![Why is the M&S [UK store] cyber attack chaos taking so long to resolve?](/images/F154C0D1-69C9-45A6-A45A-F9AD01D9B911)
Marks & Spencer (M&S), einer der bekanntesten und traditionsreichsten Einzelhändler im Vereinigten Königreich, steckt seit über einer Woche in einem ernsten Cyberangriff fest, der erhebliche Störungen im gesamten Geschäftsbetrieb verursacht hat. Dieser Angriff hat nicht nur den Online-Verkauf lahmgelegt, sondern auch die Lieferkette stören und sogar die physischen Läden mit leeren Regalen zurücklassen. Trotz der Bemühungen des Unternehmens dauert es noch immer an, bis M&S seine Systeme wieder vollständig in Betrieb nehmen kann – eine Verzögerung, die viele Verbraucher und Branchenbeobachter überrascht. Doch die Gründe, warum das Chaos so lange anhält, sind tiefgreifend und vielschichtig. Um das Phänomen besser zu verstehen, lohnt sich ein genauerer Blick auf die Art des Angriffs, die Komplexität der IT-Infrastruktur von M&S und die Herausforderungen, die die Wiederherstellung eines solchen Systems mit sich bringt.
Der Ransomware-Angriff, wie er von Sicherheitsexperten bestätigt wurde, ist eine besonders heimtückische Form von Cyberkriminalität. Im Falle von M&S wurde die Ransomware namens DragonForce identifiziert, ein Schadprogramm, das häufig von der Hackergruppe Scattered Spider verwendet wird – eine lose organisierte Gruppe, die auch für den berüchtigten Angriff auf die MGM Casinos in Las Vegas verantwortlich gemacht wird. Ransomware arbeitet, indem sie wichtige Computerdateien verschlüsselt und den Zugang zum kompletten System blockiert. Die Hacker fordern dann ein Lösegeld, meist in Kryptowährungen, um den Entschlüsselungsschlüssel bereitzustellen. Allerdings raten Experten von der Zahlung ab, da die Täter nicht vertrauenswürdig sind und es keine Garantie gibt, dass sie die Daten tatsächlich freigeben.
Die Entscheidung, ob eine Organisation wie M&S das Lösegeld zahlen sollte oder nicht, ist eine komplexe Abwägung. Auf der einen Seite könnte eine Zahlung theoretisch eine schnellere Wiederherstellung ermöglichen. Auf der anderen Seite bleibt die Unsicherheit, ob die Hacker tatsächlich helfen oder weiterhin Forderungen stellen. Hinzu kommt, dass selbst nach einer Zahlung häufig nicht alle Daten vollständig zurückgewonnen werden können. Deshalb versuchen viele Unternehmen, Systeme aus Backup-Kopien wiederherzustellen.
Doch diese Maßnahme ist mit erheblichen Herausforderungen verknüpft, besonders bei großen Unternehmen mit hochkomplexen und eng vernetzten IT-Systemen. Die IT-Infrastruktur von M&S besteht nicht aus einzelnen unabhängigen Modulen, sondern einem aufwändigen Geflecht von Softwarelösungen, Datenbanken und Plattformen, die täglich Millionen von Transaktionen, Bestellungen und Lieferungen abwickeln. Die Systeme sind aufeinander angewiesen und der Ausfall vieler Komponenten gleichzeitig kann weitreichende Konsequenzen haben. Beispielsweise müssen Verkaufsdaten in Echtzeit verarbeitet werden, Lagerbestände aktuell gehalten und Zahlungen sicher abgewickelt werden. Wenn ein Teil davon kompromittiert ist, kann nicht einfach ein isoliertes Modul neu gestartet werden.
Stattdessen muss genau analysiert werden, wie weit verbreitet die Infektion durch die Ransomware ist und welche Systeme betroffen sind. Diese Analyse erfordert tiefgreifende IT-Kenntnisse und erhebliche Zeit. Die Wiederherstellung eines Systems nach einem Cyberangriff ähnelt einem Neustart nach einer Katastrophe. IT-Sicherheitsexperten müssen zunächst sicherstellen, dass alle Schadsoftware vollständig entfernt ist. Es darf kein Zugriff für Hacker mehr möglich sein, bevor eine Wiederinbetriebnahme beginnt.
Das bedeutet, dass der gesamte digitale „Tatort“ untersucht, Protokolldateien geprüft und Sicherheitslücken geschlossen werden müssen. Die Gefahr, dass bösartiger Code im System verborgen bleibt und zu einem erneuten Angriff führt, ist real und muss ausgeschlossen werden. Diese Arbeit ist extrem zeitintensiv und komplex. Ein weiterer Hemmschuh ist, dass Unternehmen wie M&S auf Backups angewiesen sind, die regelmäßig gespeichert werden, um im Notfall das System wiederherstellen zu können. Allerdings ist diese Strategie nicht narrensicher.
Je nachdem, wann der letzte saubere Backup-Snapshot angefertigt wurde, können Datenverlust und Geschäftsausfälle entstehen. In manchen Fällen ist der letzte verfügbare Backup bereits mehrere Stunden oder Tage alt, was bedeutet, dass eine große Menge an Daten verloren ist und manuelle Nacharbeiten und Korrekturen unumgänglich sind. Im Handelsumfeld, bei dem schnelle und präzise Eingaben essenziell sind, kann dies zu erheblichen operativen Problemen führen. Die Geschäftsfolgen eines solchen Angriffs sind massiv. M&S berichtet, dass der Angriff Millionen von Pfund an entgangenem Umsatz bedeutet hat.
Die Unfähigkeit, Online-Bestellungen zu verarbeiten und Lieferungen zu organisieren, hat nicht nur Umsatzeinbußen zur Folge, sondern beschädigt auch das Vertrauen der Kunden. Zudem bemerken Investoren sofort den Einfluss auf den Aktienkurs. In Zeiten, in denen der Einzelhandel ohnehin starkem Wettbewerbsdruck ausgesetzt ist, kann ein solcher Imageschaden langfristig negative Effekte haben. Aus Sicht der Kunden sind die Auswirkungen ebenfalls spürbar. Aufgrund von Ausfällen im Bestell- und Lieferprozess bleiben viele Regale in den Geschäften leer.
Kunden berichten von Schwierigkeiten beim Bezahlen und Unsicherheit, ob ihre persönlichen Daten kompromittiert wurden. Offizielle Stellen raten zwar zur Vorsicht und empfehlen, insbesondere Passwörter zu ändern, falls Kunden dieselben Zugangsdaten auch bei anderen Online-Diensten verwenden, doch eine definitive Aussage zur Datensicherheit gibt es zum aktuellen Zeitpunkt nicht. Es wird deutlich, dass M&S vor einer schwierigen Entscheidung steht, die über reine technische Fragen hinausgeht. Neben der Reinigung und Wiederherstellung der Systeme muss auch das Kommunikationsmanagement mit der Öffentlichkeit und den Kunden bedacht werden. Transparente und zeitnahe Informationen sind für die Aufrechterhaltung des Kundenvertrauens unverzichtbar, auch wenn das Unternehmen bisher sehr wenig preisgegeben hat.
Die Tatsache, dass ein Unternehmen wie M&S, das über erhebliche Ressourcen und Expertise verfügt, eine Woche oder länger benötigt, um wieder operativ sein zu können, zeigt die Schwere und Komplexität von Ransomware-Angriffen. Experten warnen, dass selbst finanzstarke Organisationen große Schwierigkeiten haben, sich schnell zu erholen. Der Schaden, der durch solche Angriffe verursacht wird, ist sowohl technischer als auch wirtschaftlicher Natur und verdeutlicht das hohe Risiko, dem Firmen und letztlich auch Verbraucher im digitalen Zeitalter ausgesetzt sind. Insgesamt zeigt der Fall von Marks & Spencer exemplarisch, wie wichtig professionelle Cybersicherheitsmaßnahmen, regelmäßige Systemprüfungen und ein umfassendes Krisenmanagement für Großunternehmen sind. Er macht deutlich, dass Cyberangriffe mittlerweile eine reale und ernsthafte Bedrohung für die Stabilität großer Handelssysteme darstellen.
Nur durch ein effektives Zusammenspiel von Technik, proaktiver Verteidigung und klarem Risikomanagement können solche Situationen künftig hoffentlich schneller gemeistert werden. Während die Arbeit an der vollständigen Wiederherstellung läuft, bleibt die Hoffnung, dass M&S die kritische Phase bald überwindet und das Vertrauen der Kunden zurückgewinnt. Für alle Beteiligten ist der Fall zugleich eine Mahnung: Gegen die wachsende Cyberkriminalität müssen Privatunternehmen und öffentliche Institutionen gleichermaßen wachsam bleiben und die notwendigen Schutzmaßnahmen kontinuierlich ausbauen.
