Bad Bot: Die Folgen des automatisierten Internet-Traffics für den Handel

In der zehnten Ausgabe liefert der „Bad Bot Report“ von Imperva neben aktuellen Zahlen zum automatisierten Internet-Traffic auch eine Übersicht zur Bot-Entwicklung der vergangenen Jahre sowie detaillierte Zahlen zu einzelnen Regionen und Branchen. Die Zahlen, die der aktuelle Bad Bot Report dabei liefert, sind teilweise alarmierend. So entfiel im Jahr 2022 fast die Hälfte des gesamten Internetverkehrs weltweit auf Bots (47,4 Prozent). Das entspricht einem Anstieg um 5,1 Prozent im Vergleich zum Vorjahr. Betrachtet man nur die Zahlen aus Deutschland, zeichnet sich kein besseres Bild ab. Hier verdoppelte sich 2022 der Wert im vergangenen Jahr fast – von 42,5 Prozent im Jahr 2021 auf nun 74,8 Prozent. Zwei Drittel des gesamten Internetverkehrs in Deutschland entfielen demnach auf Bots – damit ist Deutschland Spitzenreiter im globalen Vergleich.

Deutlicher Anstieg des Bad-Bot-Aufkommens in Deutschland

Eine zentrale Rolle beim Bot Aufkommen in Deutschland spielen dabei vor allem bösartige (Bad) Bots. Allein 68,6 Prozent des automatisierten Internet-Traffics entfielen 2022 auf solche Bad Bots. Das ist ein Anstieg von fast 30 Prozent im Vergleich zum Vorjahr. Bad Bots stellen dabei ein erhebliches Risiko für Unternehmen dar: Sie kompromittieren Konten, stehlen Daten und erhöhen das Spamaufkommen. Die Folgen sind höhere Infrastruktur- und Supportkosten sowie der Verlust von Nutzern und Kunden. Insgesamt gehen durch den automatisierten Angriff auf Webseiten, Infrastrukturen, APIs und Apps von Unternehmen jährlich Milliardenbeträge verloren.

Die restlichen 6,2 Prozent automatisierten Internetverkehrs in Deutschland entfielen derweil auf gutartige (Good) Bots – ein Anstieg um 3,3 Prozent gegenüber 2021. Doch anders als ihr Name vermuten lässt. Unterschätzt sollten diese „Good Bots“ nicht werden, denn auch sie können erhebliche Probleme hervorrufen. So verfälschen sie etwa Web- und Marketing-Analysen, was es für Unternehmen schwierig macht, fundierte Geschäftsentscheidungen zu treffen.

Von fortgeschrittenen Bots ist vor allem der Handel betroffen

Besonders stark von hochentwickeltem automatisiertem Traffic betroffen ist der deutsche Einzelhandel. Zwar entfielen 2022 lediglich 58,2 Prozent des Internetverkehrs im Handel auf Bots, 37,4 Prozent davon auf Bad Bots. Das ist unterer Durchschnitt in Deutschland. Doch vor allem der Anteil hochentwickelter und technologisch fortgeschrittener Bots ist in der Branche mit knapp 52 Prozent im Vergleich besonders hoch. 27,3 Prozent sind derweil auf einem mittleren technischen Niveau, 21,2 Prozent verfügen nur über sehr rudimentäre Funktionen. Zum Vergleich: In der Finanzbranche machen Bad Bots zwar 88,7 Prozent des gesamten Traffics aus. Allerdings ist dort nur knapp jeder zehnte Bot als hochentwickelt einzustufen.

Im Vergleich zum Vorjahr fällt der Bot-Traffic auf Websites von Lebensmittelproduzenten sowie Online-Einzelhändlern im Jahr 2022 etwas geringer aus, ist aber trotz allem noch hoch und kein Grund zur Entwarnung. Der leichte Rückgang ist vor allem darauf zurückzuführen, dass einerseits das Einkaufen im stationären Einzelhandel wieder beliebter geworden ist. Andererseits ist aber auch die Anzahl an Produkten mit begrenztem Angebot in Folge von Lieferengpässen und hoher Nachfrage wie Computer-Chips oder Spielekonsolen zurückgegangen.

Im Handel besonders häufig zum Einsatz kommen dabei vor allem das Price Scalping sowie das Vorenthalten von Lagerbeständen. Bei Price Scalping handelt es sich um das illegale Überwachen und Nachverfolgen von Preisinformationen. Und zwar mit dem Ziel, Konkurrenten zu unterbieten und den eigenen Absatz zu steigern. Weitere beliebte Betrugsmaschen, welche die Branche mithilfe von Bots vor teilweise erhebliche Probleme stellen, sind der Missbrauch von Gutscheinen und Kreditkartenbetrug.

Account Takeover mittels Bad Bot nimmt um 155 Prozent zu

Eine Gefahr durch Bad Bots, welche zwar vor allem für den stationären Einzelhandel weniger relevant ist, jedoch für den Onlinehandel umso mehr, sind Account Takeovers. 15 Prozent aller Login-Versuche auf Webseiten entpuppten sich 2022 branchenübergreifend als solche. Bei einem Account Takeover füllen (Bad) Bots mit Hilfe von aus Datenleaks erbeuteten Anmeldedaten Anmeldeformulare aus, bevor diese Leaks den Opfern überhaupt bekannt werden. Nutzer und Kunden verlieren so den Zugriff auf ihre eigenen Accounts. Zudem können die Bots die dort hinterlegten Daten einsehen und stehlen. Das stellt jedoch nicht nur ein Risiko für die Nutzer dar, sondern auch für Unternehmen. Denn neben einem erheblichen Reputationsschaden drohen ihnen auch empfindliche Strafen, da datenschutzrechtliche Anforderungen nicht eingehalten wurden.

Vor allem APIs sind Ziel von Bad Bots

Eines der Hauptziele von (Bad) Bots bei Cyberangriffen waren 2022 Programmierschnittstellen (APIs). So gingen allein 17 Prozent aller Angriffe auf APIs von Bad Bots aus. Abgesehen haben sie es dabei auf die Geschäftslogiken der Unternehmen: Bei einem solchen Angriff werden Schwachstellen im Design und in der Implementierung einer API oder Anwendung ausgenutzt, um Vorgänge zu manipulieren, sensible Daten zu stehlen oder sich illegal Zugang zu Benutzerkonten zu verschaffen. Generell liefen 35 Prozent der Kontoübernahmeangriffe im Jahr 2022 über eine API ab. Werden APIs programmatisch abgerufen, können Angreifer ihre Übernahmeversuche automatisieren, ohne aufzufallen.

Bad Bots: ein universelles Problem für alle Branchen

Der Handel ist jedoch nicht die einzige Branche in Deutschland, die durch den Einsatz von (Bad) Bots erheblichen Cyberrisiken ausgesetzt ist. So verzeichnen etwas das Finanz- und Bankwesen mit insgesamt 93,1 Prozent und die Gaming-Branche mit 93,2 Prozent die höchste Zahl an durch Bots generierten Traffic. Dabei handelt es sich vor allem in der Finanzbranche jedoch zumeist nicht um hochentwickelte, sondern insbesondere um Bots auf einem moderaten (59,8 Prozent) bis einfachen (30,5 Prozent) Niveau. Dem gegenüber kann jedoch z. B. in der Reise- sowie der Computer und IT-Industrie Gegenteiliges beobachtet werden. Beide Branchen weisen lediglich eine mittlere Zahl an Bot-Traffic auf (37,3 bzw. 56,6 Prozent). Was jedoch die Entwicklung der Bots betrifft, sind in der Reise- (85,1 Prozent), Computer- und IT-Branche (54,3 Prozent) besonders viele hochentwickelte aktiv. 

Ausgefeilter Schutz vor Bots ist unerlässlich

Der aktuelle Bot-Bericht zeigt: Die Gefahr durch automatisierten Traffic im Internet ist in den letzten Jahren kontinuierlich gestiegen und quasi keine Branche ist vor ihr sicher. Da sich vor allem im Einzelhandel immer mehr Transaktionen ins Internet verlagern, gilt das in Zukunft auch immer stärker für die Handelsbranche. Zwar bewegt sich die schiere Zahl an Bots in diesem Bereich in Deutschland vergleichsweise noch auf einem mittleren Niveau. Doch die steigende Qualität der Bots bietet keinen Anlass für Entwarnung.

Unternehmer und Anbieter von Onlineshops müssen daher verstärkt darauf achten, ihre Anwendungen vor Missbrauch und Angriffen durch Bots zu schützen. Neben Sicherheitsmaßnahmen wie regelmäßige Schulungen der Mitarbeitenden und Sicherheitsüberprüfungen schützen vor allem Security-Tools wie Bot-Protection- und API Security-Lösungen Unternehmen und ihre Anwendungen vor ausgeklügelten Bot-Angriffen und helfen dabei, Risiken zu minimieren. (sg)

Über den Autor: Stephan Dykgers ist AVP DACH bei Imperva. Imperva ist Anbieter digitaler Sicherheitslösungen, um Daten und Zugriffswege in Organisationen abzusichern. Hierbei werden alle digitalen Bereiche – von der Geschäftslogik über APIs und Microservices bis hin zur Datenebene geschützt. Mit einem integrierten Ansatz, der Edge-, Anwendungs- und Datensicherheit kombiniert, schützt Imperva Cloud-native Start-ups bis hin zu Konzernen mit hybrider Infrastruktur. (sg)

Lesen Sie auch: Online-Betrug: So gelingt Prävention im Bezahlprozess