Details zum Cyberangriff auf Marks & Spencer: Zeitlicher Ablauf, Ursachen und Auswirkungen auf das Geschäft
Maschinell übersetzt

Details zum Cyberangriff auf Marks & Spencer: Zeitlicher Ablauf, Ursachen und Auswirkungen auf das Geschäft

Palak Agrawal

Fallstudien

Veröffentlicht am June 17, 2026

12 min read

Teilen auf:

Alles begann mit einem Telefonanruf.  

Kein Zero-Day-Exploit. Keine ausgeklügelte Malware. Nur ein Anruf beim IT-Helpdesk, eine überzeugende Identitätsfälschung und ein Auftragnehmer, der keine Möglichkeit hatte, zu überprüfen, wer am anderen Ende der Leitung war.  

Dieser Anruf, der im Februar 2025 getätigt wurde, verschaffte einer Gruppe von überwiegend zwanzigjährigen Cyberkriminellen Zugang zu einem der bekanntesten britischen Einzelhändler. Was folgte, waren acht Wochen unentdeckter Zugriff. Die Angreifer bewegten sich unbemerkt durch das Netzwerk, erfassten Server, stahlen Zugangsdaten und platzierten Ransomware im Herzen der britischen Infrastruktur von Marks & Spencer. Am Osterwochenende setzten sie die Ransomware in allen britischen Systemen von Marks & Spencer ein.  

In allen Filialen schlugen Zahlungen fehl. Online-Bestellungen kamen zum Erliegen. Die Lagersysteme fielen aus. Der Cyberangriff auf Marks & Spencer im Jahr 2025 kostete das Unternehmen 300 Millionen Pfund an entgangenem Betriebsgewinn und führte dazu, dass der Online-Shop 46 Tage lang geschlossen blieb.  

Diese Fallstudie beleuchtet, wie es dazu kam, warum der Schaden so groß war und was die Details des Angriffs auf Marks & Spencer-Angriff über die Sicherheitslücken, die ihn erst möglich machten.  

Marks & Spencer und der Angriff – Überblick  

Marks & Spencer ist ein FTSE-100-Unternehmen mit einem Jahresumsatz von über 13 Milliarden Pfund. Sein Online-Geschäft, das das Hauptziel der Störung war, macht etwa ein Drittel des gesamten Umsatzes mit Bekleidung und Haushaltswaren aus. Das Unternehmen erwirtschaftet rund 3,8 Millionen Pfund pro Tag allein aus Online-Bestellungen.  

Im April 2025 wurde M&S Opfer des betrieblich verheerendsten Cyberangriffs in der Geschichte des britischen Einzelhandels. Die Angreifer verschlüsselten am Osterwochenende die Virtualisierungsinfrastruktur des Unternehmens und legten damit Systeme lahm, die die Online-Bestellungen, die Zahlungsabwicklung, die Lagerautomatisierung und die Bestandsverwaltung steuerten.  

Kategorie
Details
Unternehmen
Marks & Spencer Group plc
Angriffstyp
Ransomware mit Datenexfiltration (doppelte Erpressung)
Angreifer
Scattered Spider, auch bekannt als UNC3944, Octo Tempest, Muddled Libra, und Scatter Swine
Verwendete Ransomware
DragonForce
Erster Zugriff
Social Engineering bei einem externen IT-Helpdesk (Februar 2025)
Einsatz von Ransomware
24. April 2025, Osterwochenende
Betroffene Systeme
VMware ESXi-Hypervisoren, Online-Bestellungen, Zahlungen, Bestandsverwaltung, Lagerautomatisierung

Großbritannien Cyber Monitoring Centre stufte die kombinierten Angriffe auf Marks & Spencer UK und Co-op als ein einziges systemisches Cyberereignis der Kategorie 2 ein, womit der britische Einzelhandel zum ersten Mal in diese Einstufungsstufe eingestuft wurde. Die finanziellen Gesamtauswirkungen für beide Unternehmen werden auf 270 bis 440 Millionen Pfund geschätzt.  

Wer ist Scattered Spider?  

Bevor wir auf die Details des Angriffs auf Marks & Spencer eingehen, wollen wir zunächst verstehen, wer Scattered Spider ist.

Scattered Spider ist in der Cybersicherheitsbranche unter verschiedenen Namen bekannt, darunter UNC3944 (Mandiant), Octo Tempest (Microsoft), Muddled Libra (Palo Alto Networks), Scatter Swine (Okta) und Storm-0875 (Microsoft). Im Gegensatz zu vielen anderen hochkarätigen Bedrohungsakteuren handelt es sich bei Scattered Spider nicht um eine staatlich gelenkte Operation. Vielmehr ist es ein finanziell motiviertes und locker organisiertes kriminelles Kollektiv.

Da sie englische Muttersprachler sind, verschafft ihnen dies einen erheblichen Vorteil, wenn sie westliche Organisationen ins Visier nehmen. Sie wissen, wie Unternehmens-Helpdesks funktionieren, wie die interne IT-Sprache klingt und wie man bei einem Telefonat eine überzeugende Identitätsfälschung aufbaut. Das macht sie auf eine Weise gefährlich, wie es viele technisch versierte Gruppen nicht sind.  

Die CISA dokumentierte die Taktiken der Gruppe erstmals offiziell in einer Warnmeldung vom November 2023. Die Warnmeldung wurde im Juli 2025 aktualisiert, um neue Techniken zu berücksichtigen, die die Gruppe nach dieser ersten Veröffentlichung hinzugefügt hatte.  

Wie funktioniert „Scattered Spider“?

Die Details des Angriffs auf Marks & Spencer zeigen, dass die Vorgehensweise von Scattered Spider einem einheitlichen Muster folgt. Sie dringen nicht über Software-Schwachstellen ein. Sie suchen sich eine Person, die sich dazu überreden lässt, die Tür zu öffnen.  

Zu ihren wichtigsten Techniken gehören Anrufe beim IT-Helpdesk, bei denen sie sich als Mitarbeiter ausgeben, SIM-Swapping zur Übernahme der Telefonnummer eines Opfers, MFA-Fatigue-Angriffe, bei denen ein Nutzer mit Authentifizierungsanfragen zugespammt wird, bis eine versehentlich akzeptiert wird, sowie die Erstellung von Phishing-Seiten, die Unternehmens-Login-Portale originalgetreu nachbilden.  

Nachdem sich die Ransomware-Gruppe ALPHV/BlackCat Anfang 2024 aufgelöst hatte, wechselte Scattered Spider über RansomHub und Qilin, bevor sie sich schließlich für DragonForce als ihre bevorzugte Ransomware-Plattform entschied. DragonForce wurde Ende 2023 ins Leben gerufen und bietet seinen Partnern 80 % aller gezahlten Lösegeldbeträge sowie automatisierte Tools zur Verwaltung von Angriffen. Der Angriff auf M&S war der erste große Einsatz von DragonForce gegen ein FTSE-100-Unternehmen.  

Frühere Angriffe  

Der Angriff auf Marks & Spencer UK kam nicht aus heiterem Himmel. Scattered Spider hatte seine Fähigkeiten bereits bei einer Reihe hochkarätiger Ziele unter Beweis gestellt, bevor die Gruppe ihre Aufmerksamkeit auf den britischen Einzelhandel richtete.  

Jahr
Ziel
Methode
Ergebnis
2022
Mehrere BPOs
SIM-Swapping, Phishing
Kompromittierung von Anmeldedaten und Erstzugriffsoperationen im Zusammenhang mit den frühen Aktivitäten von Scattered Spider
Januar 2023
Riot Games
Social Engineering
Der Quellcode für League of Legends und andere Systeme wurde gestohlen; Riot meldete eine Lösegeldforderung
September 2023
Caesars Entertainment
Social Engineering / Kontoübernahme
Caesars gab einen Cybervorfall bekannt, und in den Medienberichten wurde ausführlich über eine Lösegeldzahlung in Höhe von etwa 15 Mio. US-Dollar berichtet, nachdem ursprünglich eine höhere Summe gefordert worden war.
September 2023
MGM Resorts International
Social-Engineering-Angriff auf den IT-Helpdesk + ALPHV-Ransomware
Erhebliche Betriebsstörungen in den Resorts; öffentliche Berichte und Angaben von MGM beziffern die Verluste auf rund 100 Mio. $

Zeitachse des Angriffs auf Marks & Spencer: Februar bis Juni 2025  

Einer der wichtigsten Aspekte dieses Vorfalls ist die Zeitspanne zwischen der ersten Kompromittierung und den sichtbaren Auswirkungen. Die untenstehende Zeitleiste zum Angriff auf Marks & Spencer zeigt, dass Scattered Spider etwa acht Wochen lang uneingeschränkten Zugriff auf die Domäne hatte, bevor Mitarbeiter oder Kunden von M&S etwas Ungewöhnliches bemerkten. Jedes Update zu den Cyberangriffen auf Marks & Spencer in dieser Abfolge verdeutlicht, wie weit die Angreifer bereits vor ihrer Entdeckung vorgedrungen waren.  

Zeitleiste des M&S-Angriffs erklärt

Februar 2025  

Hier beginnt der zeitlicher Ablauf des Angriffs auf Marks & Spencer. Die Angreifer riefen den IT-Service-Desk an, der von einem externen Dienstleister betrieben wurde. Sie gaben sich als M&S-Mitarbeiter aus und baten um eine Zurücksetzung der Anmeldedaten bei deaktivierter MFA. Der Dienstleister verfügte über kein Verfahren zur Überprüfung der Identität des Anrufers, bevor er die Anfrage ausführte.  

Februar 2025 

Mit einem gültigen Domänenkonto gelangten die Angreifer zum Windows-Domänencontroller und kopierten die Datei „NTDS.dit“. Dies ist die Hauptdatenbank von Active Directory. Sie speichert Passwort-Hashes für jeden Benutzer in der M&S-Windows-Domäne, einschließlich der Administratoren. Die Hashes wurden offline geknackt. Die Angreifer verfügten nun über Passwörter im Klartext für eine Vielzahl von Konten, ohne die Systeme von M&S erneut angreifen zu müssen.  

Februar bis April 2025 

Wochenlang bewegten sich die Angreifer mithilfe der geknackten Anmeldedaten und derselben Fernverwaltungs-Tools, die auch die IT-Mitarbeiter von M&S nutzten, durch das M&S-Netzwerk. Sie erstellten eine Übersicht über die Serverinfrastruktur, erlangten Rechte auf Domänenadministrator-Ebene, lokalisierten die VMware-ESXi-Hosts, auf denen die kritischen Systeme von M&S liefen, exfiltrierten Kundendaten und platzierten DragonForce-Ransomware-Payloads, die zur Aktivierung bereitstanden.  

21.–22. April 2025

Am Osterwochenende wurde die „DragonForce“-Ransomware auf Schlüsselsystemen eingesetzt, wodurch Server verschlüsselt und der Betrieb gestört wurden. M&S leitete seinen Incident-Response-Prozess ein und gab den Cybervorfall am 22. April öffentlich bekannt.

23.–25. April 2025

Um den Angriff einzudämmen, nahm M&S mehrere Systeme vom Netz und setzte Online-Bestellungen aus. Kontaktloses Bezahlen, „Click & Collect sowie weitere Kundendienste waren davon betroffen. Externe Cybersicherheitsexperten wurden hinzugezogen, um die Wiederherstellungsmaßnahmen zu unterstützen.

29. April 2025  

Die Ermittler brachten den Angriff mit Social-Engineering-Taktiken in Verbindung, die auf Helpdesk-Prozesse abzielten. Der Vorfall löste branchenweite Warnungen hinsichtlich der Stärkung von Identitätsprüfungen und Sicherheitsverfahren im Supportbereich aus.

13. Mai 2025  

Dieser aktuelle Bericht zum Cyberangriff auf Marks & Spencer bestätigte, dass personenbezogene Kundendaten gestohlen worden waren, darunter Namen, E-Mail-Adressen, Postanschriften, Geburtsdaten und Kaufhistorien. M&S erklärte, dass Zahlungskartendaten und Passwörter nicht zu den gestohlenen Dateien gehörten.  

M&S gab bekannt, dass der Angriff erhebliche finanzielle Verluste verursacht habe und dass die vollständige Wiederherstellung des Betriebs mehrere Wochen dauern werde. Im Zuge der Wiederherstellung arbeitete das Unternehmen mit Aufsichtsbehörden und Strafverfolgungsbehörden zusammen und verstärkte gleichzeitig seine Cybersicherheitsmaßnahmen.  

Der Vorfall veranlasste zudem Einzelhändler in ganz Großbritannien dazu, ihre Abwehrmaßnahmen gegen Risiken durch Dritte und Social Engineering zu überprüfen.

Was sind die Ursachen des Angriffs auf die Website von Marks & Spencer?  

Der Cyberangriff auf Marks & Spencer im Jahr 2025 wurde nicht durch einen einzigen Fehler verursacht. Mehrere separate Schwachstellen verstärkten sich gegenseitig. Jede für sich genommen wäre möglicherweise noch beherrschbar gewesen. Zusammen führten sie jedoch direkt von einem einzigen Telefonanruf zur vollständigen Kompromittierung der Infrastruktur.  

1. Social Engineering über den Helpdesk eines Drittanbieters  

Die Angreifer gaben sich in ausgeklügelten Vishing-Anrufen an den IT-Service-Desk eines Drittanbieters als M&S-Mitarbeiter aus. Sie überzeugten die Mitarbeiter, Passwörter für legitime Konten zurückzusetzen. M&S-Vorstandsvorsitzender Archie Norman bezeichnete dies als „ausgeklügelte Identitätsfälschung“, bei der internes Wissen eine Rolle spielte. Dadurch wurden technische Perimeterkontrollen vollständig umgangen.  

2. Schwache Active-Directory-Kontrollen und Offenlegung von Anmeldedaten  

Sobald sie sich Zugang verschafft hatten (oder bereits im Rahmen eines frühen Zugriffs), extrahierten die Angreifer bereits im Februar 2025 die Datei „NTDS.dit“ von den Domänencontrollern. Sie knackten Passwort-Hashes offline, um Anmeldedaten im Klartext zu erhalten, was eine Ausweitung der Berechtigungen und laterale Bewegungen ermöglichte. Eine unzureichende Netzwerksegmentierung ermöglichte einen umfassenden Zugriff auf die Domäne unter Verwendung legitimer Tools.  

3. Lücken bei der MFA und Identitätsüberprüfung  

Die Gruppe ist bekannt für MFA-Fatigue-Angriffe und die Manipulation des Helpdesks, um die MFA zurückzusetzen oder zu umgehen. In diesem Fall scheint der Passwort-Zurücksetzungsprozess selbst den effektiven Zugriff ermöglicht zu haben, was auf schwache Verifizierungsprotokolle für Aktionen mit hohen Berechtigungen und den Zugriff durch Dritte hinweist.  

4. Lange Verweildauer und Erkennungsversagen  

Die Angreifer behielten etwa zwei Monate lang (Februar bis 24. April 2025) unentdeckten Zugriff. Das Fehlen einer wirksamen Überwachung auf anomale AD-Aktivitäten, Dateizugriffe (z. B. auf „NTDS.dit“) oder laterale Bewegungen ermöglichte eine unbemerkte Datenexfiltration und Vorbereitungen vor dem Einsatz der Ransomware.  

5. Risiken durch Drittanbieter und die Lieferkette  

Die Abhängigkeit von einem externen IT-Dienstleister für sensible Vorgänge (Passwort-Zurücksetzungen) ohne strenge Aufsicht, Rückrufverifizierung oder Kontrollen nach dem Prinzip der geringsten Berechtigungen schuf den ursprünglichen Eintrittsvektor. Dies spiegelt umfassendere Mängel im Lieferantenrisikomanagement wider.  

Geschäftliche Auswirkungen nach dem Datenleck bei Marks & Spencer  

Der finanzielle Schaden durch das Datenleck bei M&S ist ungewöhnlich gut dokumentiert. M&S veröffentlichte die Zahlen in seinem eigenen Jahresabschluss und in der Investorenkommunikation veröffentlicht, es handelt sich also nicht um Schätzungen externer Analysten. Es handelt sich um Zahlen, die das Unternehmen selbst veröffentlicht hat.  

1. Finanzielle Verluste  

Kategorie
Geprüfte Zahlen
Verlorener Betriebsgewinn
Etwa 300 Millionen Pfund für das Geschäftsjahr 2025/26. Bestätigt im Jahresabschluss von M&S, Mai 2025.
Verlust an Marktkapitalisierung
Über 1 Milliarde Pfund wurden vom Marktwert von M&S abgezogen. Der Aktienkurs fiel unmittelbar nach Bekanntwerden des Angriffs um mehr als 11 %.
Tägliche Umsatzverluste im Online-Geschäft
Etwa 3,8 Millionen Pfund pro Tag während der 46-tägigen Sperrung des Online-Shops.
Kombinierte Auswirkungen von M&S und Co-op
270 Millionen bis 440 Millionen Pfund. Vom britischen Cyber Monitoring Centre als systemisches Ereignis der Kategorie 2 eingestuft.
Kundenempfehlungsrate
Sank von etwa 87 % vor dem Datenleck auf etwa 73 % danach.

2. Betriebsstörungen  

Die Auswirkungen des Cyberangriffs auf M&S auf den Umsatz gingen weit über entgangene Online-Einnahmen hinaus. Folgende Systeme und Dienste fielen aus:  

  • Online-Bestellungen von Bekleidung und Haushaltswaren wurden vom 25. April bis zum 10. Juni 2025 ausgesetzt, insgesamt 46 Tage.
  • Click-and-Collect-Dienste sind bis August 2025, vier Monate nach dem Ausbruch der Ransomware, nicht verfügbar.
  • Automatisierte Bestells- und Lagerverwaltungssysteme wurden außer Betrieb genommen; die Mitarbeiter erfassten den Bestand an frischen Lebensmitteln und Bekleidung auf Papier.  
  • Die Lagerautomatisierung war gestört, wodurch einige Regale leer blieben.  
  • 65.000 Mitarbeiter im gesamten Unternehmen betroffen  

Die Wiederherstellung dauerte länger als bei den meisten Ransomware-Vorfällen, da der Schaden auf der Virtualisierungsebene lag. Der Wiederaufbau der verschlüsselten Hypervisor-Infrastruktur nimmt Zeit in Anspruch, und die forensische Untersuchung, die erforderlich war, bevor wiederhergestellten Systemen vertraut werden konnte, führte zu weiteren Verzögerungen.  

3. Regulatorische Risiken  

Der bestätigte Diebstahl personenbezogener Kundendaten löste eine Meldepflicht gegenüber dem britischen Information Commissioner’s Office aus und brachte M&S in den Anwendungsbereich potenzieller Bußgelder gemäß der britischen DSGVO. Die Einbeziehung von Zahlungssystemen warf Fragen zur PCI-DSS-Konformität auf, obwohl M&S erklärte, dass keine Zahlungskartendaten zu den gestohlenen Dateien gehörten.  

Worauf die Sicherheitsaudits von DrupalFit achten  

Der Datenverstoß bei Marks & Spencer begann mit einem Social-Engineering-Angriff. Kein Schwachstellenscanner hätte den Telefonanruf erkannt, der den Angreifern ihren ersten Zugang verschaffte.  

Was Scanner aufdecken können, sind die technischen Schwachstellen, die es Angreifern oft ermöglichen, tiefer in eine Umgebung vordringen können. Offene Dienste, veraltete Software, schwache Verschlüsselung, falsch konfigurierter Netzwerkzugang und anfällige Webanwendungen sind allesamt häufige Befunde bei Untersuchungen nach Sicherheitsvorfällen.  

So überprüfen Sie Ihre Websites auf Sicherheitslücken

DrupalFit hilft Unternehmen dabei, diese Risiken zu erkennen, bevor sie zu einem Problem werden.  

Die Plattform führt sechs Sicherheitsprüfungen Ihrer Drupal-Anwendung, Ihrer Netzwerkinfrastruktur und Ihrer Verschlüsselungskonfiguration durch:  

Sicherheitsscan
Was geprüft wird
Passiver OWASP-ZAP-Scan
Unsichere Cookies, fehlende Sicherheits-Header, anfällige JavaScript-Bibliotheken und Konfigurationsschwächen.
OWASP ZAP Aktiver Scan
SQL-Injection, Cross-Site-Scripting (XSS), Remote-Code-Ausführung und andere ausnutzbare Schwachstellen.
Nmap-TCP-Port-Scan
Offene Ports und öffentlich zugängliche Dienste, die die Angriffsfläche vergrößern.
Nmap-UDP-Port-Scan
Offen gelegte UDP-Dienste wie DNS, SNMP und NetBIOS.
OpenVAS-Schwachstellenscan
Nicht gepatchte Software, veraltete Komponenten, sowie bekannte CVEs.
SSLyze TLS/SSL-Scan
Schwache Verschlüsselungssuiten, Zertifikatsprobleme und Protokollschwachstellen.

Jeder Befund wird nach Schweregrad kategorisiert und enthält technische Details sowie Anleitungen zur Behebung, was es Teams erleichtert, Sicherheitsprobleme zu priorisieren und zu beheben. 

Viele der bei Sicherheitsaudits aufgedeckten Schwachstellen sind weder komplex noch ausgeklügelt. Oft handelt es sich um Fehlkonfigurationen, veraltete Software oder exponierte Dienste, die einfach unbemerkt geblieben sind. 

Die Herausforderung besteht darin, dass die meisten Organisationen erst durch ein Audit oder einen Vorfall von diesen Risiken erfahren.  

Finden Sie heraus, welche Risiken in Ihrer Drupal-Umgebung bestehen. Erstellen Sie ein kostenloses DrupalFit-Konto und führen Sie Ihr erstes Sicherheitsaudit in wenigen Minuten durch.

Führen Sie jetzt ein Sicherheitsaudit durch!

Verwandte Artikel

Tools und Strategien, die moderne Teams benötigen, um ihr Unternehmen voranzubringen

Mehr erfahren