196 Millionen Pfund für den Angriff. 1,9 Milliarden für den Stillstand
Wenn über den Cyberangriff auf Jaguar Land Rover gesprochen wird, stehen meist die unmittelbaren Ursachen im Mittelpunkt: gestohlene Zugangsdaten, ungepatchte Unternehmenssoftware oder die Angreifergruppe, die sich zu dem Vorfall bekannte. Diese Informationen sind für die forensische Analyse und die Aufklärung des Angriffs wichtig – sie erzählen jedoch nicht die eigentliche Geschichte.
Entscheidend ist vielmehr, was in den fünf Wochen nach dem Produktionsstopp am 1. September 2025 geschah. Jaguar Land Rover schaltete seine IT-Systeme vollständig ab, die Werke in Solihull, Halewood und Wolverhampton standen still und über einen Monat lang konnten wöchentlich rund 5.000 Fahrzeuge nicht produziert werden, während das Unternehmen daran arbeitete, den Betrieb sicher wieder aufzunehmen.
Laut der Society of Motor Manufacturers and Traders sank die britische Automobilproduktion im September im Jahresvergleich um 27 Prozent – der schwächste Septemberwert seit 1952. Kleinere Zulieferer, von denen einige über weniger als eine Woche Liquiditätsreserven verfügten, standen so schnell vor Entlassungen und drohender Insolvenz, dass die britische Regierung mit einer Kreditgarantie in Höhe von 1,5 Milliarden Pfund eingreifen musste, um eine Kettenreaktion von Insolvenzen in der automobilen Lieferkette zu verhindern.
Das Cyber Monitoring Centre stufte den Vorfall als systemisches Ereignis der Kategorie 3 ein und bezifferte die gesamtwirtschaftlichen Auswirkungen für das Vereinigte Königreich auf 1,9 Milliarden Pfund. Betroffen waren demnach mehr als 5.000 Organisationen. JLR selbst bestätigte direkte Kosten in Höhe von 196 Millionen Pfund allein für das betreffende Quartal. Auch die Bank of England verwies in ihrem Monetary Policy Report vom November 2025 auf den Angriff als einen Faktor für das schwächer als erwartete BIP-Wachstum im dritten Quartal.
Den größten Teil dieses Schadens verursachten jedoch nicht die Angreifer selbst. Die Entscheidung, sämtliche Systeme vom Netz zu nehmen, war weder fahrlässig noch panisch. Sie war angesichts der damals vorhandenen Architektur die einzige verbleibende Option.
Es gab keinen Mechanismus, um die Bedrohung gezielt zu isolieren, ohne zugleich die Systeme stillzulegen, auf die das Unternehmen für seinen Betrieb angewiesen war. Genau darin liegt das strukturelle Problem, das näher betrachtet werden sollte – nicht allein in der Kompromittierung selbst.
Wie ein einzelner Fernzugriff zu einem nationalen Wirtschaftsereignis wurde
Der Angriff begann über eine ungepatchte Schwachstelle in einer Unternehmensanwendung innerhalb des Lieferantennetzwerks von JLR. Mehrere Sicherheitsforscher gehen davon aus, dass es sich dabei um SAP NetWeaver handelte, offiziell bestätigt hat JLR die betroffene Plattform jedoch nicht. In Kombination mit bereits zuvor kompromittierten Zugangsdaten konnten sich die Angreifer als legitim authentifizierte Benutzer im internen Netzwerk bewegen, anstatt als offensichtliche Eindringlinge aufzufallen.
Nach den bisher bekannten Informationen gab es keine Sitzungsaufzeichnung, die diese lateralen Bewegungen hätte sichtbar machen können. Ebenso fehlten Genehmigungsprozesse für externe Verbindungen sowie die Möglichkeit, Zugriffe von Drittanbietern gezielt zu unterbrechen, ohne gleichzeitig die davon abhängige Betriebsinfrastruktur stillzulegen.
Dieses Szenario ist keineswegs außergewöhnlich. Fernzugriffe durch externe Dienstleister gehören heute zum festen Bestandteil industrieller Umgebungen. Wartungsunternehmen, Anlagenhersteller, Systemintegratoren und Managed Service Provider benötigen regelmäßig Remote-Zugriff auf OT-Systeme. In vielen Unternehmen erfolgt dieser Zugriff jedoch noch immer über VPN-Verbindungen oder direkte Zugangswege, deren Berechtigungen nur selten überprüft, kaum rotiert und auf Sitzungsebene häufig gar nicht überwacht werden.
Das eigentliche Problem liegt dabei nicht im Fernzugriff selbst. Dieser ist für den Betrieb vieler Industrieunternehmen unverzichtbar. Kritisch ist vielmehr, dass die damit verbundenen Zugriffswege häufig nicht als eigenständiges Sicherheitsrisiko betrachtet und entsprechend abgesichert werden.
Wie relevant dieses Risiko ist, zeigen aktuelle Studien. Der IBM X-Force Threat Intelligence Index 2026 führt die Fertigungsindustrie bereits zum fünften Mal in Folge als weltweit am häufigsten angegriffene Branche. Sie war für 27,7 Prozent aller beobachteten Cyberangriffe verantwortlich.
Gleichzeitig zeigt der IBM Cost of a Data Breach Report 2024, dass die durchschnittlichen Kosten einer Sicherheitsverletzung im Industriesektor innerhalb eines Jahres um 18 Prozent auf 5,56 Millionen US-Dollar gestiegen sind. Besonders kritisch ist jedoch eine andere Kennzahl: Im Durchschnitt vergehen in OT-Umgebungen 199 Tage, bis ein Sicherheitsvorfall erkannt wird.
Das bedeutet, dass Angreifer in vielen Fällen über Monate hinweg unentdeckt auf Systeme zugreifen können. Nutzen sie dabei legitime Zugangsdaten, erscheinen ihre Aktivitäten zunächst wie reguläre Benutzeraktionen und werden von bestehenden Sicherheitsmechanismen häufig nicht als verdächtig erkannt.
Der vollständige Ablauf des Angriffs auf JLR ist zwar nicht öffentlich dokumentiert, das bekannte Muster entspricht jedoch vielen vergleichbaren Vorfällen: Zunächst erfolgt der Zugriff über einen unzureichend abgesicherten Zugangspfad. Anschließend bewegen sich die Angreifer über Tage oder Wochen innerhalb der Infrastruktur, bis der Angriff schließlich entdeckt wird. Welche Reaktionsmöglichkeiten dann bestehen, hängt maßgeblich von der vorhandenen Architektur ab.
Wenn diese Architektur nur die Wahl zwischen einem akzeptierten Risiko und dem vollständigen Herunterfahren der Systeme lässt, wurde diese Entscheidung in Wirklichkeit bereits lange vor dem eigentlichen Sicherheitsvorfall getroffen.
Was die Reaktion über die Sicherheitsarchitektur verrät
Der Gartner Cybersecurity Trends Report 2026 nennt die weltweit zunehmende regulatorische Dynamik als wichtigsten Treiber für den Wandel hin zu mehr Cyber-Resilienz. Im Gartner Predicts 2026 Report geht das Analystenhaus sogar noch einen Schritt weiter: Demnach richten viele Unternehmen ihre Sicherheitsprogramme konsequent am Prinzip der Resilienz aus – aus der Erkenntnis heraus, dass keine präventive Sicherheitsarchitektur Angriffe dauerhaft verhindern kann.
Dieser Perspektivwechsel ist entscheidend. Unternehmen sollten sich nicht mehr ausschließlich fragen, ob ein Angreifer in ihre Systeme eindringen kann. Ebenso wichtig ist die Frage, welche Handlungsoptionen nach einer erfolgreichen Kompromittierung noch zur Verfügung stehen.
Ermöglicht die vorhandene Architektur eine gezielte und verhältnismäßige Reaktion? Oder bleibt am Ende nur die Wahl zwischen einem unkontrollierten Risiko und dem vollständigen Stillstand des Geschäftsbetriebs?
Im Fall von JLR blieb letztlich nur die teuerste aller Optionen. Das war weniger Ausdruck mangelhafter Sicherheitsmaßnahmen als vielmehr die Folge einer Architektur, die nicht darauf ausgelegt war, einen Angriff kontrolliert einzudämmen und den Betrieb gleichzeitig aufrechtzuerhalten.
Genau diese Erkenntnis ist von zentraler Bedeutung. Sie zeigt Unternehmen, worauf sie ihre Investitionen künftig ausrichten sollten. Es reicht nicht aus, allgemein mehr in Cybersicherheit zu investieren oder das Thema stärker auf Vorstandsebene zu verankern. Entscheidend ist der Aufbau einer Sicherheitsarchitektur, die auch im Ernstfall handlungsfähig bleibt und eine kontrollierte Reaktion ermöglicht.
Die Maßnahmen, die in einem Szenario wie dem bei JLR den entscheidenden Unterschied machen können, sind konzeptionell keineswegs neu – ihre Umsetzung in OT-Umgebungen erfordert jedoch eine durchdachte Sicherheitsarchitektur.
Jeder Fernzugriff auf OT-Systeme sollte vor dem Verbindungsaufbau ausdrücklich durch das OT-Team freigegeben werden. So lassen sich dauerhaft bestehende, unkontrollierte Zugänge vermeiden – genau jene Art von Zugriffen, die auch im Fall JLR ausgenutzt wurden.
Ebenso wichtig ist die lückenlose Aufzeichnung aller Aktivitäten innerhalb einer Sitzung. Manipulationssichere Sitzungsprotokolle dienen nicht nur der späteren forensischen Analyse. Allein die Tatsache, dass sämtliche Aktionen nachvollziehbar dokumentiert werden, wirkt abschreckend auf potenzielle Angreifer und erleichtert die frühzeitige Erkennung ungewöhnlicher Aktivitäten.
Auch privilegierte Zugangsdaten sollten konsequent geschützt werden. Dazu gehören die sichere Speicherung in einem zentralen Passwort-Tresor, eine regelmäßige Rotation der Zugangsdaten sowie der Verzicht auf gemeinsam genutzte Konten oder wiederverwendbare Anmeldedaten für externe Dienstleister.
Eine weitere zentrale Anforderung ist die Möglichkeit, sämtliche externen Zugriffe bei Bedarf sofort zu unterbrechen. Im WALLIX PAM Resilience Framework wird diese Funktion als zentraler „Kill Switch“ bezeichnet. Entscheidend ist jedoch nicht der Name, sondern dass eine solche Funktion von Beginn an Teil der Architektur ist, regelmäßig getestet wird und im Ernstfall ohne aufwendige Abstimmung zwischen verschiedenen Teams ausgelöst werden kann.
Genau an diesem Punkt liefert der Vorfall bei JLR eine wichtige Erkenntnis. Der vollständige Produktionsstopp war nicht deshalb erforderlich, weil keine Reaktion möglich gewesen wäre, sondern weil keine gezielte Reaktionsmöglichkeit existierte. Es gab keinen Mechanismus, um ausschließlich den kompromittierten Zugriffsweg zu unterbrechen und gleichzeitig den übrigen Betrieb aufrechtzuerhalten. Ebenso fehlte ein isolierter Betriebsmodus, der externe Verbindungen während der Untersuchung hätte blockieren können, ohne die interne Produktion zu beeinträchtigen. Auch eine ausreichende architektonische Trennung zwischen Angriffsweg und Produktionsumgebung war nicht vorhanden.
Solche Fähigkeiten dienen nicht nur der Vorbereitung auf einen unwahrscheinlichen Ausnahmefall. Sie schaffen die Voraussetzungen dafür, Sicherheitsvorfälle gezielt einzudämmen, ohne dass daraus zwangsläufig ein vollständiger Produktionsstillstand wird.
Resilienz ist nicht nur Strategie, sondern regulatorische Pflicht
Mit der NIS2-Richtlinie ist Cyber-Resilienz für Betreiber kritischer Infrastrukturen und wesentlicher Einrichtungen längst nicht mehr nur eine strategische Entscheidung, sondern eine regulatorische Verpflichtung.
Artikel 21 fordert unter anderem dokumentierte Prozesse für das Management von Sicherheitsvorfällen, Maßnahmen zur Sicherstellung der Geschäftskontinuität, eine kontrollierte Steuerung von Lieferanten- und Drittanbieterzugriffen sowie den Einsatz von Multi-Faktor-Authentifizierung. Verstöße können nicht nur zu Bußgeldern von bis zu 10 Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes führen, sondern begründen auch eine persönliche Verantwortung der Unternehmensleitung.
Da Jaguar Land Rover über bedeutende Produktionsstandorte in Europa verfügt und in eine weit verzweigte europäische Lieferkette eingebunden ist, reicht die regulatorische Relevanz dieses Vorfalls weit über das Vereinigte Königreich hinaus.
Für Unternehmen, die ihre NIS2-Strategie insbesondere im OT-Umfeld weiterentwickeln, ergibt sich daraus eine wichtige Erkenntnis. Wer privilegierte Fernzugriffe bereits auf Sitzungsebene absichert – beispielsweise durch Genehmigungsprozesse, Echtzeitüberwachung und die Möglichkeit, externe Verbindungen gezielt zu isolieren –, kann Sicherheitsvorfälle nicht nur wirksamer begrenzen. Gleichzeitig lässt sich gegenüber Aufsichtsbehörden, Auditoren und Cyberversicherern nachweisen, dass die erforderlichen Sicherheitsmaßnahmen tatsächlich implementiert und wirksam betrieben wurden.
Dazu gehören unter anderem nachvollziehbare Aufzeichnungen privilegierter Sitzungen, dokumentierte Freigabeentscheidungen, regelmäßige Überprüfungen von Zugriffsrechten sowie der Nachweis einer konsequenten Rotation privilegierter Zugangsdaten. Genau diese Nachweise sind im Ernstfall entscheidend. Unternehmen mit einer entsprechend ausgelegten Sicherheitsarchitektur erzeugen sie fortlaufend im laufenden Betrieb – anstatt sie nach einem Sicherheitsvorfall unter hohem Zeitdruck rekonstruieren zu müssen.
Der Angriff auf JLR verursachte volkswirtschaftliche Schäden von rund 1,9 Milliarden Pfund – nicht allein wegen der Fähigkeiten der Angreifer, sondern weil die einzige verfügbare Reaktionsmöglichkeit darin bestand, die Produktion für mehrere Wochen weitgehend stillzulegen.
Dieses Ergebnis war jedoch keineswegs unvermeidbar. Es war in erster Linie die Folge architektonischer Entscheidungen, die lange vor dem eigentlichen Angriff getroffen wurden. Und genau darin liegt die wichtigste Erkenntnis: Während Unternehmen das Verhalten von Angreifern nicht kontrollieren können, haben sie sehr wohl Einfluss auf die Architektur, mit der sie auf einen Angriff reagieren.
Verwandte Ressourcen
Verwandte Themen
-
Expertenmeinung: Zugriffssteuerung im Zeitalter von NIS2







