2LRN4 security awareness platform
← Zurück zur Wissensdatenbank

Marks & Spencer und Scattered Spider: der Helpdesk als Haustür

2025 legte die Gruppe Scattered Spider Marks & Spencer lahm — nicht über einen Exploit, sondern durch einen Anruf beim IT-Helpdesk mit der Bitte um ein Passwort-Reset. Der Lehrbuchfall von Helpdesk-Social-Engineering und was er für dein Awareness-Programm bedeutet.

Kürzlich aktualisiert

Von der Einsicht zur Umsetzung

Sehen Sie, wie Sie dieses Thema in ein praktisches Awareness-Programm mit Training, Phishing-Simulationen und klarem Management-Reporting übersetzen.

Demo buchen Zur primären Lösungs-Seite
Alain Rees
Gründer & Security-Awareness-Spezialist · 2LRN4

Im April 2025 wurden die britischen Einzelhändler Marks & Spencer, Co-op und Harrods von einer Reihe von Cyberangriffen getroffen. Der Zugang zu M&S lief nicht über eine ausgefeilte technische Schwachstelle, sondern über einen Anruf: Die Angreifer — zugeschrieben der Gruppe Scattered Spider — gaben sich als Mitarbeiter aus und riefen den IT-Servicedesk an (an einen Dritten ausgelagert), der daraufhin ein Passwort-Reset durchführte. Damit stand die Haustür offen. Der geschätzte Schaden ging in die Hunderte Millionen Pfund. Das ist der internationale Lehrbuchfall von Helpdesk-Social-Engineering.

Wie der Angriff ablief

Scattered Spider ist dafür bekannt, englischsprachige Mitglieder einzusetzen, die überzeugend die Rolle eines Kollegen oder IT-Mitarbeiters spielen. Bei M&S riefen sie den Servicedesk an, gaben sich als Mitarbeiter aus, der sich nicht mehr einloggen konnte, und erhielten ein Passwort-Reset. Keine Malware, kein Zero-Day — nur ein Anruf und eine glaubwürdige Geschichte.

Mit diesem ersten Zugang arbeiteten sich die Angreifer ins Herz des Netzwerks vor. Sie erbeuteten die zentrale Active-Directory-Passwortdatenbank (die Datei NTDS.dit), knackten die Passwort-Hashes offline und verschafften sich Zugang zu einer breiten Palette von Konten. Schließlich rollten sie die DragonForce-Ransomware über die M&S-Umgebung aus.

Bemerkenswert: Der angerufene Helpdesk war an einen externen Lieferanten ausgelagert. Das schwache Glied saß also nicht nur in einem Prozess, sondern in der Lieferkette — eine Kombination aus Social Engineering und Lieferantenrisiko.

Warum der Helpdesk so ein attraktives Ziel ist

Ein IT-Helpdesk existiert, um Menschen zu helfen, die feststecken — oft unter Zeitdruck und mit einer gewissen Bereitschaft, Ausnahmen zu machen. Genau diese Hilfsbereitschaft macht den Helpdesk zum idealen Ziel. Wer überzeugend klingt und etwas Druck aufbaut ('ich habe in fünf Minuten eine Präsentation und komme nicht rein'), kann eine Mitarbeiterin zu einem Reset verleiten.

Das Problem ist strukturell, nicht individuell. Eine Helpdesk-Kraft, die hundertmal am Tag legitime Resets durchführt, kann ohne klares Verfahren nicht bei jedem Anrufer auf der Hut sein. Die Lösung liegt also nicht in 'besser aufpassen', sondern in einem harten Verifizierungsprozess, der sich nicht mit einer guten Geschichte umgehen lässt.

Starke Identitätsverifizierung vor einem Reset oder einer MFA-Änderung ist hier der Kern: ein Rückruf an eine registrierte Nummer, eine Bestätigung über einen zweiten Kanal oder die Freigabe durch die Führungskraft. Keine Verifizierung, die der Anrufer selbst liefern kann.

MFA und Passwörter allein genügen nicht

Viele Organisationen verlassen sich auf MFA und komplexe Passwörter. M&S zeigt, dass das nicht ausreicht, wenn der Wiederherstellungsprozess drumherum schwach ist. Ein Angreifer muss dein Passwort nicht knacken, wenn er den Helpdesk dazu bringt, es zurückzusetzen — und die MFA auf seinem eigenen Gerät neu einzurichten.

Der Reset- und Wiederherstellungsprozess ist damit ebenso kritisch wie die Login-Sicherheit selbst. Das ist ein blinder Fleck in vielen Awareness-Programmen: Viel Aufmerksamkeit gilt starken Passwörtern und Nicht-Klicken, aber kaum der Frage 'woher weiß der Helpdesk sicher, dass du es wirklich bist?'

Phishing-resistente MFA (etwa Hardware-Schlüssel oder Passkeys) hilft, aber nur, wenn auch die Ausnahmeprozesse — ein verlorener Schlüssel, ein neues Telefon — ebenso streng abgesichert sind. Angreifer suchen immer die Ausnahme.

Warum das auch für deine Organisation relevant ist

Scattered Spider ist keine exotische Bedrohung, die nur britische Einzelhändler trifft. Dieselbe Technik — anrufen, sich ausgeben, ein Reset verlangen — funktioniert bei nahezu jeder Organisation mit einem Helpdesk. Der Ansatz ist günstig, skalierbar und erfordert keine technische Schwachstelle.

Nach der DSGVO ist eine Panne wie bei M&S meldepflichtig, und für viele Sektoren verschärft die NIS2-Umsetzung die Sorgfaltspflicht weiter; in Deutschland gelten zudem die BSI-Vorgaben. Wichtiger als die Compliance-Frage ist aber die operative: Hätte dein Helpdesk einen überzeugenden Anrufer gestoppt?

Diese Frage lässt sich testen. Ein helpdesk-fokussierter Social-Engineering-Test zeigt gnadenlos, ob dein Verifizierungsprozess in der Praxis standhält — nicht auf dem Papier, sondern wenn wirklich jemand anruft.

So verankerst du das in deinem Awareness-Programm

Der M&S-Fall eignet sich ideal, um die Aufmerksamkeit von 'nicht klicken' auf 'wen verifizierst du und wie' zu verlagern. Er macht auch für das Management greifbar, warum Prozess und Verhalten zusammenpassen müssen.

Konzentriere dich dabei gezielt auf den IT-Helpdesk und auf alle, die Identitäten zurücksetzen oder Zugriff gewähren können.

  • Zielgruppe + Rhythmus: Gib dem IT-Helpdesk ein eigenes, wiederkehrendes Modul zur Identitätsverifizierung bei Resets und MFA-Änderungen.
  • Lege eine harte Regel fest: nie ein Reset oder eine MFA-Änderung ohne Verifizierung über einen unabhängigen, registrierten Kanal (Rückruf, Führungskraft, zweiter Faktor).
  • Teste es wirklich: Führe einen helpdesk-fokussierten Social-Engineering-Test durch und besprich das Ergebnis, ohne jemanden abzustrafen.
  • Miss, ob das Verfahren standhält: Wie viele Reset-Anfragen werden vor der Ausführung korrekt verifiziert?
  • Mehr Tiefe? Sieh dir an, wie du das über Phishing- und Social-Engineering-Simulation übst.

Verwandte Artikel

Häufig gestellte Fragen

Wie kam Scattered Spider in Marks & Spencer hinein?

Nicht über eine technische Schwachstelle, sondern über Social Engineering des IT-Helpdesks. Die Angreifer riefen den (ausgelagerten) Servicedesk an, gaben sich als Mitarbeiter aus, der sich nicht einloggen konnte, und erhielten ein Passwort-Reset. Mit diesem Zugang erbeuteten sie später die zentrale Active-Directory-Passwortdatenbank und rollten Ransomware aus.

Warum ist der IT-Helpdesk ein beliebtes Ziel?

Ein Helpdesk existiert, um schnell zu helfen, oft unter Zeitdruck und mit Bereitschaft zu Ausnahmen. Diese Hilfsbereitschaft nutzen Angreifer aus. Es ist ein strukturelles Problem: Ohne harten Verifizierungsprozess kann ein überzeugender Anrufer ein Reset erzwingen, egal wie aufmerksam die Mitarbeiterin ist.

Schützt MFA nicht vor solchen Angriffen?

Nicht von selbst. Wenn der Helpdesk ein Passwort zurücksetzt und die MFA auf dem Gerät des Angreifers neu einrichtet, ist die MFA umgangen. Der Wiederherstellungs- und Reset-Prozess ist daher ebenso kritisch wie die Login-Sicherheit. Phishing-resistente MFA hilft nur, wenn auch die Ausnahmeprozesse streng abgesichert sind.

Kann das auch meiner Organisation passieren?

Ja. Die Technik — anrufen, sich ausgeben, ein Reset verlangen — funktioniert bei nahezu jeder Organisation mit Helpdesk und erfordert keine technische Schwachstelle. Du kannst deine Widerstandsfähigkeit mit einem helpdesk-fokussierten Social-Engineering-Test prüfen, der zeigt, ob dein Verifizierungsprozess in der Praxis standhält.

Nächster Schritt

Nutzen Sie diesen Artikel als Grundlage und sehen Sie anschließend, wie 2LRN4 das Thema praktisch in Zielgruppensegmentierung, Training und Reporting übersetzt.

Demo buchen Leitfaden herunterladen Weitere Artikel