Wenn Outsourcing von Cybersicherheit in der Privatwirtschaft uns alle teuer zu stehen kommt
TCS verwickelt Co-op, M&S und JLR in eine millionenschwere Krise, und erneut könnten die Steuerzahler für Fehler der Privatwirtschaft zur Kasse gebeten werden
Der Cyberangriff auf Jaguar Land Rover zeigt uns in Echtzeit, wie einzelne Entscheidungen privater Unternehmen, technische Funktionen wie Cybersicherheit auszulagern, letztlich weitreichende Auswirkungen haben und den Steuerzahler teuer zu stehen kommen können.
In den Medien wurde heute Morgen viel über die Kosten von Cyberangriffen diskutiert.
Zunächst gab die Co-operative Group bekannt, dass sie einen Gewinn von 3 Millionen Pfund im ersten Halbjahr 2024 in einen Verlust vor Steuern von 75 Millionen Pfund für den gleichen Zeitraum dieses Jahres verwandelt hatte. Der Unterschied war in erster Linie auf einen Gewinnrückgang von 80 Millionen Pfund aufgrund des Cyberangriffs zu Beginn dieses Jahres zurückzuführen.
Als die Co-op Anfang des Jahres von der Hackergruppe Scattered Spider angegriffen wurde, schien der Einzelhändler zu den glücklicheren Opfern zu gehören. Die Co-op schien in der Lage zu sein, den Schaden zu isolieren und sich recht schnell zu erholen. Zunächst ging man davon aus, dass keine Kundendaten kompromittiert worden waren, doch im Juli wurde bekannt, dass die persönlichen Daten aller 6,5 Millionen Mitglieder der Gruppe tatsächlich kompromittiert worden waren.
Der Einzelhändler bestätigte, dass der Angriff einen Umsatzverlust in Höhe von schätzungsweise 206 Millionen Pfund verursacht hat.
Debbie White, Vorsitzende von Co-op, sagte heute Morgen: „Das erste Halbjahr 2025 brachte erhebliche Herausforderungen mit sich, insbesondere durch einen böswilligen Cyberangriff. Dank unserer Bilanzstärke und der großartigen Reaktion unserer 53.000 Mitarbeiter konnten wir wichtige Dienstleistungen für unsere Mitglieder und ihre Gemeinden aufrechterhalten.“
An dieser Stelle sei angemerkt, dass die Co-op gegen einen solchen Angriff nicht versichert war.
Die Kosten für die Co-op sind im Vergleich zu den Verlusten, die z. B. Marks & Spencer (M&S) zu erwarten hat, nachdem der Betrieb durch dieselbe Hackergruppe praktisch zum Erliegen gekommen war, fast verschwindend gering.
M&S hat zugegeben, dass es Verluste in Höhe von etwa 300 Millionen Pfund zu verzeichnen hat, aber diese Zahl berücksichtigt noch nicht einmal den Schaden für die Marke M&S oder den Verlust potenzieller Kunden, die im April oder Mai dringend etwas benötigten, es bei John Lewis fanden und nie wieder zu M&S zurückkehrten.
Rachel Higham, die zum Zeitpunkt des Angriffs Chief Technology & Digital Officer bei M&S war, verließ das Unternehmen Anfang dieses Monats, obwohl sie erst seit einem Jahr in dieser Position tätig war.
Dennoch handelt es sich um private Unternehmen, und wenn sie aufgrund ihrer eigenen mangelnden Vorbereitung auf einen Cyberangriff Geld verlieren, ist das ihr Problem.
Oder doch nicht?
Der Angriff auf Jaguar Land Rover (JLR) könnte sich auch auf die Steuerzahler auswirken.
Warum?
Zum Zeitpunkt der Erstellung dieses Artikels wurde die Schließung bei JLR bis Oktober verlängert, ohne dass eine Garantie dafür besteht, dass sie nicht erneut verlängert wird. Die Auswirkungen auf JLR, ein hochprofitables Unternehmen, sind eine Sache, aber es wächst die Sorge um die Auswirkungen auf die Lieferkette von JLR, die sich stark auf die West Midlands konzentriert und den wirtschaftlichen Erfolg der Region maßgeblich vorantreibt.
Der ehemalige Bürgermeister der West Midlands, Sir Andy Street, sprach heute Morgen im Radio 4 und versuchte, Unterstützung für die Idee zu gewinnen, dass die Regierung Notkredite zur Aufrechterhaltung der Liquidität der betroffenen Zulieferer bereitstellt.
Die Motive von Street sind eindeutig ehrenhaft, und er bemühte sich während des Interviews zu betonen, dass die Kredite für die Zulieferer von JLR und nicht für JLR selbst bestimmt wären. Aber ein Element fehlte in dem gesamten Interview, und das ist ein Faktor, der all diesen Angriffen gemeinsam ist – nämlich Tata Consultancy Services (TCS).
TCS – das schwächste Glied?
JLR lagerte die Cybersicherheit 2023 an TCS aus, als Teil eines Fünfjahresvertrags im Wert von 800 Millionen Pfund, um „Effizienzsteigerungen gegenüber den Kosten bestehender Dienstleistungen zu erzielen, die die Nettoausgaben von JLR senken und freien Cashflow freisetzen“.
Auch M&S sowie Co-op vertrauten der Tata Consultancy Services (TCS).
TCS arbeitet seit mindestens 2018 mit M&S zusammen, als es einen Fünfjahresvertrag gewann, um „M&S auf ein neues Technologie-Betriebsmodell umzustellen, das eine agile Denkweise zur Transformation der Geschäfts- und IT-Strategie umfasst und auf schnelle technologische Innovationen abgestimmt ist, um den sich schnell ändernden Geschäftsprioritäten gerecht zu werden”.
Im Jahr 2023 wurde dieser Vertrag verlängert, um die Kerntechnologie von M&S zu transformieren, die Widerstandsfähigkeit und das Innovationstempo zu verbessern und nachhaltiges Wachstum voranzutreiben. TCS und M&S wurden bei den Retail Systems Awards mit dem Preis für die Einzelhandelspartnerschaft des Jahres ausgezeichnet.
TCS arbeitet seit mindestens 15 Jahren mit Co-op zusammen und „unterstützt eine Reihe von geschäftskritischen und arbeitsplatzbezogenen Transformationen. Dazu gehören die Transformation des Einzelhandelsgeschäfts, die Transformation des Kernsystems und das Franchise-Programm. Diese Initiativen haben Co-op dabei geholfen, die Markteinführungszeit zu verkürzen, neue Einnahmequellen zu erschließen und die Agilität zu verbessern, um in Echtzeit auf neue Geschäftsszenarien reagieren zu können.“
Im Februar 2024 gab TCS bekannt, dass es seine Partnerschaft mit dem Einzelhändler verlängert hat, um eine „Cloud-First-Strategie“ zu verfolgen.
Es gibt sogar einen Zusammenhang zwischen TCS und dem jüngsten Sicherheitsverstoß eines Automobilunternehmens. Stellantis, der US-amerikanische Automobilhersteller hinter Marken wie Chrysler, Fiat und Peugeot, bestätigte am Wochenende einen Verstoß gegen Kundendaten, der laut einer Erklärung eine Verletzung der Plattform eines Drittanbieters darstellte, der unsere Kundendienstaktivitäten in Nordamerika unterstützt. Der Drittanbieter war Salesforce, und raten Sie mal, welcher Partner das System für sie installiert hat?
Der Computer sagt Ja
Heute Morgen behauptete Debbie White, der Angriff auf Co-op sei ausgeklügelt gewesen, aber im Mai sagte M&S-Chef Stuart Machin, die Hacker seien eingebrochen, indem sie TCS-Mitarbeiter dazu gebracht hätten, ihnen Passwörter zu geben.
Die gleiche Taktik wurde auch beim Angriff auf Co-Op angewendet. Das war kein ausgeklügelter Angriff, und drei der bisher vier Personen, die wegen dieser Angriffe festgenommen wurden, waren noch Teenager.
Heute Morgen behauptete Andy Street, JLR sei Opfer eines „unglaublich unerwarteten Ereignisses“ geworden.
War es wirklich so unerwartet, Andy?
JLR muss damit bis zu einem gewissen Grad gerechnet haben, denn das Unternehmen arbeitete an einem Cyber-Versicherungsvertrag, der laut einem Artikel in der Fachzeitschrift „The Insurer“ nicht rechtzeitig abgeschlossen werden konnte, sodass JLR nicht gegen die Verluste versichert ist, die durch diesen Angriff entstehen.
Die einzige öffentliche Stellungnahme von TCS zu diesen Angriffen kam von dem unabhängigen Direktor Keki Mistry, der im Juni erklärte, dass im Rahmen des Angriffs auf M&S „keines seiner Systeme oder Benutzer kompromittiert” worden sei. Diese Behauptung scheint in direktem Widerspruch zu den Aussagen von Stuart Machin einen Monat zuvor zu stehen – es sei denn, man berücksichtigt die Bedeutung des Wortes „seine” in diesem Satz und denkt darüber nach, wie Outsourcing funktioniert.
Die Dienste von TCS waren zwar nicht kompromittiert, aber das Unternehmen wurde für die Verwaltung von Systemen bezahlt, die sich weiterhin im Besitz von M&S und Co-op befanden.
Privater Gewinn, öffentliche Verluste
Man braucht keine Kristallkugel, um vorherzusagen, dass in den nächsten Wochen und Monaten wahrscheinlich weitere solcher Angriffe ans Licht kommen werden. Wenn die Mitarbeiter des TCS-Helpdesks Passwortdaten an Teenager weitergaben, die sich als Mitarbeiter ihrer Kunden ausgaben, haben wir möglicherweise nur an der Oberfläche des potenziellen Schadens gekratzt.
Ob die Finanzdaten der Kunden kompromittiert wurden oder nicht, kann und darf nicht zum Maßstab für die Bewertung der Auswirkungen dieser Angriffe werden. Die Schließung von JLR zeigt uns in Echtzeit, wie wichtig die Widerstandsfähigkeit von Unternehmen ist. Ein Angriff auf ein Unternehmen wirkt sich direkt auf die Existenzgrundlage von Menschen aus, die bei anderen Unternehmen ihr Geld verdienen. Qualifizierte Arbeitsplätze sind in Gefahr, wenn nicht die Steuerzahler einspringen und Notkredite gewähren.
Ja, wieder die Steuerzahler.
JLR, M&S und Co-op haben sich alle dafür entschieden, ihre Technologiebereiche an TCS auszulagern. Diese Entscheidungen wurden, wie aus allen oben verlinkten Pressemitteilungen hervorgeht, durch die Notwendigkeit getrieben, „nicht zum Kerngeschäft gehörende” Technologiebereiche wie Cybersicherheit auszulagern, um „die Effizienz zu steigern”. Alle drei Unternehmen haben Entlassungen vorgenommen.
Die höhere Effizienz sorgte für anhaltende Dividenden, steigerte die Gewinne und trug zweifellos dazu bei, die Zahlung einiger schöner Boni an Führungskräfte zu rechtfertigen. Im letzten Geschäftsjahr verzeichnete JLR einen Gewinn von 2,5 Milliarden Pfund.
Die Aktionäre von M&S (Vorsteuergewinn von ca. 875 Millionen Dollar im Geschäftsjahr 24/25) wurden zweifellos durch den Weggang von Rachel Higham besänftigt, mit der Andeutung, dass sie allein die Verantwortung für den Angriff trug, obwohl alle Entscheidungen, die dazu geführt hatten, Jahre vor ihrer Amtsübernahme getroffen worden waren.
Wenn uns dieses Jahr eines gezeigt hat, dann dass die Auslagerung Ihrer Cybersicherheit kurzfristig zwar billiger sein mag, sich aber langfristig als furchtbar teuer erweisen kann. Wir sind wieder einmal in einer Situation angelangt, in der diejenigen, die schlechte, kurzfristige Entscheidungen treffen, keine Strafen zahlen müssen, und der Steuerzahler die Rechnung übernimmt, um zu verhindern, dass unschuldige Unternehmen untergehen und qualifizierte Arbeitsplätze mit sich reißen.
Zum Abschluss seines Interviews im Radio 4 heute Morgen sagte Andy Street, dass ihm bereits während seiner Zeit als Geschäftsführer bei John Lewis, eine Position, die er von 2007 bis 2016 innehatte, die Risiken potenzieller Cyberangriffe klar waren. Er sagte:
„Als ich John Lewis verließ, war das größte Risiko in unserem jährlichen Risikoregister der Cyberangriff. Schon vor acht oder neun Jahren haben wir viel Geld dafür ausgegeben, die Widerstandsfähigkeit unserer Lieferkette zu verbessern. Ich bin sicher, dass andere das Gleiche getan haben.“
Anscheinend nicht alle.
Computing wandte sich an TCS, um eine Stellungnahme zu diesem Artikel zu erhalten, erhielt jedoch keine Antwort.
Dieser Artikel erschien ursprünglich auf unserer Schwester-Website Computing .