In den letzten Jahren sind Cyberangriffe auf Unternehmen keine Seltenheit mehr, doch kaum eine Attacke hat so viel Aufmerksamkeit erregt wie der Hack bei Marks & Spencer (M&S) und der Co-op-Gruppe. Als erfahrener Korrespondent im Bereich Cybersicherheit erhielt ich unerwartet eine Nachricht von Personen, die behaupteten, hinter den Angriffen zu stecken. Diese Begegnung öffnete die Tür zu einer beispiellosen Einsicht in die Welt organisierter Cyberkriminalität und zeigte, wie tief diese Bedrohungen mittlerweile in den Alltag größerer Einzelhändler eingedrungen sind. Die Geschichte beginnt mit einer Telegram-Nachricht, die mein Handy zum Klingeln brachte. Ohne Profilbild und mit einem anonymen Account kontaktierten mich die vermeintlichen Hacker und boten mir exklusive Informationen zu den Hacks bei M&S und Co-op an.
Sie machten klar, dass es sich dabei nicht nur um bloße Behauptungen handelte, sondern sie tatsächlich im Besitz großer Mengen gestohlener Daten von Kunden und Mitarbeitern waren. Nach einer sorgfältigen Überprüfung der bereitgestellten Proben war die Realität untrüglich; hier lag ein massiver Verstoß gegen Datenschutz und Unternehmenssicherheit vor. Die Konsequenzen für betroffene Verbraucher waren gravierend, denn erste Meldungen über leere Regale in mehreren Co-op-Filialen ließen keine Zweifel daran, dass die Angriffe den Betrieb erheblich störten. Besonders bemerkenswert war die Haltung der Co-op-Gruppe. Anfangs versuchte das Unternehmen, den Vorfall herunterzuspielen, doch nachdem die Hacker ihre Ransom-Forderungen – höchstwahrscheinlich in Bitcoin – öffentlich machten, sah sich der Einzelhändler gezwungen, die Situation offen zuzugeben.
Eine solche Offenlegung zeigt zum einen, wie sensibel Unternehmen auf ihre Reputation achten, zum anderen offenbart sie aber auch die wachsende Macht der Erpresser in der digitalen Welt. Die Hacker selbst hinterließen mir später eine lange, zum Teil aggressive Nachricht, die Kritik an der Antwort des Co-op-Ungenannte Cyberkrieg-Experten zufolge wird dem von ihnen genutzten Cybercrime-Service namens DragonForce eine zentrale Rolle zugeschrieben. DragonForce operiert mit dem sogenannten Ransomware-as-a-Service-Modell, welches es Cyberkriminellen ermöglicht, erpresserische Software zu mieten und die erbeuteten Lösegelder zu teilen. Dieses Geschäftsmodell lebt von der Tatsache, dass auch weniger technisch versierte Täter mit potenziell verheerenden Angriffen operieren können. Seit 2023 ist DragonForce als brandgefährlicher Akteur aktiv und bietet seinen Nutzern einen „Kundendienst“ rund um die Uhr an – ein Novum in dieser Szene.
Experten verweisen darauf, dass mit dem Zusammenbruch früherer Gruppen wie LockBit der Boden für neue, aggressivere Gruppen bereitet wurde. Die Territorialkämpfe innerhalb dieser kriminellen Netzwerke nehmen weiter zu: kürzlich wurde DragonForce von einer rivalisierenden Gang namens RansomHub gehackt und deren Seiten wurden kurzerhand entstellt. Betrachter dieser Schattenwelt sprechen von einem eigentlichen Machtkampf um die Vorherrschaft auf dem lukrativen Markt digitaler Erpressung. Trotz der beeindruckenden Aktivität von DragonForce und ihrer umfangreichen Liste an Opfern – darunter Unternehmen aus London, den USA und Ägypten – hat die Gruppe bisher die Retail-Angriffe auf M&S, Co-op oder Harrods nicht offiziell zugegeben. Die Stille könnte darauf hinweisen, dass vielleicht Zahlungen geleistet wurden, um die Veröffentlichung sensibler Daten zu verhindern.
Hinter der Kulisse bleibt daher die Frage, wer tatsächlich die Strippen zieht und für die Auswahl der Ziele verantwortlich ist. Insbesondere das sogenannte Netzwerk Scattered Spider wird von Ermittlern verdächtigt. Entgegen klassischer Vorstellungen einer organisierten Gruppierung handelt es sich bei Scattered Spider mehr um eine lockere Gemeinschaft von Cyberkriminellen, die über Plattformen wie Discord und Telegram agieren. Sie sprechen überwiegend Englisch und stammen oft aus dem Vereinigten Königreich und den Vereinigten Staaten, wobei einige Mitglieder noch sehr jung sind. Im November des letzten Jahres wurden mehrere Personen in den USA und Schottland aufgrund ihrer mutmaßlichen Aktivitäten festgenommen.
Diese andauernden polizeilichen Maßnahmen scheinen aber den Schwung und die Kreativität solcher Gemeinschaften kaum zu bremsen. Im Gegenteil, die Angriffe werden zunehmend professioneller, was die Warnungen von Google und anderen Technologieunternehmen unterstreicht, die jüngst eine Ausweitung der Aktivitäten auf den US-Markt beobachteten. Die Kommunikation mit den Hackern offenbarte überraschend viel über ihre Persönlichkeit und die Dynamik innerhalb der Szene. Auf meine direkte Frage nach der Zugehörigkeit zu Scattered Spider antworteten sie ausweichend, während sie sich selbst mit Namen aus der US-Krimiserie „The Blacklist“ schmückten. Mit stolzgeschwellter Brust verkündeten sie, britische Einzelhändler auf ihre „Schwarze Liste“ zu setzen.
Dies reflektiert nicht nur eine gewisse Indifferenz gegenüber den Folgen ihrer Taten, sondern auch den Wunsch nach Aufmerksamkeit und Respekt innerhalb der Community. Für Verbraucher und Unternehmen bedeutet dies: Die Bedrohung durch Cyberangriffe ist allgegenwärtig und entwickelt sich stetig weiter. Angriffe sind nicht mehr auf isolierte Fälle beschränkt, sondern Teil einer organisierten und kommerziellen Machenschaft, die schwer zu durchschauen und zu bekämpfen ist. Prävention und schnelle Reaktion bleiben die wichtigsten Maßnahmen. Zudem ist die Zusammenarbeit zwischen betroffenen Firmen, Strafverfolgungsbehörden und Experten aus der Cybersecurity unverzichtbar, um solche Angriffe zu erkennen, einzudämmen und die Täter zu überführen.
