland regelmäßig den Intune-Tenant gegen diese Maßnahmen – in der Regel finden wir bei Erstprüfungen mindestens drei offene Lücken.

Bei einem typischen KMU mit 30–100 Arbeitsplätzen rechnen wir für eine vollständige Intune-Absicherung (Audit, Role-Cleanup, Conditional Access, MFA-Rollout auf FIDO2, MAA-Aktivierung, Break-Glass-Konten) mit etwa zwei bis vier Projekttagen. Das ist meist in bestehenden Managed-IT-Verträgen enthalten. Für Unternehmen ohne Managed IT bieten wir eine pauschale Intune-Härtung zum Festpreis – unabhängig davon, wer danach den Betrieb übernimmt.