Auch Cyberkriminelle haben ein Privatleben, werden gelegentlich müde und sind in Angestelltenverhältnissen, die denen in der (legalen) Privatwirtschaft durchaus ähneln können. Zu beobachten ist dies etwa anhand der Zeitpunkte, wann die Angriffe stattfinden. Eine neu erschienene Studie gibt nun detaillierte Einblicke in die Work-Life-Balance von Cyberkriminellen. Durchgeführt wurde die Untersuchung vom Security-Spezialisten
Risikomonitor. Die Autoren schreiben, dass bei den Kriminellen Schichtpläne, Stosszeiten und strategische Timings nachzuvollziehen sind. Untersucht wurden über 7600 Leak-Seiten im Darknet, auf denen die Hacks veröffentlicht werden.
Die Arbeitszeiten der Angreifer sind dabei keineswegs zufällig, so die Autoren. Und die verschiedenen Hacker-Gruppen haben auch durchaus verschiedene Arbeitskulturen.
Die Angriffe selbst finden demnach überdurchschnittlich oft an Wochenenden statt. Hintergrund dafür ist wohl, dass die Reaktionszeiten an Samstagen und Sonntagen eher schlechter sind und die Angreifer länger Zeit haben, in IT-Umgebungen einzudringen. 53 Prozent aller Angriffe entfallen auf Wochenenden, Feiertage oder auf Tage mit relevanten Unternehmensumstrukturierungen. Bezeichnend ist hierfür etwa die beobachtete Aktivität um die Weihnachtszeit 2025: Am 24., 25. und 26. Dezember war die Zahl der Opfer laut Studie erheblich grösser als im Durchschnitt – um beachtliche 58, 71 und 163 Prozent. Und am 1. August 2025 wurden 38 Prozent mehr Opfer registriert als im Durchschnitt.
Für die Veröffentlichung im Darknet wiederum sind Dienstag (358 im Q1 2026) und Mittwoch (342) die beliebtesten Tage. Die restlichen Wochentage folgen danach. Bei den Veröffentlichungen liegen Samstag und Sonntag mit 268 respektive 272 Publikationen auf den letzten beiden Plätzen.
Weiter kategorisiert die Studie eine Handvoll der bekanntesten Hacker-Gruppen nach ihren Arbeitsmustern. Qilin etwa "kenne kein Wochenende", so die Autoren – die Gruppe ackert im Schichtbetrieb mit mehreren Teams. The Gentlemen hingegen hat einen recht festen Release-Zyklus: Am Wochenende werden die Hacks durchgeführt und überwiegend am Dienstag veröffentlicht. Lapsus$ veröffentlicht derweil fast nur an Wochenenden. Die Hacker von Akira scheinen derweil eine recht normale Arbeitswoche zu haben und arbeiten vor allem zwischen Montag und Freitag mit einem deutlichen Rückgang am Wochenende. Die Gruppe CL0P kennt keine fixen Arbeitszeiten, dafür projektartige Muster: Mit einer neuen Schwachstelle werden in wenigen Tagen hunderte Opfer angegriffen, danach herrscht manchmal über Wochen hinweg völlige Stille.
Die Erkenntnis, die laut der Studie bei den Unternehmen hängen bleiben muss: Vor allem an bei uns traditionell schlecht besetzten Tagen ist das Risiko besonders hoch. "IT-Security darf kein 9-to-5-Job sein. SOC-Teams müssen an Wochenenden und Feiertagen mindestens gleichwertig besetzt sein", so die Autoren. Einen besonderen Fokus haben auch Restrukturierungen wie M&A-Phasen verdient.
(win)
