Die Welt des Einzelhandels sieht sich immer häufiger mit bedrohlichen Cyberangriffen konfrontiert, die vorhandene IT-Infrastrukturen massiv beeinträchtigen. In den letzten Monaten gerieten insbesondere britische Einzelhandelsunternehmen großflächig ins Visier einer kriminellen Hackergruppe namens Scattered Spider, die mit hochentwickelten Ransomware-Angriffen empfindliche Daten erbeuteten und den Geschäftsbetrieb erheblich störten. Nach einer Phase intensiver Aktivitäten in Großbritannien hat die Gruppe nun den amerikanischen Markt ins Visier genommen und beginnt, dort namhafte Handelsunternehmen zu attackieren. Diese Entwicklung signalisiert eine besorgniserregende Eskalation der Bedrohung durch organisierte Cyberkriminalität im Einzelhandel, die Unternehmen auf beiden Seiten des Atlantiks vor neue Herausforderungen stellt. Die Hackergruppe Scattered Spider, auch unter dem Kürzel UNC3944 bekannt, ist durch eine Reihe gezielter und gut koordinierter Cyberattacken auf den Einzelhandelssektor aufgefallen.
Dabei bedienen sie sich moderner Techniken der Ransomware – einer Schadsoftware, die Computersysteme verschlüsselt und erst nach Zahlung eines Lösegelds wieder zugänglich macht. Über einen längeren Zeitraum stoppte die Gruppe ihre Aktivitäten, teilweise aufgrund von Polizeieinsätzen und Festnahmen zentraler Mitglieder. Doch im April 2025 kehrten die Kriminellen mit voller Wucht zurück und konzentrieren sich nun verstärkt auf wichtige britische Handelsketten wie Marks & Spencer, Co-op oder Harrods, die prominent in den Medien präsent sind. Fachleute der Cybersicherheitsfirma Mandiant, die Teil von Google ist, beobachteten kürzlich einen deutlichen Ausweitungsversuch der Schadaktionen auf den amerikanischen Markt. Die Angriffe richteten sich gegen mehrere große Einzelhandelsunternehmen in den USA, was zeigt, dass die Hackergruppe ihre Taktik und ihre geografische Reichweite zu erweitern versucht.
Obwohl die Anzahl der betroffenen US-Firmen überschaubar bleibt, handelt es sich hierbei um bekannte und wirtschaftlich bedeutende Marken, keine kleinen oder mittelständischen Händler. Die Folgen der Attacken reichen dabei über direkten Schaden durch Datenverluste hinaus. Oft sind es die Sicherheitsmaßnahmen und Notfallreaktionen der betroffenen Unternehmen, die den Markt und die Abläufe in erheblichem Maße stören. Zum Beispiel werden beispielsweise Authentifizierungsserver deaktiviert oder virtuelle private Netzwerke (VPNs) abgeschaltet, um weitere Einbrüche zu verhindern. Das führt aber auch dazu, dass Mitarbeiter zeitweise keinen Zugang zu wichtigen IT-Systemen haben und damit die Produktivität leidet.
Ein besonderes Augenmerk liegt auf der eingesetzten Ransomware namens DragonForce, die die Hacker anstelle ihrer früher genutzten Werkzeuge wie ALPHV/BlackCat oder RansomHub verwenden. DragonForce zeichnet sich durch seine Effektivität aus, ist jedoch nicht selbstentwickelt, sondern wird von der Gruppe adaptiert. Die Veränderung der verwendeten Malware reflektiert die Anpassungsfähigkeit und die hohe technische Kompetenz der Hacker. Diese sind vor allem junge Männer, meist in ihren späten Teenagerjahren bis Anfang 20, die vorwiegend in den USA und Großbritannien ansässig sind. Die neuste Welle von Cyberangriffen scheint nach einer Unterbrechung und personellen Umstrukturierungen entstanden zu sein, wobei mehrere Schlüsselfiguren der Gruppe im vergangenen Jahr festgenommen wurden.
Die dadurch ausgelöste Unsicherheit führte offenbar zu einer Ruhephase, bevor die Angriffe nun mit neuer Energie fortgesetzt werden. Die Vorgehensweise von Scattered Spider zeigt ein Muster, das sich durch eine gezielte Sektor-Ausrichtung auszeichnet. Im Jahr 2023 konzentrierte sich die Gruppe auf Casinos und Resorts, nun trifft es vor allem den Einzelhandel. Allerdings zeichnet sich ab, dass die Hackergruppe aufgrund ihres sogenannten „Shiny Object Syndroms“ möglicherweise bald den Fokus auf einen anderen Wirtschaftszweig verlagert – getrieben vom steten Drang nach neuen Zielen und vermeintlich lukrativeren Angriffsmöglichkeiten. Diese wechselnde Strategie erschwert es den Verteidigern in Unternehmen erheblich, sich dauerhaft und effektiv zu schützen.
Die Auswirkungen der Angriffe sind nicht nur finanzieller Natur. Einzelhändler sehen sich mit einem enormen Imageschaden konfrontiert, wenn Kundendaten in die Hände von Kriminellen gelangen. Solche Vorfälle führen zu Vertrauensverlust bei Verbrauchern, was besonders in wettbewerbsintensiven Märkten schwer wiegt. Ein Beispiel ist Marks & Spencer, das offen zugab, dass Kundendaten kompromittiert wurden. Darüber hinaus unterstreichen diese Vorfälle, wie verwundbar auch etablierte und technisch gut ausgestattete Handelsunternehmen gegen ausgeklügelte Cyberangriffe sind.
Die Reaktion der Unternehmen auf diese Bedrohungen beinhaltet oft drastische Maßnahmen wie das Abschalten kritischer Systeme, um eine weitere Ausbreitung der Schadsoftware zu verhindern. Diese Notfallmaßnahmen haben jedoch ihren Preis und können selbst zu einer längeren Betriebsunterbrechung führen – oft schlimmer als der unmittelbare Schaden durch die Hacker. Dies zeigt auch die komplexe Herausforderung im Bereich Incident Response, die Unternehmen meistern müssen, um sowohl Schaden einzudämmen als auch den normalen Geschäftsbetrieb schnellstmöglich wieder aufzunehmen. Experten betonen, dass das Bekanntwerden dieser Angriffe und die Identifikation einer klar benannten Hackergruppe auch die Aufmerksamkeit von Strafverfolgungsbehörden erhöht. Zwar werden genaue Zeitpunkte von polizeilichen Operationen nicht veröffentlicht, doch ist davon auszugehen, dass Maßnahmen zur weiteren Zerschlagung der kriminellen Organisationen folgen werden.
Für die Täter bedeutet dies einen steigenden Druck und ein wachsendes Risiko. Dennoch zeigt die fortgesetzte Aktivität, dass Cyberkriminalität leider weiterhin ein lukratives Geschäft bleibt und es einer ständigen Wachsamkeit sowie innovativer Verteidigungsstrategien bedarf. Unternehmen im Einzelhandel befinden sich daher verstärkt in der Pflicht, ihre Cyberabwehr zu modernisieren. Ein ganzheitlicher Ansatz ist notwendig: regelmäßige Sicherheitsschulungen der Mitarbeiter, diverse technische Schutzmechanismen wie mehrstufige Authentifizierung und Netzwerksegmentierung, kontinuierliche Überwachung von Datenverkehr und Systemen sowie schnelle Reaktionspläne im Fall eines Einbruchs. Ferner wird die Zusammenarbeit mit externen Cybersicherheitsdiensten und Behörden immer wichtiger, um neueste Bedrohungen zu erkennen und Eindringlinge effizient abzuwehren.
Die Angriffe durch Scattered Spider sind ein mahnendes Beispiel dafür, wie dynamisch und vielseitig moderne Cyberkriminalität agiert. Unternehmen dürfen sich nicht auf dem Erreichten ausruhen, sondern müssen ihre IT-Sicherheitsstrategie kontinuierlich anpassen und weiterentwickeln. Nur so lassen sich langfristig Schäden vermeiden, die nicht nur finanzielle Verluste verursachen, sondern auch die Beziehung zu Kunden nachhaltig schädigen können. Darüber hinaus zeigt die Ausweitung der Angriffe von Großbritannien auf die USA, wie global vernetzt und grenzenlos Cyberbedrohungen heute sind. Händler und andere Wirtschaftsbereiche sind aufgefordert, internationale Kooperationen zu stärken und Informationen über aktuelle Angriffsmuster und Verteidigungsmittel über Ländergrenzen hinweg auszutauschen.
![Magnifier on Mac – Apple [video]](/images/89B2B05E-EECA-4DFD-9C16-5E94A0FCFBA9)
