{"id":121,"date":"2026-06-18T04:20:44","date_gmt":"2026-06-18T04:20:44","guid":{"rendered":"https:\/\/shattered.io\/at\/2026\/06\/18\/dragonforce-ransomware-ms-coop-angriff-2026\/"},"modified":"2026-06-18T04:20:44","modified_gmt":"2026-06-18T04:20:44","slug":"dragonforce-ransomware-ms-coop-angriff-2026","status":"publish","type":"post","link":"https:\/\/shattered.io\/at\/dragonforce-ransomware-ms-coop-angriff-2026\/","title":{"rendered":"DragonForce: \u00a3300 Mio. M&S-Angriff ersch\u00fcttert Handel [2026]"},"content":{"rendered":"\n

Im April 2025 wurde der britische Einzelhandelsriese Marks & Spencer Opfer eines der verheerendsten Ransomware-Angriffe in der Geschichte des europ\u00e4ischen Handels. Die T\u00e4tergruppe hinter dem Angriff: DragonForce<\/strong>, ein Ransomware-as-a-Service-Kartell, das seit 2023 mehr als 170 Organisationen weltweit ins Visier genommen hat. Der finanzielle Schaden bei M&S bel\u00e4uft sich auf rund \u00a3300 Millionen (ungef\u00e4hr 355 Millionen Euro) an entgangenem Betriebsgewinn, der B\u00f6rsenwert fiel in einer einzigen Woche um bis zu \u00a3700 Millionen. Gleichzeitig wurden der britische Supermarktriese Co-op und das Luxuskaufhaus Harrods von derselben Angriffswelle erfasst. Diese Analyse beleuchtet, wie der Angriff ablief, wer dahintersteckt, und was Unternehmen in \u00d6sterreich und Europa aus diesem Fall lernen m\u00fcssen.<\/p>\n\n\n\n

Was ist DragonForce Ransomware?<\/h2>\n\n\n\n

DragonForce tauchte erstmals im August 2023 als Ransomware-Gruppe auf, die ihren Ursprung in Malaysia hat, wo sie als politisch motivierte Hacktivistengruppe (“DragonForce Malaysia”) begann. Rasch wandelte sich die Gruppe zu einem professionellen Ransomware-Betrieb. Die ersten hochkar\u00e4tigen Opfer waren die Ohio State Lottery, Yakult Australia sowie mehrere staatliche Einrichtungen auf Hawaii und im Inselstaat Palau.<\/p>\n\n\n\n

Bis Ende 2024 hatte DragonForce 93 best\u00e4tigte Opfer auf seiner Leak-Seite ver\u00f6ffentlicht. Am 19. M\u00e4rz 2025 vollzog die Gruppe einen strategischen Wandel: Sie gab bekannt, k\u00fcnftig als Ransomware-Kartell<\/strong> zu operieren. Dieses sogenannte White-Label-Modell erlaubt es anderen Bedrohungsakteuren, die Infrastruktur von DragonForce unter eigenem Namen zu nutzen. Affiliates erhalten bis zu 80 Prozent der erpressten L\u00f6segelder, w\u00e4hrend DragonForce 20 Prozent als Servicegeb\u00fchr einbeh\u00e4lt und Malware-Entwicklung, Leak-Infrastruktur sowie Zahlungsabwicklung \u00fcbernimmt.<\/p>\n\n\n\n

Rafe Pilling, Director of Threat Intelligence bei Sophos, beschreibt das Modell als Wendepunkt im Ransomware-\u00d6kosystem: DragonForce sei eine selbst gew\u00e4hlte Markenbezeichnung eines Ransomware-Kartells, w\u00e4hrend Scattered Spider ein von Sicherheitsforschern zugewiesenes Label f\u00fcr eine breitere Gruppe von Bedrohungsakteuren darstellt, die als Initial-Access-Broker f\u00fcr das Kartell fungieren. Diese Unterscheidung, so Pilling, sei entscheidend f\u00fcr das Verst\u00e4ndnis moderner Ransomware-Operationen, bei denen Aufgaben arbeitsteilig zwischen spezialisierten Akteuren verteilt werden.<\/p>\n\n\n\n

Die Chronologie des M&S-Angriffs<\/h2>\n\n\n\n

Der Angriff auf Marks & Spencer war kein spontaner Akt, sondern das Ergebnis einer monatelangen, sorgf\u00e4ltig geplanten Kampagne. Nach Analysen von Sicherheitsforschern, darunter das Quorum-Cyber-Threat-Intelligence-Team, begann die Infiltration bereits im Februar 2025, als die Angreifer die kritische Windows-Datei NTDS.dit<\/strong> aus dem Active Directory von M&S stahlen. Diese Datei enth\u00e4lt die Passwort-Hashes s\u00e4mtlicher Domain-Benutzer des Unternehmens. Durch das Knacken dieser Hashes erhielten die T\u00e4ter privilegierten Zugang zum gesamten M&S-Netzwerk.<\/p>\n\n\n\n

Mitte April 2025 deployten die Angreifer die DragonForce-Ransomware auf den virtuellen Maschinen von M&S und verschl\u00fcsselten kritische Systeme. Das Ergebnis: Der Online-Shop f\u00fcr Mode, Heimartikel und Beauty wurde abgeschaltet. Leere Regale in Lebensmittelabteilungen zeugten von massiven Lieferkettenproblemen. M&S-CEO Stuart Machin erhielt eine Erpressungs-E-Mail von einem Account, der einem Mitarbeiter des IT-Dienstleisters Tata Consultancy Services (TCS) zugeordnet war, die die Attacke ank\u00fcndigte und Zahlung forderte. Am 1. Mai 2025 musste das Unternehmen die B\u00f6rse informieren, dass die Angriffsbew\u00e4ltigung voraussichtlich bis Juli 2025 andauern w\u00fcrde.<\/p>\n\n\n\n

Am 13. Mai 2025 best\u00e4tigte M&S offiziell, dass pers\u00f6nliche Kundendaten gestohlen worden waren. Zu den kompromittierten Daten geh\u00f6rten Namen, Adressen, E-Mail-Adressen, Telefonnummern, Geburtsdaten, Bestellhistorien sowie Haushaltsinformationen. Nicht betroffen waren vollst\u00e4ndige Zahlungskartendaten und Passw\u00f6rter. Auf dem H\u00f6hepunkt der Krise verlor M&S bis zu \u00a3700 Millionen an B\u00f6rsenwert. Die Cyber-Versicherung des Unternehmens \u00fcber Allianz kann Anspr\u00fcche bis zu \u00a3100 Millionen abdecken.<\/p>\n\n\n\n

Der Angriffsvektor: Social Engineering gegen TCS<\/h2>\n\n\n\n

Der kritische Einstiegspunkt war kein technisches Zero-Day, sondern ein klassischer Social-Engineering-Angriff. Die Angreifer kontaktierten den IT-Helpdesk von Tata Consultancy Services, der seit \u00fcber einem Jahrzehnt den IT-Support f\u00fcr M&S betreibt. Sie t\u00e4uschten die Identit\u00e4t eines M&S-Mitarbeiters vor und \u00fcberredeten Helpdesk-Mitarbeiter, ein internes Benutzerkonto zur\u00fcckzusetzen. Mit diesen Zugangsdaten konnten sie sich ins Netzwerk einloggen und begannen die eigentliche Kompromittierung.<\/p>\n\n\n\n

Laut Analysen von Picus Security nutzten die Angreifer dabei Techniken, die mit der Hackergruppe Scattered Spider<\/strong> (auch bekannt als “Octo Tempest” oder “the Com”) assoziiert werden: gef\u00e4lschte Single-Sign-On-Portale zur Phishing von Anmeldedaten, MFA-Push-Bombing sowie SIM-Swapping-Methoden. Scattered Spider fungierte dabei als Initial-Access-Broker (IAB), der den Erstzugang zum Netzwerk sicherte und an DragonForce-Affiliates weitergab, die dann die eigentliche Ransomware-Payload installierten. M&S besch\u00e4ftigt mehr als 60.000 Mitarbeiter in \u00fcber 500 Filialen, was die Angriffsfl\u00e4che durch Social Engineering erheblich vergr\u00f6\u00dfert.<\/p>\n\n\n\n

Dieses Modell ist bezeichnend f\u00fcr die professionalisierte Ransomware-Wirtschaft von 2025: Spezialisierte Gruppen f\u00fcr Erstzugang, Privilege Escalation und finale Ransomware-Deployment arbeiten zusammen wie ein arbeitsteiliges kriminelles Unternehmen. Unternehmen, die ihre eigene IT an Drittdienstleister auslagern, untersch\u00e4tzen h\u00e4ufig, dass jeder externe Helpdesk-Mitarbeiter ein potenzielles Einfallstor darstellt.<\/p>\n\n\n\n

Co-op: 10.000 Mitgliedsdaten und geleakte Kundendaten<\/h2>\n\n\n\n

Parallel zum M&S-Angriff traf DragonForce auch die Co-operative Group (Co-op), eine der gr\u00f6\u00dften britischen Einzelhandels- und Versicherungsgruppen mit \u00fcber 2.500 Filialen. Im Gegensatz zu M&S blieb der Filialbetrieb weitgehend aufrechterhalten, aber Back-Office-Systeme und Call-Center wurden empfindlich gest\u00f6rt. Co-op best\u00e4tigte, dass pers\u00f6nliche Daten von \u00fcber 10.000 Mitgliedern<\/strong> kompromittiert worden waren, darunter Kundenbindungsdaten aus dem Co-op-Membership-Programm.<\/p>\n\n\n\n

Besonders brisant: Die gestohlenen Kundendaten wurden von DragonForce anschlie\u00dfend im Darknet ver\u00f6ffentlicht, nachdem Verhandlungen offenbar scheiterten. Diese “Double Extortion”-Taktik, also die Kombination aus Systemverschl\u00fcsselung und Daten-Leak-Drohung, ist das Markenzeichen moderner Ransomware-Operationen und erh\u00f6ht den Druck auf Opfer erheblich. Co-op hat sich nicht zu einer m\u00f6glichen L\u00f6segeldzahlung ge\u00e4u\u00dfert.<\/p>\n\n\n\n

Die Exposition von Loyalty-Programm-Daten ist f\u00fcr Millionen britischer Verbraucher besonders relevant: Solche Datens\u00e4tze enthalten detaillierte Kaufhistorien, Wohnadressen und Kontaktdaten, die f\u00fcr Phishing-Kampagnen oder Identit\u00e4tsdiebstahl missbraucht werden k\u00f6nnen. F\u00fcr \u00f6sterreichische Unternehmen mit \u00e4hnlichen Kundenbindungsprogrammen liefert der Co-op-Fall ein Lehrbeispiel, warum solche Datenpools besonders gesch\u00fctzt werden m\u00fcssen.<\/p>\n\n\n\n

Harrods: Angriff auf Londons Luxuskaufhaus<\/h2>\n\n\n\n

Als drittes Ziel der britischen Retail-Angriffswelle geriet Harrods, das weltbekannte Luxuskaufhaus im Londoner Stadtteil Knightsbridge, ins Visier. Harrods reagierte auf den Angriff mit sofortiger Beschr\u00e4nkung des Internetzugangs in seinen Systemen, um eine weitere Ausbreitung zu verhindern. \u00d6ffentliche Berichte deuten darauf hin, dass der Angriff fr\u00fchzeitig erkannt wurde, bevor es zu massiver Datenverschl\u00fcsselung oder Datenexfiltration kam.<\/p>\n\n\n\n

DragonForce beanspruchte zwar die Verantwortung f\u00fcr den Harrods-Angriff, jedoch hat das Unternehmen selbst weder Ransomware-Infektionen noch Datenverluste \u00f6ffentlich best\u00e4tigt. Sicherheitsforscher von Picus Security betonen, dass die DragonForce-Zuschreibung im Harrods-Fall ungesichert bleibt. Was feststeht: Der zeitliche Zusammenhang mit den M&S- und Co-op-Angriffen zwischen Mitte April und Anfang Mai 2025 legt eine koordinierte Angriffskampagne gegen britische Einzelh\u00e4ndler nahe.<\/p>\n\n\n\n

Das DragonForce Cartel-Modell im Detail<\/h2>\n\n\n\n

Das Gesch\u00e4ftsmodell von DragonForce \u00e4hnelt dem eines legalen Software-as-a-Service-Unternehmens, mit dem entscheidenden Unterschied, dass das angebotene Produkt kriminell ist. Affiliates, also externe Angreifer, zahlen keine monatliche Geb\u00fchr, sondern teilen ihre Erl\u00f6se: 80 Prozent f\u00fcr den Affiliate, 20 Prozent f\u00fcr DragonForce. Das Kartell stellt daf\u00fcr bereit: angepasste Ransomware-Payloads, eine Leak-Site f\u00fcr Datenver\u00f6ffentlichungen, Verhandlungsinfrastruktur sowie technischen Support.<\/p>\n\n\n\n

Im August 2025 f\u00fchrte DragonForce einen weiteren Service ein: einen sogenannten “Datenanalysedienst” f\u00fcr Affiliates, der gegen eine Geb\u00fchr von bis zu 23 Prozent des L\u00f6segelds Folgendes liefert: ma\u00dfgeschneiderte Erpressungsskripte f\u00fcr Telefonanrufe, Briefe an das Management der Opfer sowie pseudo-legale Risikoanalysen. Dieser Service richtet sich ausschlie\u00dflich an Affiliates, die Unternehmen mit einem Jahresumsatz von mindestens 15 Millionen US-Dollar angreifen. Diese Professionalisierung zeigt, dass Ransomware-Gruppen ihre Prozesse zunehmend industrialisieren.<\/p>\n\n\n\n

Die technische Basis von DragonForce ist ebenfalls bemerkenswert: Die ersten Ransomware-Payloads basierten auf durchgesickerten Quellcodes von LockBit 3.0 und Conti, zwei der ber\u00fcchtigtsten Ransomware-Familien. Sp\u00e4ter entwickelte die Gruppe eigene Malware und eine eigene Leak-Site. Insgesamt hat DragonForce bisher \u00fcber 170 Organisationen in Sektoren wie Handel, Logistik, Technologie und kritischer Infrastruktur angegriffen, in L\u00e4ndern von Malaysia \u00fcber Israel und Indien bis nach Saudi-Arabien und Europa.<\/p>\n\n\n\n

Scattered Spider: Die Initial-Access-Broker hinter den Angriffen<\/h2>\n\n\n\n

Scattered Spider ist kein offizieller Gruppenname, sondern ein von Cybersicherheitsforschern vergebenes Label f\u00fcr eine lose verbundene Gruppe von Bedrohungsakteuren, die auf Social Engineering spezialisiert sind. Die Gruppe ist vor allem bekannt f\u00fcr den 2023er-Hack von MGM Resorts in Las Vegas, der zu operativen Ausf\u00e4llen an mehreren Casinos und Verlusten von rund 100 Millionen US-Dollar f\u00fchrte.<\/p>\n\n\n\n

Das Toolkit von Scattered Spider umfasst technisch anspruchslose, aber hocheffektive Methoden: gef\u00e4lschte Single-Sign-On-Login-Seiten, die legitimen Unternehmensportalen t\u00e4uschend \u00e4hnlich sehen; MFA-Bombing, bei dem Benutzer mit Authentifizierungsanfragen \u00fcberflutet werden, bis sie aus Frustration genehmigen; SIM-Swapping zur \u00dcbernahme von Telefonnummern f\u00fcr die Zwei-Faktor-Authentifizierung; sowie telefonbasiertes Social Engineering gegen Helpdesk-Mitarbeiter. Diese Methoden sind besonders effektiv, weil sie menschliche Schwachstellen ausnutzen, die technische Sicherheitsl\u00f6sungen nicht abdecken k\u00f6nnen.<\/p>\n\n\n\n

Bridewell, ein britisches Cybersicherheitsunternehmen, hebt in seiner Analyse hervor, dass DragonForce prim\u00e4r finanziell motiviert ist und es wenig Hinweise auf hacktivist oder politische Intentionen gibt, obwohl die Gruppe urspr\u00fcnglich aus einem politischen Hacktivismus-Kontext stammt. Die Gruppe hat ihre Angriffsf\u00e4higkeiten seit 2023 systematisch ausgebaut und zielt nun bevorzugt auf gro\u00dfe Handels- und Dienstleistungsunternehmen.<\/p>\n\n\n\n

Finanzieller Schaden: Eine Gesamtbilanz<\/h2>\n\n\n\n

Die wirtschaftlichen Folgen des DragonForce-Angriffs auf den britischen Einzelhandel sind erheblich. M&S ist das am besten dokumentierte Opfer mit konkreten Zahlen, die das Unternehmen selbst in B\u00f6rsenmitteilungen offengelegt hat. Die folgende Tabelle fasst die bekannten Schadenspositionen zusammen:<\/p>\n\n\n\n

Schadenskategorie<\/th>M&S<\/th>Co-op<\/th>Harrods<\/th><\/tr><\/thead>
Entgangener Betriebsgewinn<\/td>\u00a3300 Mio. (~\u20ac355 Mio.)<\/td>Nicht \u00f6ffentlich<\/td>Nicht best\u00e4tigt<\/td><\/tr>
B\u00f6rsenwert-Verlust<\/td>bis zu \u00a3700 Mio.<\/td>Nicht b\u00f6rsennotiert<\/td>Nicht b\u00f6rsennotiert<\/td><\/tr>
Betroffene Kundendaten<\/td>Pers\u00f6nliche Daten (Name, Adresse, DOB)<\/td>10.000+ Mitglieder<\/td>Keine best\u00e4tigt<\/td><\/tr>
Systemausfall (Dauer)<\/td>April bis Juli 2025<\/td>Teilweise, mehrere Wochen<\/td>Kurzfristig<\/td><\/tr>
Cyber-Versicherung<\/td>bis zu \u00a3100 Mio. (Allianz)<\/td>Nicht \u00f6ffentlich<\/td>Nicht \u00f6ffentlich<\/td><\/tr>
Online-Handel betroffen<\/td>Ja, vollst\u00e4ndig offline<\/td>Teilweise<\/td>Nein<\/td><\/tr>
Wochenverlust<\/td>\u00a340 Mio. pro Woche<\/td>Nicht quantifiziert<\/td>Nicht quantifiziert<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

M&S selbst betonte, dass der Schadensbetrag von \u00a3300 Millionen eine vorl\u00e4ufige Sch\u00e4tzung vor Versicherungsleistungen, Kosteneinsparungen und Handelsma\u00dfnahmen darstelle. Analysten sch\u00e4tzten, dass der Angriff M&S rund \u00a340 Millionen pro Woche an Einnahmen kostete, solange der Online-Shop abgeschaltet blieb. Allianz als Hauptversicherer soll erste Zahlungen von mindestens \u00a310 Millionen geleistet haben.<\/p>\n\n\n\n

DragonForce im Vergleich zu anderen Ransomware-Gruppen<\/h2>\n\n\n\n

Um das Bedrohungspotenzial von DragonForce einordnen zu k\u00f6nnen, lohnt ein Vergleich mit anderen aktiven Ransomware-Gruppen, die auch f\u00fcr \u00f6sterreichische und deutsche Unternehmen relevant sind:<\/p>\n\n\n\n

Gruppe<\/th>Aktiv seit<\/th>Modell<\/th>Affiliate-Anteil<\/th>Best\u00e4tigte Opfer<\/th>Besonderheit<\/th><\/tr><\/thead>
DragonForce<\/td>Aug. 2023<\/td>RaaS-Kartell<\/td>80 %<\/td>170+<\/td>White-Label, Cartel-Modell<\/td><\/tr>
Akira<\/td>2023<\/td>RaaS<\/td>ca. 70 %<\/td>300+<\/td>Fokus auf DACH-Region, $244 Mio. Schaden<\/td><\/tr>
Qilin<\/td>2022<\/td>RaaS<\/td>80\u201385 %<\/td>200+<\/td>Politische Ziele in Europa<\/td><\/tr>
LockBit 3.0<\/td>2019<\/td>RaaS<\/td>80 %<\/td>2.000+<\/td>Quellcode-Basis f\u00fcr andere Gruppen<\/td><\/tr>
Cl0p<\/td>2019<\/td>Eigenbetrieb<\/td>Intern<\/td>500+<\/td>MOVEit-Massenkampagnen, Oracle-Angriff<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

Was DragonForce von anderen Gruppen unterscheidet, ist das aggressive Kartell-Modell: Statt nur Affiliates zu rekrutieren, l\u00e4dt DragonForce sogar andere RaaS-Gruppen ein, ihre Infrastruktur zu nutzen. Das erh\u00f6ht die Schlagkraft erheblich, weil etablierte Angreifer-Netzwerke sofort auf die DragonForce-Plattform umschwenken k\u00f6nnen. Im Vergleich zu Akira, das sich auf den DACH-Raum spezialisiert hat und 2024 nachweislich Sch\u00e4den von 244 Millionen US-Dollar verursachte, wirkt DragonForce globaler und weniger regional fokussiert, aber durch seine Cartel-Struktur potenziell schlagkr\u00e4ftiger.<\/p>\n\n\n\n

Expertenmeinungen zur britischen Retail-Angriffswelle<\/h2>\n\n\n\n

Die Angriffe auf M&S, Co-op und Harrods haben in der Cybersicherheitsbranche breite Reaktionen ausgel\u00f6st. Rafe Pilling<\/strong>, Director of Threat Intelligence bei Sophos, erkl\u00e4rte in einer \u00f6ffentlichen Analyse, dass die britische Retail-Angriffswelle zeigt, wie sich das Ransomware-\u00d6kosystem hin zu spezialisierten, arbeitsteiligen Modellen entwickelt. DragonForce stellt die Infrastruktur bereit, w\u00e4hrend Gruppen wie Scattered Spider den Erstzugang sichern. Diese Spezialisierung macht Angriffe effizienter und schwerer zu attribuieren.<\/p>\n\n\n\n

Das Bridewell-Threat-Intelligence-Team hob hervor, dass DragonForce seit Mitte 2024 seine Aktivit\u00e4ten signifikant gesteigert hat, besonders in der ersten Jahresh\u00e4lfte 2025. Die 93 dokumentierten Opfer bis Ende 2024 sind nach Einsch\u00e4tzung der Forscher nur die Spitze des Eisbergs, da viele Opfer Angriffe nicht \u00f6ffentlich melden. Bridewell warnt, dass der Cartel-Ansatz von DragonForce eine neue Qualit\u00e4tsstufe im Ransomware-Gesch\u00e4ft markiert: Angreifergruppen k\u00f6nnen nun unter eigenem Namen operieren, w\u00e4hrend sie die bew\u00e4hrte Infrastruktur eines etablierten Kartells nutzen.<\/p>\n\n\n\n

Forscher von SentinelOne beschreiben DragonForce als Hybridakteur, der urspr\u00fcnglich politische Ziele verfolgte, nun aber \u00fcberwiegend finanziell motiviert handelt. Die Gruppe hat bekannte Institutionen wie Honolulu OTS (den \u00f6ffentlichen Nahverkehr von Oahu\/Hawaii), die Regierung von Palau, Coca-Cola Singapur, die Ohio State Lottery und Yakult Australia angegriffen, bevor sie 2025 die britischen Retailer ins Visier nahm. Laut einer Resecurity-Analyse aus Februar 2025 hat DragonForce in einem einzigen Fall \u00fcber 6 Terabyte an Daten von einem Opfer im Nahen Osten geleakt, nachdem die L\u00f6segeldforderung nicht erf\u00fcllt wurde.<\/p>\n\n\n\n

Ausweitung auf US-amerikanische Retailer<\/h2>\n\n\n\n

Die britische Retail-Angriffswelle blieb nicht ohne Folgen f\u00fcr andere M\u00e4rkte. Google Threat Intelligence warnte kurz nach den UK-Angriffen, dass dieselbe T\u00e4tergruppe begonnen hatte, amerikanische Einzelh\u00e4ndler ins Visier zu nehmen. Das bekannte Muster aus Social Engineering gegen Helpdesk-Mitarbeiter und anschlie\u00dfender Ransomware-Deployment wurde auch in den USA beobachtet. Im Mai 2025 meldete Carnival Corporation, eine der weltgr\u00f6\u00dften Kreuzfahrtreedereien, einen Datenverlust von fast 6 Millionen Kundendatens\u00e4tzen durch einen social-engineering-basierten Angriff auf einen Mitarbeiter-Account.<\/p>\n\n\n\n

F\u00fcr \u00f6sterreichische und europ\u00e4ische Unternehmen ist diese Entwicklung ein klares Warnsignal: Wer glaubt, als mittelst\u00e4ndisches Unternehmen unterhalb der Aufmerksamkeitsschwelle zu operieren, irrt sich. Der “Datenanalysedienst” von DragonForce aus August 2025 richtet sich zwar formell an Unternehmen mit mindestens 15 Millionen US-Dollar Jahresumsatz, aber die Praxis zeigt, dass Ransomware-Affiliates oft opportunistisch vorgehen. F\u00fcr Unternehmen im \u00f6sterreichischen Handels-, Tourismus- und Dienstleistungssektor, die IT-Dienste an externe Anbieter auslagern, besteht besonderer Handlungsbedarf.<\/p>\n\n\n\n

Beh\u00f6rdliche Reaktionen und regulatorischer Kontext f\u00fcr \u00d6sterreich<\/h2>\n\n\n\n

Im Vereinigten K\u00f6nigreich meldete M&S den Vorfall umgehend an die zust\u00e4ndigen Beh\u00f6rden, darunter das National Cyber Security Centre (NCSC) und die Metropolitan Police. Die Strafverfolgung konzentrierte sich auf die Ermittlung gegen bekannte Scattered-Spider-Mitglieder. Das UK Information Commissioner’s Office (ICO) leitete eine Untersuchung ein, ob M&S seine Datenschutzpflichten nach dem UK GDPR erf\u00fcllt hat.<\/p>\n\n\n\n

F\u00fcr europ\u00e4ische Unternehmen, die unter die EU-DSGVO fallen, ist der Fall besonders relevant: Die DSGVO verpflichtet Unternehmen, Datenpannen innerhalb von 72 Stunden nach Bekanntwerden an die zust\u00e4ndige Datenschutzbeh\u00f6rde zu melden. Im \u00f6sterreichischen Kontext ist das die Datenschutzbeh\u00f6rde (DSB)<\/strong>. Ein Versto\u00df gegen diese Meldepflicht kann zus\u00e4tzlich zu den durch den Angriff entstandenen Sch\u00e4den Bu\u00dfgelder von bis zu 4 Prozent des weltweiten Jahresumsatzes nach sich ziehen.<\/p>\n\n\n\n

Zus\u00e4tzlich tritt der Cyber Resilience Act (CRA)<\/strong> der EU schrittweise in Kraft und verpflichtet Hersteller digitaler Produkte zu erh\u00f6hten Sicherheitsstandards. F\u00fcr Unternehmen, die IT-Infrastruktur und vernetzte Systeme betreiben, bedeutet das, dass Sicherheitsanforderungen nicht l\u00e4nger optional sind, sondern regulatorisch durchgesetzt werden, mit Bu\u00dfgeldern bis zu 15 Millionen Euro. Die NIS2-Richtlinie versch\u00e4rft zudem die Anforderungen an das Incident Management und die Supply-Chain-Sicherheit.<\/p>\n\n\n\n

Schutzma\u00dfnahmen: Was Unternehmen jetzt tun m\u00fcssen<\/h2>\n\n\n\n

Der M&S-Angriff liefert einen klaren Katalog von Schwachstellen, die Unternehmen im DACH-Raum unmittelbar adressieren sollten.<\/p>\n\n\n\n

Helpdesk-Sicherheit st\u00e4rken:<\/strong> Jeder IT-Dienstleister, der Passwort-Resets oder Kontozugriffe verwaltet, muss strikte Identit\u00e4tsverifikationsprotokolle einhalten. Video-Identifikation oder R\u00fcckruf \u00fcber verifizierte interne Nummern sind Standard. TCS-Helpdesk-Mitarbeiter wurden durch einen Telefonanruf get\u00e4uscht, das ist mit klaren Prozessen vermeidbar.<\/p>\n\n\n\n

Active-Directory-Schutz intensivieren:<\/strong> Die NTDS.dit-Datei, aus der die Angreifer Passwort-Hashes extrahierten, muss durch zus\u00e4tzliche Zugriffsbeschr\u00e4nkungen und kontinuierliches Monitoring gesichert werden. SIEM-L\u00f6sungen k\u00f6nnen anomale Zugriffe auf AD-kritische Dateien in Echtzeit erkennen.<\/p>\n\n\n\n

MFA-Resistenz erh\u00f6hen:<\/strong> MFA-Push-Bombing ist verhinderbar. Statt einfacher Push-Benachrichtigungen sollten Unternehmen auf phishing-resistente MFA-Methoden wie FIDO2-Hardware-Tokens oder Number-Matching-MFA umsteigen.<\/p>\n\n\n\n

Supply-Chain-Risikobewertung:<\/strong> Drittanbieter, die Zugang zu internen Systemen haben, m\u00fcssen in die eigene Sicherheitsstrategie integriert werden. Regelm\u00e4\u00dfige Audits, klare Berechtigungsstrukturen und Incident-Response-Vereinbarungen mit externen Dienstleistern sind Pflicht.<\/p>\n\n\n\n

Offline-Backups und Segmentierung:<\/strong> Backups, die nicht \u00fcber dasselbe Netzwerk erreichbar sind, reduzieren den Schaden bei einer erfolgreichen Ransomware-Infektion erheblich. Netzwerksegmentierung verhindert, dass Angreifer sich nach einer initialen Kompromittierung frei im Netzwerk bewegen k\u00f6nnen.<\/p>\n\n\n\n

5 Prognosen f\u00fcr Ransomware-Angriffe 2026<\/h2>\n\n\n\n

Basierend auf der Analyse des DragonForce-Angriffs und aktuellen Threat-Intelligence-Berichten lassen sich folgende Entwicklungen f\u00fcr 2026 prognostizieren:<\/p>\n\n\n\n

1. Kartell-Modelle werden zur Norm.<\/strong> Das DragonForce-Kartellmodell wird Schule machen. Weitere Ransomware-Gruppen werden \u00e4hnliche White-Label-Infrastrukturen anbieten, was die Anzahl der Affiliates und damit die Angriffsfrequenz erh\u00f6ht. Bis Ende 2026 d\u00fcrften drei bis f\u00fcnf weitere RaaS-Kartelle nach dem DragonForce-Vorbild operieren.<\/p>\n\n\n\n

2. Europ\u00e4ischer Handel ger\u00e4t st\u00e4rker ins Visier.<\/strong> Nach dem Erfolg der britischen Retail-Angriffswelle werden kontinentaleurop\u00e4ische Einzelh\u00e4ndler, insbesondere in Deutschland, \u00d6sterreich und der Schweiz, gezielter angegriffen. Die Kombination aus hohen L\u00f6segeldzahlungsbereitschaften und oft unzureichender Cybersicherheit macht den DACH-Raum attraktiv.<\/p>\n\n\n\n

3. KI-gest\u00fctzte Social-Engineering-Angriffe nehmen zu.<\/strong> Der “Datenanalysedienst” von DragonForce ist ein Vorgeschmack auf KI-generierte, ma\u00dfgeschneiderte Erpressungsmaterialien. Deepfake-Anrufe, die F\u00fchrungskr\u00e4fte imitieren, und KI-verfasste Phishing-E-Mails werden Social Engineering noch schwerer erkennbar machen.<\/p>\n\n\n\n

4. Versicherungsleistungen werden teurer und restriktiver.<\/strong> Nach Verlusten wie bei M&S werden Cyber-Versicherer strengere Anforderungen an Sicherheitsma\u00dfnahmen stellen. Unternehmen ohne MFA, EDR und regelm\u00e4\u00dfige Penetrationstests werden entweder keine Versicherung mehr erhalten oder extrem hohe Pr\u00e4mien zahlen.<\/p>\n\n\n\n

5. Regulatorischer Druck durch NIS2 und CRA steigt.<\/strong> Die NIS2-Richtlinie und der Cyber Resilience Act werden 2026 in \u00d6sterreich vollst\u00e4ndig durchgesetzt. Unternehmen, die von Ransomware-Angriffen betroffen sind und unzureichende Sicherheitsma\u00dfnahmen nachweisen, riskieren neben dem Angriffsschaden auch empfindliche Bu\u00dfgelder von bis zu 15 Millionen Euro.<\/p>\n\n\n\n

FAQ: DragonForce Ransomware<\/h2>\n\n\n\n

Was ist DragonForce Ransomware?<\/h3>\n\n\n\n

DragonForce ist eine seit August 2023 aktive Ransomware-as-a-Service-Gruppe, die seit M\u00e4rz 2025 als “Cartel” operiert. Das Kartell stellt anderen Angreifern seine Infrastruktur, Malware-Tools und Leak-Seiten zur Verf\u00fcgung, beh\u00e4lt 20 Prozent der erpressten L\u00f6segelder und hat bisher \u00fcber 170 Organisationen weltweit angegriffen.<\/p>\n\n\n\n

Wie viel Schaden verursachte der M&S-Angriff?<\/h3>\n\n\n\n

Marks & Spencer beziffert den Schaden auf \u00a3300 Millionen (rund 355 Millionen Euro) an entgangenem Betriebsgewinn. Der B\u00f6rsenwert des Unternehmens fiel in der Folge um bis zu \u00a3700 Millionen. Die Cyber-Versicherung \u00fcber Allianz kann Sch\u00e4den bis zu \u00a3100 Millionen abdecken.<\/p>\n\n\n\n

Wurden Passw\u00f6rter oder Zahlungsdaten bei M&S gestohlen?<\/h3>\n\n\n\n

Nein. M&S best\u00e4tigte offiziell, dass keine nutzbaren Zahlungskartendaten und keine Passw\u00f6rter gestohlen wurden. Betroffen waren pers\u00f6nliche Daten wie Name, Adresse, Geburtsdatum, E-Mail, Telefonnummer und Bestellhistorie.<\/p>\n\n\n\n

Was ist Scattered Spider?<\/h3>\n\n\n\n

Scattered Spider ist ein von Sicherheitsforschern vergebenes Label f\u00fcr eine Gruppe von Bedrohungsakteuren, die auf Social Engineering spezialisiert sind. Sie fungieren als Initial-Access-Broker (IAB), verschaffen Zugang zu Zielnetzwerken und \u00fcbergeben diesen an Ransomware-Gruppen wie DragonForce. Bekannt wurden sie durch den Angriff auf MGM Resorts 2023, der Verluste von rund 100 Millionen US-Dollar verursachte.<\/p>\n\n\n\n

Wie k\u00f6nnen Unternehmen sich vor DragonForce sch\u00fctzen?<\/h3>\n\n\n\n

Die wichtigsten Schutzma\u00dfnahmen sind: phishing-resistente MFA (FIDO2\/Hardware-Token), strenge Identit\u00e4tsverifikation beim Helpdesk, Active-Directory-Monitoring mit SIEM, regelm\u00e4\u00dfige Penetrationstests und klare Sicherheitsvereinbarungen mit IT-Drittanbietern. Offline-Backups und Netzwerksegmentierung reduzieren den Schaden bei einer erfolgreichen Infektion erheblich.<\/p>\n\n\n\n

Welche Beh\u00f6rden sind f\u00fcr Ransomware-Angriffe in \u00d6sterreich zust\u00e4ndig?<\/h3>\n\n\n\n

In \u00d6sterreich ist das Bundeskriminalamt (BK) mit dem Cybercrime Competence Center (C4) f\u00fcr die strafrechtliche Verfolgung zust\u00e4ndig. Datenpannen m\u00fcssen innerhalb von 72 Stunden an die Datenschutzbeh\u00f6rde (DSB) gemeldet werden. Das CERT.at bietet kostenlose technische Unterst\u00fctzung f\u00fcr betroffene Unternehmen an.<\/p>\n\n\n\n

Hat Co-op L\u00f6segeld bezahlt?<\/h3>\n\n\n\n

Co-op hat sich nicht \u00f6ffentlich zu einer m\u00f6glichen L\u00f6segeldzahlung ge\u00e4u\u00dfert. Da die gestohlenen Kundendaten von DragonForce online ver\u00f6ffentlicht wurden, deutet das darauf hin, dass entweder kein L\u00f6segeld gezahlt wurde oder die Verhandlungen scheiterten.<\/p>\n\n\n\n

Ist DragonForce f\u00fcr \u00f6sterreichische Unternehmen eine Bedrohung?<\/h3>\n\n\n\n

Ja. DragonForce und sein Kartell-\u00d6kosystem operieren international ohne geografische Beschr\u00e4nkungen. \u00d6sterreichische Unternehmen im Handels-, Dienstleistungs- und Technologiesektor mit IT-Auslagerungen an externe Dienstleister sind potenzielle Ziele. Der DACH-Raum ist f\u00fcr Ransomware-Gruppen attraktiv, da die historische Zahlungsbereitschaft f\u00fcr L\u00f6segelder in dieser Region hoch ist.<\/p>\n\n\n\n

Verwandte Beitr\u00e4ge<\/h3>\n\n\n\n