Britische Unternehmen sollten zur Meldung schwerwiegender Cyberangriffe verpflichtet werden, fordert M&S

Britische Unternehmen sollten gesetzlich verpflichtet werden, erhebliche Cyberangriffe an die Behörden zu melden. Das forderte Archie Norman, Vorstandsvorsitzender der Einzelhandelskette Marks & Spencer, am Dienstag. Er behauptete, dass zwei kürzlich erfolgte große Angriffe auf bedeutende britische Unternehmen nicht gemeldet worden seien.

Vor Abgeordneten des parlamentarischen Ausschusses für Wirtschaft und Handel berichtete Norman von dem Cyberangriff im April, der M&S zwang, den Online-Handel für fast sieben Wochen auszusetzen. Er sagte, das Unternehmen habe erfahren, dass ,,eine ziemlich große Anzahl" schwerwiegender Cyberangriffe niemals an das National Cyber Security Centre (NCSC) gemeldet werde.

,,Tatsächlich haben wir Grund zu der Annahme, dass es in den letzten vier Monaten zwei große Cyberangriffe auf bedeutende britische Unternehmen gab, die nicht gemeldet wurden", erklärte er.

Norman betonte, dadurch bestehe ,,ein großes Wissensdefizit" im Bereich Cybersicherheit.

,,Ich denke daher nicht, dass es eine Überregulierung wäre zu verlangen, dass Unternehmen ab einer bestimmten Größe bei einem erheblichen Angriff innerhalb einer Frist verpflichtet sind, diese dem NCSC zu melden."

Norman wollte nicht sagen, ob M&S ein Lösegeld gezahlt habe, betonte jedoch, dieses Thema sei ,,vollständig" mit der National Crime Agency und anderen Behörden geteilt worden.

Er berichtete, dass ,,lose verbundene Gruppen" beim Angriff auf M&S zusammengearbeitet hätten.

,,Wir glauben, dass es in diesem Fall einen Initiator des Angriffs gab und dann, vermutlich DragonForce, eine Ransomware-Operation, die, wie wir annehmen, in Asien ansässig ist."

Ein Hacking-Kollektiv namens Scattered Spider, das Ransomware von DragonForce einsetzt, wurde in Medienberichten zuvor für den Angriff verantwortlich gemacht.

,,Wenn so etwas passiert, wissen Sie nicht, wer der Angreifer ist - tatsächlich bekommen Sie nie einen Brief, der mit Scattered Spider unterschrieben ist, das passiert nicht", sagte Norman.

Laut Norman hörte M&S etwa eine Woche lang nichts von den Tätern, nachdem diese am 17. April durch eine ,,Social Engineering"-Attacke in die Systeme eingedrungen waren.

Im Mai gab M&S an, der Angriff werde das Unternehmen rund 300 Millionen Pfund (£300 Mio. / $409 Mio.) an Betriebsgewinn kosten.

Norman erklärte, M&S habe Glück gehabt, die Cyberversicherung im vergangenen Jahr verdoppelt zu haben, allerdings könne die Bearbeitung der Schadensmeldung bis zu 18 Monate dauern.

M&S nahm am 10. Juni nach einer 46-tägigen Unterbrechung wieder Online-Bestellungen für Bekleidung entgegen, der Click-and-Collect-Service ist jedoch noch nicht wiederhergestellt.

Vergangene Woche sagte M&S-CEO Stuart Machin den Investoren, das Unternehmen werde die schlimmsten Folgen des Angriffs bis August überwunden haben.

Nick Folland, Chefjustiziar von M&S, erklärte den Abgeordneten, eine wichtige Lehre aus der Krise für Unternehmen sei es, sicherzustellen, dass sie eine Zeitlang auch mit Stift und Papier arbeiten können.

,,Das ist das, was Sie tun können müssen, während alle Ihre Systeme ausgefallen sind", sagte er.