Das Londoner Luxuskaufhaus Harrods bestätigte einen schwerwiegenden Datenleak, von dem rund 430.000 Online-Kunden betroffen sind. Der Angriff erfolgte nicht direkt auf Harrods' Systeme, sondern über einen externen Dienstleister – ein Warnsignal für die wachsende Bedrohung durch Lieferketten-Cyberattacken.

Am vergangenen Freitag informierte das Traditionsunternehmen die betroffenen Kunden per E-Mail über den Vorfall. Dabei betonte Harrods, dass die eigene IT-Infrastruktur nicht kompromittiert wurde. Stattdessen gelangten die Cyberkriminellen über Sicherheitslücken bei einem nicht näher genannten Partner an die sensiblen Informationen.

Anatomie eines Lieferketten-Angriffs

Supply-Chain-Attacken entwickeln sich zur bevorzugten Methode von Hackern. Statt die robusten Sicherheitssysteme großer Konzerne frontal anzugreifen, suchen sie gezielt nach Schwachstellen bei kleineren, oft weniger geschützten Partnerfirmen. Diese haben legitimen Zugang zu den Kundendaten des eigentlichen Ziels.

Harrods versicherte, dass dieser Vorfall unabhängig von einem gescheiterten Cyberangriff auf die eigenen Systeme im Mai 2025 stattfand. Die Kerninfrastruktur des Unternehmens blieb diesmal unangetastet.

Das Kaufhaus bezeichnete den Vorfall als "isoliertes Ereignis", das mittlerweile eingedämmt sei.

Was Kunden wissen müssen

Die kompromittierten Daten beschränken sich auf grundlegende persönliche Informationen: Namen und Kontaktdaten wie E-Mail-Adressen. Hochsensible Bereiche blieben verschont – weder Passwörter noch Zahlungsdaten wurden gestohlen.

In einigen Fällen enthielten die erbeuteten Datensätze auch Marketing-bezogene Informationen, etwa den Status im Treueprogramm oder die Verbindung zu einer Harrods-Kreditkarte. Ein Unternehmenssprecher erklärte jedoch, diese Daten seien "für Unbefugte schwer zu interpretieren".

Dennoch warnen Experten: Namen und Kontaktinformationen reichen für ausgeklügelte Phishing-Angriffe völlig aus.
Anzeige: Phishing-Kampagnen nutzen genau solche Daten. Viele Android-Nutzer übersehen die 5 wichtigsten Schutzmaßnahmen – ganz ohne teure Zusatz-Apps. Ein kostenloser Ratgeber erklärt Schritt für Schritt, wie Sie WhatsApp, Online-Banking und Shopping zuverlässig absichern. Jetzt kostenlosen Android-Sicherheitsratgeber sichern

Harrods reagiert entschieden

Das Luxuskaufhaus startete umgehend ein mehrstufiges Krisenmanagement. Alle 430.000 betroffenen Kunden erhielten proaktive E-Mail-Benachrichtigungen. Parallel meldete Harrods den Vorfall ordnungsgemäß der britischen Datenschutzbehörde ICO.

"Unser Fokus liegt darauf, unsere Kunden zu informieren und zu unterstützen", betonte ein Sprecher. Besonders bemerkenswert: Harrods bestätigte, Kontakt von den Hackern erhalten, aber jede Kommunikation abgelehnt zu haben – ein klares Nein zu möglichen Lösegeldforderungen.

Wachsende Bedrohung durch Drittanbieter

Der Harrods-Vorfall reiht sich in eine besorgniserregende Serie ein. Bereits im Sommer 2025 erschütterte ein Supply-Chain-Angriff auf die Verkaufsplattform Salesloft hunderte Unternehmen. Gestohlene Sicherheits-Token ermöglichten den Zugriff auf Salesforce-Umgebungen zahlreicher Firmenkunden.

Diese Entwicklung zeigt: Die Sicherheit eines Unternehmens ist nur so stark wie das schwächste Glied in seiner Lieferantenkette. Selbst Konzerne mit Millionenbudgets für Cybersicherheit bleiben über ihre externen Partner verwundbar.

Was Kunden jetzt tun sollten

Für die betroffenen Harrods-Kunden steigt das Risiko gezielter Phishing-Kampagnen erheblich. Kriminelle können die gestohlenen Namen und Kontaktdaten nutzen, um täuschend echte E-Mails zu verfassen – angeblich von Harrods oder Partnerunternehmen.

Höchste Vorsicht ist geboten bei: unaufgeforderten E-Mails, die persönliche Daten abfragen oder zum Klicken verdächtiger Links auffordern.
Anzeige: Für alle, die ihre mobilen Geräte sofort besser schützen wollen: So sichern Sie Ihr Android mit einfachen Einstellungen spürbar ab – inkl. Checklisten für geprüfte Apps und wichtige Updates. Der kompakte Leitfaden ist gratis und führt Sie Schritt für Schritt zum sicheren Smartphone. Kostenloses Sicherheitspaket für Android anfordern

Die britische Datenschutzbehörde ICO wird den Vorfall nun untersuchen – sowohl Harrods als auch der betroffene Dienstleister müssen nachweisen, dass angemessene Schutzmaßnahmen vorhanden waren. Der Fall unterstreicht einmal mehr: Unternehmen müssen die Sicherheitsprotokolle aller externen Partner mit Datenzugang streng prüfen.