Der teuerste Hack Großbritanniens – und eine Spur, die nach Russland weist

Zehn Monate lang sah es nach dem Werk von Jugendlichen aus. Eine lose, englischsprachige Truppe, die sich 'Scattered Lapsus$ Hunters' nannte, rühmte sich im September auf Telegram, den größten Autobauer Großbritanniens zum Stillstand gebracht zu haben. Das passte ins Bild junger Online-Erpresser auf der Suche nach Aufmerksamkeit. In dieser Woche stellten die Ermittler eine beunruhigendere These in den Raum: Hinter dem Stillstand von Jaguar Land Rover könnten nicht Nervenkitzel-Kriminelle stehen, sondern Akteure mit russischer Beteiligung.

Die Neubewertung, über die zuerst die New York Times berichtete und die frühere britische Recherchen aufgreift, ist keine förmliche Beschuldigung. Kein Minister hat einen Schuldigen genannt. Doch sie verschiebt die Deutung des wirtschaftlich verheerendsten Cyberangriffs der britischen Geschichte – hin zu einer möglichen Sabotage einer ganzen nationalen Schlüsselindustrie.

Fünf Wochen Stillstand

Der Einbruch begann am 31. August 2025. Binnen eines Tages legte Jaguar Land Rover die eigenen IT-Systeme still, um den Angriff einzudämmen – mit unmittelbarer, physischer Folge: Die Bänder standen. Die großen britischen Werke in Solihull, Halewood und Wolverhampton lagen brach, ebenso Standorte auf drei Kontinenten; rund 34.000 Beschäftigte wurden nach Hause geschickt. Erst Anfang Oktober lief die Produktion wieder an – nach fast fünf Wochen Stillstand.

Die Rechnung war außergewöhnlich. Das Cyber Monitoring Centre, eine britische Stelle zur Einstufung systemischer Vorfälle, ordnete den Angriff als Ereignis der Kategorie 3 ein und bezifferte den Schaden für die Volkswirtschaft auf 1,9 Milliarden Pfund – etwa 2,5 Milliarden Dollar. Mehr als 5.000 Organisationen waren betroffen. Allein der Konzern verlor schätzungsweise 50 Millionen Pfund pro Woche und verbuchte im Quartal eine Belastung von 196 Millionen Pfund. Im November führte die Bank of England den Angriff als einen Grund für das schwache Wirtschaftswachstum an – ein seltener Fall, in dem ein einzelner Hack in der volkswirtschaftlichen Gesamtrechnung sichtbar wird.

Aus einer „digitalen Belagerung", warnte der Labour-Abgeordnete Liam Byrne auf dem Höhepunkt der Krise, drohten ohne Eingreifen Zulieferer „zu Tausenden" entlassen zu werden.

Beinahe wäre es so weit gekommen. Weil rund 104.000 Beschäftigte in der britischen Zulieferkette von einem Hersteller abhingen, der nichts mehr abnahm, übernahm die Regierung eine Kreditgarantie von bis zu 1,5 Milliarden Pfund, um die Liquidität der Lieferanten zu sichern. Gerettet wurde nicht die Marke, sondern das Geflecht darunter – die kleinen Betriebe, für die ein stillstehendes JLR schlicht keine Aufträge bedeutete.

Das Bekenntnis und die Zweifel

Schon der Name 'Scattered Lapsus$ Hunters' verrät viel. Er verschweißt drei der berüchtigtsten Cybercrime-Marken des Jahrzehnts: Scattered Spider, das für eine Serie von Angriffen auf britische Einzelhändler verantwortlich gemacht wird; Lapsus$, das Nvidia und Microsoft bloßstellte; und ShinyHunters, einen Serien-Datendieb. Mehrere mutmaßliche Angehörige dieses Milieus, darunter Jugendliche, wurden in Großbritannien wegen früherer Angriffe auf Händler wie Marks & Spencer festgenommen.

Forensiker mahnten von Beginn an zur Vorsicht: Eine Telegram-Prahlerei ist kein Beweis, Taktik und Zuordnung blieben ungesichert. Die Ermittlungen führt das National Cyber Security Centre, Teil des Nachrichtendienstes GCHQ, mit Unterstützung der National Crime Agency.

Warum die Spur nach Osten weist

Zweierlei beunruhigte die Ermittler. Erstens ein Ausmaß und eine Raffinesse, die nicht zu einem schnellen Raubzug passen. Zweitens, was ausblieb: eine ernsthafte Lösegeldforderung war offenbar nicht zu erkennen. Kriminelle erpressen – sie legen keine Industrie im Wert von 1,9 Milliarden Pfund zum Vergnügen lahm. Das Fehlen einer Beute, verbunden mit dem strategischen Schaden für die britische Fertigung, deutete für die Behörden weg vom Geld und hin zu einem Staat. Russland ist zu einer aktiven Ermittlungslinie geworden.

• Beginn des Angriffs: 31. August 2025; Wiederanlauf im Oktober.
• Modellierter Schaden für die britische Volkswirtschaft: 1,9 Milliarden Pfund (rund 2,5 Milliarden Dollar).
• Mehr als 5.000 betroffene Organisationen in der Lieferkette.
• Staatliche Kreditgarantie von bis zu 1,5 Milliarden Pfund zum Schutz der Zulieferer.

Europäische Nervosität

Jaguar Land Rover ist britisch dem Namen, indisch dem Eigentümer nach – die Muttergesellschaft ist Tata Motors –, doch seine Folgen sind kontinental. Die Lieferkette zieht sich durch Europa, und ein erfolgreicher Schlag gegen einen Vorzeigehersteller ist genau jenes Szenario, das Europas Sicherheitsplaner umtreibt: keine Rakete, sondern ein Netzwerkeinbruch, der Fabriken anhält, Beschäftigte heimschickt und eine Volkswirtschaft trifft – ohne einen einzigen Schuss. Verhärtet sich die russische These, wird der Fall JLR zum Bezugspunkt in Europas Streit darüber, wie sich Industrie gegen hybride Angriffe schützen lässt – und zur Erinnerung daran, dass die verwundbarste Fläche einer modernen Wirtschaft jene ist, die niemand sieht.