9 Minuten Lesezeit Mit Insights von Dr. Raphael Reischuk Group Head Cybersecurity & Partner raphael.reischuk@zuehlke.com Denis Kolmanic Head of Retail denis.kolmanic@zuehlke.com Die globale Einzelhandelsbranche steckt in der Krise. Eine wachsende Welle von Cyberangriffen trifft den Sektor und stellt die bisherigen Ansätze für Cyberhygiene und Resilienz infrage. Einst ein weniger lukratives Ziel steht der Sektor nun im Zentrum anhaltender Attacken. Diese sind oft technisch simpel, aber äußerst effektiv.Allein im April traf es etablierte Marken wie Marks & Spencer, Co-op, Harrods, Victoria’s Secret, Dior und Adidas. Im Juni folgten United Natural Foods, Cartier und The North Face.Diese öffentlich gewordenen Vorfälle sind nur die sichtbare Spitze des sprichwörtlichen Eisbergs. Die wahre Dimension der dynamischen Bedrohungslage bleibt oft verborgen. Trittbrettfahrer stehen längst in den Startlöchern. Die Branche muss jetzt handeln: Wer nicht in robuste Cybersicherheit investiert, um Daten, Betriebsfähigkeit und das Vertrauen der Kundschaft zu schützen, riskiert eine weitreichende Krise, die das gesamte Geschäftsmodell gefährdet.Mutige, proaktive Entscheidungen sind gefragt. Es gilt, Altlasten in der IT abzubauen, Identitätsmanagement und Zugriffskontrollen zu verstärken, alle Drittanbieter auf Risiken zu überprüfen und Teams für neue Angriffsformen wie Deepfakes oder Social Engineering zu sensibilisieren.Cybersecurity im Einzelhandel darf kein Thema für die IT-Abteilung allein bleiben. Sie muss als strategische Säule klar in der Führungsebene verankert werden.Wir zeigen auf, welche konkreten Maßnahmen Sie heute ergreifen sollten, um morgen nicht selbst in die Schlagzeilen zu geraten. Social Engineering auf dem Vormarsch Die jüngste Angriffswelle ist kein Einzelfall, sondern Teil eines Trends, der weiter Fahrt aufnimmt und auch auf andere Branchen übergreifen wird. Cyberkriminelle werden dreister und Nachahmer lassen nicht lange auf sich warten. Einzelhändler müssen deshalb verstehen, wer hinter diesen Angriffen steckt und wie diese Akteure vorgehen.Besonders aktiv ist die Gruppe Scattered Spider. Anders als klassische Hacker, die technische Schwachstellen ausnutzen, wenden sie gezielte Social-Engineering-Taktiken an. Dabei nehmen sie häufig IT-Abteilungen ins Visier. Durch sorgfältige Vorbereitung und Recherche geben sie sich am Telefon oder in Chats als interne Mitarbeitende aus – oft mit täuschend echten Namen, Sprache und Verhaltensmustern. So erbeuten sie echte Zugangsdaten. Allein in den letzten zwei Jahren soll die Gruppe Hunderte Unternehmen angegriffen haben. Nach dem Zugriff setzen sie Tools der Ransomware-Gruppe DragonForce ein, die als Ransomware-as-a-Service im Darknet erhältlich sind. Nachdem durch Ausspähen der Opfer der Erstzugang geglückt ist, dringen sie über laterale Bewegung tiefer in das Netzwerk ein und erpressen schließlich Lösegeld, meist in Kryptowährung.Spannend ist die Zusammensetzung der Gruppe: Ermittlungen zufolge handelt es sich um einen lockeren Zusammenschluss überwiegend junger Menschen unter 25 Jahren, mutmaßlich aus den USA und Großbritannien. Aufgrund ihrer muttersprachlichen Kompetenz und kulturellen Nähe können sie sich unauffällig in westlichen Unternehmensumfeldern bewegen. Wenn sie sich als Support oder IT-Mitarbeitende ausgeben, wirken sie daher besonders glaubwürdig. Die Folgen eines Angriffs: Ist der Ruf erst ruiniert… 4,9 Mio. US-Dollar: weltweiter Durchschnittsschaden pro Datenpanne 78% der Unternehmen, die Lösegeld zahlten, wurden erneut angegriffen – oft vom selben Akteur Jeder vierte Cyberangriff gilt dem Einzelhandel 270–440 Mio. Pfund: geschätzter Gesamtschaden bei M&S und Co-op Cyberangriffe treffen nicht nur die IT und die Geschäftskontinuität, sondern das Herz des Einzelhandels: das Vertrauen der Kund:innen. Die Auswirkungen vollziehen sich schnell, sind tiefgreifend und teuer – und reichen weit über technische Wiederherstellungsmaßnahmen hinaus.Viele Einzelhändler berichten nach einem Angriff von massiven Reputationsschäden. Laut Statista vertrauen 56 % der Verbraucher:innen keiner Marke mehr, die kürzlich Opfer eines Datenlecks wurde. Dieser Vertrauensverlust wirkt sich unmittelbar auf die Verkaufszahlen aus. Das gilt umso mehr, wenn sensible Kundendaten betroffen sind.Doch es bleibt nicht bei Imageschäden. Bei Verstößen gegen Datenschutzgesetze wie die europäische DSGVO oder den California Consumer Privacy Act (CCPA) drohen hohe Geldbußen. Bis zu 20 Millionen Euro bzw. 4 % des weltweiten Jahresumsatzes sieht die DSGVO als Strafe vor. Solche Sanktionen sind nicht nur finanziell schmerzhaft. Sie werfen ein schlechtes Licht auf das Unternehmen und erschüttern das Vertrauen von Kund:innen, Geschäftspartnern und Investoren nachhaltig. Auf betrieblicher Ebene sind die Auswirkungen oft sofort spürbar: E-Commerce-Plattformen müssen vom Netz genommen werden, Kassensysteme in den Filialen werden blockiert, zentrale Geschäftsprozesse kommen zum Erliegen. Laut IBM liegt der weltweite Durchschnittsschaden pro Datenpanne bei 4,9 Mio. US-Dollar. Auch die Kapitalmärkte reagieren empfindlich: Nach dem Hack von Marks & Spencer 2024 verlor das Unternehmen binnen weniger Tage 6,9 % seines Börsenwerts – rund 700 Mio. Pfund Marktkapitalisierung. Damit war rund ein Viertel des Wertzuwachses, den das Unternehmen durch einen vielbeachteten Turnaround in den letzten drei Jahren erwirtschaftet hatte, auf einen Schlag vernichtet.Das Cyber Monitoring Centre schätzt die Gesamtkosten der Angriffe auf M&S und Co-op auf 270 bis 440 Mio. Pfund – Umsatzeinbußen, Betriebsunterbrechung, Notfallmaßnahmen der IT, rechtliche Schritte und Informationspflichten gegenüber Behörden und Kundschaft eingerechnet. Die bittere Wahrheit: In einem hart umkämpften Markt mit engen Margen kann ein einzelner Angriff das Geschäft nachhaltig schädigen. Cybersecurity für den Einzelhandel gehört in die Chefetage.Warum der Einzelhandel ein leichtes Ziel istCyberkriminelle wissen um die Anfälligkeit des Sektors für Sicherheitslücken. Laut Shopify gelten rund ein Viertel aller weltweiten Cyberangriffe dem Einzelhandel. Damit ist der Sektor, auch wegen seiner besonderen Struktur und Dynamik, stärker getroffen als jede andere Branche. Die Komplexität ist nicht nur technischer Natur, sondern tief im Geschäftsmodell verwurzelt.Abhängigkeit von Drittanbietern: Zahlungsverkehr, Logistik, IT-Dienstleistungen – Einzelhändler sind auf ein komplexes Netzwerk von Partnern angewiesen. Deren IT-Infrastrukturen und Sicherheitsstandards sind jedoch oft intransparent oder unzulänglich. Ein Angriff auf ein unzureichend geschütztes Glied in der Kette kann sich auf das gesamte Unternehmen auswirken.Omnichannel-Infrastrukturen: Um Kund:innen ein nahtloses Einkaufserlebnis über Filialen, Onlineshops, Apps, Callcenter und Franchises hinweg zu bieten, müssen Daten in Echtzeit fließen. Diese Systeme sind meist stark miteinander vernetzt und bieten dadurch zahlreiche potenzielle Angriffspunkte. Jede neue Schnittstelle erhöht die Angriffsfläche.Saisonale Belegschaften: Während Verkaufsspitzen wie Black Friday oder Weihnachten setzen viele Händler auf kurzfristig angestellte Aushilfen. Diese verfügen häufig nicht über das nötige Sicherheitsbewusstsein, greifen aber dennoch auf sensible Systeme oder Daten zu. Dadurch steigt das Risiko für versehentliche Leaks oder gezielte Angriffe. Eine hohe Fluktuation verhindert zudem den Aufbau von firmeninternem Wissen und erhöht das Risiko für Insider-Bedrohungen.Technische Altlasten und Schnellschüsse: Um digitale Angebote möglichst schnell zu erweitern, wurden viele Altsysteme mit neuen Anwendungen verknüpft – oft ohne gründliche Sicherheitsprüfung. Veraltete Technologien ohne Sicherheits-Patches bieten ideale Einstiegspunkte für Angreifer. Gleichzeitig werden neue Tools häufig überstürzt eingeführt, ohne in bestehende Sicherheitskonzepte eingebettet zu sein.Kurzum: Die technische Vielfalt, starke Abhängigkeit von Partnern, Personalfluktuation und eine überstürzte und unvorsichtige Digitalisierung machen den Retail-Sektor besonders anfällig für Cyberangriffe. Ohne einen grundlegenden Wandel im Umgang mit Cybersecurity bleibt der Einzelhandel ein lukratives Ziel. Was jetzt zu tun ist: Von reaktiv zu resilient Cyberangriffe sind längst Bestandteil des Geschäftsalltags. Wer sich proaktiv und gut informiert vorbereitet, kann größere Schäden verhindern. Auf diese Punkte kommt es an: 1. Identitäts- und Zugriffsschutz priorisieren 1. Identitäts- und Zugriffsschutz priorisieren Ein Identitätsmanagementsystem (Identity Access Management, IAM) ist ein Grundbaustein jeder Sicherheitsstrategie. Führen Sie konsequente Zugangskontrollen mittels Multi-Faktor-Authentifizierung durch – allerdings nicht per SMS, da diese Methode anfällig für SIM-Swapping ist. Nutzen Sie stattdessen sicherere Alternativen.Darüber hinaus gilt: Nur wer eine Berechtigung wirklich benötigt, sollte sie auch erhalten. Dieses „Least Privilege“-Prinzip minimiert unnötige Angriffsflächen. Sämtliche Zugriffsberechtigungen für Mensch und Maschine sollten regelmäßig überprüft und bei Bedarf angepasst werden. 2. Detection, Response & Recovery aufbauen 2. Detection, Response & Recovery aufbauen Einen 100-prozentigen Schutz vor Angriffen gibt es nicht. Umso wichtiger ist es, sie frühzeitig erkennen, schnell eindämmen und die Betriebsfähigkeit rasch wiederherstellen zu können. Dazu braucht es Systeme, die verdächtige Aktivitäten automatisch melden, klar definierte Prozesse zur Reaktion und regelmäßig getestete Wiederanlaufpläne.Wer Lösegeldforderungen nachkommt, um nach einem Angriff wieder arbeitsfähig zu werden, handelt riskant: 78 % der erfolgreich erpressten Unternehmen werden erneut angegriffen – oft vom selben Akteur. 3. Cyberhygiene stärken 3. Cyberhygiene stärken Eine gute Cyberhygiene kann Wahrscheinlichkeit und Auswirkungen von Standardangriffen erheblich reduzieren. Dazu gehört: Systeme konsequent patchen, Netzwerke in Segmente aufteilen und strenge Zugriffskontrollen nach dem Zero-Trust-Prinzip durchführen.Auch veraltete Technik birgt Risiken: Modernisieren oder isolieren Sie Legacy-Systeme, damit sie nicht zur Schwachstelle werden. 4. Neue Bedrohungen ernst nehmen 4. Neue Bedrohungen ernst nehmen Angriffe mit KI-generierten Deepfakes oder täuschend echten Identitätsfälschungen nehmen zu. Besonders bei sensiblen Vorgängen wie Zugriffsfreigaben oder Finanztransaktionen sollte stets ein zweiter Kommunikationskanal genutzt werden.Schulen Sie Ihre Mitarbeitenden darin, ungewöhnliche Anfragen kritisch zu hinterfragen. Sensibilisierung ist der beste Schutz vor Social Engineering. 5. Mitarbeitende trainieren 5. Mitarbeitende trainieren Die unbequeme Wahrheit: Die größte Schwachstelle ist und bleibt der Faktor Mensch. Gleichzeitig bilden Ihre Teams aber auch die beste Verteidigungslinie, die Sie global mit praxisnahen, kontinuierlichen Schulungen stärken müssen.Ergänzend sollten IT-Fachkräfte gezielt auf aktuelle Angriffstrends vorbereitet werden und beispielsweise lernen, Deepfakes zu erkennen. Nur so kann sich langfristig eine echte Sicherheitskultur etablieren. 6. Drittanbieter prüfen 6. Drittanbieter prüfen Sicherheitsverantwortung lässt sich nicht auslagern. Deshalb müssen alle Drittanbieter Teil des Sicherheitsprogramms werden.Verträge sollten klare Anforderungen enthalten (etwa zur Reaktionszeit bei Sicherheitsvorfällen) und regelmäßige Audits ermöglichen. Nur mit Transparenz und Kontrolle können Sie das Risiko in der Lieferkette beherrschen.Lesen Sie, wie wir die Migros mit einem Framework für ein sicheres Einkaufserlebnis unterstützt haben: Mehr erfahren Fazit: Resilienz ist Chefsache Die Angriffswelle im Einzelhandel ist kein kurzlebiger Trend, sondern ein klarer Wendepunkt in der Bedrohungslandschaft. Klassische Verteidigungsstrategien haben den immer ausgefeilteren und hartnäckigeren Angriffen nichts entgegenzusetzen. Wer sich weiterhin auf punktuelle Maßnahmen oder veraltete Schutzmechanismen verlässt, riskiert das Vertrauen der Kundschaft, regulatorische Konsequenzen und wirtschaftliche Einbußen.Cybersecurity im Einzelhandel gehört längst nicht mehr ausschließlich in die IT-Abteilung. Sie muss dringend als strategische Führungsaufgabe verstanden und fest in die Prozesse eingebettet werden. Das bedeutet: Sicherheitskonzepte müssen mit der digitalen Strategie verzahnt, Investitionen gezielt geplant und Maßnahmen organisationweit verankert werden. Zühlke arbeitet seit Langem für stark regulierte Branchen wie den Finanz- oder Gesundheitssektor.Von diesen weitreichenden Erfahrungen profitiert auch der Einzelhandel. Unsere Teams unterstützen Retail-Unternehmen dabei, Sicherheitslücken zu identifizieren, bestehende IT-Architekturen zu modernisieren, kritische Schnittstellen zu schützen und Cybersicherheit entlang der gesamten Wertschöpfungskette zu verankern. Sie möchten tiefer in das Thema einsteigen? Gern besprechen wir mit Ihnen, wie Sie Cyberresilienz gezielt und praxisnah aufbauen. Virtuelles Meeting, Workshop oder persönliche Beratung vor Ort – über die Form entscheiden Sie. Füllen Sie dazu einfach unser Formular aus. Sobald unsere nächsten Cybersecurity-Events für den Retail-Sektor anstehen, erhalten Sie von uns eine Einladung.
Einzelhandel & Konsumgüter – Warum wir auf agile Produktentwicklung in der Konsumgüterindustrie setzen Mehr erfahren
Einzelhandel & Konsumgüter – Die Vorteile softwareorientierter Entwicklungskonzepte für physische Produkte Mehr erfahren
Einzelhandel & Konsumgüter – Computer Vision im Einzelhandel: Mit KI zum smarten Ladengeschäft Mehr erfahren