Skip to content

TL:DR

De cyberaanval op Stryker laat zien hoe één gecompromitteerd admin-account voldoende is om een volledige IT-omgeving plat te leggen via legitieme tools zoals Microsoft Intune. De aanval was niet gericht op geld, maar op maximale verstoring. De belangrijkste les: identiteit en toegangsbeheer zijn dé kritieke beveiligingslaag. Organisaties moeten inzetten op sterke authenticatie, minimale rechten, bescherming van beheeromgevingen en een goed getest herstelplan om de impact van dit soort aanvallen te beperken.

Op 11 maart 2026 werd Stryker Corporation getroffen door een grootschalige cyberaanval. Wereldwijd raakten apparaten van medewerkers onbruikbaar binnen hun Microsoft Intune- en Microsoft 365-omgeving.

De impact was direct voelbaar: bestellingen liepen vertraging op, productie kwam stil te liggen en leveringen werden verstoord. De pro-Iraanse hackersgroep Handala eiste de aanval op.

Wat bij Stryker gebeurde, kan in principe elke organisatie overkomen.

Wat is er precies gebeurd?

De aanval was technisch gezien slim én tegelijkertijd zorgwekkend eenvoudig.

Aanvallers kregen toegang tot een account met hoge rechten binnen Microsoft Intune. Vervolgens gebruikten ze het platform precies waarvoor het bedoeld is: apparaatbeheer. Alleen dit keer om massaal apparaten te wissen.

Het resultaat: duizenden apparaten tegelijk onbruikbaar. Geen complexe malware. Geen geavanceerde exploits. Alleen toegang tot het juiste account.

Eén account, volledige controle: waarom deze aanval iedereen aangaat

In moderne IT-omgevingen vormen beheerplatformen zoals Intune het hart van de organisatie. Ze bieden centrale controle over apparaten, gebruikers en beveiliging. Maar diezelfde kracht maakt ze ook een aantrekkelijk doelwit.

Wie toegang krijgt tot zo’n platform, kan:

  • apparaten wissen of blokkeren
  • beveiliging uitschakelen
  • toegang verstoren
  • processen stilleggen

In de praktijk betekent dit: controle over je beheerplatform is controle over je hele organisatie.

Niet gericht op geld, maar op verstoring

Opvallend aan deze aanval is dat financieel gewin geen rol leek te spelen. Er was geen sprake van losgeld of onderhandelingen. De focus lag volledig op verstoring

Systemen werden onbruikbaar gemaakt en processen kwamen stil te liggen. En in zo’n scenario kun je niets “terugkopen”. Herstel hangt volledig af van hoe goed je voorbereid bent.

Identiteit is de nieuwe sleutel

Waar aanvallers vroeger door netwerken moesten bewegen, is dat vandaag niet altijd meer nodig. Eén gecompromitteerd account met hoge rechten kan voldoende zijn om wereldwijd impact te maken. Daarom ligt de focus steeds meer op het beschermen van accounts en het streng beheren van toegangsrechten.

Wat kun je hiertegen doen?

Het goede nieuws: dit soort risico’s zijn wél te verkleinen. De basis ligt niet in meer tools, maar in betere controle.

1. Begin bij identiteit: de sleutel tot alles

In moderne IT-omgevingen is identiteit de toegangspoort tot vrijwel alle systemen. Accounts met hoge rechten zijn daarmee niet zomaar accounts, maar kritieke toegangspunten tot je organisatie.

Het beschermen van deze accounts begint bij sterke authenticatie. Denk aan phishing-resistente multi-factor authenticatie, zoals passkeys, gecombineerd met strikte toegangsregels. Maar technologie alleen is niet genoeg. Juist het actief monitoren van inloggedrag maakt het verschil.

Wanneer een account ineens vanaf meerdere locaties tegelijk inlogt, of gedrag vertoont dat afwijkt van het normale patroon, moet dat direct aanleiding zijn om in te grijpen.

2. Bescherm je beheeromgeving als je belangrijkste systeem

Platformen zoals Microsoft Intune zijn krachtig, maar brengen ook risico’s met zich mee. Ze geven directe controle over alle apparaten binnen je organisatie en verdienen daarom dezelfde bescherming als je meest kritieke systemen.

Beperk het aantal mensen met beheerrechten tot een minimum en werk altijd met aparte admin-accounts die niet voor dagelijks gebruik worden ingezet. Daarnaast is het belangrijk dat beheer alleen plaatsvindt vanaf speciaal ingerichte, beveiligde werkplekken. Door actief te monitoren op afwijkende acties, zoals het massaal wissen van apparaten, kun je vroegtijdig ingrijpen.

3. Geef alleen toegang wanneer het echt nodig is

Een veelgemaakte fout is dat beheerders permanent uitgebreide rechten hebben. Dit vergroot het risico aanzienlijk. Door te werken met tijdelijke rechten (ook wel Just-In-Time access genoemd) beperk je dit risico.

Beheerders krijgen alleen toegang op het moment dat het nodig is, voor een beperkte tijd en met volledige logging. Mocht een account worden gecompromitteerd, dan is de schade direct beperkt omdat er niet continu toegang beschikbaar is.

4. Denk vooruit: wat als alles uitvalt?

Het is geen prettige gedachte, maar wel een noodzakelijke: wat doe je als al je apparaten ineens onbruikbaar zijn? Organisaties die hier vooraf over nadenken, herstellen aantoonbaar sneller.

Zorg voor back-ups die niet aangepast of verwijderd kunnen worden, bij voorkeur gescheiden van je primaire omgeving. Werk daarnaast met standaard configuraties (zogeheten ‘gold images’) en geautomatiseerde herstelprocessen, zodat je snel weer operationeel bent. In dit soort scenario’s draait het niet om onderhandelen, maar om hoe snel je kunt herbouwen.

5. Oefen je reactie op incidenten

Een incident response plan is alleen waardevol als het ook getest is. In de praktijk blijkt dat organisaties die regelmatig oefenen, sneller en effectiever reageren wanneer het echt misgaat. Niet alleen omdat processen duidelijk zijn, maar vooral omdat mensen weten wat er van hen verwacht wordt.

Daarom is het belangrijk om niet alleen IT-teams te betrekken, maar ook management, juridische teams en communicatie. Juist in de eerste uren van een incident bepaalt samenwerking het verschil tussen controle en chaos.

6. Kun je tijdelijk zonder IT?

Hoewel IT tegenwoordig onmisbaar is, is het verstandig om na te denken over scenario’s waarin systemen tijdelijk niet beschikbaar zijn. Kun je dan nog orders verwerken, productie aansturen of communiceren met leveranciers?

Door vooraf alternatieve werkwijzen en communicatiekanalen te definiëren, voorkom je dat je organisatie volledig stilvalt. Het vergroot je veerkracht op het moment dat technologie je even in de steek laat.

7. Beperk de impact met Zero Trust

Een belangrijke les uit dit soort aanvallen is dat je ervan uit moet gaan dat een inbraak kán gebeuren.

Door je omgeving op te delen en strikt te scheiden, voorkom je dat één incident direct alles raakt. Denk hierbij aan het scheiden van identiteitssystemen, beheerplatformen, back-ups en netwerken.

Dit principe, beter bekend als Zero Trust, zorgt ervoor dat een aanvaller zich niet vrij door je omgeving kan bewegen. Zelfs niet als hij ergens binnenkomt.

Actief monitoren: signalen die je niet mag missen

Hoewel dit soort aanvallen snel verlopen, zijn er vaak signalen:

  • plotselinge bulkacties in beheerplatformen
  • meerdere device wipes in korte tijd
  • ongebruikelijke downloads of configuratiewijzigingen
  • inloggen vanaf onverwachte locaties

Door hier actief op te monitoren, vergroot je de kans dat je een aanval vroegtijdig stopt.

Conclusie: de spelregels zijn veranderd

Deze aanval onderstreept een belangrijke verschuiving in cybersecurity. Aanvallers maken steeds vaker gebruik van legitieme tools. Malware is niet altijd meer nodig.

Voor organisaties betekent dit dat de focus moet verschuiven. Niet alleen naar technologie, maar vooral naar controle over identiteit en toegang. Want uiteindelijk bepaalt dat wie er écht aan de knoppen zit.

Latest blogs

Cyberaanval bij Stryker: één account, volledige controle

  • Security
  • maart 19, 2026

Aanvallers maken steeds vaker gebruik van legitieme tools. Malware is niet altijd meer nodig.

Lees meer

NIS2 Groepsdeal: waarom nú instappen het verschil maakt

  • Security
  • maart 17, 2026

Certificering wordt steeds vaker een voorwaarde om zaken te blijven doen.

Lees meer

Microsoft E7

Microsoft introduceert Microsoft 365 E7: AI centraal in de digitale werkplek

  • Modern Work
  • maart 13, 2026

Microsoft 365 E7 brengt verschillende technologieën voor het eerst samen in één geïntegreerde suite.

Lees meer

Werken bij Ekco – IT-team aan het werk in de cloud pic

Heb je een vraag?
Onze specialisten staan voor je klaar

Neem contact op