CERT.at Jahresstatistiken 2017

CERT.at und GovCERT Austria führen im Zuge ihrer Arbeit umfangreiche Statistiken, die einen Überblick über die aktuelle Internet-Sicherheitslage Österreichs und die wichtigsten Daten des vergangenen Jahres ermöglichen. Auf diese wird in Folge eingegangen.

Das Team von CERT.at führt seit dem Jahr 2008 Gesamt-Jahresstatistiken. Diese beinhalten die Zahl der relevanten Reports, Incidents und Investigations (nachfolgend eingehend erklärt) sowie auch Fehlalarme. Über den gesamten Zeitverlauf – von 2008 bis 2017 – zeigt Abbildung 1 die Intensivierung der Arbeit von CERT.at zur kontinuierlichen Verbesserung der Cyber Sicherheit in Österreich.

Da CERT.at im Jahr 2017 einige Veränderungen in der automatisierten Verarbeitung von Informationen zu Infektionen vorgenommen hat, sind die Zahlen von 2017 nicht direkt mit jenen von 2016 vergleichbar.

Abbildung 1: CERT.at Jahresstatistik mit Übersicht über Reports, Incidents und Investigations im Zeitverlauf, Quelle: CERT.at

Die wichtigsten einzelnen Kennzahlen: Reports, Incidents und Investigations

"Reports" bezeichnen eingehende Meldungen an CERT.at. Nicht alle davon beschreiben einen Sachverhalt, der von CERT.at als relevanter Vorfall (Incident) eingestuft wird und eine aktive Behandlung erfordert. Typische Gründe für eine Beurteilung als irrelevanter Vorfall (Fehlalarm) sind etwa:

  • Meldungen zu Problemen, die bereits bereinigt wurden
  • Falschmeldungen von einfachen Suchalgorithmen
  • Mangelnde Zuständigkeit von CERT.at (z.B. die gemeldete IP-Adresse ist nicht in Österreich)
  • Generische Anfragen (etwa Konferenzeinladungen, Frage zu den Mailinglisten etc.)
  • E-Mail Irrläufer, Spam und automatische Antworten ("Autoresponder")

Abbildung 2 zeigt die relevanten Reports, die im Jahr 2017 an CERT.at gesendet wurden. Die Anzahl der Reports wird pro Monat angegeben und ermöglicht dadurch einen guten Jahresvergleich in den 15 größten, durch CERT.at behandelten Bedrohungskategorien. Im Schnitt waren es rund 1300 Meldungen pro Monat. Die großen Schwankungen zwischen den Monaten sind auf Umstellungen in der Verarbeitung von automatisierten Berichten zurückzuführen (siehe weiter unten). Die hohen Defacement- und Exploit-Packzahlen im Februar und März 2017 sind im Abschnitt Gehackte Webseiten in .at näher erläutert.

Abbildung 2: Klassifizierung der relevanten Reports nach Bedrohungsformen im Zeitverlauf, Quelle: CERT.at

Als "Incidents" werden jene Fälle eingestuft, die tatsächlich ein Sicherheitsrisiko darstellen. Bei diesen wird CERT.at aktiv und informiert beispielsweise betroffene Unternehmen, Organisationen oder PrivatanwenderInnen über IT-Sicherheitsbedrohungen und unterstützt in besonderen Fällen gegebenenfalls auch bei der Problemlösung.

Abbildung 3: Klassifizierung von Incidents nach Bedrohungsformen im Zeitverlauf, Quelle: CERT.at

Die Kontaktaufnahme mit den betroffenen Unternehmen, Organisationen oder PrivatanwenderInnen wird im CERT.at Ticketsystem als "Investigation" bezeichnet.

Abbildung 4 zeigt die Zahl der Investigations im Jahr 2017. Eine Investigation ist üblicherweise eine E-Mail an den Netzbetreiber, Webhoster oder Domaininhaber. CERT.at verschickt an einem typischen Tag rund 300 E-Mails. Da in vielen Incidents Daten zu mehreren Netzbetreibern enthalten sind, kommen auf einen Incident im Schnitt rund 16 Investigations.

Im Jahr 2016 war dieses Verhältnis mit acht Investigations pro Incident deutlich niedriger. Diese Steigerung ist zum Großteil auf eine im nächsten Abschnitt näher beschriebene Umstellung bei der Verarbeitung von automatisierten Berichten zu Sicherheitsvorfällen zurückzuführen. Da das neue System Incidents nicht mehr pro Quelle, sondern pro Kategorie erstellt, sinkt die Anzahl pro Tag drastisch, was auch in der Grafik zu den Incidents gut erkennbar ist. 2016 lag die durchschnittliche Anzahl der Incidents bei 900 pro Monat, ab April 2017 lag diese bei nur mehr 500.

Abbildung 4: Klassifizierung der von CERT.at durchgeführten Investigations nach Bedrohungsformen im Zeitverlauf, Quelle: CERT.at





<< Vorige Nächste >>