Im Mai 2025 erschütterte ein groß angelegter Cyberangriff die britische Einzelhandelsgenossenschaft Co-op. Die Hackergruppe, die sich selbst DragonForce nennt, konnte in die IT-Systeme des Unternehmens eindringen, was zu einem massiven Datenleck führte. Seitdem steht Co-op im Fokus von Medien, Sicherheitsbehörden und der Öffentlichkeit, da über zwanzig Millionen Kundendatensätze potenziell betroffen sind. Die Hacker selbst suchten Kontakt zur BBC, um den Ernst der Lage zu offenbaren und Druck auf das Unternehmen auszuüben. Dieser Vorfall zeigt nicht nur die immer größer werdende Gefahr von Cyberkriminalität im Einzelhandelssektor, sondern verdeutlicht auch, wie wichtig umfassende Sicherheitsvorkehrungen und offene Kommunikation für Unternehmen sind.
Co-op ist eine traditionsreiche britische Institution mit über 2.500 Supermärkten, 800 Bestattungsunternehmen sowie einem Versicherungszweig. Das Unternehmen beschäftigt rund 70.000 Mitarbeiter im ganzen Land und betreibt ein umfangreiches Mitgliedschaftsprogramm, das seit Jahren fest in der britischen Gesellschaft verankert ist. Umso schockierender ist die Nachricht, dass sensible Daten von Mitgliedern und Mitarbeitern kompromittiert wurden.
Die Hacker behaupten, persönliche Daten von etwa 20 Millionen Mitgliedern gestohlen zu haben, darunter Namen, Adressen, E-Mail-Adressen, Telefonnummern sowie Mitgliedskartennummern. Zwar versicherte Co-op, dass Passwörter, Bank- oder Kreditkarteninformationen sowie Transaktionsdaten nicht einbezogen waren, dennoch führen die erlangten Informationen zu weitreichenden Sorgen über Identitätsdiebstahl und weiteren Missbrauch. Der Cyberangriff wurde erstmals offiziell von Co-op am Mittwoch zuvor bekanntgegeben, nachdem die Hacker bereits in der Woche zuvor interne Gespräche mit Sicherheitsverantwortlichen des Unternehmens geführt hatten. Offenbar hatten die Angreifer Zugriff auf interne Microsoft Teams-Chats und Telefonate. Ein Proof-of-Concept in Form von Screenshots wurde an die BBC übermittelt.
Diese interne Kommunikation zeigt, dass die Hacker nicht nur Datendiebstahl begehen, sondern auch explizit in Kontakt mit der Führungsebene um eine Zahlung erpresst hatten. Die Cyberkriminellen fordern eine nicht näher bezifferte Summe und drohen mit der Veröffentlichung der Daten, falls ihre Forderungen unbeachtet bleiben. Die Gruppe DragonForce besitzt einen zwielichtigen Ruf in der Cyberkriminalität. Bekannt für Ransomware-Angriffe verschlüsselt sie üblicherweise Datensätze von Unternehmen und verlangt Lösegeld für die Entschlüsselung. Doch mittlerweile hat sich ihr Vorgehen erweitert und inkludiert auch das Stehlen von Daten, die als Erpressungsmittel öffentlich gemacht oder verkauft werden können.
Interessanterweise operiert DragonForce als ein sogenanntes Affiliate-Netzwerk, bei dem Dritte deren Schadsoftware mieten und einsetzen können. Dadurch wird es für Ermittler schwieriger, den tatsächlichen Täterkreis zu ermitteln. Cybersecurity-Experten sehen Parallelen zur Hackergruppe Scattered Spider, die international immer wieder mit komplexen Angriffen für Schlagzeilen sorgt. Viele ihrer Akteure sind junge, englischsprachige Personen, teilweise Jugendliche, die über Plattformen wie Telegram oder Discord operieren. Die Bekanntgabe des Angriffs hat nicht nur bei Co-op für massive Umbrüche gesorgt.
Auch andere britische Einzelhändler wie M&S und Harrods wurden durch ähnliche Angriffe von DragonForce oder verbundener Hacker in Mitleidenschaft gezogen. Der Angriff auf Co-op wird daher von vielen Seiten als Teil einer breiteren Kampagne gegen britische Handelsunternehmen bewertet. Der britische Minister Pat McFadden, zuständig für Cybersicherheit, betonte nach Bekanntwerden des Vorfalls die Dringlichkeit, Cybersicherheit in Unternehmen zur obersten Priorität zu machen. Er warnte, dass Unternehmen ihre digitalen „Schaufenster“ genauso stark schützen müssen wie ihr physisches Eigentum, um den inzwischen alltäglichen Angriffen durch Cyberkriminelle standzuhalten. Diese Cyberattacke zeigt ebenso die herausfordernde Balance zwischen Unternehmenskommunikation und Krisenmanagement auf.
Zunächst hatte Co-op das Ausmaß der Attacke verharmlost und angegeben, es gebe „keine Hinweise auf eine Kompromittierung von Kundendaten“. Erst nach Gesprächen mit den Hackern und deren Kontaktaufnahme mit der BBC musste das Unternehmen das wahre Ausmaß eingestehen und seine Mitarbeiter sowie die Investoren darüber informieren. Zudem wurden beim Personal Sicherheitsmaßnahmen drastisch verschärft: Mitarbeiter sind nun verpflichtet, bei Online-Meetings die Kameras eingeschaltet zu lassen, dürfen keine Sitzungen aufzeichnen oder automatisch transkribieren lassen, und müssen die Identität aller Teilnehmer akribisch überprüfen. Diese Maßnahmen zielen darauf ab, weitere Insiderangriffe und die Ausspähung interner Kommunikation zu verhindern. Für die Kunden von Co-op bedeutet die Datenpanne nicht nur ein hohes Maß an Angst und Unsicherheit, sondern auch einen erhöhten Aufwand bei der Absicherung der eigenen Daten.
Da Namen, Adressen und Kontaktdetails offengelegt sein könnten, besteht die Gefahr von Phishing-Angriffen, Identitätsdiebstahl oder gezielten Betrugsversuchen. Verbraucher werden daher dringend geraten, ihre Online-Konten regelmäßig auf ungewöhnliche Aktivitäten zu überprüfen, vorsichtig bei verdächtigen E-Mails und Anrufen zu sein und gegebenenfalls Schutzmaßnahmen wie Zwei-Faktor-Authentifizierung zu nutzen. Im weiteren Verlauf reagiert Co-op eng mit der National Cyber Security Centre (NCSC) sowie der National Crime Agency (NCA) des Vereinigten Königreichs. Beide Institutionen stellen technische und rechtliche Unterstützung bereit, um Schwachstellen zu beheben, den Angriff aufzuklären und künftige Vorfälle zu verhindern. Die britische Regierung plant zudem im Rahmen einer konzertierten Aktion, die Cybersicherheitsstandards im Einzelhandel signifikant zu erhöhen.
Dies umfasst unter anderem strengere Kontrollen von Drittanbietern, vermehrte Sensibilisierung in den Unternehmen und einen Ausbau der Investitionen in Präventionsmaßnahmen. Der Fall Co-op illustriert sehr deutlich, wie verwundbar auch Großunternehmen gegen die zunehmend raffinierten Methoden von Cyberkriminellen sind. Während die Digitalisierung und Vernetzung viele Vorteile bringt, erhöhen sich auch die Risiken und Herausforderungen – insbesondere wenn es um den Schutz persönlicher Kundendaten geht. Die fortlaufende Pandemie, der Einsatz von Homeoffice sowie der wachsende Onlinehandel bringen zudem neue Angriffspunkte mit sich, die von professionellen Hackergruppen verstärkt ausgenutzt werden. Zusammenfassend steht nicht nur Co-op vor der Aufgabe, das Vertrauen seiner Mitglieder und Kunden zurückzugewinnen, sondern auch die gesamte britische Einzelhandelsbranche vor der dringenden Notwendigkeit, eigene Sicherheitskonzepte zu überdenken und zu verbessern.
Die öffentliche Aufmerksamkeit sowie die Konsequenzen für die Unternehmen könnten längerfristig wegweisend sein – sowohl für den Umgang mit Cyberkriminalität als auch für die Zukunft der elektronischen Datensicherheit. Der Angriff durch DragonForce wird daher als ein Weckruf an alle Unternehmen gewertet, den digitalen Schutz konsequent auszubauen und sich nicht auf vermeintliche Sicherheit zu verlassen. Die Lehren aus dem Vorfall zeigen, dass schnelle Offenlegung, Kooperation mit Sicherheitsbehörden und eine umfassende Kundenkommunikation elementar sind, um Schaden zu begrenzen und langfristig handlungsfähig zu bleiben.
