Früher hießen sie Parser, Crawler oder Robots. Bots ist die heute gebräuchliche Abkürzung für die kleinen Anwendungen, die automatisch Webanfragen oder Aktionen in Formularen ausführen. 2020 erzeugten sie bereits über 40 Prozent des Internet-Traffics. Gute Bots durchstöbern im Auftrag von Suchmaschinen das Netz. Sie füttern Google, Bing und Co und helfen dabei, dass Kunden deinen Shop und deine Website finden.

Böse Bots aber wollen spionieren, klauen, betrügen und täuschen. Cyberkriminelle setzen automatisierte Versionen der kleinen Helferprogramme ein, um auf Websites und an den Schnittstellen (API) zwischen Webanwendungen Daten abzugreifen. Oder sie missbrauchen Anwendungslogiken wie Anmelde-, Authentifizierungs- oder Zahlungsprozesse, um Identitäten zu kapern oder Waren- oder Zahlungsströme zu manipulieren. Mittlerweile gehen nach Analysen verschiedener Experten über 40 Prozent aller Anmeldeversuche von bösartigen Bots aus. Cybersecurity Ventures, ein weltweit führendes Forschungsunternehmen für die globale Cyberwirtschaft, hat berechnet, dass die weltweiten Kosten für Cyberkriminalität in den nächsten fünf Jahren um 15 Prozent pro Jahr steigen. Bis 2025 sollen sie bereits 10,5 Milliarden US-Dollar Schadenvolumen pro Jahr verursachen. Gegenüber dem Jahr 2015, in dem es nur drei Milliarden Dollar waren, ist das eine Steigerung von 250 Prozent. Diese Kosten beinhalten aber noch nicht den Reputationsverlust, der einen erfolgreichen Webshop auch schnell die komplette Existenz kosten kann.

Die Security-Teams von Webshops könnten mit ihren Tools natürlich den gesamten Bot-Traffic unterbinden. Aber damit schneiden sie sich ins eigene Fleisch. Denn die guten Helfer, beispielsweise von Suchmaschinen, zur Performance-Messung sowie von Preisvergleichsportalen, lenken Kunden in die eigenen Shops.

Die einzige Alternative ist daher, den Bot-Traffic kontinuierlich und in Echtzeit zu beobachten und mit fortschrittlichen Tools die Intention des Helfer-Programms zu erkennen. Denn bösartige Bots unterscheiden sich von ihren guten Vettern in ihrem Verhalten. Die schlechten Helfer führen automatisierte Anfragen in kurzen Zeitabständen mit unterschiedlichen Inhalten aus und erzeugen Auffälligkeiten. Sie überfluten Webshops und deren API und vor allem Login-Formulare mit Try-&-Error-Anfragen. Sie versuchen so lange mit unterschiedlichen Login-Daten den Zugriff zu erhalten, bis er gelingt.

Vier bösartige Bot-Absichten verbergen sich unter den Begriffen Content-Scraping, Kontoübernahmen (Account-Takeover), SQL-Injections und API-Missbrauch. Beim Content-Scraping klauen die Bots Inhalte, wie beispielsweise Produktbeschreibungen und Bilder, um sie auf Fake-Seiten zu verwenden. Anders als Bots von Suchmaschinen verwenden sie keine User-Agent-Strings wie robot.txt oder googlebot. Geklauter Content kann zur Herabstufung des eigenen Webshops im Google-Ranking führen und damit das Weihnachtsgeschäft verhageln. Noch gefährlicher sind jedoch die drei anderen Bot-Methoden, die sofort und nachhaltig einen Schaden für deinen Webshop oder deine Kunden verursachen.

Im Darknet können Cyberkriminelle heute Hunderte Millionen aktueller Kontodaten mit E-Mail-Adressen, Nutzernamen und Passwörtern kaufen. Mit diesen Zugangsdaten werden Bots auf Login- und Authentifizierungsformulare von Tausenden von Websites angesetzt. Dieser Vorgang wird Credential-Stuffing genannt. Und damit haben sie häufig Erfolg.

Denn viele Internetnutzer verwenden dieselben Zugangsdaten für verschiedene Webanwendungen. Anschließend sperren die Bots die legitimen Besitzer aus, indem sie die Passwörter ganz einfach ändern. Sie fangen das neue Passwort ab und können nun das Konto kapern. Mit den gefundenen Kontoinformationen wie Zahlungsmethoden und persönlichen Daten können sie die Identität des Kunden übernehmen und großen Schaden anrichten.

Security-Teams eines Webshops sollten deshalb die Authentifizierungsereignisse wie Logins, Kontoeinstellungen und Passwortzurücksetzungen permanent überwachen. Wenn Konten und Identitäten dann gekapert sind, fallen die Angreifer durch ungewöhnliche oder häufige Änderungen bei den Einstellungen auf. Dazu gehören: Adressänderungen, um bestellte Waren umzuleiten, sowie Änderungen der E-Mail-Adressen. Wenn die Häufigkeit solcher Aktionen zunimmt, sollten Security-Teams diese Konten einfrieren, bis die Identität des Nutzers erneut bestätigt werden kann.

Bei SQLI führen Bots meist über einen längeren Zeitraum auf Formularen und API automatisierte Scans durch, um Sicherheitslücken in der SQL-Programmierung aufzuspüren. Hat der Bot ein Schlupfloch gefunden, schleust er Datenbankbefehle in die Anwendung ein, um die Datenbank auszulesen, den Traffic mitzuschneiden, Daten zu verändern oder die Kontrolle über die Datenbank zu erlangen.

Ähnlich funktioniert auch der API-Missbrauch. Hier sondieren die Bots zunächst den Traffic einer öffentlich zugänglichen API, um personenbezogene Daten oder auch Kreditkarteninformationen abzufangen. Hierfür fälschen sie oft die Header-Funktionen, die beispielsweise die ursprüngliche IP-Adresse eines Nutzers identifizieren sollen. Die Marktforscher von Gartner schätzen, dass API-Missbrauch bis 2022 die häufigste Angriffsart auf Webanwendungen sein wird. Denn API sind unverzichtbar für moderne Web- und Cloud-Anwendungen, ohne die ein Webshop nicht mehr betrieben werden kann. Im gewöhnlichen Workflow übertragen sie zwischen einer Vielzahl von Systemen Daten für Finanztransaktionen, Bestands- und Preisinformationen. Ihre Integrität sollten die Security-Teams permanent und in Echtzeit überwachen.

Das sofortige Erkennen und Blockieren cyberkrimineller Aktivitäten ist eine zentrale Anforderung an Security-Teams und die von ihnen verwendeten Tools, wenn sie Hacker effektiv aufhalten wollen. Denn gerade im Weihnachtsgeschäft können sich Webshops Serviceunterbrechungen, Datenlecks und Kontensperrungen nicht leisten.

Für die Abwehr von Identitätsklau und API-Missbrauch ist absolute Transparenz erforderlich, wo und wie Cyberkriminelle die Anwendungen manipulieren. Um solche Erkenntnisse in Echtzeit zu gewinnen, nutzen viele Security-Teams Tools, mit denen sie die aktuellen Aktivitäten in ihren Anwendungen und aller Nutzer überwachen können. Damit sind sie in der Lage, den Kontext von Webanfragen zu analysieren. Sie überprüfen bestimmte Attribute in HTTP-Anfrage-Headern und Antworten oder detektieren eine ungewöhnliche Häufung von IP-Adressen aus dem Ausland. Einige Security-Teams setzen selbst-lernende KI-Algorithmen ein, die bösartige Bots von authentischen Nutzern unterscheiden und diese herausfiltern können. Auf der Grundlage von Analysen des legitimen Traffics können Security-Teams Parameter definieren, wie botgenerierte Anfragen identifiziert werden und wann Alarm geschlagen werden soll. So sind sie in der Lage, automatisierte Anmeldeversuche zu erkennen und zu unterbinden.

Mit einem solchen Bot-Traffic-Management gelingt der Kampf gegen Cyberkriminelle, ohne den gewünschten Traffic guter Bots und natürlich der Webshop-Kunden zu beeinträchtigen.