logo ntadmins

Hackergruppen nehmen Einzelhandel ins Visier

7. November 2025
shopping nt Pixa ChristianSchröder
Quelle: Christian Schröder, Pixabay

Mit dem Black Friday und dem Cyber Monday beginnt die heiße Phase im Online Shopping und es gibt unzählige Angebote auf allen Kanälen, Gutscheine, Rabatte und limitierte Sonderausgaben. Doch wo viel Geld im Spiel ist, sind Kriminelle nicht weit. Doch wie können sich Einzelhändler vor Cyber-Angriffen schützen und bei welchen „Red Flags“ ist sofortiges Handeln nötig?

Ob man an dem beworbenen Black Friday Ende November und Cyber Monday am 1. Dezember wirklich Schnäppchen machen kann, darüber scheiden sich die Geister. Keine Frage der Abwägung ist jedoch die Tatsache, dass Einzelhändler immer stärker ins Fadenkreuz krimineller Hackergruppen geraten. So hat Sophos X-Ops im vergangenen Jahr fast 90 verschiedene Bedrohungsgruppen beobachtet, die einen oder mehrere Einzelhändler mit Ransomware oder Erpressung über Leak-Seiten angegriffen haben.

Die Angreifer versuchen sich Zugang zu Bezahlsystemen, Checkout- Prozessen oder Admin-Konten zu verschaffen mit dem Ziel, Umsatz abzugreifen, Zahlungsflüsse umzulenken, Daten zu stehlen oder Systeme mit Ransomware lahmzulegen. Die aktivsten Gruppen, die Sophos anhand von Incident-Response- und MDR-Fällen verfolgt hat, sind Akira, Cl0p, Qilin, PLAY und Lynx.

Nach Ransomware war die Kompromittierung von Konten die zweithäufigste Art von Vorfällen, die bei Einzelhändlern beobachtet wurden. Laut aktuellen Ergebnissen des „The State of Ransomware in Retail 2025“ hat sich der Anteil reiner Erpresserangriffe, bei denen keine Daten verschlüsselt, aber dennoch Lösegeld für die Nichtveröffentlichung sensibler Daten gefordert wird, innerhalb von zwei Jahren verdreifacht (2023: 2 Prozent, 2025: 6 Prozent).

Begrenzte interne Fachkenntnisse waren der zweithäufigste operative Faktor für Kompromittierungen (45 Prozent), gefolgt von Lücken im Schutzumfang (44 Prozent). Ohne die richtigen Fähigkeiten und den richtigen Schutzumfang haben Einzelhändler Schwierigkeiten, Angriffe zu erkennen und zu neutralisieren.

Einzelhändler weltweit sehen sich einer immer komplexeren Bedrohungslage gegenüber, in der Angreifer ständig nach bestehenden Schwachstellen suchen und diese ausnutzen, am häufigsten bei Fernzugriffs- und internetfähigen Netzwerkgeräten. Angesichts der mittlerweile neuen Höchststände bei Lösegeldforderungen wird die Notwendigkeit umfassender Sicherheitsstrategien noch deutlicher.

Ohne solche Strategien riskieren Einzelhändler anhaltende Betriebsstörungen und dauerhafte Reputationsschäden, deren Behebung Jahre dauern könnte. Erfreulicherweise erkennen viele dies allmählich und reagieren mit Investitionen in ihre Cyber-Abwehr, um Angriffe zu stoppen, bevor sie eskalieren, und sich schneller davon zu erholen. Die folgende Sicherheits-Checkliste hilft den Security-Verantwortlichen bei Online-Händlern weiter.

  • Kritische Umsatzsysteme priorisieren: Einzelhändler sollten als Erstes Checkout, Payment, Kundenkonten und ihre Versand- und Warenwirtschaft schützen, da hier ein direkter Schaden bei Manipulation durch Kriminelle entsteht.
  • Admin-Zugänge temporär verschlanken: Wer benötigt welche Rechte? In den heißen Shoppingwochen gilt besonders: Nur so viel Zugriff wie nötig.
  • MFA (Multifaktorauthentifizierung) ohne Ausnahme: Administratoren, interne Tools, externe Dienstleister, Agenturen – jeder Zugang wird mit einer MFA sicherer.
  • Credential Stuffing Angriffe blocken: Gestohlene Zugangsdaten werden massiv automatisiert getestet (und sind der zweithäufigste Sicherheitsvorfall im Einzelhandel, siehe oben). Shopbetreiber sollten bei ihren Systemen auf Rate Limiting, Bot-Abwehr und starkes Monitoring setzen.
  • Incident Response für den Ernstfall vorbereiten: Kommt es zu einem Vorfall, ist Zeit ein entscheidender Faktor, um die Schäden gering zu halten. Daher ist es sehr ratsam, einen Notfallplan für die akute Situation und eine Backup-Strategie für die weitere Betriebsfähigkeit griffbereit und aktuell zu haben.

Folgende Aktivitäten sollten bei Shop-Betreibern die Alarmglocken klingeln lassen.

  • Ungewöhnliche Login-Muster: Hinweise auf automatisierte Credential Stuffing Angriffe sind plötzlich steigende Login-Versuche zu ungewöhnlichen Zeiten, aus anderen Ländern oder ständige Fehlversuche.
  • Auffälligkeiten bei Zahlungs- und Rückerstattungs-Prozessen: Ungewöhnliche Summen, Häufung von neuen Zahlungswegen, Konfigurationsänderungen bei der Bezahlung – dies sind oft Anzeichen, um später Gelder „umzuleiten“.
  • Plötzlich „dringende” Admin-Freigaben: „Ich brauche schnell Admin-Rechte“ – diese Aussage sollte generell kritisch nachgefragt werden, besonders aber in den Shopping-Hochwochen, in denen Angreifer den starken Zeitdruck der Online-Händler ausnutzen wollen. Keine vorschnellen Erlaubnisse geben, sondern in Ruhe die Anfrage abklären.
  • Monitoring Alert-Flut ohne klaren Grund: Wenn Sicherheits-Tools plötzlich ungewöhnlich viel melden, ohne dass technisch bewusst etwas neu ausgerollt wurde, sollten Administratoren dies nicht ignorieren. Hier sollten sie entweder selbst oder mithilfe erfahrener Fachleute des Tool-Anbieters abschätzen, welche Hinweise dringend sind und eine Reaktion erfordern.

Chester Wisniewski ist Director Global Field CISO bei Sophos.

Sophos

Lesen Sie auch

biometric NT Pixa PeteLinforth

Cyber-Kriminelle nutzen Schwachstelle bei Windows Server Update Services

internet LoB Pixa GerdAltmann

KI-gestützte Deepfakes erleichtern Betrug

hacker Pixa NT PeteLinforth

MFA-Müdigkeit und Prompt Bombing: Wenn Sicherheit nach hinten losgeht