Im April 2025 wurde der britische Einzelhandelsriese Marks & Spencer Opfer eines der verheerendsten Ransomware-Angriffe in der Geschichte des europäischen Handels. Die Tätergruppe hinter dem Angriff: DragonForce, ein Ransomware-as-a-Service-Kartell, das seit 2023 mehr als 170 Organisationen weltweit ins Visier genommen hat. Der finanzielle Schaden bei M&S beläuft sich auf rund £300 Millionen (ungefähr 355 Millionen Euro) an entgangenem Betriebsgewinn, der Börsenwert fiel in einer einzigen Woche um bis zu £700 Millionen. Gleichzeitig wurden der britische Supermarktriese Co-op und das Luxuskaufhaus Harrods von derselben Angriffswelle erfasst. Diese Analyse beleuchtet, wie der Angriff ablief, wer dahintersteckt, und was Unternehmen in Österreich und Europa aus diesem Fall lernen müssen.
Was ist DragonForce Ransomware?
DragonForce tauchte erstmals im August 2023 als Ransomware-Gruppe auf, die ihren Ursprung in Malaysia hat, wo sie als politisch motivierte Hacktivistengruppe (“DragonForce Malaysia”) begann. Rasch wandelte sich die Gruppe zu einem professionellen Ransomware-Betrieb. Die ersten hochkarätigen Opfer waren die Ohio State Lottery, Yakult Australia sowie mehrere staatliche Einrichtungen auf Hawaii und im Inselstaat Palau.
Bis Ende 2024 hatte DragonForce 93 bestätigte Opfer auf seiner Leak-Seite veröffentlicht. Am 19. März 2025 vollzog die Gruppe einen strategischen Wandel: Sie gab bekannt, künftig als Ransomware-Kartell zu operieren. Dieses sogenannte White-Label-Modell erlaubt es anderen Bedrohungsakteuren, die Infrastruktur von DragonForce unter eigenem Namen zu nutzen. Affiliates erhalten bis zu 80 Prozent der erpressten Lösegelder, während DragonForce 20 Prozent als Servicegebühr einbehält und Malware-Entwicklung, Leak-Infrastruktur sowie Zahlungsabwicklung übernimmt.
Rafe Pilling, Director of Threat Intelligence bei Sophos, beschreibt das Modell als Wendepunkt im Ransomware-Ökosystem: DragonForce sei eine selbst gewählte Markenbezeichnung eines Ransomware-Kartells, während Scattered Spider ein von Sicherheitsforschern zugewiesenes Label für eine breitere Gruppe von Bedrohungsakteuren darstellt, die als Initial-Access-Broker für das Kartell fungieren. Diese Unterscheidung, so Pilling, sei entscheidend für das Verständnis moderner Ransomware-Operationen, bei denen Aufgaben arbeitsteilig zwischen spezialisierten Akteuren verteilt werden.
Die Chronologie des M&S-Angriffs
Der Angriff auf Marks & Spencer war kein spontaner Akt, sondern das Ergebnis einer monatelangen, sorgfältig geplanten Kampagne. Nach Analysen von Sicherheitsforschern, darunter das Quorum-Cyber-Threat-Intelligence-Team, begann die Infiltration bereits im Februar 2025, als die Angreifer die kritische Windows-Datei NTDS.dit aus dem Active Directory von M&S stahlen. Diese Datei enthält die Passwort-Hashes sämtlicher Domain-Benutzer des Unternehmens. Durch das Knacken dieser Hashes erhielten die Täter privilegierten Zugang zum gesamten M&S-Netzwerk.
Mitte April 2025 deployten die Angreifer die DragonForce-Ransomware auf den virtuellen Maschinen von M&S und verschlüsselten kritische Systeme. Das Ergebnis: Der Online-Shop für Mode, Heimartikel und Beauty wurde abgeschaltet. Leere Regale in Lebensmittelabteilungen zeugten von massiven Lieferkettenproblemen. M&S-CEO Stuart Machin erhielt eine Erpressungs-E-Mail von einem Account, der einem Mitarbeiter des IT-Dienstleisters Tata Consultancy Services (TCS) zugeordnet war, die die Attacke ankündigte und Zahlung forderte. Am 1. Mai 2025 musste das Unternehmen die Börse informieren, dass die Angriffsbewältigung voraussichtlich bis Juli 2025 andauern würde.
Am 13. Mai 2025 bestätigte M&S offiziell, dass persönliche Kundendaten gestohlen worden waren. Zu den kompromittierten Daten gehörten Namen, Adressen, E-Mail-Adressen, Telefonnummern, Geburtsdaten, Bestellhistorien sowie Haushaltsinformationen. Nicht betroffen waren vollständige Zahlungskartendaten und Passwörter. Auf dem Höhepunkt der Krise verlor M&S bis zu £700 Millionen an Börsenwert. Die Cyber-Versicherung des Unternehmens über Allianz kann Ansprüche bis zu £100 Millionen abdecken.
Der Angriffsvektor: Social Engineering gegen TCS
Der kritische Einstiegspunkt war kein technisches Zero-Day, sondern ein klassischer Social-Engineering-Angriff. Die Angreifer kontaktierten den IT-Helpdesk von Tata Consultancy Services, der seit über einem Jahrzehnt den IT-Support für M&S betreibt. Sie täuschten die Identität eines M&S-Mitarbeiters vor und überredeten Helpdesk-Mitarbeiter, ein internes Benutzerkonto zurückzusetzen. Mit diesen Zugangsdaten konnten sie sich ins Netzwerk einloggen und begannen die eigentliche Kompromittierung.
Laut Analysen von Picus Security nutzten die Angreifer dabei Techniken, die mit der Hackergruppe Scattered Spider (auch bekannt als “Octo Tempest” oder “the Com”) assoziiert werden: gefälschte Single-Sign-On-Portale zur Phishing von Anmeldedaten, MFA-Push-Bombing sowie SIM-Swapping-Methoden. Scattered Spider fungierte dabei als Initial-Access-Broker (IAB), der den Erstzugang zum Netzwerk sicherte und an DragonForce-Affiliates weitergab, die dann die eigentliche Ransomware-Payload installierten. M&S beschäftigt mehr als 60.000 Mitarbeiter in über 500 Filialen, was die Angriffsfläche durch Social Engineering erheblich vergrößert.
Dieses Modell ist bezeichnend für die professionalisierte Ransomware-Wirtschaft von 2025: Spezialisierte Gruppen für Erstzugang, Privilege Escalation und finale Ransomware-Deployment arbeiten zusammen wie ein arbeitsteiliges kriminelles Unternehmen. Unternehmen, die ihre eigene IT an Drittdienstleister auslagern, unterschätzen häufig, dass jeder externe Helpdesk-Mitarbeiter ein potenzielles Einfallstor darstellt.
Co-op: 10.000 Mitgliedsdaten und geleakte Kundendaten
Parallel zum M&S-Angriff traf DragonForce auch die Co-operative Group (Co-op), eine der größten britischen Einzelhandels- und Versicherungsgruppen mit über 2.500 Filialen. Im Gegensatz zu M&S blieb der Filialbetrieb weitgehend aufrechterhalten, aber Back-Office-Systeme und Call-Center wurden empfindlich gestört. Co-op bestätigte, dass persönliche Daten von über 10.000 Mitgliedern kompromittiert worden waren, darunter Kundenbindungsdaten aus dem Co-op-Membership-Programm.
Besonders brisant: Die gestohlenen Kundendaten wurden von DragonForce anschließend im Darknet veröffentlicht, nachdem Verhandlungen offenbar scheiterten. Diese “Double Extortion”-Taktik, also die Kombination aus Systemverschlüsselung und Daten-Leak-Drohung, ist das Markenzeichen moderner Ransomware-Operationen und erhöht den Druck auf Opfer erheblich. Co-op hat sich nicht zu einer möglichen Lösegeldzahlung geäußert.
Die Exposition von Loyalty-Programm-Daten ist für Millionen britischer Verbraucher besonders relevant: Solche Datensätze enthalten detaillierte Kaufhistorien, Wohnadressen und Kontaktdaten, die für Phishing-Kampagnen oder Identitätsdiebstahl missbraucht werden können. Für österreichische Unternehmen mit ähnlichen Kundenbindungsprogrammen liefert der Co-op-Fall ein Lehrbeispiel, warum solche Datenpools besonders geschützt werden müssen.
Harrods: Angriff auf Londons Luxuskaufhaus
Als drittes Ziel der britischen Retail-Angriffswelle geriet Harrods, das weltbekannte Luxuskaufhaus im Londoner Stadtteil Knightsbridge, ins Visier. Harrods reagierte auf den Angriff mit sofortiger Beschränkung des Internetzugangs in seinen Systemen, um eine weitere Ausbreitung zu verhindern. Öffentliche Berichte deuten darauf hin, dass der Angriff frühzeitig erkannt wurde, bevor es zu massiver Datenverschlüsselung oder Datenexfiltration kam.
DragonForce beanspruchte zwar die Verantwortung für den Harrods-Angriff, jedoch hat das Unternehmen selbst weder Ransomware-Infektionen noch Datenverluste öffentlich bestätigt. Sicherheitsforscher von Picus Security betonen, dass die DragonForce-Zuschreibung im Harrods-Fall ungesichert bleibt. Was feststeht: Der zeitliche Zusammenhang mit den M&S- und Co-op-Angriffen zwischen Mitte April und Anfang Mai 2025 legt eine koordinierte Angriffskampagne gegen britische Einzelhändler nahe.
Das DragonForce Cartel-Modell im Detail
Das Geschäftsmodell von DragonForce ähnelt dem eines legalen Software-as-a-Service-Unternehmens, mit dem entscheidenden Unterschied, dass das angebotene Produkt kriminell ist. Affiliates, also externe Angreifer, zahlen keine monatliche Gebühr, sondern teilen ihre Erlöse: 80 Prozent für den Affiliate, 20 Prozent für DragonForce. Das Kartell stellt dafür bereit: angepasste Ransomware-Payloads, eine Leak-Site für Datenveröffentlichungen, Verhandlungsinfrastruktur sowie technischen Support.
Im August 2025 führte DragonForce einen weiteren Service ein: einen sogenannten “Datenanalysedienst” für Affiliates, der gegen eine Gebühr von bis zu 23 Prozent des Lösegelds Folgendes liefert: maßgeschneiderte Erpressungsskripte für Telefonanrufe, Briefe an das Management der Opfer sowie pseudo-legale Risikoanalysen. Dieser Service richtet sich ausschließlich an Affiliates, die Unternehmen mit einem Jahresumsatz von mindestens 15 Millionen US-Dollar angreifen. Diese Professionalisierung zeigt, dass Ransomware-Gruppen ihre Prozesse zunehmend industrialisieren.
Die technische Basis von DragonForce ist ebenfalls bemerkenswert: Die ersten Ransomware-Payloads basierten auf durchgesickerten Quellcodes von LockBit 3.0 und Conti, zwei der berüchtigtsten Ransomware-Familien. Später entwickelte die Gruppe eigene Malware und eine eigene Leak-Site. Insgesamt hat DragonForce bisher über 170 Organisationen in Sektoren wie Handel, Logistik, Technologie und kritischer Infrastruktur angegriffen, in Ländern von Malaysia über Israel und Indien bis nach Saudi-Arabien und Europa.
Scattered Spider: Die Initial-Access-Broker hinter den Angriffen
Scattered Spider ist kein offizieller Gruppenname, sondern ein von Cybersicherheitsforschern vergebenes Label für eine lose verbundene Gruppe von Bedrohungsakteuren, die auf Social Engineering spezialisiert sind. Die Gruppe ist vor allem bekannt für den 2023er-Hack von MGM Resorts in Las Vegas, der zu operativen Ausfällen an mehreren Casinos und Verlusten von rund 100 Millionen US-Dollar führte.
Das Toolkit von Scattered Spider umfasst technisch anspruchslose, aber hocheffektive Methoden: gefälschte Single-Sign-On-Login-Seiten, die legitimen Unternehmensportalen täuschend ähnlich sehen; MFA-Bombing, bei dem Benutzer mit Authentifizierungsanfragen überflutet werden, bis sie aus Frustration genehmigen; SIM-Swapping zur Übernahme von Telefonnummern für die Zwei-Faktor-Authentifizierung; sowie telefonbasiertes Social Engineering gegen Helpdesk-Mitarbeiter. Diese Methoden sind besonders effektiv, weil sie menschliche Schwachstellen ausnutzen, die technische Sicherheitslösungen nicht abdecken können.
Bridewell, ein britisches Cybersicherheitsunternehmen, hebt in seiner Analyse hervor, dass DragonForce primär finanziell motiviert ist und es wenig Hinweise auf hacktivist oder politische Intentionen gibt, obwohl die Gruppe ursprünglich aus einem politischen Hacktivismus-Kontext stammt. Die Gruppe hat ihre Angriffsfähigkeiten seit 2023 systematisch ausgebaut und zielt nun bevorzugt auf große Handels- und Dienstleistungsunternehmen.
Finanzieller Schaden: Eine Gesamtbilanz
Die wirtschaftlichen Folgen des DragonForce-Angriffs auf den britischen Einzelhandel sind erheblich. M&S ist das am besten dokumentierte Opfer mit konkreten Zahlen, die das Unternehmen selbst in Börsenmitteilungen offengelegt hat. Die folgende Tabelle fasst die bekannten Schadenspositionen zusammen:
| Schadenskategorie | M&S | Co-op | Harrods |
|---|---|---|---|
| Entgangener Betriebsgewinn | £300 Mio. (~€355 Mio.) | Nicht öffentlich | Nicht bestätigt |
| Börsenwert-Verlust | bis zu £700 Mio. | Nicht börsennotiert | Nicht börsennotiert |
| Betroffene Kundendaten | Persönliche Daten (Name, Adresse, DOB) | 10.000+ Mitglieder | Keine bestätigt |
| Systemausfall (Dauer) | April bis Juli 2025 | Teilweise, mehrere Wochen | Kurzfristig |
| Cyber-Versicherung | bis zu £100 Mio. (Allianz) | Nicht öffentlich | Nicht öffentlich |
| Online-Handel betroffen | Ja, vollständig offline | Teilweise | Nein |
| Wochenverlust | £40 Mio. pro Woche | Nicht quantifiziert | Nicht quantifiziert |
M&S selbst betonte, dass der Schadensbetrag von £300 Millionen eine vorläufige Schätzung vor Versicherungsleistungen, Kosteneinsparungen und Handelsmaßnahmen darstelle. Analysten schätzten, dass der Angriff M&S rund £40 Millionen pro Woche an Einnahmen kostete, solange der Online-Shop abgeschaltet blieb. Allianz als Hauptversicherer soll erste Zahlungen von mindestens £10 Millionen geleistet haben.
DragonForce im Vergleich zu anderen Ransomware-Gruppen
Um das Bedrohungspotenzial von DragonForce einordnen zu können, lohnt ein Vergleich mit anderen aktiven Ransomware-Gruppen, die auch für österreichische und deutsche Unternehmen relevant sind:
| Gruppe | Aktiv seit | Modell | Affiliate-Anteil | Bestätigte Opfer | Besonderheit |
|---|---|---|---|---|---|
| DragonForce | Aug. 2023 | RaaS-Kartell | 80 % | 170+ | White-Label, Cartel-Modell |
| Akira | 2023 | RaaS | ca. 70 % | 300+ | Fokus auf DACH-Region, $244 Mio. Schaden |
| Qilin | 2022 | RaaS | 80–85 % | 200+ | Politische Ziele in Europa |
| LockBit 3.0 | 2019 | RaaS | 80 % | 2.000+ | Quellcode-Basis für andere Gruppen |
| Cl0p | 2019 | Eigenbetrieb | Intern | 500+ | MOVEit-Massenkampagnen, Oracle-Angriff |
Was DragonForce von anderen Gruppen unterscheidet, ist das aggressive Kartell-Modell: Statt nur Affiliates zu rekrutieren, lädt DragonForce sogar andere RaaS-Gruppen ein, ihre Infrastruktur zu nutzen. Das erhöht die Schlagkraft erheblich, weil etablierte Angreifer-Netzwerke sofort auf die DragonForce-Plattform umschwenken können. Im Vergleich zu Akira, das sich auf den DACH-Raum spezialisiert hat und 2024 nachweislich Schäden von 244 Millionen US-Dollar verursachte, wirkt DragonForce globaler und weniger regional fokussiert, aber durch seine Cartel-Struktur potenziell schlagkräftiger.
Expertenmeinungen zur britischen Retail-Angriffswelle
Die Angriffe auf M&S, Co-op und Harrods haben in der Cybersicherheitsbranche breite Reaktionen ausgelöst. Rafe Pilling, Director of Threat Intelligence bei Sophos, erklärte in einer öffentlichen Analyse, dass die britische Retail-Angriffswelle zeigt, wie sich das Ransomware-Ökosystem hin zu spezialisierten, arbeitsteiligen Modellen entwickelt. DragonForce stellt die Infrastruktur bereit, während Gruppen wie Scattered Spider den Erstzugang sichern. Diese Spezialisierung macht Angriffe effizienter und schwerer zu attribuieren.
Das Bridewell-Threat-Intelligence-Team hob hervor, dass DragonForce seit Mitte 2024 seine Aktivitäten signifikant gesteigert hat, besonders in der ersten Jahreshälfte 2025. Die 93 dokumentierten Opfer bis Ende 2024 sind nach Einschätzung der Forscher nur die Spitze des Eisbergs, da viele Opfer Angriffe nicht öffentlich melden. Bridewell warnt, dass der Cartel-Ansatz von DragonForce eine neue Qualitätsstufe im Ransomware-Geschäft markiert: Angreifergruppen können nun unter eigenem Namen operieren, während sie die bewährte Infrastruktur eines etablierten Kartells nutzen.
Forscher von SentinelOne beschreiben DragonForce als Hybridakteur, der ursprünglich politische Ziele verfolgte, nun aber überwiegend finanziell motiviert handelt. Die Gruppe hat bekannte Institutionen wie Honolulu OTS (den öffentlichen Nahverkehr von Oahu/Hawaii), die Regierung von Palau, Coca-Cola Singapur, die Ohio State Lottery und Yakult Australia angegriffen, bevor sie 2025 die britischen Retailer ins Visier nahm. Laut einer Resecurity-Analyse aus Februar 2025 hat DragonForce in einem einzigen Fall über 6 Terabyte an Daten von einem Opfer im Nahen Osten geleakt, nachdem die Lösegeldforderung nicht erfüllt wurde.
Ausweitung auf US-amerikanische Retailer
Die britische Retail-Angriffswelle blieb nicht ohne Folgen für andere Märkte. Google Threat Intelligence warnte kurz nach den UK-Angriffen, dass dieselbe Tätergruppe begonnen hatte, amerikanische Einzelhändler ins Visier zu nehmen. Das bekannte Muster aus Social Engineering gegen Helpdesk-Mitarbeiter und anschließender Ransomware-Deployment wurde auch in den USA beobachtet. Im Mai 2025 meldete Carnival Corporation, eine der weltgrößten Kreuzfahrtreedereien, einen Datenverlust von fast 6 Millionen Kundendatensätzen durch einen social-engineering-basierten Angriff auf einen Mitarbeiter-Account.
Für österreichische und europäische Unternehmen ist diese Entwicklung ein klares Warnsignal: Wer glaubt, als mittelständisches Unternehmen unterhalb der Aufmerksamkeitsschwelle zu operieren, irrt sich. Der “Datenanalysedienst” von DragonForce aus August 2025 richtet sich zwar formell an Unternehmen mit mindestens 15 Millionen US-Dollar Jahresumsatz, aber die Praxis zeigt, dass Ransomware-Affiliates oft opportunistisch vorgehen. Für Unternehmen im österreichischen Handels-, Tourismus- und Dienstleistungssektor, die IT-Dienste an externe Anbieter auslagern, besteht besonderer Handlungsbedarf.
Behördliche Reaktionen und regulatorischer Kontext für Österreich
Im Vereinigten Königreich meldete M&S den Vorfall umgehend an die zuständigen Behörden, darunter das National Cyber Security Centre (NCSC) und die Metropolitan Police. Die Strafverfolgung konzentrierte sich auf die Ermittlung gegen bekannte Scattered-Spider-Mitglieder. Das UK Information Commissioner’s Office (ICO) leitete eine Untersuchung ein, ob M&S seine Datenschutzpflichten nach dem UK GDPR erfüllt hat.
Für europäische Unternehmen, die unter die EU-DSGVO fallen, ist der Fall besonders relevant: Die DSGVO verpflichtet Unternehmen, Datenpannen innerhalb von 72 Stunden nach Bekanntwerden an die zuständige Datenschutzbehörde zu melden. Im österreichischen Kontext ist das die Datenschutzbehörde (DSB). Ein Verstoß gegen diese Meldepflicht kann zusätzlich zu den durch den Angriff entstandenen Schäden Bußgelder von bis zu 4 Prozent des weltweiten Jahresumsatzes nach sich ziehen.
Zusätzlich tritt der Cyber Resilience Act (CRA) der EU schrittweise in Kraft und verpflichtet Hersteller digitaler Produkte zu erhöhten Sicherheitsstandards. Für Unternehmen, die IT-Infrastruktur und vernetzte Systeme betreiben, bedeutet das, dass Sicherheitsanforderungen nicht länger optional sind, sondern regulatorisch durchgesetzt werden, mit Bußgeldern bis zu 15 Millionen Euro. Die NIS2-Richtlinie verschärft zudem die Anforderungen an das Incident Management und die Supply-Chain-Sicherheit.
Schutzmaßnahmen: Was Unternehmen jetzt tun müssen
Der M&S-Angriff liefert einen klaren Katalog von Schwachstellen, die Unternehmen im DACH-Raum unmittelbar adressieren sollten.
Helpdesk-Sicherheit stärken: Jeder IT-Dienstleister, der Passwort-Resets oder Kontozugriffe verwaltet, muss strikte Identitätsverifikationsprotokolle einhalten. Video-Identifikation oder Rückruf über verifizierte interne Nummern sind Standard. TCS-Helpdesk-Mitarbeiter wurden durch einen Telefonanruf getäuscht, das ist mit klaren Prozessen vermeidbar.
Active-Directory-Schutz intensivieren: Die NTDS.dit-Datei, aus der die Angreifer Passwort-Hashes extrahierten, muss durch zusätzliche Zugriffsbeschränkungen und kontinuierliches Monitoring gesichert werden. SIEM-Lösungen können anomale Zugriffe auf AD-kritische Dateien in Echtzeit erkennen.
MFA-Resistenz erhöhen: MFA-Push-Bombing ist verhinderbar. Statt einfacher Push-Benachrichtigungen sollten Unternehmen auf phishing-resistente MFA-Methoden wie FIDO2-Hardware-Tokens oder Number-Matching-MFA umsteigen.
Supply-Chain-Risikobewertung: Drittanbieter, die Zugang zu internen Systemen haben, müssen in die eigene Sicherheitsstrategie integriert werden. Regelmäßige Audits, klare Berechtigungsstrukturen und Incident-Response-Vereinbarungen mit externen Dienstleistern sind Pflicht.
Offline-Backups und Segmentierung: Backups, die nicht über dasselbe Netzwerk erreichbar sind, reduzieren den Schaden bei einer erfolgreichen Ransomware-Infektion erheblich. Netzwerksegmentierung verhindert, dass Angreifer sich nach einer initialen Kompromittierung frei im Netzwerk bewegen können.
5 Prognosen für Ransomware-Angriffe 2026
Basierend auf der Analyse des DragonForce-Angriffs und aktuellen Threat-Intelligence-Berichten lassen sich folgende Entwicklungen für 2026 prognostizieren:
1. Kartell-Modelle werden zur Norm. Das DragonForce-Kartellmodell wird Schule machen. Weitere Ransomware-Gruppen werden ähnliche White-Label-Infrastrukturen anbieten, was die Anzahl der Affiliates und damit die Angriffsfrequenz erhöht. Bis Ende 2026 dürften drei bis fünf weitere RaaS-Kartelle nach dem DragonForce-Vorbild operieren.
2. Europäischer Handel gerät stärker ins Visier. Nach dem Erfolg der britischen Retail-Angriffswelle werden kontinentaleuropäische Einzelhändler, insbesondere in Deutschland, Österreich und der Schweiz, gezielter angegriffen. Die Kombination aus hohen Lösegeldzahlungsbereitschaften und oft unzureichender Cybersicherheit macht den DACH-Raum attraktiv.
3. KI-gestützte Social-Engineering-Angriffe nehmen zu. Der “Datenanalysedienst” von DragonForce ist ein Vorgeschmack auf KI-generierte, maßgeschneiderte Erpressungsmaterialien. Deepfake-Anrufe, die Führungskräfte imitieren, und KI-verfasste Phishing-E-Mails werden Social Engineering noch schwerer erkennbar machen.
4. Versicherungsleistungen werden teurer und restriktiver. Nach Verlusten wie bei M&S werden Cyber-Versicherer strengere Anforderungen an Sicherheitsmaßnahmen stellen. Unternehmen ohne MFA, EDR und regelmäßige Penetrationstests werden entweder keine Versicherung mehr erhalten oder extrem hohe Prämien zahlen.
5. Regulatorischer Druck durch NIS2 und CRA steigt. Die NIS2-Richtlinie und der Cyber Resilience Act werden 2026 in Österreich vollständig durchgesetzt. Unternehmen, die von Ransomware-Angriffen betroffen sind und unzureichende Sicherheitsmaßnahmen nachweisen, riskieren neben dem Angriffsschaden auch empfindliche Bußgelder von bis zu 15 Millionen Euro.
FAQ: DragonForce Ransomware
Was ist DragonForce Ransomware?
DragonForce ist eine seit August 2023 aktive Ransomware-as-a-Service-Gruppe, die seit März 2025 als “Cartel” operiert. Das Kartell stellt anderen Angreifern seine Infrastruktur, Malware-Tools und Leak-Seiten zur Verfügung, behält 20 Prozent der erpressten Lösegelder und hat bisher über 170 Organisationen weltweit angegriffen.
Wie viel Schaden verursachte der M&S-Angriff?
Marks & Spencer beziffert den Schaden auf £300 Millionen (rund 355 Millionen Euro) an entgangenem Betriebsgewinn. Der Börsenwert des Unternehmens fiel in der Folge um bis zu £700 Millionen. Die Cyber-Versicherung über Allianz kann Schäden bis zu £100 Millionen abdecken.
Wurden Passwörter oder Zahlungsdaten bei M&S gestohlen?
Nein. M&S bestätigte offiziell, dass keine nutzbaren Zahlungskartendaten und keine Passwörter gestohlen wurden. Betroffen waren persönliche Daten wie Name, Adresse, Geburtsdatum, E-Mail, Telefonnummer und Bestellhistorie.
Was ist Scattered Spider?
Scattered Spider ist ein von Sicherheitsforschern vergebenes Label für eine Gruppe von Bedrohungsakteuren, die auf Social Engineering spezialisiert sind. Sie fungieren als Initial-Access-Broker (IAB), verschaffen Zugang zu Zielnetzwerken und übergeben diesen an Ransomware-Gruppen wie DragonForce. Bekannt wurden sie durch den Angriff auf MGM Resorts 2023, der Verluste von rund 100 Millionen US-Dollar verursachte.
Wie können Unternehmen sich vor DragonForce schützen?
Die wichtigsten Schutzmaßnahmen sind: phishing-resistente MFA (FIDO2/Hardware-Token), strenge Identitätsverifikation beim Helpdesk, Active-Directory-Monitoring mit SIEM, regelmäßige Penetrationstests und klare Sicherheitsvereinbarungen mit IT-Drittanbietern. Offline-Backups und Netzwerksegmentierung reduzieren den Schaden bei einer erfolgreichen Infektion erheblich.
Welche Behörden sind für Ransomware-Angriffe in Österreich zuständig?
In Österreich ist das Bundeskriminalamt (BK) mit dem Cybercrime Competence Center (C4) für die strafrechtliche Verfolgung zuständig. Datenpannen müssen innerhalb von 72 Stunden an die Datenschutzbehörde (DSB) gemeldet werden. Das CERT.at bietet kostenlose technische Unterstützung für betroffene Unternehmen an.
Hat Co-op Lösegeld bezahlt?
Co-op hat sich nicht öffentlich zu einer möglichen Lösegeldzahlung geäußert. Da die gestohlenen Kundendaten von DragonForce online veröffentlicht wurden, deutet das darauf hin, dass entweder kein Lösegeld gezahlt wurde oder die Verhandlungen scheiterten.
Ist DragonForce für österreichische Unternehmen eine Bedrohung?
Ja. DragonForce und sein Kartell-Ökosystem operieren international ohne geografische Beschränkungen. Österreichische Unternehmen im Handels-, Dienstleistungs- und Technologiesektor mit IT-Auslagerungen an externe Dienstleister sind potenzielle Ziele. Der DACH-Raum ist für Ransomware-Gruppen attraktiv, da die historische Zahlungsbereitschaft für Lösegelder in dieser Region hoch ist.
Verwandte Beiträge
- Akira Ransomware: 244 Mio. $, DACH im Visier [2026]
- Qilin Ransomware: 131 Opfer, Die Linke gehackt [2026]
- Akira vs. Qilin vs. LockBit: Ransomware-Vergleich [2026]
- Oracle-Datenleck: Cl0p trifft über 100 Firmen [2026]
- Cyberangriffe DACH 2026: 289 Mrd. € Schaden
- Cyber Resilience Act: 15 Mio. € Strafe ab 2026
- Cybersicherheit: Der praktische Leitfaden
Externe Quellen:
