Ein Cyberangriff auf Jaguar Land Rover verursacht eine Katastrophe in der Lieferkette

Fast drei Wochen lang standen die Produktionsbänder beim globalen Autogiganten Jaguar Land Rover still. Normalerweise werden täglich schätzungsweise 1.000 Fahrzeuge produziert. Die Mitarbeiter mehrerer JLR-Fabriken in ganz Großbritannien wurden angewiesen, zu Hause zu bleiben, während der Automobilkonzern auf einen verheerenden Cyberangriff reagierte. Doch während sich die Wiederherstellung von Tagen auf Wochen hinzog, sind die Auswirkungen bei Hunderten von Unternehmen spürbar, die JLR mit Teilen und Materialien beliefern und den Angriff zu einer ausgewachsenen Krise werden lassen könnten.

Am Freitag räumte die britische Regierung ein, dass der Cyberangriff auf JLR „erhebliche Auswirkungen“ auf das Unternehmen und die „weitere Lieferkette der Automobilindustrie“ habe. Dieses Zugeständnis erfolgte, während Gewerkschaften und Regierungsvertreter zunehmend davor warnten, dass Tausende von Arbeitsplätzen in JLRs weitläufiger Lieferkette verloren gehen könnten und einige kleinere Unternehmen insolvent werden könnten. Berichten zufolge könnte JLR selbst durch den Shutdown bis zu 50 Millionen Pfund (67 Millionen Dollar) pro Woche verlieren . Einige Firmen haben Berichten zufolge bereits Mitarbeiter entlassen. Die Gewerkschaft Unite behauptet , dass Arbeiter in der JLR-Lieferkette „mit reduziertem oder gar keinem Lohn entlassen“ würden. Einigen wurde gesagt, sie sollten sich für staatliche Leistungen „anmelden“, so die Gewerkschaft.

„Ein derartiges Ausmaß an Störungen aufgrund eines Cyberangriffs oder Ransomware-Angriffs scheint in Großbritannien beispiellos zu sein“, sagt Jamie MacColl , leitender wissenschaftlicher Mitarbeiter der Cyber- und Technologieforschungsgruppe des Sicherheits- und Verteidigungs-Thinktanks RUSI. Dass Tausende von Arbeitsplätzen vorübergehend oder dauerhaft gefährdet sein könnten, sei „eine ganz andere Größenordnung“ als bei früheren Vorfällen, so MacColl.

JLR, das zum indischen Konzern Tata Motors gehört, ist mit rund 32.800 direkt im Land beschäftigten Mitarbeitern einer der größten Arbeitgeber Großbritanniens. Statistiken auf der Website des Unternehmens besagen zudem, dass weitere 104.000 Arbeitsplätze über die britische Lieferkette und weitere 62.900 Arbeitsplätze durch lohninduzierte Ausgaben gesichert sind. Viele weitere Zulieferer und einige Fabriken haben ihren Sitz außerhalb Großbritanniens.

Anfang September bestätigte JLR, von einem Cyberangriff betroffen gewesen zu sein. Das Unternehmen ergreife „sofortige Maßnahmen“ und fahre „proaktiv unsere Systeme herunter“, wodurch Fabriken und Produktionsprozesse praktisch zum Erliegen kamen. Bei der Untersuchung des Angriffs stellte das Unternehmen fest , dass „einige Daten“ betroffen seien, gab aber nicht an, um welche Daten es sich handelte.

Trotz Bemühungen, die Systeme wieder online zu bringen, bestätigte das Unternehmen am Mittwoch, dass die Produktionspause bis Mittwoch, den 24. September, verlängert wurde. „Wir haben diese Entscheidung getroffen, da unsere forensische Untersuchung des Cybervorfalls andauert und wir die verschiedenen Phasen eines kontrollierten Neustarts unserer weltweiten Aktivitäten prüfen, der einige Zeit in Anspruch nehmen wird“, erklärte JLR am Mittwoch in einer Erklärung. „Wir bedauern die anhaltenden Störungen, die dieser Vorfall verursacht, sehr und werden Sie über den Fortgang der Untersuchung auf dem Laufenden halten.“

JLR antwortete nicht auf Fragen von WIRED zu den gestörten Systemen, den finanziellen Kosten des Cyberangriffs für die Lieferanten oder zu Maßnahmen, die das Unternehmen zur Unterstützung der Unternehmen erwägt.

Fast unmittelbar nach dem Cyberangriff bekannte sich eine Telegram-Gruppe namens Scattered Lapsus$ Hunters zu dem Hack. Der Gruppenname deutet auf eine mögliche Zusammenarbeit zwischen drei losen Hackerkollektiven hin – Scattered Spider , Lapsus$ und Shiny Hunters –, die hinter einigen der spektakulärsten Cyberangriffe der letzten Jahre stecken. Sie bestehen oft aus jungen, englischsprachigen Cyberkriminellen, die es auf große Unternehmen abgesehen haben .

Der Fahrzeugbau ist ein hochkomplexer Prozess. Hunderte verschiedener Unternehmen beliefern die Fahrzeughersteller mit Teilen, Materialien, Elektronik und vielem mehr. Diese ausgedehnten Lieferkettennetzwerke basieren häufig auf Just-in-time-Fertigung. Das bedeutet, dass Teile und Dienstleistungen in der benötigten Menge und zum genauen Zeitpunkt bestellt werden – große Lagerbestände an Teilen halten die Automobilhersteller in der Regel nicht vor.

„Die Zulieferernetzwerke dieser Produktionsstätten sind auf Effizienz ausgerichtet – sowohl wirtschaftlich als auch logistisch“, sagt Siraj Ahmed Shaikh , Professor für Systemsicherheit an der Universität Swansea. „Es gibt eine sehr sorgfältig orchestrierte Lieferkette“, fügt Shaikh hinzu und spricht damit über die Automobilproduktion im Allgemeinen. „Die Zulieferer solcher Betriebe sind stark abhängig. Sobald es in einem solchen Werk zu einer Störung kommt, sind alle Zulieferer betroffen.“

Ein Unternehmen, das Schiebedächer aus Glas herstellt, hat laut einem Bericht des Telegraph mit der Entlassung von Mitarbeitern begonnen. Unterdessen teilte ein anderes Unternehmen der BBC mit, es habe bisher rund 40 Mitarbeiter entlassen. Der französische Automobilhersteller OPmobility , der 38.000 Mitarbeiter an 150 Standorten beschäftigt, erklärte gegenüber WIRED, er nehme einige Änderungen vor und beobachte die Entwicklungen. „OPmobility konfiguriert seine Produktion an bestimmten Standorten neu, da einer seiner Kunden mit Sitz im Vereinigten Königreich seine Produktion eingestellt hat und abhängig von der Entwicklung der Situation“, so ein Unternehmenssprecher.

Es ist unklar, welche JLR-Systeme konkret von den Hackern betroffen waren und welche Systeme JLR proaktiv offline nahm. Viele wurden jedoch wahrscheinlich offline genommen, um eine Verschlimmerung des Angriffs zu verhindern. „Es ist sehr schwierig, die Eindämmung zu gewährleisten, solange die Verbindungen zwischen verschiedenen Systemen bestehen“, sagt Orla Cox , Leiterin der EMEA-Cybersicherheitskommunikation bei FTI Consulting, das auf Cyberangriffe reagiert und Ermittlungen durchführt. „Oftmals gibt es auch Abhängigkeiten zwischen verschiedenen Systemen: Wenn ein System lahmgelegt wird, hat dies Auswirkungen auf ein anderes.“

Kommt es zu einem Hack in einem Teil der Lieferkette – sei es ein Hersteller an der Spitze der Pyramide oder ein Unternehmen weiter unten in der Pipeline – können digitale Verbindungen zwischen Unternehmen gekappt werden, um die Ausbreitung von Angreifern von einem Netzwerk zum nächsten zu verhindern. Verbindungen über VPNs oder APIs könnten unterbunden werden, so Cox. „Manche ergreifen sogar noch strengere Maßnahmen wie die Sperrung von Domänen und IP-Adressen. Dann sind beispielsweise E-Mails zwischen den beiden Unternehmen nicht mehr nutzbar.“

Die Komplexität digitaler und physischer Lieferketten, die sich über Dutzende von Unternehmen und Just-in-Time-Produktionssysteme erstrecken, bedeutet, dass es wahrscheinlich einige Zeit dauern wird, bis alles wieder online und auf Hochtouren läuft. MacColl, der RUSI-Forscher, sagt, dass Cybersicherheitsfragen auf höchster politischer Ebene in Großbritannien oft nicht diskutiert werden – fügt aber hinzu, dass es dieses Mal aufgrund des Ausmaßes der Störung anders sein könnte. „Dieser Vorfall könnte aufgrund der Arbeitsplatzverluste und der Tatsache, dass Abgeordnete in den betroffenen Wahlkreisen Anrufe erhalten werden, einen Durchbruch bedeuten“, sagt er. Dieser Durchbruch hat bereits begonnen.

„Dieser Cyberangriff ist nicht nur ein kurzes Flackern auf einem Bildschirm, er entwickelt sich schnell zu einer Cyber-Schockwelle, die durch unsere industriellen Kerngebiete fegt“, sagte Liam Byrne, Parlamentsabgeordneter und Vorsitzender des Ausschusses für Wirtschaft und Handel im Unterhaus, auf X. „Wenn die Regierung untätig bleibt, wird diese Schockwelle in ganz Großbritannien Arbeitsplätze, Unternehmen und Lohntüten zerstören.“ Auch andere Abgeordnete äußerten nach Gesprächen mit betroffenen JLR-Zulieferern ihre Besorgnis , und die Gewerkschaft Unite forderte die britische Regierung auf, mit einem Kurzarbeitsprogramm einzugreifen, um die Arbeitnehmer zu unterstützen .

„Der jüngste Cyber-Vorfall hat erhebliche Auswirkungen auf Jaguar Land Rover und die gesamte Automobil-Lieferkette“, erklärte das britische Wirtschafts- und Handelsministerium am Freitag nach einem Treffen mit Vertretern der Automobilindustrie. „Die Regierung, darunter auch Cyber-Experten der Regierung, steht mit dem Unternehmen in Kontakt, um die Wiederherstellung der Produktion zu unterstützen. Sie arbeitet eng mit JLR zusammen, um mögliche Auswirkungen auf die Lieferkette zu verstehen.“

Der Angriff ist wahrscheinlich ein weiterer Vorfall , der zeigt, wie fragil Lieferketten sein können, wenn sie mit Störungen konfrontiert werden. „Wir müssen zu einer widerstandsfähigeren Lieferkette und einem widerstandsfähigeren Betrieb übergehen, wenn es um Dinge wie die Fertigung geht“, sagt Shaikh von der Universität Swansea.

MacColl sagt, der Angriff zeige angesichts der hohen globalen Spannungen – mehrere Länder seien auf einen Krieg vorbereitet –, wie die Produktion zum Stillstand gebracht werden könne. „Wenn Kriminelle nur solche Auswirkungen auf unsere Lieferketten haben können, dann ist es ziemlich beunruhigend, wie unvorbereitet wir beispielsweise auf einen koordinierteren und anhaltenderen Angriff eines potenziellen staatlichen Gegners sind“, sagt MacColl.