Der US-Medizingerätehersteller Stryker, mit einem Jahresumsatz von 25,1 Milliarden US-Dollar und 56.000 Mitarbeitern im Jahr 2025 ein recht großes und auch in Deutschland an mehreren Standorten aktives Unternehmen, wurde Opfer eines Cyberangriffs. Am Donnerstag dieser Woche bestätigt Stryker den von der im Iran verorteten Cyberbande Handala behaupteten Cyberangriff auf die IT-Systeme.

Demnach hat ein Cyberangriff auf die Computersysteme von Stryker am Mittwoch dieser Woche zur weitreichenden Unterbrechung der Geschäftsprozesse geführt, einschließlich der Bestellbearbeitung, Produktion und dem Versand, berichtet Reuters. Die iranische Cybergang Handala behauptet, für den Angriff verantwortlich zu sein. Er erfolgte demnach als Vergeltung für einen Angriff auf eine Mädchenschule in Minab im Süden des Iran Ende Februar.

„Globale Störung der Microsoft-Umgebung“

Stryker hat gegenüber US-Medien am Mittwoch erklärt, eine „globale Störung in der Microsoft-Umgebung“ zu haben. Der IT-Journalist Brian Krebs konkretisiert, dass es sich um einen Wiper-Angriff handelt, bei dem mehr als 200.000 Systeme, Server und Mobilgeräte des Unternehmens gelöscht worden sein sollen. Ein Mitarbeiter des Unternehmens habe demnach dem Irish Examiner berichtet, dass alle zum Unternehmensnetz verbundenen Geräte „Down“ seien und jedes Gerät mit Microsoft Outlook darauf gelöscht wurde.

Die Login-Webseiten seien mit dem Logo der Gruppe Handala verunstaltet. Gegenüber Krebs habe eine anonyme, aber vertrauenswürdige Quelle angegeben, dass die Cyberkriminellen Microsofts Intune-Dienst für die Fernlöschung sämtlicher verbundener Geräte genutzt haben. Dabei handelt es sich um eine bekannte und weitverbreitete, cloudbasierte Netzwerk-, Software- und Geräteverwaltungssoftware von Microsoft.

Der Vorfall habe jedoch keine patientenbezogenen Dienste und damit verbundene Medizinprodukte getroffen, erklärte Stryker. Der volle Umfang und die finanziellen Folgen seien derzeit noch nicht absehbar. Die Untersuchungen laufen noch.

Auf Anfrage von heise online hat Stryker bislang noch nicht reagiert. Möglicherweise sind auch die deutschen Dependancen davon betroffen.

(dmk)

In der Nacht zum Freitag hat Google ein Notfallupdate für den Webbrowser Chrome veröffentlicht. Darin schließen die Entwickler zwei hochriskante Sicherheitslücken, die bereits im Internet angegriffen werden.

In der Versionsankündigung schreibt Google, dass eine Schwachstelle in der Grafikbibliothek Skia von Chrome durch das Rendern von sorgsam präparierten Webseiten auf Speicherbereiche außerhalb der vorgesehenen Grenzen zugreifen und so Speicherinhalte schreiben kann (CVE-2026-3909, kein CVSS-Wert, Risiko laut Google „hoch“). Die zweite Sicherheitslücke befindet sich in der JavaScript-Engine V8 und ermöglicht Angreifern aufgrund einer „unangemessenen Implementierung“, bei der Anzeige einer manipulierten Webseite beliebigen Code in einer Sandbox auszuführen (CVE-2026-3910, kein CVSS-Wert, Risiko laut Google „hoch“).

„Google ist bekannt, dass Exploits für beide, CVE-2026-3909 und CVE-2026-3910, in freier Wildbahn existieren“, ergänzen die Entwickler. Über Art und Umfang der Angriffe schweigen sie sich jedoch aus. Sie listen keine weiteren Sicherheitslücken auf, die die aktualisierte Fassung behandeln würde. Wer Chrome nutzt, sollte umgehend sicherstellen, dass der Webbrowser auf aktuellem Stand ist.

Chrome: Fehlerbereinigte Versionen

Die Versionen Chrome 146.0.7680.115 für Android, 146.0.7680.75 für Linux und 146.0.7680.75/76 für macOS und Windows schließen die bereits im Internet attackierten Sicherheitslücken. Unter Android liefert Googles Play Store das Update – allerdings oftmals stark verzögert; die Aktualisierung lässt sich hier nicht erzwingen, wenn die neue Fassung noch nicht angeboten wird. Unter Linux müssen Chrome-Nutzer in der Regel die Softwareverwaltung der Distribution starten und nach Updates suchen lassen. In Windows zeigt der Versionsdialog die aktuell laufende Softwareversion und bietet bei Verfügbarkeit die Installation des Updates an. Der öffnet sich nach Klick auf das Symbol mit den drei gestapelten Punkten rechts von der Adressleiste, dort dann weiter über „Hilfe“ – „Über Google Chrome“.

Erst in der Nacht zum Donnerstag dieser Woche wurde bekannt, dass das planmäßige Chrome-Update vom Mittwoch auf den 146er-Entwicklungszweig insgesamt 29 Sicherheitslecks abgedichtet hat. Eine davon galt sogar als kritische Bedrohung.

(dmk)

Auf die KI-gestützte Automatisierungssoftware n8n laufen derzeit Angriffe. Bösartige Akteure missbrauchen dabei eine seit Januar bekannte Sicherheitslücke in dem Prozessautomatisierungstool.

Davor warnt die US-amerikanische IT-Sicherheitsbehörde CISA aktuell. Sie hat die Schwachstelle CVE-2025-68613 in den „Known Exploited Vulnerabilities“-Katalog aufgenommen. Die wurde Anfang des Jahres bekannt, sie lässt sich insbesondere mit weiteren Schwachstellen verknüpfen und ermöglicht dann das Ausführen von beliebigen Systemkommandos. Der CVSS-Wert 8.8 weist das Risiko zwar lediglich als „hoch“ aus, jedoch zeigte bereits dort ein Proof-of-Concept-Exploit (PoC) die Verknüpfung mit der „Ni8mare“ getauften Sicherheitslücke CVE-2026-21858 (CVSS 10, Risiko „kritisch“).

Wie üblich nennt die CISA keine weiteren Details zu den beobachteten Angriffen. Der Umfang bleibt unklar, ebenso, wie die konkreten Attacken aussehen. Es fehlen daher auch Hinweise, an denen sich erfolgreiche Angriffe erkennen ließen (Indicators of Compromise, IOC).

n8n: Zahlreiche verwundbare Systeme im Netz

Allerdings finden sich offenbar zahlreiche, nicht ausreichend abgesicherte n8n-Systeme im Internet. Die Shadowserver Foundation hat zwischen Ende Dezember 2025 und Anfang Februar 2026 etwa vermessen, wie viele Systeme für „Ni8mare“ anfällig sind. Anfang Februar waren das global noch 24.607 Systeme, von denen 7878 in Europa standen. Ende Februar wurden weitere Schwachstellen in n8n entdeckt, darunter drei als kritisches Risiko eingestufte. Zu einer davon, CVE-2026-27493 (CVSS4 9.5, Risiko „kritisch“), hat Pillar Security eine detaillierte Analyse vorgelegt. Demnach haben sie mehr als 50.000 potenziell verwundbare Endpunkte im Netz gefunden – für eine Zero-Click-Schwachstelle, die Codeschmuggel erlaubt. Laut der Analyse nutzen mehr als 230.000 Organisationen n8n, die Docker-Container wurden mehr als 100 Millionen Mal gezogen.

IT-Verantwortliche, die n8n-Instanzen in ihrer Organisation einsetzen, sollten daher sicherstellen, dass sie die fehlerkorrigierten Versionen (2.10.1, 2.9.3 und 1.123.22 respektive die aktuellen, noch neueren Fassungen) einsetzen. Außerdem sollte das Tool nicht aus dem Internet zugreifbar sein. Eine weitere Zugriffsbeschränkung im lokalen Netz auf die Rechner der damit arbeitenden Mitarbeiter und Systeme scheint ebenfalls eine sinnvolle Maßnahme zu sein.

(dmk)