Am 5. Januar 2026 gab der britische Automobilhersteller Jaguar Land Rover seine vorläufigen Zahlen für das dritte Quartal des Geschäftsjahres 2026 bekannt. Diese Ergebnisse bestätigten das Ausmaß des Schocks, den die Cyberattacke im September 2025 ausgelöst hatte: Das Volumen des Großhandelsverkaufs brach um 43,3 % ein, während der Einzelhandelsverkauf um 25,1 % zurückging. Eine industrielle und wirtschaftliche Katastrophe, deren Auswirkungen auch Monate nach dem Angriff noch spürbar sind.
Von verdächtigen Aktivitäten bis zum totalen Produktionsstopp
Alles beginnt am 31. August 2025. Manager der Fabrik in Halewood, Großbritannien, stellen bei einigen Computersystemen ein anormales Verhalten fest. Am nächsten Tag stellen die IT-Teams von Jaguar Land Rover (JLR) einen Einbruch in ihr Netzwerk fest. Die Kompromittierung ist so schwerwiegend, dass der Hersteller eine radikale Entscheidung trifft: Er schaltet seine IT-Systeme massiv ab, um die Ausbreitung einzudämmen.
Am 2. September veröffentlichte der Konzern eine erste offizielle Stellungnahme: „JLR wurde von einem Cyber-Vorfall betroffen. Wir haben sofortige Maßnahmen ergriffen, um seine Auswirkungen durch proaktives Abschalten unserer Systeme abzumildern. Zum jetzigen Zeitpunkt gibt es keine Beweise dafür, dass Kundendaten gestohlen wurden, aber unsere Einzelhandels- und Produktionsaktivitäten wurden erheblich gestört.“
Diese Schutzmaßnahme hat eine sofortige Wirkung: dievollständige Einstellung der Produktion in allen Werken des Herstellers, sei es im Vereinigten Königreich, in der Slowakei, in China oder in Indien. Unter normalen Umständen produziert Jaguar Land Rover mehr als 1 000 Fahrzeuge pro Tag. Nun stehen alle Linien still.
Wenn aus einer Woche Stillstand sechs Wochen werden.
In den ersten Tagen ist die Hoffnung auf eine schnelle Erholung noch berechtigt. Der Hersteller gibt an, „mit hohem Tempo daran zu arbeiten , unsere weltweiten Anwendungen kontrolliert wieder in Betrieb zu nehmen“. Doch die Realität wird sich als weitaus komplexer erweisen.
Am 10. September, acht Tage nach der Entdeckung des Angriffs, bestätigt Jaguar Land Rover, dass die Angreifer auch Daten gestohlen haben: „Aufgrund unserer laufenden Untersuchung gehen wir nun davon aus, dass einige Daten betroffen sind, und wir informieren die zuständigen Behörden darüber.“ Das Unternehmen erklärt, dass seine forensische Untersuchung noch andauert und dass es sich gegebenenfalls mit den Betroffenen in Verbindung setzen wird.
Am 16. September eine weitere Ankündigung: Die Produktion wird erst mindestens am 24. September wieder aufgenommen. „Wir haben diese Entscheidung getroffen, während unsere forensische Untersuchung des Cybervorfalls fortgesetzt wird und während wir die verschiedenen Schritte für einen kontrollierten Neustart unseres weltweiten Betriebs untersuchen, was einige Zeit in Anspruch nehmen wird“, erklärte der Konzern. Zu diesem Zeitpunkt sind bereits dreieinhalb Wochen der Produktion verloren gegangen. Quellen aus der Industrie sprechen von einer möglichen Störung bis in den November hinein.
Angesichts des Ausmaßes der Krise und ihrer Auswirkungen auf die britische Lieferkette griff die britische Regierung am 28. September ein und genehmigte eine Kreditgarantie in Höhe von 1,5 Mrd. £, um dem Hersteller bei der Wiederherstellung seiner Lieferkette und der Wiederaufnahme der Produktion zu helfen.
Die Produktion wird schließlich am 8. Oktober 2025 wieder aufgenommen, wobei ein schrittweiser und kontrollierter Ansatz verfolgt wird. Es wird jedoch bis Mitte November dauern, bis das Unternehmen wieder auf ein normales Produktionsniveau zurückkehrt. In dieser Zeit wurde auch der Vertrieb der bereits vor dem Angriff produzierten Fahrzeuge stark verlangsamt. Bilanz: mehr als sechs Wochen Produktionszeit gingen verloren.
Scattered Lapsus$ Hunters: Die Forderung.
Kurz nach dem Angriff bekannte sich eine Gruppe von Cyberkriminellen, die sich als „Scattered Lapsus$ Hunters„ identifizierte, auf Telegram zu dem Vorfall. Das Kollektiv behauptet, eine Zusammenarbeit von Kriminellen zu sein, die mit den Gruppen Lapsus$, Scattered Spider und ShinyHunters in Verbindung stehen, drei englischsprachigen Gruppen, die für ihre Social-Engineering- und Erpressungstaktiken bekannt sind. Die Angreifer veröffentlichen Screenshots eines internen SAP-Systems von Jaguar Land Rover und geben an, auch Ransomware auf den kompromittierten Systemen eingesetzt zu haben. Dieselbe Gruppe ist auch für eine massive Welle von Angriffen auf Salesforce-Instanzen verantwortlich, bei denen Daten zahlreicher führender Unternehmen kompromittiert wurden, darunter Google, Cloudflare, Palo Alto Networks und viele andere.
Weder Jaguar Land Rover noch seine Muttergesellschaft Tata Motors haben offiziell bestätigt, dass der Angriff dieser Gruppe zugeschrieben wird. Auch über die genaue Art der verwendeten Malware wurden keine näheren Angaben gemacht.
Großbritannien bereits 2025 schwer von Ransomware-Angriffen betroffen.
Der Angriff auf JLR findet vor dem Hintergrund einer schwierigen Situation für die britische Wirtschaft im Jahr 2025 statt. Das Land hat in diesem Jahr bereits mehrere große Cyberangriffe erlebt, u. a. auf Marks & Spencer (Verlust von ca. 300 Mio. £ nach einem zweimonatigen Ausfall der Online-Dienste im April) und Co-op, zu denen sich ebenfalls Dragonforce bekannte.
196 Mio. £ für Jaguar Land Rover, 1,9 Mrd. £ für das Vereinigte Königreich.
In seinen im November 2025 veröffentlichten Finanzergebnissen enthüllt der Hersteller, dass der Angriff im zweiten Quartal seines Geschäftsjahres 196 Millionen Pfund gekostet hat. Das Unternehmen weist für das Quartal Juli-September 2025 einen Verlust vor Steuern von 485 Mio. £ aus, verglichen mit einem Gewinn von 398 Mio. £ im gleichen Zeitraum des Vorjahres.
„Dieser Rückgang der Rentabilität ist weitgehend auf den Cybervorfall, die anhaltenden Auswirkungen der US-Zölle, den oben erwähnten Volumenrückgang und höhere variable Marketingausgaben zurückzuführen“, heißt es in der Pressemitteilung des Konzerns.
Die Zahlen für das dritte Fiskalquartal 2026, die am 5. Januar 2026 bekannt gegeben wurden, bestätigten den Ernst der Lage. Die Großhandelsverkäufe fielen auf 59.200 Fahrzeuge, was einem Rückgang von 43,3 % im Jahresvergleich entspricht. Die Einzelhandelsverkäufe fallen auf 79 600 Einheiten, ein Rückgang um 25,1 %. Alle Regionen sind betroffen: Nordamerika verzeichnet einen Rückgang um 64,4 %, Europa um 47,6 % und China um 46 %. Nur das Vereinigte Königreich begrenzt den Rückgang auf 0,9 %.
„Aufgrund dieses Vorfalls und der Zeit, die benötigt wird, um die Fahrzeuge nach ihrer Produktion weltweit zu verteilen, sind die Groß- und Einzelhandelsvolumen auf Quartals- und Jahresbasis zurückgegangen“, erklärt Jaguar Land Rover. Der Konzern erklärt, dass die Produktion erst Mitte November wieder auf ein normales Niveau zurückkehrte und dass es danach zusätzliche Zeit brauchte, um die Fahrzeuge auf die Weltmärkte zu bringen.
Die Auswirkungen gingen jedoch weit über die Grenzen des Herstellers hinaus. Das Cyber Monitoring Centre (CMC), eine britische Einrichtung zur Überwachung von Cyberbedrohungen, schätzt, dass der Vorfall für die britische Wirtschaft finanzielle Auswirkungen in Höhe von 1,9 Milliarden Pfund verursacht hat und mehr als 5 000 Unternehmen im Vereinigten Königreich betroffen waren. Der Vorfall wurde in Kategorie 3 eingestuft, was einem finanziellen Verlust zwischen 1 und 5 Milliarden Pfund für die britischen Betriebe der betroffenen Organisationen entspricht. Es handelt sich um den teuersten Cyberangriff in der Geschichte des Vereinigten Königreichs.
Die Bank of England nannte den Cyberangriff auf Jaguar Land Rover ebenfalls als einen der Schlüsselfaktoren, die dazu beitrugen, dass das britische BIP im dritten Quartal 2025 langsamer wuchs als erwartet. In ihrem Monetary Policy Report vom November 2025 führt die Institution an, dass der Produktionsstopp bei JLR direkt zu einer Schrumpfung des BIP um 0,17 Prozentpunkte im September beigetragen und damit geholfen habe, die Wirtschaft in eine Schrumpfung zu kippen.
Wenn 5.000 Unternehmen den Preis für einen Angriff zahlen.
Der abrupte Produktionsstopp bei Jaguar Land Rover löste eine Schockwelle in der gesamten britischen Automobilzulieferkette aus. Der Hersteller mit über 39 000 Beschäftigten und einem Jahresumsatz von über 38 Milliarden US-Dollar stellt normalerweise über 400 000 Fahrzeuge pro Jahr her.
Laut dem Cyber Monitoring Centre waren mehr als 5.000 britische Organisationen von dem Produktionsstopp betroffen. Dazu gehören erst-, zweit- und drittklassige Zulieferer von Autoteilen, Logistikunternehmen, Dienstleister und Autohändler. Viele dieser Unternehmen sind finanzschwache KMU, die nicht über die Ressourcen verfügen, um einen längeren Stillstand zu verkraften.
Jason Richards, Regionalleiter für die West Midlands bei der Gewerkschaft Unite, sagte der BBC: „Wir stellen bereits fest, dass Arbeitgeber Gespräche über mögliche Entlassungen führen. Die Menschen müssen ihre Miete bezahlen, sie müssen ihre Hypotheken abbezahlen, und wenn sie keinen Lohn erhalten, was sollen sie dann tun? Wir müssen eine Lieferkette für Jaguar Land Rover haben. Ich kann das nicht genug betonen, denn wenn JLR die Schleusen öffnet und erwartet, dass die Lieferkette dort in Bereitschaft steht, wird sie nicht da sein“.
Die Gewerkschaft Unite forderte ein von der Regierung finanziertes Kurzarbeitsprogramm, das dabei helfen soll, die Löhne derjenigen in der Branche zu zahlen, die aufgrund des Stillstands nicht arbeiten können.
Der Fall Evtec Group: ein hart getroffener Zulieferer.
Die Auswirkungen auf die Zulieferer sind nicht theoretischer Natur. Evtec Group, ein großer Zulieferer mit Sitz in Coventry, musste 900 Beschäftigte für die Dauer des Stillstands in Kurzarbeit mit 80 % Lohnfortzahlung schicken. Das Unternehmen schätzte seine Verluste auf 13 Millionen Pfund Sterling. Laut seinem Vorsitzenden David Roberts wären ohne die Notmaßnahmen der Regierung viele Zulieferer in Konkurs gegangen. Er wollte jedoch an die tatsächliche Situation erinnern: „Wir dürfen nicht vergessen, wer hier die Schuld trägt. Das alles ist die Schuld von Kriminellen. JLR ist hier das Opfer. Wir sollten uns daran erinnern, wer damit angefangen hat, und es war nicht JLR“.
Laut dem Cyber Monitoring Centre wird eine vollständige Wiederherstellung erst im Januar 2026 erreicht werden, also mehr als vier Monate nach der schrittweisen Wiederaufnahme der Produktion. Einige Zulieferer warnten, dass sie infolge des Angriffs bis zu sechs Monate lang mit Liquiditätsengpässen zu kämpfen haben könnten.
Dezember 2025: Diebstahl von Mitarbeiterdaten bestätigt.
Fast vier Monate nach dem Angriff benachrichtigte Jaguar Land Rover seine aktuellen und ehemaligen Mitarbeiter, dass ihre persönlichen Daten kompromittiert worden waren. In einer E-Mail, die im Dezember 2025 an die Mitarbeiter verschickt wurde, erklärt der Hersteller, dass zu den betroffenen Daten „Informationen, die im Rahmen des Beschäftigungsverhältnisses gehalten werden, und bestimmte Informationen, die für die Verwaltung der Gehaltsabrechnung, der Sozialleistungen und der Personalprogramme für Mitarbeiter und Angehörige erforderlich sind“ gehören.
Zu den gestohlenen Daten gehören Bankverbindungen, Steuercodes, National Insurance Numbers (britisches Pendant zur Sozialversicherung), Gehaltsinformationen, Adressen und andere sensible Informationen. Das Unternehmen erklärt, dass es keine Beweise dafür gibt, dass diese Daten böswillig verwendet wurden, ruft seine Mitarbeiter jedoch dazu auf, wachsam gegenüber Phishing-Versuchen zu sein, die diese Informationen ausnutzen könnten.
Die Gruppe richtet eine Hotline ein und bietet Kredit- und Identitätsüberwachungsdienste für die Betroffenen an. Der Vorfall betrifft alle 38.000 aktuellen und ehemaligen Mitarbeiter des Herstellers sowie Zulieferer.
Über den Cyberangriff hinaus: vielfältige Herausforderungen.
Während die Auswirkungen des Cyberangriffs nicht zu leugnen sind, steht Jaguar Land Rover auch vor anderen Herausforderungen, die den Rückgang der Verkaufszahlen im dritten Quartal noch verstärkten. Der Hersteller erklärte, dass „die schrittweise Einstellung der Produktion älterer Jaguar-Modelle vor der Einführung des neuen Jaguar“ zum Rückgang der Stückzahlen beigetragen habe. Der Konzern verfolgt seine Strategie, die Marke Jaguar in Richtung einer für 2026 geplanten 100 % elektrischen Modellpalette umzugestalten.
Die US-Zölle, die sich auf die Exporte in die USA auswirken, belasteten ebenfalls das Volumen. Nordamerika verzeichnete im Übrigen mit einem Rückgang von 64,4 % den stärksten Rückgang der Großhandelsverkäufe.
Die Lehren aus dieser Krise
Der Angriff auf Jaguar Land Rover verdeutlicht mehrere Realitäten der industriellen Cybersicherheit. Die Interdependenz moderner Lieferketten schafft systemische Schwachstellen: Ein einziger Vorfall bei einem großen Hersteller kann Tausende von Unternehmen lahmlegen. Die tatsächlichen Kosten eines Cyberangriffs gehen weit über die direkten Verluste des Zielunternehmens hinaus und haben messbare makroökonomische Auswirkungen.
Der Fall zeigt auch, dass ein kontrollierter Wiederanlauf des Betriebs nach einem größeren Vorfall mehrere Wochen oder sogar Monate dauern kann. Selbst nachdem die Produktion Anfang Oktober wieder aufgenommen worden war, dauerte es bis Mitte November, bis die Produktion wieder normal lief, und noch länger, bis die Lagerbestände wieder aufgefüllt und die Kunden beliefert waren. Die späte Meldung des Diebstahls von Mitarbeiterdaten, vier Monate nach dem Angriff, warf zudem Fragen bezüglich der Fristen für die forensische Untersuchung und die Kommunikation mit den Betroffenen auf.
Wesentliche Schutzmaßnahmen
Angesichts dieser Risiken müssen Unternehmen sicherstellen, dass bestimmte Grundlagen vorhanden sind: Segmentierung des Netzwerks, um die Ausbreitung einzuschränken, Authentifizierung durch mehrere Faktoren bei allen kritischen Zugängen, kontinuierliche Überwachung mit Reaktionsfähigkeit rund um die Uhr und eine robuste Backup-Strategie, die isolierte und regelmäßig getestete Kopien umfasst. Durch Simulationsübungen kann überprüft werden, ob die Pläne für die Geschäftskontinuität in Krisensituationen tatsächlich funktionieren.
Reagieren nach einem Angriff
Der Fall Jaguar Land Rover erinnert daran, dass kein Unternehmen vor Cyberangriffen mit weitreichenden Folgen sicher ist. Wenn Ihr Unternehmen von einem Ransomware-Angriff betroffen ist, kann unser Expertenteam für Datenrettung schnell eingreifen, um die Situation zu bewerten, technische Wiederherstellungsoptionen zu ermitteln und die Auswirkungen auf Ihr Geschäft zu begrenzen.
Kontaktieren Sie uns umgehend für einen Noteinsatz.
Quellen:
- BleepingComputer: Jaguar Land Rover wholesale volumes down 43% after cyberattack.
- BleepingComputer: UK govt backs JLR with £1.5 billion loan guarantee after cyberattack.
- BBC News: JLR könnte nach Hack bis November mit Unterbrechungen rechnen.
- BBC News: JLR Supplier reopens factory after cyber-attack.
- BBC News: JLR-Hack ist teuerster Cyberangriff in der britischen Geschichte, sagen Analysten
- The Register: JLR: Payroll data stolen in cybercrime that shook UK economy.
- The Register: Bank of England sagt, dass JLRs Cyberattacke zum unerwartet langsamen BIP-Wachstum des Vereinigten Königreichs beigetragen hat.
- Reuters: Jaguar Land Rover hack cost UK economy an estimated $2.5 billion, report says.
- Cyber Monitoring Centre: Cyber Monitoring Centre Statement on the Jaguar Land Rover Cyber Incident – October 2025
