LAGEBRIEFING · 08.07.2026 DEENFRES

Case Studies

Wenn ein Anruf die Autoproduktion stoppt

Von Alec Chizhik · 7. Juli 2026 · 6 Minuten Lesezeit

Am 31. August 2025 begannen bei Jaguar Land Rover Systeme, sich merkwürdig zu verhalten. Wenige Tage später stand die Produktion still. Fünf Wochen lang lief in den Werken in England, der Slowakei und Brasilien fast nichts mehr. Kein verschlüsselter Roboter, keine gekaperte Steuerung war der Auslöser, sondern der Ausfall der IT, an der die gesamte Fertigung hängt. Der Fall zeigt, wie ein Angriff auf die Büro-IT eine ganze Produktion und ihre Zulieferkette lahmlegt.

Der Fall in Kürze

  • Was passierte: Ein Cyberangriff auf die IT von Jaguar Land Rover stoppte ab dem 1. September 2025 rund fünf Wochen lang die Fertigung an mehreren Standorten.
  • Der Schaden: Das Cyber Monitoring Centre schätzt die Kosten für die britische Wirtschaft auf rund 1,9 Milliarden Pfund, etwa 2,2 Milliarden Euro. Für JLR liefen grob 50 Millionen Pfund Ausfall pro Woche auf.
  • Die Lehre: Nicht die Maschinen wurden angegriffen, sondern die IT, ohne die sie nicht laufen. Wer IT und Produktion nicht trennt und keinen Notbetrieb vorbereitet, riskiert den Totalstillstand.

Die Ausgangslage

Jaguar Land Rover ist der größte Autohersteller Großbritanniens und fertigt an mehreren Standorten in England sowie in Werken in der Slowakei und in Brasilien. Wie in der Automobilindustrie üblich, ist die Produktion eng getaktet und hängt an einer durchgehenden Datenkette. Bestellungen, Teileversorgung, Logistik und die Steuerung der Fertigungslinien laufen über IT-Systeme, die permanent verfügbar sein müssen. Fällt diese Kette an einer Stelle aus, steht das Band.

2,2 Mrd €

geschätzter wirtschaftlicher Schaden

rund 1,9 Milliarden Pfund

Genau diese Abhängigkeit macht Hersteller angreifbar. Ein Angreifer muss nicht die speicherprogrammierbaren Steuerungen einer Fertigungsstraße übernehmen, um Schaden anzurichten. Es reicht, die IT-Systeme unbrauchbar zu machen, ohne die keine Bestellung erfasst und kein Teil bereitgestellt wird. Der Angriff auf JLR ist ein Lehrstück für diese Verwundbarkeit, weil er nicht in der Produktionssteuerung ansetzte, sondern im Verwaltungsnetz und von dort die Fertigung mitriss.

Der Verlauf

Gegen Ende August 2025 fielen an einem britischen Standort erste Unregelmäßigkeiten auf. Am 1. September stoppte JLR die Produktion vorsorglich und schickte einen großen Teil der Belegschaft nach Hause. Zunächst war von einer kurzen Unterbrechung die Rede. Doch die Analyse des Vorfalls und der saubere Wiederaufbau der Systeme zogen sich hin.

31.08.2025
Erste Unregelmäßigkeiten in den Systemen
01.09.2025
Produktion gestoppt
23.09.2025
Produktionsstopp bis Oktober verlängert
22.10.2025
Schrittweiser Wiederanlauf der Fertigung

Am 23. September verlängerte das Unternehmen den Produktionsstopp bis in den Oktober. Erst um den 22. Oktober herum liefen einzelne Fertigungsprozesse wieder an, schrittweise und kontrolliert. Zwischen dem ersten Stillstand und dem langsamen Wiederanlauf lagen rund fünf Wochen. In dieser Zeit produzierte einer der wichtigsten Industriebetriebe des Landes praktisch nichts, mit unmittelbaren Folgen für hunderte Zulieferer, die von den JLR-Aufträgen leben.

Wie die Angreifer hereinkamen

Nach übereinstimmenden Sicherheitsanalysen begann der Angriff nicht mit einer technischen Lücke, sondern mit Täuschung. Berichtet wird von einer Vishing-Kampagne, also Telefonanrufen, bei denen sich die Angreifer als interner IT-Support ausgaben und Mitarbeiter zur Herausgabe von Zugangsdaten bewegten. Mit gültigen Benutzernamen und Passwörtern gelangten sie anschließend über den VPN-Zugang ins Netz.

Analysen verweisen zudem auf ältere, über Infostealer-Malware abgegriffene Zugangsdaten und auf den Missbrauch von Zugangstoken, mit denen sich die Mehr-Faktor-Authentifizierung umgehen ließ. Ob jedes Detail zutrifft, lässt sich von außen nicht abschließend bestätigen. Das Muster ist aber eindeutig: kein Zero-Day-Exploit, sondern gültige Identitäten, ein Fernzugang und die Umgehung schwacher zweiter Faktoren. Eine Gruppe, die sich Scattered Lapsus$ Hunters nennt, reklamierte den Angriff für sich.

Die Reaktion

JLR entschied sich gegen einen schnellen Neustart und für den kontrollierten Wiederaufbau. Die Systeme wurden untersucht, bereinigt und stufenweise wieder hochgefahren, statt die Produktion unter Unsicherheit zu erzwingen. Dieser Weg kostet Zeit, verhindert aber, dass Angreifer im Netz verbleiben oder kompromittierte Systeme erneut Schaden anrichten.

Die Wucht des Ausfalls reichte über das Unternehmen hinaus. Weil hunderte Zulieferer direkt von JLR abhängen, geriet die gesamte Lieferkette unter Druck. Die britische Regierung schaltete sich ein und stützte die Zulieferer, um Insolvenzen und dauerhafte Schäden an der Industriebasis zu vermeiden. Ein einzelner IT-Vorfall wurde so zu einem wirtschaftspolitischen Thema.

Die Lehren

Die erste Lehre betrifft die Identität. Der Einstieg gelang über Social Engineering und gültige Zugangsdaten, nicht über eine Software-Schwachstelle. Ein Help-Desk, der Zurücksetzungen und Freigaben ohne harte Identitätsprüfung erledigt, ist ein offenes Tor. Phishing-resistente Verfahren wie FIDO2 und eine strenge Verifikation am Support senken dieses Risiko deutlich, weil abgegriffene Passwörter allein dann nicht mehr genügen.

Die zweite Lehre betrifft die Trennung von IT und Produktion. Wenn ein Ausfall im Verwaltungsnetz die Fertigung mitreißt, fehlt die Segmentierung. Produktionsnahe Netze gehören strikt vom Büronetz getrennt, mit definierten Übergängen und einem vorbereiteten Notbetrieb, der die Linien für eine begrenzte Zeit auch ohne die zentrale IT weiterlaufen lässt. Diese Fähigkeit entscheidet darüber, ob ein Vorfall Stunden oder Wochen kostet.

Die dritte Lehre betrifft die Lieferkette. Der JLR-Stillstand zeigt, wie stark ein einzelner Hersteller ein ganzes Netz aus Zulieferern trägt. Das ist genau der Punkt, an dem NIS2 mit seiner Pflicht zur Lieferkettensicherheit ansetzt. Wer Teil einer solchen Kette ist, muss die eigene Widerstandsfähigkeit als Beitrag zur Resilienz des gesamten Netzes verstehen, nicht nur als internes Thema.

Häufige Fragen

Jede Frage ist verschlossen. Ein Tippen entriegelt die Antwort.

Wurde bei JLR die Produktionssteuerung selbst gehackt?

Nach dem bekannten Bild nicht. Der Angriff traf die IT-Systeme, an denen die Fertigung hängt. Weil ohne diese Systeme keine Bestellung, keine Teileversorgung und keine Liniensteuerung funktioniert, stand die Produktion trotzdem still.

Wie lange dauerte der Stillstand?

Rund fünf Wochen. Die Produktion wurde Anfang September 2025 gestoppt und lief erst um den 22. Oktober herum schrittweise wieder an.

Wie sind die Angreifer hereingekommen?

Nach den vorliegenden Analysen über Social Engineering und gültige Zugangsdaten. Mitarbeiter wurden per Telefon getäuscht, die erbeuteten Zugänge führten über den VPN-Zugang ins Netz, schwache zweite Faktoren wurden umgangen. Kein Zero-Day-Exploit.

Was war der wirtschaftliche Schaden?

Das Cyber Monitoring Centre schätzt die Kosten für die britische Wirtschaft auf rund 1,9 Milliarden Pfund, etwa 2,2 Milliarden Euro. Für JLR selbst liefen grob 50 Millionen Pfund Ausfall pro Woche auf.

Was ist die wichtigste Lehre für andere Hersteller?

Produktion und Büro-IT gehören getrennt. Für den Ernstfall braucht es einen vorbereiteten Notbetrieb. Dazu kommen phishing-resistente Anmeldeverfahren und ein Help-Desk mit harter Identitätsprüfung, damit gestohlene Passwörter allein nicht mehr genügen.

Lesetipps der Redaktion

LesetippSüdwestfalen-IT: die Lektion der Kommunal-ITLesetippAdaptive MFA: NIS2-Druck als Zero-Trust-Hebel im MittelstandLesetippWas ist NIS2? Definition, Pflichten und Haftung

Mehr aus dem MBF Media Netzwerk

cloudmagazinKRITIS in die Cloud: Was die Migration absichertMyBusinessFutureDie KI-Aufsicht in Deutschland hat jetzt eine AdresseDigital ChiefsDie KI schreibt den Code. Wer haftet dafür?

Weiterführende Lektüre

Case Studies · 5. Juli 2026

Südwestfalen-IT: die Lektion der Kommunal-IT

Security Today seziert den Südwestfalen-IT-Angriff zwei Jahre danach: VPN ohne MFA, Wiederaufbau ohne Lösegeld und fünf Lehren für die kommunale IT.

Ein Magazin der Evernine Media GmbH