Inhalt in Kürze
- Iran-nahe Angreifer haben im November 2025 über ein kompromittiertes Microsoft-Intune-Admin-Konto bei Stryker rund 80.000 Geräte gewiped – Laptops und Smartphones auf Werkseinstellungen zurückgesetzt.
- Der Angriff war ein Kontodiebstahl, kein Zero-Day: Phishing, fehlende Phishing-resistente MFA und ein Admin-Konto mit zu vielen Rechten haben den Angriff erst möglich gemacht.
- Sieben Maßnahmen sind jetzt Pflicht: privilegierte Rollen reduzieren, Multi-Admin-Approval aktivieren, FIDO2-Hardware-Keys, dedizierte Admin-Workstation, Break-Glass-Konto, Conditional Access und ein dokumentiertes Wipe-Rollback.
- Für Hamburger KMU gilt: Wer Intune produktiv nutzt, sollte die Härtung innerhalb von 30 Tagen abschließen – der Stryker-Angriff wird sich wiederholen, die Playbooks sind längst öffentlich.
Im November 2025 hat eine Hacker-Gruppe namens Handala Hack Team beim US-Medizintechnikkonzern Stryker rund 80.000 Geräte remote gelöscht. Kein Ransomware-Trojaner, kein verschlüsseltes Netzwerk – die Angreifer haben einfach Microsoft Intune als Werkzeug benutzt. Das Werkzeug, mit dem Stryker selbst seine Laptops und Smartphones verwaltet. Das sollten Sie ernst nehmen, wenn Ihr Unternehmen Intune einsetzt: Die Angriffsmethode ist öffentlich, das Playbook funktioniert in jedem M365-Tenant – und die Absicherung ist kein Hexenwerk.
Was beim Stryker-Intune-Hack passiert ist
Stryker ist ein US-Medizintechnikkonzern mit rund 52.000 Mitarbeitenden. Am 17. November 2025 meldete das Unternehmen eine „Cyber-Sicherheitsangelegenheit" – in Wahrheit hatte die iran-nahe Gruppe Handala Hack Team ein privilegiertes Intune-Konto kompromittiert und über die MDM-Funktion einen Remote-Wipe für rund 80.000 Geräte ausgelöst. Die Details haben InSys AG und Health-ISAC ausführlich dokumentiert.
Das Erschreckende: Es war kein Zero-Day-Exploit, keine Schwachstelle in Microsoft Intune selbst. Die Angreifer haben sich Zugang zu einem Admin-Konto verschafft – vermutlich per Phishing oder gestohlenen Session-Cookies – und dann legitime Intune-Funktionen missbraucht.
Der gleiche Angriff funktioniert in jedem M365-Tenant, der privilegierte Intune-Admins ohne Phishing-resistente MFA, ohne dedizierte Admin-Geräte und ohne Vier-Augen-Prinzip betreibt. Und das sind nach unserer Erfahrung in Hamburg rund 80 Prozent aller KMU.
Warum Intune ein lohnendes Ziel ist
Microsoft Intune ist das zentrale Mobile Device Management (MDM) in Microsoft 365. Damit verwalten Unternehmen Laptops, Tablets, Smartphones – inklusive Konfiguration, App-Deployment, Sicherheitsrichtlinien und eben auch Remote-Aktionen wie Wipe oder Reset. Ein Intune-Admin ist faktisch der Administrator jedes verwalteten Geräts in Ihrem Unternehmen.
Wer die Kontrolle über einen Intune-Admin hat, kann:
- Alle Geräte remote wipen. Laptops, Surfaces, iPhones, Android-Geräte – in Minuten, irreversibel.
- Malware via App-Deployment verteilen. Eine neue Win32-App auf alle Endpoints pushen ist eine Intune-Standardfunktion.
- Sicherheits-Policies entfernen. BitLocker deaktivieren, Defender ausschalten, Scripting freigeben – alles möglich.
- Conditional Access manipulieren. MFA-Anforderungen abschwächen, neue Geräte-IDs als „compliant" markieren.
Das macht den Intune-Admin zum wertvollsten Konto in Ihrer IT. Ein Domain-Admin im Active Directory hat ähnliche Rechte im lokalen Netz. Der Intune-Admin hat ähnliche Rechte auf jedem Laptop Ihrer Mitarbeitenden – auch im Homeoffice, auch auf Geschäftsreise.
Wenn ich mir bei einem Neukunden in Hamburg den M365-Tenant anschaue, fange ich immer beim Intune an. Wer darf dort administrieren, wie ist MFA geregelt, gibt es ein Break-Glass-Konto? Die Antwort bei 8 von 10 Kunden: Das haben wir nie bewusst gesteuert. Und genau das ist das Einfallstor.
Sieben konkrete Maßnahmen zur Intune-Härtung
Die folgende Checkliste kommt aus unserer Praxis bei der Betreuung von über 150 Mittelstandsunternehmen in Hamburg und Norddeutschland. Sie bildet auch die Grundlage unserer Cybersecurity-Audits und unseres Managed Security-Angebots:
- Privilegierte Rollen auf das Minimum reduzieren. Im Schnitt finden wir 5–8 User mit globalem Admin oder Intune Administrator. Richtig wären 2 – plus ein Break-Glass-Konto. Alle anderen bekommen rollenbasierten Zugriff (Endpoint Security Manager, Help Desk Operator), nicht die Vollmacht.
- Multi-Admin-Approval (MAA) für kritische Aktionen aktivieren. Seit 2025 unterstützt Intune Access Policies, die für Wipe, Löschen von Richtlinien und App-Uploads eine Zweitbestätigung erzwingen. Einrichtung dauert eine Stunde, blockiert aber den kompletten Stryker-Angriffspfad.
- FIDO2-Hardware-Keys für alle Admins. SMS-MFA ist tot, App-MFA ist phishbar (Adversary-in-the-Middle). Nur FIDO2 (YubiKey, Feitian) oder Windows Hello for Business ist phishing-resistent. Kosten: rund 60 € pro Admin – einmalig.
- Dedizierte Admin-Workstation (PAW). Administrative Tätigkeiten nie vom selben Laptop wie Mail und Web-Browsing. Ein separates, gehärtetes Gerät für Intune- und Entra-Admin-Aufgaben. Kann auch ein Cloud PC (Windows 365) sein.
- Break-Glass-Konto einrichten. Ein Notfall-Administrator außerhalb von MFA-Zyklen und Conditional Access, mit 32-stelligem Passwort im Safe. Dient als Rückfallebene, wenn der Haupt-Admin gesperrt ist. Wird einmal im Quartal getestet, sonst nie benutzt.
- Conditional Access für Admins. Intune-Administratoren dürfen sich nur aus dem Firmennetz, nur mit compliantem Gerät und nur mit FIDO2 anmelden. Ein Angreifer aus Teheran oder Bukarest fällt durch das Raster, auch wenn er das Passwort hat.
- Wipe-Rollback dokumentieren. Wenn der Angriff doch erfolgt: Welche Backups sind greifbar, wie reimport man 200 Geräte, wer informiert die Nutzer? Der Stryker-Wipe war irreversibel – aber die Geschäftsfähigkeit nach dem Wipe hängt von Ihrem Plan ab.
Was das konkret für Hamburger Mittelständler bedeutet
Wir betreuen mit unserer Managed IT über 150 Unternehmen im Raum Hamburg, Bremen, Kiel und Lübeck. Bei rund zwei Drittel der Neukunden finden wir bei der Erstaufnahme mindestens drei der sieben Lücken aus der Liste oben. Die häufigsten Befunde:
Die gute Nachricht: Jeder einzelne Punkt ist in Microsoft 365 schon enthalten, keine zusätzliche Lizenz nötig (ab M365 Business Premium). Die schlechte Nachricht: Die Einrichtung ist nicht selbsterklärend, und die Microsoft-Doku überlässt Ihnen die Entscheidung, welche Rollen wie restriktiv sein sollen.
Wir hatten eine Woche lang das Thema, dass unser Support-Dienstleister einen neuen Admin angelegt hat, aber nie jemand kontrolliert hat, wer welche Rechte hat. Erst als hagel IT kam, haben wir verstanden: Da waren sieben Konten mit Vollzugriff auf Intune. Heute sind es zwei plus ein Break-Glass.
Was jetzt zu tun ist
Wenn Ihr Unternehmen Microsoft Intune nutzt – und das tun mittlerweile fast alle KMU mit Microsoft 365 Business Premium – dann sollten Sie innerhalb der nächsten 30 Tage drei Fragen beantworten:
- Wer hat in Ihrem Tenant globalen Admin oder Intune Administrator?
- Ist für Wipe-Aktionen Multi-Admin-Approval aktiv?
- Können sich die Admins mit einem gephishten Passwort + App-MFA anmelden?
Wenn eine der drei Antworten ungünstig ausfällt, hat Ihr Unternehmen das gleiche Risiko wie Stryker. Wir helfen gerne bei der Bestandsaufnahme – egal ob Sie danach bei Ihrem aktuellen IT-Partner bleiben oder zu uns wechseln. Den Cybersecurity-Check machen wir für Unternehmen aus Hamburg, Bremen und dem gesamten norddeutschen Raum in der Regel innerhalb einer Woche.
Intune absichern, bevor es der nächste trifft.
30 Minuten Erstgespräch. Kostenlos. Wir schauen uns Ihren M365-Tenant an und sagen ehrlich, wo die größten Risiken sind.
Termin buchen →