Im Mai 2025 rückte der britische Einzelhändler Co-op ins Zentrum eines größeren Cyberangriffs, der dank eines entschlossenen und frühzeitigen Eingreifens des Unternehmens nicht zu einer umfassenden Katastrophe wurde. Während ein paralleler Angriff bei Mark & Spencer (M&S) die Abläufe noch immer lähmt, gelang es Co-op, Schlimmeres zu verhindern, indem die IT-Verantwortlichen quasi „den Stecker zogen“. Dieses Vorgehen mag im ersten Moment radikal wirken, hat aber gezeigt, dass proaktives Krisenmanagement und schnelles Handeln wichtige Schlüsselkomponenten im Kampf gegen Cyberkriminalität sind. Die Geschichte dieses Angriffs wirft einen wichtigen Blick auf moderne Bedrohungen, die Strategien zur Abwehr und die Folgen für Firmen, Mitarbeiter und Kunden. Der Angriff selbst wurde von einer kriminellen Hackergruppe namens DragonForce ausgeführt, die ihre Methoden und Absichten gegenüber der BBC offenlegte.
DragonForce bietet einen sogenannten Cyberkriminalitätsdienst an, durch den Dritte ihre Schadsoftware mieten und somit gehärtete Netzwerke kompromittieren können. Die Hacker gaben an, bereits eine erhebliche Zeit unbemerkt im Computernetzwerk von Co-op verbracht und große Mengen an sensiblen Kundendaten gestohlen zu haben. Die Absicht war, das Netzwerk mit Ransomware zu infizieren. Diese Art der Schadsoftware verschlüsselt Geräte und Daten und hindert die betroffene Firma daran, auf ihre Systeme zuzugreifen, bis eine Lösegeldzahlung erfolgt. Ransomware gehört zu den gefährlichsten Cyberangriffen unserer Zeit und kann Unternehmen enormen Schaden zufügen – wirtschaftlich und im Bereich der Reputation.
Co-op erkannte den Angriff frühzeitig und traf die Entscheidung, sämtliche betroffenen Systeme vom Netz zu nehmen, um eine weitere Eskalation zu verhindern. Diese Maßnahme führte zwar kurzfristig zu logistischen Problemen, leeren Regalen und Umsatzeinbußen, aber spannte das Unternehmen nicht unnötig dem Risiko einer langwierigen und umfassenden Sperrung aus. Im Gegensatz dazu steht der Fall bei M&S, wo die Hacker größtenteils erfolgreich waren, wodurch Online-Bestellungen weiterhin eingestellt sind und Geschäfte mit Problemen kämpfen. Fachleute aus dem Bereich Cybersicherheit, wie Jen Ellis von der Ransomware Task Force, raten genau zu solch einer abwägenden, aber auch radikalen Selbstabschaltung als Mittel, um eine vollständige Gefangennahme durch die Angreifer zu verhindern. Entscheidend für den Erfolg ist, dass IT-Teams schnell, effektiv und entschlossen reagieren müssen, oftmals unter enormem Zeitdruck und unvollständigen Informationen.
Co-op hat mit seiner Strategie gezeigt, dass kurzfristiges wirtschaftliches Opfer einer längerfristigen Verhinderung von Schaden vorausgehen kann – eine Entscheidung, die sich im Nachhinein bezahlt gemacht hat. Die emotional aufgeladene Veröffentlichung der Hacker, die Co-op vorwerfen, ihnen das Handwerk gelegt zu haben, zeigt gleichzeitig die dunkle Seite dieser kriminellen Tätigkeit. Sie sprechen von getakteten Angriffen, langem Einwirken auf das Netzwerk und der großen Menge an abgesaugten Daten. Besonders die Tatsache, dass Co-op das Einschleusen der Ransomware verhindern konnte, spricht für ein hochentwickeltes Monitoring und eine wache IT-Überwachung. Die Hacker gaben sogar zu, sich „auf die schwarze Liste“ einzutragen, was verdeutlicht, dass es sich bei den Angriffen nicht um ein zufälliges Ereignis, sondern um gezielte und koordinierte Angriffe handelt.
Die Auswirkungen auf die Kunden sind spürbar, auch wenn der Schaden begrenzter ausgefallen ist als bei M&S. Co-op kündigte an, die Regale würden ab dem Wochenende wieder besser gefüllt sein, allerdings wird die Wiederherstellung von Vertrauen und Systemstabilität noch längere Zeit in Anspruch nehmen. Es muss demonstriert werden, dass die Schwachstellen geschlossen sind und die Sicherheitsmechanismen auf einem höheren Niveau liegen. Experten wie Professor Oli Buckley von der Loughborough University betonen, dass Vertrauen in der digital vernetzten Welt ein sensibles Gut ist, das nur langsam wiederhergestellt werden kann. Der Vorfall wirft auch einen Blick auf die jüngeren Tendenzen in der Cyberkriminalität.
Hackergruppen wie DragonForce oder möglicherweise auch koordinierte Netzwerke wie Scattered Spider oder Octo Tempest bedienen sich moderner Kommunikationswege via Telegram oder Discord, sind oft englischsprachig und nicht selten Jugendliche oder junge Erwachsene. Sie nutzen öffentlich zugängliche Plattformen und Verleihen dem Cybercrime eine neue Dimension der Demokratisierung – jeder kann sich die Mittel zur Durchführung von Angriffen mieten. Solche Entwicklungen stellen Firmen vor erhebliche Herausforderungen, da nicht nur technische sondern auch sozialpsychologische und organisatorische Faktoren berücksichtigt werden müssen, um dieser Bedrohung Herr zu werden. Gleichzeitig ruft der Angriff auch zu einem bewussteren Umgang mit IT-Sicherheit bei der breiten Öffentlichkeit auf. Kunden von Co-op und M&S wurden nach den Vorfällen sensibilisiert, Accounts zu schützen und sich auf mögliche Phishing-Versuche und betrügerische Anrufe einzustellen.
Behörden und Cybersicherheitszentren mahnen kontinuierlich, Vorsicht bei ungewöhnlichen IT-Kontakten walten zu lassen. Für Unternehmen heißt das verstärkte Investitionen in Awareness-Programme und technische Schutzmechanismen. Die jüngsten Entwicklungen rund um die Cyberattacke auf Co-op zeigen eindrucksvoll, wie wichtig es ist, in einem zunehmend digitalisierten Geschäftsumfeld wachsam zu bleiben. Unternehmen jeder Größe sollten aus diesen Ereignissen lernen: Reaktionsfähigkeit, schnelle Entscheidungen, umfassende Überwachung und Investitionen in IT-Sicherheit gehören heute zur Grundausstattung eines widerstandsfähigen Geschäftsmodells. Der Fall Co-op demonstriert einen beispielhaften Umgang mit einer potenziell zerstörerischen Bedrohung, der als Vorbild für andere gelten kann.
Abschließend ist festzuhalten, dass Cybersicherheit nicht nur eine technische Herausforderung ist, sondern auch ein strategisches und kulturelles Thema. Co-op hat durch sein umsichtiges Handeln möglichen Schaden begrenzt, aber der Weg zurück zu vollständiger Normalität erfordert weitere Anstrengungen. Die Lektionen aus diesem Angriff werden die Sicherheitspraktiken in Großbritannien und darüber hinaus langfristig prägen und verdeutlichen die Notwendigkeit eines kontinuierlichen Dialogs zwischen Unternehmen, Behörden und Experten, um künftige Cyberattacken effektiver abzuwehren.
