Der Cyberangriff auf Marks & Spencer im April 2025 war kein lokales IT-Problem. Die Ransomware-Gruppe Scattered Spider legte den britischen Handelsgiganten monatelang lahm – mit direkten Kosten von 131,3 Millionen Pfund für Wiederherstellung und Schadensbegrenzung. Jetzt zeigt sich, dass der Schaden nicht nur auf den Konten des Unternehmens landete, sondern auch im Portemonnaie des CEO. IT Daily
Was passiert ist
Im April 2025 führte die bekannte Ransomware-Gruppe Scattered Spider einen schweren Angriff auf Marks & Spencer durch. Der Online-Shop und die Smartphone-App mussten vollständig abgeschaltet werden. In den Filialen kam es zu logistischen Problemen und teilweise leeren Regalen. Die vollständige Wiederherstellung des Online-Handels konnte erst am 12. August 2025 abgeschlossen werden. IT Daily
Der Angriff erfolgte als klassische Double-Extortion-Attacke: Die Kriminellen verschlüsselten Unternehmenssysteme und exfiltrierten Daten, um dann eine Zahlung für Entschlüsselung und Löschung der gestohlenen Daten zu fordern. Der Einstieg gelang über den IT-Helpdesk, der von Tata Consultancy Services betrieben wird – die Angreifer nutzten Social Engineering, um sich Zugang zu verschaffen. BlackFog
Die Auswirkungen – was wirklich verloren gegangen ist
Die Schadensrechnung liest sich beeindruckend – und ernüchternd:
Finanziell: Der Jahresgewinn des Unternehmens sank von 881,1 Millionen Pfund im Vorjahr auf 671,4 Millionen Pfund. Die direkten Kosten für Reaktion, Wiederherstellung und Sanierung betrugen 131,3 Millionen Pfund. IT Daily
Börsenwert: Unmittelbar nach dem Angriff an Ostern 2025 wurden über 1,05 Milliarden Pfund vom Marktwert abgewischt, als der Aktienkurs um mehr als 12 Prozent einbrach. Personnel Today
Rechtlich: M&S wird vom Information Commissioner’s Office (ICO) untersucht, das alle Vorfälle mit persönlichen Daten prüft, bei denen ein wesentliches Risiko für die Rechte und Freiheiten von Personen besteht. Personnel Today
Persönlich – für den CEO: Boni für die gesamte Belegschaft bei Marks & Spencer wurden gestrichen, einschließlich der Spitzenführungskräfte. Neben CEO Stuart Machin erhielt auch Chairman Archie Norman keinen Bonus.
Das klingt auf den ersten Blick nach einem fairen Signal nach innen und außen. Aber es ist weit mehr als das: Es ist ein Präzedenzfall.
Denn die Nicht-Auszahlung eines Bonus ist noch die sanfteste Form der persönlichen Konsequenz.
Vorstände, Aufsichtsräte und Gesellschafter haben – gerade in Europa – weitreichende Möglichkeiten, Geschäftsführer und CEOs persönlich haftbar zu machen, wenn nachweislich Sorgfaltspflichten verletzt wurden. Das kann bedeuten:
- Rückforderung bereits ausgezahlter variabler Vergütung (Clawback-Klauseln)
- Regresszahlungen bei nachgewiesenem Organisationsverschulden
- Zivilrechtliche Klagen durch Aktionäre oder Aufsichtsgremien
- Strafrechtliche Relevanz bei grober Fahrlässigkeit im Umgang mit personenbezogenen Daten (DSGVO)
Gerade NIS2 hat die Verantwortung der Geschäftsführungsebene nochmals deutlich verschärft: Cybersecurity ist keine IT-Aufgabe mehr – sie ist Chefsache, im Wortsinne.
Wie hätte man das verhindern können?
Der Vorfall ist eine eindringliche Erinnerung an das wachsende Risiko, das Unternehmen eingehen, wenn sie auf Drittanbietersysteme und -lieferanten setzen. Konkret lassen sich mehrere Ansatzpunkte identifizieren: Sangfor Technologies
1. Lieferanten- und Drittanbieter-Management: Wer kritische IT-Infrastruktur auslagert – wie M&S den Helpdesk an TCS – muss diesen Zugang klar reglementieren, überwachen und bei Auffälligkeiten sofort einschränken können.
2. Social Engineering erkennen: Der Angriff begann nicht mit einem Exploit, sondern mit einem Telefonat. Regelmäßige Awareness-Schulungen für alle Mitarbeitenden – insbesondere in IT-nahen Rollen – sind kein Nice-to-have, sondern Grundschutz.
3. Krisenplan vorab definieren: Wie unser Artikel Fehlende Kommunikation kommt Unternehmen teuer zu stehen zeigt: Die technische Reaktion allein reicht nicht. Ein strukturierter Kommunikationsplan – wer informiert wen, wann und wie – gehört genauso zur Vorbereitung wie ein Backup-Konzept.
4. Governance klar regeln: Wer im Unternehmen trägt die Verantwortung für Cybersecurity? Wenn diese Frage nicht vor einem Angriff beantwortet ist, beantwortet sie der Aufsichtsrat danach – und das ist deutlich unangenehmer.
Lessons learned
Was Geschäftsführer jetzt konkret tun können:
- Drittanbieter-Risikomanagement einführen: Alle externen Dienstleister mit Systemzugang müssen regelmäßig geprüft werden. Mindestzugriffsprinzip (Least Privilege) konsequent umsetzen.
- Social Engineering in Schulungspläne aufnehmen: Helpdesk-Mitarbeitende und IT-Administratoren sind bevorzugte Angriffsziele. Simulierte Phishing- und Vishing-Angriffe gehören zum Trainingsplan.
- Clawback- und Haftungsklauseln im Management-Vertrag prüfen: Geschäftsführer sollten wissen, was bei grober Fahrlässigkeit im Bereich Cybersecurity vertraglich und rechtlich auf sie zukommt – und das als Anreiz verstehen, nicht als Bedrohung.
- Business-Continuity-Plan testen: Nicht nur dokumentieren, sondern üben. Ein Notfallhandbuch, das nie geöffnet wurde, hilft im Ernstfall wenig. Hier lohnt ein Blick auf unseren Artikel Cyber-Bündnis aufbauen: 3 Modelle für den IT-Notfall.
- NIS2-Pflichten auf Geschäftsführungsebene verankern: Die neue Richtlinie macht Cybersecurity zur persönlichen Pflicht der Leitungsorgane. Wer das delegiert und vergisst, haftet.
- Kommunikationsplan für den Ernstfall vorbereiten: Interne und externe Kommunikation muss vorab strukturiert sein – DSGVO-Meldefristen (72 Stunden) und NIS2-Fristen (teilweise 24 Stunden) lassen keine Zeit für Improvisation.
- Absichern von Entscheidungen: Alle Entscheidungen, die als Geschäftsführer getroffen werden und Einfluss auf das Business haben können, dokumentieren inkl. der Entscheidungsgrundlagen und den Gesellschaftern bzw. Aufsichtsrat übermitteln. Damit ist die Informationspflicht erfüllt und Einsprüche können gemacht werden – wenn nicht, ist alles gut.
Quellen:
Marks & Spencer Breach: How A Ransomware Attack Crippled a UK Retail Giant – blackfog.com
Thomas Laszlo ist DER Experte für Notfallpläne. Schon seit Beginn seiner Karriere beschäftigt er sich mit dem Thema. Egal ob in der Hotellerie, als auch in der IT, wo er als IT-Leiter immer gleichzeitig Krisenmanager war. Seit 2019 begleitet er Unternehmen bei der Erstellung eigener Notfallpläne. Er ist Vortragender zum Thema Business Continuity bei diversen Wirtschaftsverbänden und IT-Kongressen.