Große Unternehmen mit komplexer Organisation, vielen Sprachen, mehreren LMS-Systemen, heterogenen Metadatenlandschaften und hoher Prozessvarianz brauchen Cybersecurity-Awareness-Lösungen, die auf solche Herausforderungen zugeschnitten sind. Andernfalls verkommt die Mitarbeitersensibilisierung für Cyber-Risiken zur Farce und es besteht die Gefahr eines konzernweiten Ausfalls.
Ein Cyberangriff störte die Liefersysteme von M&S und führte tagelang zu leeren Regalen[1]. Der Schaden wird auf 300 Millionen Pfund geschätzt. Am 21. Mai 2025 gab Stuart Machin, CEO von M&S, bekannt, dass die Lieferketten wiederhergestellt sind und Kunden wieder alles, was sie benötigen, in den Marks-&-Spencer-Filialen finden. Anders verhält es sich mit den M&S-Webshops; diese bleiben bis Juli 2025 außer Betrieb.
Ebenfalls am 21. Mai 2025 bestätigte Machin, dass dem Vorfall ein Ransomware-Angriff zugrunde liegt, initiiert durch Social Engineering (Phishing/Business Email Compromise) [2]. [Bereits im Vorfeld warnte das britische National Cyber Security Centre (NCSC), dass Kriminelle Cyberangriffe auf britische Einzelhändler durchführen und sich dabei als IT-Helpdesks ausgeben.
Fragt man Cybersicherheitsspezialisten oder den Chatbot Ihres Vertrauens, so erhält man verschiedene Empfehlungen. Siehe die zusammengefassten Ratschläge von Google und OpenAI:
Diese sinnvollen Security-Empfehlungen weisen eindeutige Gemeinsamkeiten auf.
Die Analysen des Marks-&-Spencer-Hacks legen den Schluss nahe, dass ein besseres Training des menschlichen Faktors möglich gewesen wäre. Natürlich ist ein wirksames, weitreichendes und mitarbeiterorientiertes Programm zur Cybersicherheitssensibilisierung – oder das Fehlen eines solchen – ein kritischer Punkt für jedes Unternehmen. Jedoch ist es für große Unternehmen nicht einfach, gute Awareness-Programme zu implementieren.
Marks & Spencer ist mit rund 66.000 Mitarbeitern in über 50 Ländern vertreten. M&S betreibt verschiedene HR- und Lernmanagementsysteme (Oracle HCM, JDA Workforce etc.). Die zugrunde liegende Komplexität der Prozesse, Systemarchitekturen und Kultur eines Unternehmens wie M&S stellt schon für sich allein eine Herausforderung dar. Diese Herausforderung spiegelt sich auch in den Anforderungen an eine geeignete Cybersecurity-Awareness-Lösung wider.
Wir bei CYBERDISE | Cybersecurity Awareness tun alles, um alle Mitarbeiter smarter und somit das Unternehmen selbst sicherer zu machen – gerade bei großen Unternehmen!
Bis bald, Palo Stacho
[1]ITV-News 21.05.2025 https://www.youtube.com/watch?v=1fdL9znFbm4
[2]BBC 21.5.2025 https://www.bbc.com/news/articles/c0el31nqnpvo