Davon abgesehen würde ich schon vermuten, dass selbst wenn bei BMW, HP, Amazon & Co. die Hacker zuschlagen - und Wege gibt es immer wieder mal - und dadurch die Werke, die Produktion für 2 Wochen komplett liegen bleiben, dies genauso erheblichen und vielleicht auch exekutiven Schaden anrichtet.
Diese Unternehmen haben ausreichende Kompetenzen entwickelt, damit ein Hackerangriff nicht ihre Existenz bedroht. Sie sind sich bewusst, dass Ihr Laden von der IT abhängig ist und haben investiert. Amazon ist diesbezüglich allerdings sehr speziell, weil sie ihre IT selbst zu einem enorm erfolgreichen Produkt gemacht haben. Wie auch immer: Den von dir genannten Beispielen geht es gut. Prophete und co. spielen zwar in einer anderen Liga, aber auch da sollte man wissen, was die IT einem Wert ist und was es bedeutet, wenn sie mal weg ist.
Ein erfolgreicher Hackerangriff mit hohen Folgeschäden ist kein Schicksalsschlag. Diese Angriffe passieren ständig und täglich. Im Internet herrscht Krieg und zwar seit vielen Jahren. Das ist alles nicht neu. Es ist nicht die Frage, ob es einen trifft, sondern nur wann. Darauf muss man vorbereitet sein. Man wird den Angriff kaum verhindern können, aber man kann die Auswirkungen erheblich eindämmen und dafür sorgen, dass Schäden in überlebbarer (!) Zeit behoben werden können. Dies richtig einzuschätzen, zu simulieren und präventiv zu agieren ist Teil des Risikomanagements, das die GF zu verantworten hat.
Dies war offensichtlich nicht der Fall. Platt ausgedrückt: Man hatte keine Ahnung oder kein Geld. Dadurch war man ein gefundenes Fressen für die Hacker. Trotzdem bleiben diese natürlich die kriminell handelnden. Es kann aber gut sein, dass sich die GF verantworten muss, sollten die Maßnahmen der Informationssicherheit nicht dem Stand der Technik entsprechen oder die Sicherheit der Verarbeitung gem. Art 32 DSGVO nicht gegeben gewesen sein.
Vermutlich, und die Gerüchte bestätigen dies, war der Hack ohnehin nur noch der Sargnagel.