Im April 2025 wurde der britische Einzelhandelsriese Marks & Spencer Ziel eines groß angelegten Cyberangriffs, der erhebliche Auswirkungen auf den Betrieb und die Sicherheit der Kundendaten hatte. Das Unternehmen, das in Großbritannien mit über 1400 Filialen vertreten ist und zudem einen etablierten Online-Shop betreibt, sah sich gezwungen, den Online-Verkauf komplett einzustellen, um den Vorfall zu bewältigen. Am 22. April 2025 erfolgte der Angriff, bei dem Hackergruppen Zugang zu sensiblen Kundendaten erhielten und darüber hinaus wichtige Systemressourcen, darunter virtuelle Maschinen auf VMware ESXi-Servern, mit Ransomware verschlüsselten. Die Hintergründe des Angriffs offenbaren moderne Methoden der Cyberkriminalität, die Kunden und Firmen gleichermaßen gefährden können.
Die für den Angriff verantwortliche Gruppierung nennt sich DragonForce und bezeichnet sich selbst als einen „Ransomware-Kartell“. Diese Gruppe ist seit Dezember 2023 aktiv und zeichnet sich durch ausgeklügelte Angriffe aus, die soziale Ingenieurskunst mit technischer Raffinesse verbinden. Besonders bemerkenswert ist, dass DragonForce ihren Service anderen Cyberkriminellen als White-Label-Lösung zur Verfügung stellt, womit eine Ausbreitung ihrer Angriffe und Dienstleistungen unterschiedlicher Tätergruppen ermöglicht wird. Beim Angriff auf Marks & Spencer setzten die Hacker vor allem auf Social Engineering, eine Methode, die darauf abzielt, menschliche Schwachstellen statt technischer Sicherheitslücken auszunutzen. Ähnliche Taktiken verfolgen die verwandten Gruppen wie die Scattered Spider, auch bekannt als Octo Tempest, die durch komplexe Betrugsmaschen und SIM-Swapping weltweite Bekanntheit erlangt haben.
Die Folgen für Marks & Spencer und dessen Kunden sind ernst. Neben der Einschränkung des Betriebs mussten vertrauliche Kundendaten wie vollständige Namen, E-Mail-Adressen, Telefonnummern, Geburtstage, Adressdaten sowie Informationen über frühere Bestellungen kompromittiert werden. Auch die sogenannten „Sparks Pay“-Nummern, die zur Kundenbindung dienen, und verschlüsselte Zahlungsinformationen sind betroffen. Zwar versichert das Unternehmen, dass keine Passwörter oder vollständige Zahlungsdaten gestohlen wurden und daher keine akuten Sicherheitsmaßnahmen für die Kunden unmittelbar erforderlich sind, ruft die Situation dennoch zu erhöhter Wachsamkeit auf. Mark&Spencer wird Kunden mit aktiven Accounts auffordern, ihre Passwörter bei der nächsten Anmeldung zu ändern, um potenzielle Risiken zu minimieren.
Der Vorfall bei Marks & Spencer ist ein typisches Beispiel dafür, wie sich die Bedrohungslage im Bereich der Cybersicherheit verschärft hat. Hackergruppen wie Scattered Spider, die oft von jungen, technisch versierten Personen gebildet werden, agieren zunehmend professionell und zielgerichtet. Sie nutzen hochentwickelte Methoden, nicht nur um finanziellen Gewinn zu erzielen, sondern auch, um komplexe Firmenstrukturen zu kompromittieren. Scattered Spider ist unter anderem bekannt für Angriffe mit Schadprogrammen wie BlackCat, Qilin und RansomHub, die Unternehmen und Organisationen in verschiedenen Branchen ins Visier nehmen. Die Gruppierung hat Verbindungen zu sogenannten „Community“-Netzwerken, jung-kreativen Kriminellen, die mithilfe von Social Engineering und moderner Schadsoftware das Cybercrime-Ökosystem erweitern und professionalisieren.
Die Herausforderung für Unternehmen wie Marks & Spencer besteht darin, strategische Sicherheitsmaßnahmen umzusetzen, die über klassische Firewall- und Antiviruslösungen hinausgehen. Es ist entscheidend, Mitarbeiterschulungen im Bereich Social Engineering durchzuführen, da diese Angriffsart stark auf menschliches Verhalten und Fehler abzielt. Weiterhin ist die Systemhärtung, etwa durch regelmäßige Updates der Serverumgebung und das Absichern von virtuellen Maschinen, unerlässlich, um die Angriffsmöglichkeiten zu reduzieren. Die Integration von Security-Information- und Event-Management-Systemen (SIEM) und die Anwendung von mehrstufigen Authentifizierungsverfahren sind wichtige Bestandteile einer modernen Verteidigungsstrategie gegen Ransomware und datendiebstahlbedingte Angriffe. Für Kunden von Unternehmen wie Marks & Spencer ist es ratsam, eine kritische Haltung gegenüber unerwarteten Kontaktversuchen einzunehmen, die vermeintlich vom Unternehmen stammen.
Phishing-E-Mails, betrügerische Telefonanrufe oder manipulierte Nachrichten versuchen häufig, vertrauliche Informationen wie Passwörter oder Zahlungsdaten zu erlangen. Marks & Spencer selbst weist darauf hin, dass es niemals legitime Anfragen zur Herausgabe von Passwörtern oder persönlichen Daten geben wird. Kunden sollten daher alle derartigen Kontaktversuche hinterfragen und im Zweifel direkt über die offiziellen Kanäle des Unternehmens kommunizieren. Der Datendiebstahl bei Marks & Spencer unterstreicht die Bedeutung von Datenschutz und Cybersecurity im Einzelhandel, der durch die Digitalisierung immer mehr angreifbar wird. Während der physische Einkauf traditionell geschützt erscheint, stellen Online-Plattformen und digitale Kundenkonten eine neue Angriffsfläche dar, die durch kriminelle Netzwerke wie DragonForce zunehmend ausgenutzt wird.
