Im Jahr 2022 waren fast fünf Milliarden Menschen weltweit (sowie unzählige Bots) im World Wide Web unterwegs. Mit einer Analyse ihrer gebündelten Nutzungsdaten lassen sich einige sehr interessante Trends offenlegen. Wir freuen uns sehr, in dafür den Bericht „Das Jahr 2022 im Rückblick“ von Cloudflare Radar mit interaktiven Diagrammen, Grafiken und Karten bereitstellen zu können, mit dem Sie sich über auffallende Trends informieren können, die im verstrichenen Jahr zu beobachten waren. Die Webseite „Das Jahr im Rückblick“ ist Teil von Cloudflare Radar. Dieses Angebot hat im September mit der Einführung von Radar 2.0 seinen zweiten Geburtstag gefeiert.
Wir haben die verzeichneten Trends in drei Kategorien unterteilt: Traffic, Adoption und Sicherheit. Die von diesen drei Segmenten abgedeckten Inhalte werden unten ausführlicher beschrieben. Wir bauen auf „Das Jahr 2021 im Rückblick“ auf, haben aber dieses Jahr zusätzliche Kennzahlen in den Bericht aufgenommen und die zugrundeliegende Methodologie optimiert. (Deshalb erlaubt ein Vergleich der integrierten Diagramme und Tabellen mit denen des Vorjahres nicht ohne Weiteres Rückschlüsse auf die Entwicklung in diesem Zeitraum.)
Die Abbildungen auf der Webseite zeigen die Entwicklung in wöchentlichen Abschnitten und decken die Zeit vom 2. Januar bis zum 26. November 2022 (also von der ersten vollen Woche des Jahres bis zur letzten vollen Woche im November) ab. Wir beabsichtigen, die noch fehlenden Datensätze für Ende 2022 Anfang des neuen Jahres zu ergänzen. Auf der Webseite können die Trends für fast 200 Standorte abgerufen werden. Einige kleinere Standorte mit geringerer Einwohnerzahl wurden aufgrund unzureichender Daten nicht berücksichtigt.
Bevor wir hier ins Detail gehen, möchten wir darauf hinweisen, dass Sie sich die wichtigsten Statistiken und Daten natürlich auf der Webseite einfach selbst ansehen können. Der vorliegende Blogbeitrag bietet Ihnen dagegen eine ausführlichere Betrachtung ausgewählter Aspekte. In jedem Fall sollen Ihnen die hier besprochenen und auf der Webseite dargelegten Daten Erkenntnisse zu den Auswirkungen der damit abgebildeten Trends auf Ihren Geschäftsbereich und Ihr Unternehmen sowie den Maßnahmen ermöglichen, die Sie zur Verbesserung der Nutzererfahrung oder Ihres Sicherheitsniveaus ergreifen können.
Traffic-
Wer die jüngsten Ereignisse im Tech-Sektor verfolgt, könnte zu dem Schluss gelangen, dass das seit Jahrzehnten zu beobachtende unglaubliche Wachstum des Internets nun begonnen hat, sich abzuschwächen. In solchen Zeiten kommt Daten eine entscheidende Bedeutung zu. Und unseren Daten zufolge zeigt der Internet-Traffic, der 2022 um 23 Prozent zugelegt hat, so robust ist wie eh und je.
Um die Traffic-Trends über einen längeren Zeitraum zu erfassen, haben wir zunächst einen Referenzwert festgelegt. Bei diesem handelt es sich um das durchschnittliche Datenverkehrsvolumen (Bots ausgenommen) der zweiten vollen Kalenderwoche (9. bis 15. Januar) des Jahres 2022. Wir haben uns für die zweite Kalenderwoche des Jahres entschieden, um sicherzugehen, dass bei den Menschen nach den Weihnachts- und Neujahrsferien wieder der (Schul-, Arbeits- usw.) Alltag eingekehrt ist. Die prozentuale Veränderung in Form einer Trendlinie wird im Verhältnis zum Referenzwert ermittelt und stellt einen Durchschnitt über sieben dar – nicht den Traffic eines Standorts in absoluten Zahlen. Durch Erhebung eines Durchschnitts über sieben Tage werden starke Veränderungen geglättet, die sich von einem Tag auf den anderen ergeben können.Es wird nicht nur die Entwicklung des Traffic-Volumens ermittelt. Dank unseres öffentlichen DNS-Resolvers 1.1.1.1 und unseres vielfältigen internationalen Kundenstamms verfügen wir über einen einzigartigen Einblick in die Online-Aktivitäten der Nutzer. Unter anderem lassen sich dadurch Erkenntnisse darüber gewinnen, welche Inhalte und Services sich im Web allgemein und innerhalb bestimmter Kategorien der größten Beliebtheit erfreuen. Auch über die Auswirkungen von Bots lassen sich dadurch Rückschlüsse ziehen. All dies ist natürlich nur relevant, wenn eine Verbindung mit dem Internet überhaupt möglich ist. Deshalb schauen wir uns auch die Störungen im Web des Jahres 2022 genauer an.
Trends beim Traffic
Nach einem anfänglichen Rückgang verzeichnete der Internet-Traffic weltweit während der Olympischen Winterspiele 2022 in Peking ein ganz leichtes Wachstum. In den folgenden Wochen nahm er dann jedoch wieder ab. Im Anschluss an leichte Zuwächse über einen Zeitraum von mehreren Monaten fiel er Anfang Juli erneut unter den Referenzwert. Nachdem er diese Talsohle aber durchschnitten hatte, legte er bis Jahresende relativ beständig zu. Ende November wird dann in den Grafiken sowohl für den weltweiten Traffic als auch für den Datenverkehr an bestimmten Standorten ein deutlicher Anstieg sichtbar. Eine Analyse hat ergeben, dass sich dieser einerseits auf den Beginn der Weihnachtseinkäufe auf E-Commerne-Webseiten und auf die Aktivitäten im Vorfeld und zu Beginn der Fußballweltmeisterschaft 2022 in Katar zurückführen lässt.
Ein während der Impact Week veröffentlichter Blogbeitrag, in dem über den aktuellen Stand der Unterstützung der Ukraine durch Cloudflare informiert wird, untersucht den Konflikt mit Russland aus Cyberangriffsperspektive. Eine Betrachtung der Lage in der Ukraine unter dem Aspekt des Internet-Traffics erlaubt einzigartige Erkenntnisse im Hinblick auf die Folgen der durch den Krieg verursachten Schäden und Zerstörung für die Internetanbindung des Landes. Zu Jahresbeginn nahm der ukrainische Traffic leicht zu, doch mit Beginn der russischen Invasion am 24. Februar kam es rasch zu einer Trendwende: Weil Infrastruktur beschädigt wurde und sich die Bevölkerung darauf konzentrierte, Schutz zu suchen, wurde ein starker Rückgang verbucht. Zwar erhöhte sich der Datenverkehr anschließend wieder, doch im Mai und Juni ergaben sich Einbußen, die mit den von Cloudflare registrierten umfangreichen Ausfällen in Zusammenhang zu stehen scheinen. Im August war dann zwar wieder ein Plus zu verzeichnen, doch im September, Oktober und November wurden weitere Störungen beobachtet, die sich zeitlich mit weitreichenden Stromausfällen im ganzen Land infolge der Angriffe aus Russland deckten.
Grundvoraussetzung für eine stabile Internetanbindung von wesentlicher Netzwerkinfrastruktur von Rechenzentren und der Infrastruktur der „letzten Meile“ wie Handymasten und WLAN-Router sowie Laptops, Handys und anderer Geräte ist eine zuverlässige Stromversorgung. Die Einwohner und Einwohnerinnen von Puerto Rico haben seit Jahren mit einem instabilen Elektrizitätsnetz zu kämpfen, weshalb der Strom häufig ausfällt und es lange dauert, die Versorgung wiederherzustellen. Im Jahr 2022 ist es auf der Insel zweimal zu mehrtägigen Stromausfällen gekommen, die sich eindeutig auf das ansonsten solide Traffic-Wachstum ausgewirkt haben. Im April fiel aufgrund eines Feuers in einem Kraftwerk für drei Tage der Strom aus, wodurch auch das Internet nicht mehr zugänglich war. Fünf Monate später verursachte der Hurrikan Fiona vielerorts Stromausfälle. Es dauerte über eine Woche, die Elektrizitätsversorgung wieder herzustellen und die entsprechenden Reparaturarbeiten an der Infrastruktur vorzunehmen. In dieser Zeit nahm der Internet-Traffic stark ab.
Die wichtigsten Kategorien
Die Kunden von Cloudflare kommen aus der ganzen Welt und aus diversen Branchen, etwa dem Technologie-, E-Commerce- und Unterhaltungssektor, um nur einige zu nennen. Eine Analyse des für die Websites und Anwendungen unserer Kunden bestimmten Datenverkehrs offenbart, welche Inhalte im vergangenen Jahr am beliebtesten waren. Sie lassen sich nicht nur in verschiedene Kategorien, sondern auch nach Nutzerstandort unterteilen. Die jeder Kunden-Zone zugeordneten Domains weisen eine oder mehrere verbundene Kategorien auf, die bei Cloudflare Radar eingesehen werden können. Um für jeden Standort zu ermitteln, wie sich der Traffic über bestimmte Kategorien verteilt, haben wir die Zahl der innerhalb einer Woche verzeichneten Anfragen an Domains, die einer bestimmten Kategorie zugeordnet sind, durch die Gesamtzahl an Anfragen, die im gleichen Zeitraum dieser Kategorie zugewiesen wurden, geteilt. Der Bot-Traffic wurde herausgefiltert. Ist eine Domain mit mehreren Kategorien verknüpft, wurde die entsprechende Anfrage für jede Kategorie gezählt. Das Schaubild, wie sich die Verteilung der Anfragen auf die ausgewählten Kategorien im Verlauf des Jahres verändert.
Im weltweiten Vergleich waren der Kategorie „Technologie“ zugewiesene Websites am beliebtesten. Auf diese entfiel ungefähr ein Drittel des Traffics im Gesamtjahr. An zweiter Stelle folge das Segment „Handel und Wirtschaft“, der für etwa 15 Prozent des Datenverkehrs verantwortlich war. Der Bereich „Shopping und Auktionen“ verbuchte im November einen Zuwachs, weil die Verbraucher und Verbraucherinnen mit ihren Festtagseinkäufen begannen.
Ganz im Gegensatz zu anderen asiatischen Ländern war in Südkorea Internetkommunikation im letzten Jahr durchgängig die zweitbeliebteste Kategorie. In anderen Staaten fand sie sich hin und wieder in den Top-5 wieder, in der Regel jedoch unter den Top-10. Dichtauf folgten die Sparten Unterhaltung sowie Geschäftswesen und Wirtschaft. Erstere verzeichnete im Jahresverlauf mehrfach Phasen mit hohem Traffic-Aufkommen. Demgegenüber war der Anteil anderer Kategorien im gesamten Beobachtungszeitraum relativ konstant.
Die Verteilung des Traffics in der Türkei bildete gegenüber den meisten anderen Regionen der Welt eine seltene Ausnahme. Zu Jahresbeginn war Technologie die beliebteste Kategorie, doch in der zweiten Jahreshälfte änderte sich das. Am Ende fand sie sich hinter den Bereichen „Einkaufen und Auktionen“ sowie „Gesellschaft und Lifestyle“ wieder, die beide ab September ein schrittweises Wachstum und im November ein größeres Plus verbuchten. „Geschäftswesen und Wirtschaft“ sowie „Unterhaltung“ erfreuten sich in der Türkei vergleichsweise geringerer Beliebtheit als in vielen anderen Ländern.
Auch in Armenien fiel die Entwicklung aus dem Rahmen. Hier war im gesamten vergangenen Jahr mit Ausnahme der letzten Novemberwoche „Unterhaltung“ die populärste Kategorie. „Technologie“ folgte meist an zweiter Stelle, wurde allerdings mehrmals durch „Glücksspiel“ von diesem Platz verdrängt. Im November büßte „Glücksspiel“ aber stark an Beliebtheit ein, sodass „Einkaufen und Auktionen“ sowie „Geschäftswesen und Wirtschaft“ an dieser Kategorie vorbeizogen.
Beliebteste Internetdienste
Als beliebter Internetdienst hat man den großen Vorteil, dass die Marke des Dienstes einen hohen Wiedererkennungswert hat. Es wird Sie also nicht überraschen, dass Google in unserem allgemeinen Ranking auf Platz 1 steht.
Top-10– allgemeines Ranking, Stand: Ende 2022
1. Google
2. Facebook
3. Apple, TikTok (Gleichstand)
5. YouTube
6. Microsoft
7. Amazon Web Services
8. Instagram
9. Amazon
10. iCloud, Netflix, Twitter, Yahoo (Gleichstand)
Die anonymisierten DNS-Abfragedaten unseres öffentlichen DNS-Resolvers 1.1.1.1 spiegeln den Traffic von Millionen von Nutzern auf der ganzen Welt wider und ermöglichen es uns, auch kategoriespezifische Rankings zu erstellen. Sie können diese zwar alle im Abschnitt „Beliebteste Internetdienste“ unserer „Das Jahr im Rückblick“-Website einsehen, aber wir haben beschlossen, im Folgenden einige der unserer Ansicht nach besonders wichtigen Erkenntnisse hervorzuheben.
Kryptowährungen sind ebenso vielversprechend wie umstritten. Wir konnten nicht umhin, neugierig zu sein, welche Kryptowährungsdienste am beliebtesten sind. Doch bevor wir uns in die Top-10 ansehen, lassen Sie uns einen näheren Blick auf einen Dienst werfen, der nicht mehr im Rennen ist: FTX. Die als drittgrößte Krypto-Exchange bekannte Börse lag in unserem Beliebtheitsranking die meiste Zeit des Jahres auf Platz 9. Allerdings nur, bis das Unternehmen im November Konkurs anmeldete. Zu diesem Zeitpunkt gab es einen jähen Einbruch, der auch mit Berichten zusammenzufallen scheint, dass FTX für seine Nutzer die Möglichkeit zur Auszahlung von Kryptowährungen deaktivierte. Zurück zu den Top-10: Die beiden anderen großen Krypto-Börsen, Binance und Coinbase, belegen Platz 1 bzw. 3 und scheinen in unserer Rangliste nicht von den Tumulten um FTX beeinträchtigt worden zu sein.
Bislang war das Universum der spannendste Ort, an dem wir uns aufhalten konnten. Doch einige behaupten, dass wir uns bald alle im Metaverse aufhalten werden. Falls dem so sein wird, stellt sich die Frage: „In wessen Metaverse?“ Vergangenes Jahr taufte Facebook seinen Namen in Meta um und investierte Milliarden von Dollar in diesen Bereich. Darum waren wir neugierig, wie sich diese Bemühungen ein Jahr später auf die Metaverse-Branche auswirken würden. Oculus ist der erste Vorstoß von Meta in das Metaverse. Unsere Daten zeigen, dass Oculus zwar deutlich an Beliebtheit gewonnen hat und in der zweiten Jahreshälfte von Platz 10 auf Platz 5 aufgestiegen ist, Roblox aber eindeutig der Champion im Metaverse ist. Beeindruckend ist, dass dieser kleinere Herausforderer Oculus dominiert, das von Meta betrieben wird, einem Unternehmen, dessen Marktkapitalisierung etwa 18-mal größer ist. Wir sind schon gespannt, ob sich Oculus auch 2023 im Ranking nach oben kommt und Roblox vom Thron stößt, oder ob Roblox seine Vormachtstellung verteidigen kann.
Der Wandel hin von Facebook zu Meta scheint sich jedoch nicht auf seine Beliebtheit als Social Media-Plattform auszuwirken. In unserem Ranking der wichtigsten Social Media-Plattformen hat Facebook das ganze Jahr über die Spitzenposition verteidigt. Auch TikTok und Snapchat konnten ihre Plätze unter den Top-5 halten. Instagram und Twitter tauschten Mitte des Jahres mehrmals die Plätze, aber die Foto- und Video-Sharing-App verdrängte Twitter schließlich im August von Platz 3. In der unteren Hälfte der Top-10 gab es größere Schwankungen, da LinkedIn, Discord und Reddit häufig zwischen dem sechsten, siebten und achten Platz in der Rangliste wechselten.
Das sind zwar heute die beliebtesten Websites, aber in den vergangenen 20 Jahren hat sich die Landschaft der Social-Media-Plattformen sehr dynamisch entwickelt und es sind regelmäßig neue Akteure aufgetaucht. Einige konnten Fuß fassen und wurden erfolgreich, während andere in der Geschichte des Internets nicht mehr als eine Fußnote bleiben werden. Mastodon gibt es zwar schon seit 2016, ist aber der jüngste Neuzugang in diesem Bereich, der sich womöglich als wichtiger Player etablieren kann. Die Social Media-Landschaft ist von zentralisierten, proprietären Plattformen geprägt. Mastodon stellt hier als kostenlose Open-Source-Software eine spannende Alternative dar, die es jedem ermöglicht, seine eigene Social-Networking-Plattform zu gründen, die auf einer dezentralen Architektur aufbaut und leicht mit anderen zusammengeführt werden kann.
Wenn man die Domain-Namen zusammenfasst, die von den Top-400-Mastodon-Instanzen verwendet werden, lag diese Kohorte zu Beginn des Jahres auf Platz 200 der beliebtesten Dienste insgesamt. Seine Position im Gesamtranking hat sich im Laufe des Jahres stetig verbessert und erreichte im November einen Höhepunkt, als es um 60 Positionen nach oben ging. Grund für diesen Anstieg ist offenbar das steigende Interesse an und die zunehmende Nutzung von Mastodon, worauf wir im Abschnitt „Adoption“ weiter unten näher eingehen.
Bot-Traffic
Der Begriff Bot-Traffic beschreibt jeden nicht-menschlichen Traffic auf einer Website oder einer App. Einige Bots sind nützlich, z. B. solche, die die Verfügbarkeit von Websites und Anwendungen überwachen, oder Suchmaschinen-Bots, die Inhalte für die Suche indizieren. Cloudflare führt eine Liste mit verifizierten Bots, von denen bekannt ist, dass sie solche Dienste durchführen. Ein Einblick in andere, nicht verifizierte Bot-Aktivitäten ist jedoch genauso wichtig, wenn nicht sogar noch wichtiger, da sie für bösartige Aktivitäten genutzt werden können, z. B. um in Nutzerkonten einzudringen oder das Internet nach ausnutzbaren Schwachstellen zu durchsuchen. Zur Berechnung des prozentualen Anteils des Bot-Traffics haben wir den Bot-Score verwendet, der jeder Anfrage zugewiesen wurde, um die von Bots getätigten Anfragen zu identifizieren. Dann haben wir die Gesamtzahl der täglichen Anfragen von diesen Bots durch die Gesamtzahl der täglichen Anfragen geteilt. Diese Berechnungen wurden sowohl global als auch für jeden einzelnen Standort durchgeführt. Die in der Trendgrafik gezeigte Linie stellt einen nachlaufenden Durchschnitt über sieben Tage dar. Für das Top-10-Diagramm haben wir den durchschnittlichen Bot-Prozentsatz pro Monat und Standort berechnet und dann die Standorte nach Prozentsatz geordnet. Die Grafik veranschaulicht das Ranking nach Monat und wie sich diese Rankings im Laufe des Jahres verändern.
Weltweit machten Bots im Laufe des Jahres zwischen 30-35 % des Traffics aus. Anfang Januar lag der Anteil des Bot-Traffics bei etwa 35 %, bis Ende Februar sank er um fast ein Viertel, holte dann aber wieder auf und lag bis Oktober knapp über 30 %. Anfang November ist ein leichter Abwärtstrend zu erkennen, der darauf zurückzuführen ist, dass der menschliche Traffic zunahm, während der Bot-Traffic recht konstant blieb. Trotz einiger nominaler Ausschläge bzw. Einbrüche zeigte der globale Trend im gesamten Jahr kaum Schwankungen.
Zwar entfiel etwa ein Drittel des weltweiten Traffics auf Bots, aber in zwei Ländern war der Anteil des Bot-Traffics nahezu doppelt so hoch. Abgesehen von zwei kurzen Spitzen zur Jahresmitte wurden knapp 70 % des Traffics aus Irland als Bot-gesteuert eingestuft. Auch in Singapur lag der Anteil des Bot-Traffics über das ganze Jahr hinweg konstant zwischen 60-70 %. Der größte Teil des Traffics aus diesen Ländern ist auf Bots zurückzuführen, da es dort jeweils lokale „Regionen“ mehrerer Anbieter von Cloud-Plattformen in jeder dieser Regionen gibt. Da dies leicht zu automatisieren und kostenlos/kostengünstig ist, werden Angreifer häufig ephemere Instanzen in diesen Clouds einrichten, um Angriffe mit hohem Volumen zu starten, wie wir es beim „Mantis“-Angriff im Juni feststellen konnten. (Interne Traffic-Analysen zeigen, dass ein erheblicher Teil des Traffics für diese beiden Regionen aus den Netzwerken von Cloud-Anbietern stammt und dass der Großteil des Traffics, den wir aus diesen Netzwerken verzeichnen, als Bot-Traffic eingestuft wird.)
Die Top-10-Liste der Standorte mit dem höchsten prozentualen Anteil an Bot-Traffic hat sich im Laufe des Jahres stark verändert. Vier verschiedene Standorte standen im Laufe des Jahres eine Zeit lang an der Spitze, wobei Turkmenistan die meiste Zeit an der Spitze der Liste verbrachte. Insgesamt belegten 17 Standorte zu irgendeinem Zeitpunkt im Jahr 2022 einen Platz unter den Top-10, dabei waren Europa und Asien stärker vertreten.
Internetausfälle
Obwohl die im Jahresrückblick 2022 enthaltenen Kennzahlen letztlich durch den Internet-Traffic zu Cloudflare von Netzwerken und Standorten auf der ganzen Welt bestimmt wurden, gibt es leider Zeiten, in denen der Traffic beeinträchtigt wird. Diese Unterbrechungen können verschiedene Ursachen haben, z. B. Naturkatastrophen und extreme Wetterbedingungen, Unterbrechungen von Glasfaserkabeln oder Stromausfälle. Sie können aber auch auftreten, wenn autoritäre Regierungen anordnen, die Internetverbindung auf Netzwerk-, regionaler oder nationaler Ebene zu sperren.
2022 verzeichneten wir Beispiele für all diese (und weitere) Arten von Internet-Störungen. Wir haben sie in vierteljährlichen Blogbeiträgen im Überblick zusammengefasst. Mit dem Launch von Radar 2.0 im September haben wir begonnen, diese Störungen auch im Cloudflare Radar Outage Center zu katalogisieren. Diese Unterbrechungen machen sich meist durch einen Rückgang des Cloudflare Traffics aus einem bestimmten Netzwerk, einer Region oder einem Land bemerkbar. Die Webseite „Das Jahr im Rückblick 2022“ veranschaulicht wo diese Störungen im Laufe des Jahres aufgetreten sind. Einige bemerkenswerte Ausfälle, die im Jahr 2022 beobachtet wurden, werden im Folgenden hervorgehoben.
Eine der größten Internetstörungen des Jahres ereignete sich bei AS812 (Rogers), einem der größten kanadischen Internet Service Provider. Am Morgen des 8. Juli kam es zu einem fast vollständigen Traffic-Ausfall, und es dauerte fast 24 Stunden, bis der Traffic wieder auf ein normales Niveau anstieg. Ein Blogbeitrag von Cloudflare berichtete in Echtzeit über den Ausfall von Rogers, während der Provider versuchte, die Verbindung wiederherzustellen. Daten von APNIC schätzen, dass bis zu fünf Millionen Nutzer direkt betroffen waren, während Presseberichten zu entnehmen ist, dass der Ausfall auch Telefonsysteme, Kassensysteme im Einzelhandel, Geldautomaten und Online-Banking-Dienste betraf. Laut einer Mitteilung des CEO von Rogers wurde der Ausfall auf „einen Ausfall des Netzwerksystems nach einem Wartungsupdate in unserem zentralen Netzwerk zurückgeführt, der zu einer Fehlfunktion einiger unserer Router führte“.
Ende September kam es im ganzen Iran zu Protesten und Demonstrationen als Reaktion auf den Tod von Mahsa Amini. Amini war eine 22-jährige Frau aus der Provinz Kurdistan im Iran. Sie wurde am 13. September in Teheran von der iranischen „Sittenpolizei“ verhaftet, einer Einheit, die strenge Bekleidungsvorschriften für Frauen durchsetzt. Sie starb am 16. September in Polizeigewahrsam. Die iranische Regierung setzt Internet-Sperren häufig als Mittel ein, um die Kommunikation mit der Außenwelt einzuschränken. Als Reaktion auf die Proteste und Demonstrationen wurde die Internetverbindung landesweit mehrfach unterbrochen.
Drei der großen Mobilfunkanbieter — AS44244 (Irancell), AS57218 (RighTel) und AS197207 (MCCI) — begannen am 21. September, tägliche Internetsperren einzuführen. Diese fanden in der Regel zwischen 16:00 und Mitternacht (1230-2030 UTC) statt stattfanden, wobei sich die Anfangszeiten zwischen den einzelnen Tagen unterschieden. Diese regelmäßigen Sperrungen dauerten bis Anfang Oktober an. Bis Mitte des Monats kam es zu weiteren punktuellen Unterbrechungen sowie zu weiteren lokal begrenzten Sperrungen der Internetverbindung. Allein, wenn man die Anzahl der Nutzer von MCCI zugrunde legt, waren mehr 75 Millionen Menschen betroffen.
Kabelbrüche sind ebenfalls eine häufige Ursache für Internetausfälle. Ein alter Witz unter Netzwerktechnikern besagt, dass Grabenbagger der natürliche Feind des Internets sind. Während Grabenbagger eine Bedrohung für erdverlegte Glasfaserkabel darstellen, können Naturkatastrophen bei Unterseekabeln verheerenden Schaden anrichten.
Ein hervorragendes Beispiel dafür war Tonga Anfang des Jahres, als der Vulkanausbruch des Hunga Tonga–Hunga Ha'apai das Unterseekabel, das Tonga mit Fidschi verbindet, beschädigte, was zu einem 38-tägigen Internetausfall führte. Nach dem Ausbruch am 14. Januar gab es nur noch minimalen Internet Traffic (über eingeschränkte Satellitendienste) aus Tonga. Am 22. Februar gab Digicel bekannt, dass die Hauptinsel wieder online sei, nachdem die ersten Reparaturen am Unterseekabel abgeschlossen waren. Es wurde jedoch geschätzt, dass die Reparaturen am Inlandskabel, das die vorgelagerten Inseln verbindet, weitere sechs bis neun Monate dauern könnten. Nach Abschluss der ersten Kabelreparaturen verzeichneten wir einen raschen Anstieg des Traffics aus Tonga.
Seit zehn Monaten dauert der Krieg in der Ukraine nun schon an, und während dieser Zeit kam es in zahlreichen Netzwerken im ganzen Land zu Ausfällen. Im März verzeichneten wir Ausfälle in Mariupol und anderen Städten, in denen Kämpfe stattfanden. Ende Mai kam es in Kherson zu einer längeren Internetunterbrechung, die damit zusammenfiel, dass AS47598 (Khersontelecom) begann, den Traffic über den russischen Netzbetreiber AS201776 (MIranda) zu leiten, anstatt über einen vorgelagerten ukrainischen Netzbetreiber. Und im Oktober unterbrachen weitverbreitete Stromausfälle die Internetverbindung in Charkiw, Lwiw, Kiew, den Oblasten Poltova und Zhytomyr. Diese und andere Ausfälle wurden in den Blogbeiträgen. Diese und andere Ausfälle wurden in den Blogbeiträgen zum vierteljährlichen Überblick über Internetstörungen sowie in mehreren anderen ukrainespezifischen Blogbeiträgen ausführlicher behandelt.
Adoption
Der Betrieb von Millionen von Websites und Anwendungen, auf die Milliarden von Menschen zugreifen, sowie die Bereitstellung eines branchenführenden Dienstes zur DNS-Auflösung bieten Cloudflare eine einzigartige Perspektive auf die Adoption von Schlüsseltechnologien und Plattformen. SpaceX Starlink war in diesem Jahr häufig in den Nachrichten, und wir haben einen 15-fachen Anstieg des Traffics von dem Satelliten-Internetanbieter beobachtet. Die Social-Networking-Plattform Mastodon war in diesem Jahr ebenfalls in den Schlagzeilen und stieß ebenfalls auf großes Interesse.
IPv6 wird immer wichtiger, da das Wachstum der vernetzten Geräte in den vergangenen zehn Jahren den verfügbaren IPv4-Adressraum erschöpft hat, aber die globale Adoption blieb im Laufe des Jahres bei 35 %. Und da die Zahl der Internetnutzer weiter zunimmt, nutzen viele von ihnen mobile Geräte als primären Zugang. Darum sehen wir uns auch die im Laufe des Jahres entstandenen Trends bei der Nutzung mobiler Geräte an.
Verstärkte Nutzung von Starlink
Internetkonnektivität über Satelliten im geostationären Orbit (GEO) gibt es schon seit einigen Jahren. In der Vergangenheit litten die Dienste jedoch unter hohen Latenzzeiten und langsameren Geschwindigkeiten. Allerdings hat der Start von SpaceX Starlinks Low Earth Orbit (LEO)-Satelliten-Internetdienstes im Jahr 2019 und die anschließende Erweiterung der Satellitenkonstellation haben jedoch an vielen Orten, die zuvor nicht oder nur unzureichend mit traditionellem kabelgebundenem oder drahtlosem Breitband versorgt waren, hochleistungsfähige Internetverbindungen verfügbar gemacht. Um das Wachstum der Nutzung und der Verfügbarkeit des Starlink-Dienstes nachzuvollziehen, haben wir das aggregierte Cloudflare Traffic-Volumen analysiert, das mit dem autonomen System des Dienstes (AS14593) 2022 verbunden ist. Obwohl Starlink noch nicht weltweit verfügbar ist, haben wir einen Anstieg des Traffics an einer Reihe von Standorten festgestellt. Das Anfragevolumen, das auf der Trendlinie in der Grafik zu sehen ist, stellt einen Durchschnitt über sieben Tage dar.
Die durch den Krieg in der Ukraine verursachten Schäden haben die herkömmliche kabelgebundene und drahtlose Internetverbindung seit Beginn der Invasion Ende Februar unterbrochen. Starlink machte in diesem Monat Schlagzeilen, nachdem das Unternehmen den Dienst innerhalb des Landes aktivierte und die erforderlichen Satelliten-Internet-Terminals in größerem Umfang verfügbar wurden. Cloudflare konnte den Starlink-Traffic bereits innerhalb weniger Tage deutlich bemerken, wobei das Volumen im Laufe des Jahres stetig zunahm.
Das latente Interesse an dem Dienst ist hoch. Auch an anderen Orten nahm der Traffic schnell zu, nachdem Starlink angekündigt hatte, dass der Dienst dort verfügbar sei. Ein solches Beispiel ist Rumänien, das in die Ankündigung von Starlink im Mai aufgenommen wurde. Nach der Ankündigung stieg der Starlink-Traffic in dem Land rasant an.
Und in den Vereinigten Staaten, wo Starlink den Dienst seit seinem ursprünglichen Launch erbringt, stieg der Traffic bis Ende November um mehr als das Zehnfache. Die im Laufe des Jahres angekündigten Serviceerweiterungen, wie die Möglichkeit, von in Bewegung befindlichen Fahrzeugen, Booten und Flugzeugen aus eine Internetverbindung zu erhalten, werden den Traffic in Zukunft wahrscheinlich weiter ansteigen lassen.
Das Interesse an Mastodon
Oben haben wir gezeigt, dass Mastodon in den vergangenen Monaten des Jahres 2022 stark an Beliebtheit gewann. Um besser zu verstehen, wie sich das Interesse an Mastodon im Jahr 2022 entwickelt hat, haben wir die aggregierten 1.1.1.1-Anfragedaten für die Domain-Namen analysiert, die mit den 400 wichtigsten Mastodon-Instanzen verbunden sind, und dabei das aggregierte Anfragevolumen nach Standort betrachtet. Das Anfragevolumen, das auf der Trendlinie im Diagramm zu sehen ist, stellt einen Durchschnitt über sieben Tage dar.
Obwohl das Interesse an Mastodon in den letzten Monaten des Jahres deutlich zugenommen hat, war dieses Interesse ungleichmäßig über die ganze Welt verteilt, da wir vielerorts wenig bis gar keinen Traffic verzeichnen konnten. Die Grafiken für diese Orte sind auf der „Das Jahr im Rückblick“-Website nicht aufgeführt. Da es Mastodon jedoch schon seit 2016 gibt, hat es sich in den letzten sechs Jahren eine Gruppe von Early Adopters aufgebaut, bevor dem Social Media-Netzwerk 2022 der große Durchbruch gelang.
Diese Early Adopters kann man auf globaler Ebene erkennen, denn wir sehen in den ersten neun Monaten des Jahres ein stetiges Volumen an Resolver-Traffic für die analysierten Domainnamen der Mastodon-Instanzen, wobei der Zeitpunkt des Anstiegs Ende April mit der Ankündigung zusammenfällt, dass Elon Musk eine Vereinbarung zur Übernahme von Twitter für 44 Milliarden Dollar getroffen hatte. Die Neigung der Grafik verschob sich im Oktober deutlich, als immer klarer wurde, dass die Übernahme bald abgeschlossen sein würde, wobei das Wachstum bis in den November hinein anhielt, nachdem die Übernahme abgeschlossen war. Dieses Wachstum ist wahrscheinlich auf eine Kombination aus bestehenden, aber inaktiven Mastodon-Konten, die wieder aktiv wurden, und einen Zustrom neuer Nutzer zurückzuführen.
Das Traffic-Muster in den Vereinigten Staaten scheint dem globalen Muster recht ähnlich zu sein, wobei der Traffic einer bestehenden Gruppe von Nutzern ebenfalls ab Ende Oktober massiv anstieg.
Obwohl das Kernstück der Mastodon-Software von einem in Deutschland lebenden Programmierer entwickelt wurde und die dazugehörige Organisation als deutsche gemeinnützige Organisation eingetragen ist, schien sie hier keinen großen Durchbruch zu erzielen. Das Abfragevolumen für Deutschland war den größten Teil des Jahres über relativ gering und begann erst Ende Oktober rapide anzusteigen, ähnlich wie in einer Reihe von anderen Ländern.
Adoption von IPv6
Obwohl es IPv6 schon seit knapp 25 Jahren gibt, hat es sich in dieser Zeit nur relativ langsam durchgesetzt. Da jedoch der verfügbare IPv4-Adressraum erschöpft ist und die Zahl der vernetzten und mobilen Geräte zunimmt, spielt IPv6 eine entscheidende Rolle für die Zukunft des Internets. Cloudflare bietet seinen Kunden bereits seit unserem ersten Geburtstag, 2011 die Möglichkeit, Inhalte über IPv6 bereitzustellen. Seither haben wir diese Unterstützung in mehrerlei Hinsicht weiterentwickelt. Die Analyse des Traffics zum Cloudflare-Netzwerk gibt uns Einblicke in die IPv6-Adoption im Internet.
Weltweit bewegte sich die Adoption von IPv6 das ganze Jahr über um die 35%-Marke, wobei das nominale Wachstum in der in der Grafik gezeigten Trendlinie ersichtlich ist. Es ist zwar ermutigend, dass eine von drei Anfragen nach „Dual-Stacked“-Inhalten über IPv6 erfolgt, aber diese Adoptionsrate zeigt auch deutlich, dass es noch Verbesserungsmöglichkeiten gibt.
Um die IPv6-Adoption für jeden Standort zu berechnen, haben wir die Reihe an Kundenzonen identifiziert, die im Jahr 2022 IPv6 aktiviert hatten (man bezeichnet dies auch als „dual stacked“, sprich die parallele Implementierung von IPv4 und IPv6) und teilten dann die tägliche Anzahl der Anfragen für die Zonen über IPv6 durch die tägliche Summe der IPv4- und IPv6-Anfragen für die Zonen, wobei in beiden Fällen der Bot-Traffic herausgefiltert wurde. Die in der Trendgrafik gezeigte Linie stellt einen Durchschnitt über sieben Tage dar. Für die Top-10-Grafik haben wir das durchschnittliche Ausmaß der Adoption von IPv6 auf monatlicher Basis pro Standort berechnet und dann die Standorte nach Prozentsatz geordnet. Die Grafik veranschaulicht das Ranking nach Monat und wie sich dieses Ranking im Laufe des Jahres verändert.
Ein Land, das diese Chance ergriffen hat, ist Indien, das das ganze Jahr über die höchste IPv6-Adoptionsrate verzeichnete. Nachdem die Adoptionsrate bis Juli bei über 70 % gelegen war, begann sie im Spätsommer leicht zu sinken und verlor in den folgenden Monaten ein paar Prozentpunkte.
Ein wichtiger Grund für Indiens Führungsrolle in diesem Bereich ist die IPv6-Unterstützung von Jio, Indiens größtem Mobilfunknetzbetreiber, der auch Glasfaser-Breitbandverbindungen bis in die Haushalte anbietet. Das Unternehmen begann Ende 2015 damit, die Einführung von IPv6 offensiv voranzutreiben. Mittlerweile ist ein Großteil der zentralen Netzinfrastruktur von Jio ausschließlich IPv6, während die Mobilfunk- und Glasfaserverbindungen für die Kunden sowohl IPv4 und IPv6 unterstützen.
Auf einem guten Weg sind auch die mehr als 60 Standorte auf der ganzen Welt, an denen sich die IP-Adoptionsraten in diesem Jahr mehr als verdoppelt haben. Einen der größten Zuwächse verzeichnete Georgien, das dank eines rasanten Wachstums im Februar und März bei Magticom, einem führenden georgischen Telekommunikationsanbieter, um mehr als 3.500 % zulegte und das Jahr mit einer Adoptionsrate von 10 % abschloss.
Viele der anderen Standorte in dieser Gruppe verzeichneten innerhalb kurzer Zeit ebenfalls große Zuwächse, was wahrscheinlich darauf zurückzuführen ist, dass ein lokaler Netzbetreiber für Nutzer die Unterstützung von IPv6 aktiviert hat. Die signifikanten Zuwächse in mehr als einem Viertel der untersuchten Standorte ist sicherlich ein positives Zeichen. Dennoch müssen wir feststellen, dass mehr als 50 dieser Standorte weniger als 10 % Adoptionsgrad aufweisen, wobei mehr als die Hälfte von ihnen deutlich unter 1 % bleibt, obwohl sich die Nutzung mehr als verdoppelt hat. Immer mehr Internetanbieter in aller Welt führen die IPv6-Unterstützung für ihre Nutzer ein oder verbessern sie. Allerdings ist bei vielen die Adoption gering oder gar nicht vorhanden, sodass sich hier in Zukunft noch viel tun wird.
Wie bereits erwähnt, hatte Indien bis 2022 den höchsten Grad an IPv6-Adoption. Was die übrigen Länder der Top-10-Liste anbelangt, so wechselten, Saudi-Arabien und Malaysia im Laufe des Jahres mehrmals die Plätze mit den zweit- und dritthöchsten Adoptionsraten von knapp 60 % bzw. rund 55 %. Die Vereinigten Staaten lagen im ersten Quartal am unteren Ende der Top-10-Liste, belegten aber im weiteren Verlauf des Jahres einen der hinteren Plätze. Belgien erwies sich als am beständigsten und belegte von März bis November den vierten Platz mit einer IPv6-Adoptionsrate von rund 55 %. Insgesamt waren 14 Länder zu irgendeinem Zeitpunkt des Jahres unter den Top-10 vertreten.
Nutzung von Mobilgeräten
Jedes Jahr werden die mobilen Geräte immer leistungsfähiger, vielerorts greifen Nutzer bereits in erster Linie über Mobilgeräte auf das Internet zu. Tatsächlich stellt in einigen Teilen der Welt der Internetzugang mit sogenannten „Desktop“-Geräten (zu denen auch Laptops gehören) die Ausnahme und nicht die Regel dar.
Die Analyse der Informationen, die in jeder Inhaltsanfrage enthalten sind, ermöglicht es uns, die Art des Geräts (mobil oder Desktop) zu klassifizieren, mit dem die Anfrage gestellt wurde. Um den prozentualen Anteil der Nutzung von Mobilgeräten nach Standort zu berechnen, haben wir die Anzahl der Anfragen von Mobilgeräten im Laufe einer Woche durch die Gesamtzahl der Anfragen in dieser Woche geteilt, wobei in beiden Fällen der Bot-Traffic herausgefiltert wurde. Für die Top-10-Tabelle haben wir die Standorte nach dem berechneten Prozentsatz sortiert. Die Grafik veranschaulicht das Ranking nach Monat und wie sich diese Platzierungen im Laufe des Jahres verändern..Ein Blick auf die Top-10-Tabelle zeigt, dass der Iran und der Sudan über weite Strecken des Jahres die ersten beiden Plätze innehatten, gefolgt vom Jemen im Januar und Mauretanien im November. Unterhalb der beiden Spitzenplätze sind jedoch im Laufe des Jahres erhebliche Schwankungen in den übrigen Top-10 zu beobachten. Diese Schwankungen konzentrierten sich jedoch auf eine relativ geringe prozentuale Spanne, wobei je nach Woche nur fünf bis zehn Prozentpunkte zwischen den Spitzenreitern und den Schlusslichtern lagen. Die Spitzenreiter verzeichneten im Allgemeinen 80-85 % des Traffics von mobilen Geräten, während die Schlusslichter 75-80 % des Traffics von mobilen Geräten verzeichneten.
Diese Analyse unterstreicht die Bedeutung der mobilen Konnektivität im Iran und verdeutlicht, warum die Anbieter von Mobilfunknetzen im September und Oktober Ziel von Internetsperren waren, wie oben beschrieben. (Und die Sperrungen erklären, warum der Iran nach dem September aus der Top-10-Liste verschwindet).
Sicherheit
Die Sicherheit im Internet zu verbessern, ist ein wichtiger Teil des Bestrebens von Cloudflare, ein besseres Internet zu schaffen. Dazu tragen wir etwa bei, indem wir die Webseiten, Anwendungen und Netzwerkinfrastruktur unserer Kunden vor schädlichem Traffic und Angriffen schützen. Böswillige Akteure nutzen regelmäßig eine Vielzahl von Techniken und Ansätzen, um ihre Angriffe zu starten. Deshalb haben wir eine Reihe von Produkten in unserem Portfolio an Sicherheitslösungen, die unseren Kunden Flexibilität im Umgang mit diesen Angriffen bieten. Im Folgenden erfahren Sie, wie wir Angriffe abwehren, welche Arten von Websites und Anwendungen angegriffen werden und woher diese Angriffe zu kommen scheinen. Durch die Übernahme von Area 1 Anfang 2022 erhalten wir außerdem Einblicke in die Herkunft bösartiger E-Mails. Die Analyse dieser Daten macht deutlich, dass es keine einheitliche Sicherheitslösung gibt, da Angreifer eine Vielzahl von Techniken einsetzen und häufig zwischen ihnen wechseln. Aus diesem Grund sollten CISOs und CIOs ein breites, aber flexibles Portfolio an Sicherheitslösungen parat haben.
Abwehrquellen
Je nachdem, wie ein Angreifer vorgeht und auf welche Art von Inhalten er abzielt, kann eine Abwehrtechnik einer anderen vorzuziehen sein. Cloudflare bezeichnet diese Techniken als „ Abwehrquellen“. Dazu gehören beliebte Tools und Techniken wie Web Application Firewall (WAF) und DDoS-Abwehr (DDoS), aber auch weniger bekannte wie IP-Reputation (IPR), Zugriffsregeln (Access Rules – AR), Bot-Management (BM), und API Shield (APIS). Indem wir uns die Verteilung der Abwehrquellen nach Standort ansehen, können wir besser verstehen, welche Arten von Angriffen von diesen Standorten ausgehen. Um den prozentualen Anteil des abgewehrten Traffics zu berechnen, der mit jeder Abwehrquelle nach Standort verbunden ist, haben wir die Gesamtzahl der täglichen abgewehrten Anfragen für jede Quelle durch die Gesamtzahl der abgewehrten Anfragen an diesem Tag geteilt. Der Bot-Traffic ist in diesen Berechnungen enthalten, da viele Angriffe von Bots ausgehen. Eine einzelne Anfrage kann durch mehrere Techniken abgewehrt werden, und hier betrachten wir die letzte Technik, die die Anfrage abgewehrt hat.
An vielen Standorten machten IP-Reputation, Bot-Management und Zugriffsregeln über das ganze Jahr hinweg einen kleinen Teil des abgewehrten Traffics aus, wobei das Volumen je nach Land variierte. An anderen Orten jedoch waren IP-Reputation und Zugriffsregeln für einen größeren Anteil des abgewehrten Traffics verantwortlich, was möglicherweise darauf hindeutet, dass an diesen Orten ein größerer Anteil des Traffics komplett blockiert wurde. In einer Reihe von Ländern stieg der abgewehrte DDoS-Traffic im Januar schnell und deutlich auf 80-90 % an, gefolgt von einem raschen Rückgang auf 10-20 %. In diesem Sinne waren die prozentualen Verschiebungen bei der DDoS-Abwehr und der WAF häufig sehr sprunghaft, mit nur gelegentlich anhaltenden Zeiträumen mit relativ konstanten Prozentsätzen.
Insgesamt waren DDoS-Abwehr und WAF die beiden am häufigsten verwendeten Techniken zur Angriffsabwehr. Der Anteil der ersteren war Mitte Januar mit fast 80 % weltweit am höchsten, während die letztere im Februar mit fast 60 % des abgewehrten Traffics ihren Höhepunkt erreichte. Eine Spitze bei der Nutzung von Zugriffsregeln ist im August deutlich zu erkennen, die mit ähnlichen Spitzen in den Vereinigten Staaten, Vereinigten Arabischen Emiraten und Malaysia zusammenhängt.
Obwohl Zugriffsregeln im August bis zu 20 % des abgewehrten Traffics aus den Vereinigten Staaten ausmachten, wurden sie im weiteren Verlauf des Jahres deutlich weniger genutzt. Die DDoS-Abwehr war die wichtigste Technik, um den Angriffs-Traffic aus den USA abzuwehren. Sie war im ersten Quartal für über 80 % des Traffics verantwortlich, nahm aber im August stetig ab. In ähnlicher Weise war WAF zu Beginn des Jahres nur für ~20 % des abgewehrten Traffics verantwortlich, aber dieses Volumen wuchs stetig und hatte sich bis August verdreifacht. Interessanterweise folgte die Zunahme der Nutzung von Zugriffsregeln auf ein schnelles Wachstum und einen ähnlich schnellen Rückgang der WAF. Dies könnte möglicherweise darauf hindeuten, dass gezieltere Regeln implementiert wurden, um die von der Web Application Firewall gegen Angriffe aus den USA angewandten Regeln zu ergänzen.
Zugriffsregeln und IP-Reputation wurden häufiger genutzt, um den aus Deutschland stammenden Angriffs-Traffic abzuwehren. Auch das Bot-Management wurde im Februar, März und Juni verstärkt eingesetzt. Mit Ausnahme der Zeiträume im Februar und Juli wurde jedoch der größte Teil des abgewehrten Traffics durch DDoS-Abwehr verursacht, die im Allgemeinen zwischen 60-80 % lag. Die WAF-Abwehr war im Februar mit 70-80 % des abgewehrten Traffics und im Juli mit rund 60 % eindeutig am wichtigsten.
Bei der Abwehr von aus Japan stammenden Angriffen gibt es einige bemerkenswerte Spitzen im Bot-Management. Im März war es kurzzeitig für mehr als 40 % des abgewehrten Traffics verantwortlich, und im Juni gab es eine weitere Spitze bei rund 20 %. Auch die Zugriffsregeln waren bis August mit etwa 5 % des abgewehrten Traffics konstant in der Grafik vertreten, in den folgenden Monaten jedoch etwas weniger. Bei der Bewältigung des Angriffs-Traffics aus Japan tauschten WAF und DDoS-Abwehr häufig die Positionen als größte Quelle des abgewehrten Traffics, obwohl es kein klares Muster oder einen offensichtlichen Rhythmus gab. Beide machten im Laufe des Jahres zeitweise bis zu 90 % des abgewehrten Traffics aus – WAF im Februar und DDoS-Abwehr im März. Die Phasen, in denen DDoS-Abwehr „dominierte“, waren tendenziell nachhaltiger und dauerten mehrere Wochen, wurden aber von kurzen WAF-Spitzen unterbrochen.
WAF-Regeln
Wie bereits erwähnt, wird die WAF von Cloudflare häufig eingesetzt, um Angriffe auf der Anwendungsebene abzuwehren. Es gibt Hunderte von individuell verwalteten Regeln, die von der WAF in Abhängigkeit von den Merkmalen der abgewehrten Anfrage angewendet werden können, aber diese Regeln lassen sich in mehr als ein Dutzend Typen gruppieren. Wenn wir die Verteilung der WAF-Regeln nach Standort betrachten, können wir die Techniken besser verstehen, die Angreifer von diesem Standort aus anwenden. (Versuchen die Angreifer zum Beispiel, SQL-Code in ein Formularfeld einzuspeisen oder ein veröffentlichtes CVE auszunutzen?). Um die Verteilung des von der WAF abgewehrten Traffics auf die verschiedenen Regeltypen für jeden Standort zu berechnen, haben wir die Anzahl der Anfragen, die im Laufe einer Woche von einem bestimmten WAF-Regeltyp abgewehrt wurden, durch die Gesamtzahl der von der WAF abgewehrten Anfragen in dieser Woche geteilt. Eine einzelne Anfrage kann durch mehrere Regeln abgewehrt werden. Wir betrachten hier die letzte Regel in einer Abfolge, die die Anfrage abgewehrt hat. Die Grafik zeigt, wie sich die Verteilung der abgewehrten Anfragen auf die ausgewählten Regeltypen im Laufe des Jahres verändert. Bot-Traffic ist in diesen Berechnungen enthalten.
Weltweit betrachtet enthielt in den ersten Monaten des Jahres etwa die Hälfte der von unseren verwalteten WAF-Regeln blockierten HTTP-Anfragen diverse HTTP-Anomalien, wie z. B. fehlerhafte Methodennamen, Null-Byte-Zeichen in Headern, nicht standardisierte Ports oder eine Inhaltslänge von 0 bei einer POST-Anfrage. In diesem Zeitraum machten die Regeln für „Directory Traversal“ und „SQL Injection (SQLi)“ jeweils etwas mehr als 10 % der abgewehrten Anfragen aus. Ab Mai begannen die Angreifer, ihre Vorgehensweise weiter zu variieren, da „Cross-Site-Scripting (XSS)“ und „File Inclusion“ jeweils auf über 10 % der abgewehrten Anfragen anstiegen, während HTTP-Anomalien auf unter 30 % fielen. Die Verwendung von Software-spezifischen Regeln stieg im Juli auf über 10 %, da Angreifer offenbar verstärkt versuchen, herstellerspezifische Schwachstellen auszunutzen. Die Regelsätze „Broken Authentication“ und „Command-Injection“ verzeichneten in den letzten Monaten ebenfalls eine Zunahme der Aktivität. Dies deutet darauf hin, dass Angreifer verstärkt nach Schwachstellen in Anmelde-/Authentifizierungssystemen suchen oder Befehle auf anfälligen Systemen ausführen, um sich Zugang zu verschaffen.
„HTTP Anomaly“ war die am häufigsten angewendete Regel, wenn man die Abwehraktionen auf globaler Ebene zusammenfasst. Allerdings gab es eine Reihe von Orten, an denen sie nur kurz oder gar nicht an erster Stelle stand, wie im Folgenden erläutert wird.
In Australien ausgehende Angriffe wurden von der WAF mit einer Reihe von Regelsätzen abgewehrt, wobei der am häufigsten verwendete Regelsatz in der ersten Jahreshälfte häufig wechselte. Im Gegensatz zur globalen Übersicht war HTTP Anomaly nur in einer einzigen Woche im Februar der am häufigsten eingesetzte Regelsatz, auf den etwas mehr als 30 % der Abwehreinsätze entfielen. Ansonsten wurden Angriffe am häufigsten mit den Regeln Software Specific, Directory Traversal, File Inclusion und SQLi abgewehrt, die im Allgemeinen 25-35 % der Abwehrmaßnahmen ausmachten. Dieses Muster änderte sich jedoch ab Juli, als Directory Traversal-Angriffe am häufigsten auftraten und dies auch im weiteren Verlauf des Jahres so blieb. Nach dem Höchststand im Juni wurden SQLi-Angriffe deutlich seltener und fielen schnell auf unter 10 % der abgewehrten Angriffe.
Die WAF-Abwehr von aus Kanada ausgehenden Angriffen durch die WAF zeigte ebenfalls ein Muster, das sich von dem globalen Muster unterschied. Obwohl der Regelsatz für HTTP-Anomalien zu Beginn des Jahres etwa zwei Drittel der abgewehrten Anfragen ausmachte, war es Ende Januar nur noch die Hälfte, und im weiteren Verlauf des Jahres kam es zu erheblichen Schwankungen. Bei der Abwehr von SQLi-Angriffen auf den australischen Traffic war ein entgegengesetztes Muster zu beobachten: Zu Beginn des Jahres lag der Anteil unter 10 % der abgewehrten Anfragen, stieg aber schnell an und machte im Laufe des Jahres mehrfach 60 % oder mehr des abgewehrten Traffics aus. Interessanterweise schienen SQLi-Angriffe aus Kanada in mehrwöchigen Wellen aufzutreten, wobei sie während dieser Wellen zum am häufigsten angewendeten Regelsatz wurden und dann für einen kurzen Zeitraum wieder zurückgingen.
Bei aus der Schweiz ausgehenden Angriffen wurde der Regelsatz für HTTP-Anomalien nie am häufigsten verwendet, obwohl er das ganze Jahr über unter den Top-5 blieb. Stattdessen wurden die Regeln für Directory Traversal und XSS am häufigsten verwendet und machten bis zu 40 % der Abwehraktionen aus. Directory Traversal stand am häufigsten an der Spitze, obwohl XSS-Angriffe im August am häufigsten vorkamen. SQLi-Angriffe verzeichneten Spitzenwerte im April, Juli/August und dann wieder Ende November. Auch der softwarespezifische Regelsatz verzeichnete im September ein deutliches Wachstum auf bis zu 20 % der abgewehrten Anfragen.
Zielkategorien
Eingangs haben wir erörtert, wie die Verteilung des Traffics auf eine Reihe von Kategorien einen Einblick in die Arten von Inhalten gibt, an denen Nutzer am meisten interessiert sind. Wenn wir eine ähnliche Analyse unter dem Gesichtspunkt der Abwehr durchführen, erhalten wir Einblicke in die Arten von Websites und Anwendungen, die am häufigsten von Angreifern ins Visier genommen werden. Um die Verteilung des abgewehrten Traffics auf die verschiedenen Kategorien für jeden Standort zu berechnen, haben wir die Anzahl der abgewehrten Anfragen für Domains, die einer bestimmten Kategorie zugeordnet sind, im Laufe einer Woche durch die Gesamtzahl der Anfragen geteilt, die dieser Kategorie während dieser Woche zugeordnet wurden. Die Grafik zeigt, wie sich die Verteilung der abgewehrten Anträge auf die einzelnen Kategorien im Laufe des Jahres verändert. (Die Summe der Prozentsätze ergibt daher nicht 100 %). Bot-Traffic ist in diesen Berechnungen enthalten. Der prozentuale Anteil des Traffics, der als Angriff abgewehrt wurde, variierte je nach Branche und Ursprungsort stark. An einigen Orten wurde ein nominaler Prozentsatz des Traffics über alle Kategorien hinweg abgewehrt, während an anderen Orten mehrere Kategorien zu verschiedenen Zeiten im Jahr 2022 Spitzen im abgewehrten Traffic aufwiesen.
Betrachtet man den gesamten Traffic auf globaler Ebene, so gab es im Laufe des Jahres erhebliche Unterschiede bei den Branchen, die im Verhältnis zu ihrem gesamten Traffic die meisten Angriffe verzeichneten. Im Januar und Februar hatten Websites aus dem Technologiebereich mit 20-30 % den größten Anteil an abgewehrten Anfragen. Dann wechselten verschiedene Kategorien an der Spitze hin und her, aber keine konnte sich länger als ein paar Wochen halten. Der größte Anstieg der Angriffe war Mitte April auf Reise-Websites gerichtet, als mehr als die Hälfte des Traffics in dieser Kategorie abgewehrt wurde. Zeitgleich mit dem Beginn der Fußball-WM 2022 in der letzten Novemberwoche verzeichneten Glücksspiel- und Unterhaltungsseiten den größten Anteil an abgewehrtem Traffic.
Bei aus dem Vereinigten Königreich ausgehenden Angriffen entfielen im Laufe des Jahres durchweg rund 20 % des abgewehrten Traffics auf Technologie-Websites. Wenn der Tech-Bereich damit nicht die Spitzenposition einnahm, lagen ein sechs andere Kategorien abwechselnd am ersten Platz. Reise-Websites erlebten zwei große Angriffswellen, wobei im April fast 60 % des Traffics abgewehrt wurden und im Oktober fast 50 %. Andere Kategorien, darunter Regierung & Politik, Immobilien, Religion und Bildung, hatten zu verschiedenen Zeiten im Jahr den größten Anteil am abgewehrten Traffic. Von Großbritannien ausgehende Angriffe auf Unterhaltungs-Websites nahmen Ende November sprunghaft zu, wobei Ende des Monats 40 % des Traffics abgewehrt wurden.
Ähnlich dem Trend auf globaler Ebene waren Technologie-Websites im Januar und Februar mit 30-40 % für den größten Anteil der abgewehrten Angriffe aus den Vereinigten Staaten verantwortlich. Danach verlagerten die Angreifer ihren Schwerpunkt auf andere Branchen. Mitte April wurden über 60 % der Anfragen von Websites aus der Reisebranche als Angriffe eingestuft. Ab Mai wurde jedoch der höchste Prozentsatz des Datenverkehrs auf Glücksspiel-Websites abgewehrt, der in der Regel zwischen 20-40 % lag, Ende Oktober/Anfang November jedoch auf bis zu 70 % anstieg.
Im Gegensatz dazu wurde 2022 ein deutlich geringerer Prozentsatz des Datenverkehrs in den untersuchten Kategorien aus Japan als Angriffe abgewehrt. In den meisten Kategorien lag der Anteil der abgewehrten Angriffe bei weniger als 10 %, obwohl zeitweise kurze Anstiege zu verzeichnen waren. Ende März stieg der Traffic auf Websites in der Kategorie Regierung & Politik kurzzeitig auf einen Anteil von fast 80 % an, während Websites aus dem Bereich Reisen einen Anteil von fast 70 % an den als Angriffe eingestuften Anfragen verzeichneten, ähnlich wie an anderen Orten. Ende Juni lag der Anteil der Angriffe auf Websites aus dem Bereich Religion bei über 60 %, und einige Monate später verzeichneten Websites aus dem Bereich Glücksspiel einen rapiden Anstieg des abgeschwächten Datenverkehrs auf knapp über 40 %. Diese auf Glücksspiel-Websites gerichteten Angriffe gingen dann einige Monate lang zurück, bevor sie im Oktober wieder aggressiv zunahmen.
Ursprung von Phishing-E-Mails
Phishing-E-Mails zielen letztlich darauf ab, die Nutzer hinters Licht zu führen, damit sie Angreifern und Angreiferinnen ihre Login-Daten für wichtige Websites und Anwendungen verraten. Auf Verbraucherseite kann es sich etwa um eine Handelsplattform oder eine Banking-App handeln, im Fall von Unternehmen um ein Quellcode-Repository oder Systeme zur Verwaltung von Angestelltendaten. Bei Kunden, die durch E-Mail-Sicherheit von Cloudflare Area 1 geschützt werden, können wir den Ursprung solcher Phishing-E-Mails ermitteln. Dafür nutzen wir die Geolokation von IP-Adressen. Gezählt werden nur E-Mails, die von Area 1 verarbeitet werden. Zur Erstellung der Top-10-Liste haben wir die Zahl der Phishing-E-Mails auf Wochenbasis pro Standort erfasst und dann ein Ranking der Standorte in Abhängigkeit vom Umfang der Phishing-E-Mails erstellt. Das Diagramm zeigt das Ranking für jede Woche und die Veränderung im Jahresverlauf an.
Ein Blick auf die Top-10-Liste zeigt, dass die meisten von Area 1 registrierten Phishing-E-Mails 2022 aus den Vereinigten Staaten kamen. Das Land hielt sich fast das gesamte Jahr über an der Spitze. Lediglich im November wurde es dort von Deutschland verdrängt. Bei allen anderen Ursprungsländern unter den Top-10 waren im Beobachtungszeitraum starke Schwankungen zu beobachten. Insgesamt tauchten 23 Staaten im verstrichenen Jahr mindestens einen Monat auf der Liste auf. Diese waren breit über Nord-/Mittel- und Südamerika, Europa und Asien verteilt, was zeigt, dass von keiner Weltregion eine größere Gefahr ausgeht als von einer anderen. Grundsätzlich allen E-Mails aus diesen Ländern zu misstrauen und sie zu blockieren, ist aus naheliegenden Gründen kaum praktikabel, doch eine zusätzliche Überprüfung kann dazu beitragen, Ihr Unternehmen und das gesamte Internet sicherer zu machen.
Fazit
Die Erkenntnisse aus unserem Bericht „Das Jahr im Rückblick“ kurz und knapp auf den Punkt zu bringen, ist immer eine Herausforderung, zumal sich dieser Blogbeitrag nur mit den Trends eines ganz kleinen Teils der fast 200 Standorte beschäftigt hat, die auf der Webseite visualisiert wurden. Wir wollen es jedoch trotzdem versuchen:
- Der Angriffs-Traffic ist ganz unterschiedlichen Ursprungs und nutzt vielfältige Verfahren, wobei sich die Ziele ständig ändern. Sie sollten sicherstellen, dass Ihr IT-Sicherheitsdienstleister ein umfassendes Angebot an Services abdeckt, die zum Schutz Ihrer Websites, Applikationen und Infrastruktur beitragen können.
- Weltweit müssen Internetprovider den Support für IPv6 verbessern. Es handelt sich inzwischen nicht mehr um eine „neue“ Technologie und der noch verfügbare IPv4-Adressraum wird sowohl schrumpfen als auch teurer werden. Daher muss IPv6-Support zum Standard werden.
- Staaten kappen zunehmend das Internet, um sowohl die interne als auch die externe Kommunikation einzuschränken. In einem?OpenElementBericht vom Mai 2022 stellen die Vereinten Nationen fest, dass „insbesondere pauschale Sperrungen grundsätzlich nicht akzeptable Auswirkungen im Hinblick auf die Menschenrechte haben und niemals durchgeführt werden sollten“.
Wir möchten die bereits in der Einleitung ausgesprochene Empfehlung bekräftigen, die Website zu „Das Jahr 2022 im Rückblick“ von Cloudflare Radar zu besuchen. So können Sie sich selbst ein Bild von den Trends der für Sie relevanten Standorte und Branchen machen, damit Sie überlegen können, welche Auswirkungen diese auf Ihre Firma haben und wie sich am besten für 2023 wappnen können.
Bei Fragen ist das Team von Cloudflare Radar für Sie da. Schreiben Sie einfach an [email protected] oder auf Twitter an @CloudflareRadar.
Danksagungen
An der Erstellung von „Das Jahr 2022 im Rückblick“ von Cloudflare Radar war eine große Zahl von Menschen beteiligt und wir möchten den Beitrag der Kolleginnen und Kollegen würdigen, die die Umsetzung des Projekts erst möglich gemacht haben. Vielen Dank an: Sabina Zejnilovic, Carlos Azevedo, Jorge Pacheco (Data Science), Ricardo Baeta, Syeef Karim (Design), Nuno Pereira, Tiago Dias, Junior Dias de Oliveira (Front End-Entwicklung), João Tomé (beliebteste Internetdienste) sowie Davide Marquês, Paula Tavares, Celso Martinho (Projekt-/Engineering-Management).