Die gefährlichsten Hackergruppen der Welt werden "Bär", "Chollima", "Panda" oder "Kitten" genannt. Hinter diesen Namen verbergen sich Geheimdienste, Armeen und manchmal auch Regierungsparteien von Staaten, die für einen großen Teil der weltweiten Angriffe im Internet verantwortlich sind. Erstmals hat nun das US-amerikanische IT-Sicherheitsunternehmens CrowdStrike eine Rangliste dieser Staatshacker erstellt. Sie soll erfassen, wie effizient und aktiv die Gruppen sind. Der Bedrohungsbericht (Global Threat Report), der an diesem Dienstag veröffentlicht wird, liegt ZEIT ONLINE und der ZEIT vor.

Auf Platz eins der Liste von CrowdStrike rangieren die "Bären" genannten russischen Hacker, zu denen unter anderem die Geheimdienste GRU ("Fancy Bear") und FSB ("Cozy Bear") gehören. Auf Platz zwei folgt überraschend Nordkorea ("Chollima"), auf Platz drei stehen die chinesischen Staatshacker ("Panda") und auf Platz vier iranische Angreifer, von CrowdStrike "Kitten" genannt. Analysiert wurden für den Bericht rund 30.000 im vergangenen Jahr erfolgte Angriffe von 116 Hackergruppen.

Für das Ranking hat CrowdStrike gemessen, wie schnell sich Hacker in einem angegriffenen Computersystem ausbreiten. Wie viel Zeit vergeht zwischen dem ersten Eindringen und dem eigentlichen Angriff auf die internen Daten und Bereiche? Diese Zeitspanne lässt sich während der nachträglichen Untersuchung von Hacks bestimmen. CrowdStrike nennt sie breakout time, was sich mit Inkubationszeit übersetzen lässt. Die Firma sieht in dieser Zeitspanne ein Maß dafür, wie geschickt die Hacker vorgehen und wie gut sie ihr Handwerk verstehen.

"Entscheidend ist bei Cybersicherheit Geschwindigkeit – sowohl für die Angreifer als auch für die Verteidiger", heißt es in dem Report. Denn Werkzeuge wie Trojaner könne jeder kaufen oder bei anderen kopieren. Die Kunst bestehe darin, sie effektiv anzuwenden und einzuschleusen.

Das Zeitmaß sagt aber nicht nur etwas über die Fähigkeiten der Angreifer aus. Es ist auch für die Abwehr solcher Angriffe wichtig. Denn es bezeichnet letztlich die Zeit, die Opfern bleibt, um etwas gegen die Hacker zu tun.

Nach dieser Messlatte sind private Hackergruppen, denen es vor allem darum geht, mit ihren Attacken Geld zu verdienen, vergleichsweise langsam. Bei ihnen würden durchschnittlich fast zehn Stunden vergehen, bis es ihnen gelänge, ein Rechnernetzwerk nach dem Eindringen auch zu übernehmen. Im Vergleich dazu brauchen Spitzenteams russischer Hacker, die auch im Auftrag des Staates unterwegs sind, lediglich knapp 19 Minuten. Auf Platz zwei folgen Angreifer aus Nordkorea mit einer durchschnittlichen Inkubationszeit von zwei Stunden und 20 Minuten, chinesische Hacker bräuchten hingegen vier Stunden, iranische fünf Stunden.