Britische Giganten von Cyberangriffen betroffen: Wie Co-op-, MandS- und JLR-Disruption Schwachstellen aufdecken

Im Jahr 2025 kam es zu einer Flut von Cyberangriffen mit großen Auswirkungen auf prominente britische Unternehmen – darunter Co-operative Group (Co-op), Marks and Spencer (MandS) und Jaguar Land Rover (JLR) –, die den Betrieb störten, Kundendaten preisgaben und hohe finanzielle Verluste verursachten.

Diese Sicherheitsverletzungen offenbaren neue Angriffsstrategien, Lücken in der Unternehmensabwehr und wie sich Cyberrisiken nun auf Lieferketten und Volkswirtschaften auswirken können.

Die Vorfälle wirkten sich nicht nur auf die Bilanzen aus. Co-op-Kunden sahen sich mit leeren Regalen konfrontiert, MandS-Kunden waren monatelang von Online-Diensten ausgeschlossen, und die Fabriklinien von JLR standen still, was Tausende von Arbeitsplätzen bei Zulieferern bedrohte.

Später brachten die Ermittler diese Fälle mit Hackergruppen in Verbindung, die Social Engineering und Ransomware einsetzten, und deckten so systemische Schwachstellen in IT-Supportsystemen und Outsourcing-Praktiken auf.

Mit Verlusten in Höhe von Hunderten von Millionen Pfund sind diese Cyberangriffe zu einer deutlichen Erinnerung daran geworden, dass digitale Schwachstellen schnell auf die Realwirtschaft übergreifen können, was den Druck in unsicheren globalen Zeiten erhöht.

Was schief gelaufen ist: die Vorfälle und ihre Auswirkungen

• Koop (April 2025)

Im April gab Co-op bekannt, dass ein "bösartiger" Cyberangriff das Unternehmen dazu zwang, Teile seines IT-Netzwerks abzuschalten, um die Sicherheitsverletzung einzudämmen.

Dieser Schritt legte die Bestell- und Lagersysteme lahm und führte zu weitreichenden Störungen in den mehr als 2.000 britischen Lebensmittelgeschäften und 800 Bestattungsunternehmen.

Das Unternehmen schätzt einen Umsatzverlust von 206 Mio. £ in der ersten Jahreshälfte und einen Rückgang des Betriebsgewinns um 80 Mio. £. Im gleichen Zeitraum schwankte das Unternehmen von einem bescheidenen Gewinn zu einem Vorsteuerverlust von 50 Mio. £.

Darüber hinaus bestätigte Co-op später, dass persönliche Daten aller 6,5 Millionen Mitglieder gestohlen wurden (Namen, Adressen, Kontaktdaten). Auf Finanzdaten, so sagten sie, sei nicht zugegriffen worden.

• Marks & Spencer (April–August 2025)

Um Ostern 2025 herum war MandS gezwungen, seine Online-Bestellungen, seine mobile App und seine Click-and-Collect-Dienste nach einem umfangreichen Ransomware-Angriff zu deaktivieren.

Die Unterbrechung dauerte mehrere Wochen – einige Online-Dienste wurden im Juni wiederhergestellt, aber Click-and-Collect kehrte erst Mitte August zurück.

MandS warnte, dass der Angriff den Betriebsgewinn für das Jahr um etwa 300 Mio. £ verringern könnte. Es räumte ein, dass auf Benutzerdaten (Namen, Adressen, E-Mails) zugegriffen wurde, sagte aber, dass die Zahlungsdaten nicht kompromittiert wurden.

Die britische Polizei verhaftete vier Personen (Teenager und Anfang zwanzig) im Zusammenhang mit den Angriffen auf MandS, Co-op und Harrods. Sie werden nach den Gesetzen über Computermissbrauch, Erpressung und Geldwäsche verdächtigt.

• Jaguar Land Rover (Ende August / September 2025)

JLR gab bekannt, dass ein Cybervorfall seine globalen Abläufe gestört hat, die Produktion in den britischen Fabriken schnell zum Erliegen gebracht und die Systeme für das Teilemanagement, die Fahrzeugzulassung, den Vertrieb und die Logistik deaktiviert hat.

Es wird erwartet, dass der Produktionsstopp mindestens bis zum 1. Oktober andauern wird, und JLR soll Berichten zufolge 50 Mio. £ pro Woche an ausgesetzten Einnahmen verlieren.

Da viele Lieferanten auf Just-in-Time-Lieferungen angewiesen sind, haben Dutzende von Zulieferfirmen mit stornierten Aufträgen, Arbeitspausen, Entlassungen und Cashflow-Stress zu kämpfen. Einige Schätzungen deuten darauf hin, dass Tausende von Arbeitsplätzen in der Automobilzulieferkette gefährdet sein könnten.

Ursachen: Taktiken, Gruppen und Systemschwächen

Untersuchungen und Branchenanalysen deuten auf einen gemeinsamen Modus Operandi hinter diesen Angriffen hin. Ein Hacker-Kollektiv, das oft als Scattered Spider bezeichnet wird, ist in die Co-op- und MandS-Verstöße verwickelt.

Die Gruppe ist dafür bekannt, dass sie sich auf Social Engineering spezialisiert hat und sich oft als IT-Mitarbeiter ausgibt oder Helpdesk-Exploits verwendet, um internen Zugriff zu erhalten.

Im MandS-Fall nutzten die Angreifer Berichten zufolge SIM-Swapping und Helpdesk-Imitation, um Drittanbieter ins Visier zu nehmen, um in kritische Systeme einzudringen.

Nach dem JLR-Angriff übernahm ein Telegram-Kanal, der sich selbst "Scattered Lapsus$ Hunters" nennt, die Verantwortung.

Der Name deutet auf eine Zusammenarbeit oder Überschneidung zwischen den Gruppen Scattered Spider, Lapsus$ und ShinyHunters hin. Screenshots, die auf diesem Kanal gepostet wurden, zeigten angeblich interne JLR-Systeme.

Ein Analyst sagte gegenüber Computing , dass die Auslagerung der Cybersicherheit an Dienste wie Tata Consultancy Services (TCS), die von Co-op, MandS und JLR beauftragt wurden, einen Aggregationspunkt für Risiken geschaffen haben könnte.

Wie die Unternehmen reagiert haben

Co-op reagierte schnell, indem es Teile seines IT-Netzwerks abschaltete, die Systeme schrittweise wiederherstellte und mit Lieferanten zusammenarbeitete, um die Lieferungen wieder aufzunehmen. Die Geschäftsführerin entschuldigte sich öffentlich und sagte, es tue ihr "unglaublich leid" für den Vorfall und seine Auswirkungen auf die Mitglieder.

Co-op sagte, dass es keine vollständige Deckung durch eine Cyber-Versicherung für Backend-Verluste gibt, was bedeutet, dass es einen Großteil der Kosten selbst tragen wird.

MandS nahm seine Systeme frühzeitig offline, um den Schaden einzudämmen, und führte dann die Dienste schrittweise wieder ein – zuerst die Lieferung nach Hause, später die Abholung per Click-and-Collect. Das Unternehmen schaltete die Strafverfolgungsbehörden ein, kooperierte mit den Aufsichtsbehörden und berief sich auf seine Cyber-Versicherungspolice, um Teile des Schadens zurückzufordern.

JLR schaltete Fabriken und IT-Systeme sofort ab, holte Cybersicherheitsexperten hinzu und arbeitete mit der britischen Regierung und dem National Cyber Security Centre (NCSC) zusammen, um einen "kontrollierten, schrittweisen Neustart" zu ermöglichen.

JLR begann auch mit der Wiederherstellung von Lieferantenzahlungen, Ersatzteillogistiksystemen und Kapazitäten für die Registrierung von Fahrzeugen, um den Cashflow zu erhalten.

Die Minister führen Gespräche über Förderprogramme, um betroffenen Lieferanten zu helfen, einschließlich latenter Steuern oder Kredite – obwohl sie betonen, dass JLR selbst die Primärverluste auffangen muss.

Expertenmeinungen und systemische Bedeutung

Cybersicherheitsexperten warnen , dass die jüngsten Angriffe nicht isoliert sind, sondern symptomatisch für eine Verschiebung der Ambitionen der Angreifer sind. Rafe Pilling, Director of Threat Intelligence bei Sophos, sagt:

Martyn Thomas, emeritierter Professor für IT, warnte ernüchternd:

Im JLR-Kontext kamen die Analysten des Guardian zu dem Schluss , dass der Hack zeigt, wie "alles miteinander verbunden ist" – und dass Komplexität selbst zu einer Schwachstelle werden kann.

Die Tatsache, dass JLR kritische IT-Systeme ausgelagert hat und TCS-Services in mehrere Unternehmen integriert wurden, die nun angegriffen werden, wirft die Frage auf, ob zentrale Abhängigkeitspunkte übersehen werden.

Die breitere Bedeutung dieser Ereignisse liegt auf der Hand: Cyberangriffe beschränken sich nicht mehr nur auf den Diebstahl von Daten oder die Störung digitaler Dienste – sie können die physische Produktion zum Stillstand bringen, Arbeitsplätze bedrohen, Lieferketten belasten und sich auf die regionale Wirtschaft auswirken.

In einer Zeit globaler Unsicherheit – mit Inflation, Druck in der Lieferkette und geopolitischen Spannungen – verstärken solche Verstöße die Fragilität vernetzter Systeme.

Für britische Unternehmen unterstreichen diese Angriffe dringende Lehren: In die Erkennung und Reaktion auf Bedrohungen zu investieren, die übermäßige Abhängigkeit von einzelnen Dienstleistern zu reduzieren, Redundanz aufzubauen und sicherzustellen, dass Cyber-Versicherungen nicht nur Augenwischerei sind.

Je mehr Sektoren sich digitalisieren und vernetzen, desto größer wird die "Angriffsfläche". Wenn nun hochkarätige Unternehmen gefährdet sind, könnten kleinere Unternehmen in den Lieferketten noch anfälliger werden.

Kurz gesagt, die Co-op-, MandS- und JLR-Vorfälle markieren einen Wendepunkt: Die Cyberkriminalität ist von lästigen Hackerangriffen zu einer systemischen Disruption gereift. Der nächste große Verstoß kündigt sich vielleicht nicht sanft an – aber diejenigen, die sich darauf vorbereiten, können die schlimmsten Folgen noch abmildern.