Thought Leadership
Traffic-Peaks, die nach Nachfrage aussehen, aber kaum Umsatz bringen. Server unter Stress, APIs im Visier automatisierter Angriffe. Moderne Bots agieren leise, verteilt und täuschend echt.
Kürzlich läutete der Black Friday die umsatzstarke „Cyber Week“ im Einzelhandel ein. Die Erwartungen waren hoch: Der Handelsverband Deutschland (HDE) rechnete allein für Black Friday und Cyber Monday mit Einnahmen von rund 5,8 Milliarden Euro.
Auch die Konsumentenstimmung zeigte nach oben: Laut Bitkom wollten 69 Prozent der Käufer ausschließlich online einkaufen und im Schnitt 312 Euro ausgeben. Doch hinter den erwarteten Rekordzahlen verbirgt sich 2025 ein neues Phänomen: Ein immer größerer Teil des vermeintlichen Ansturms stammt nicht von echten Käuferinnen und Käufern, sondern von Bots, Skripten und KI-gesteuerten Agenten. Was in den Dashboards vieler Händler nach Wachstum aussieht, ist häufig automatisierter Traffic – mit erheblichen Folgen für Performance, Sicherheit und Geschäftsprozesse.
Das Web gehört den Maschinen: Eine Verschiebung der Macht
Zum ersten Mal seit über einem Jahrzehnt haben Bots den Menschen überholt: Neben dem Bad Bot Report 2025 zeigen die Daten aus dem Link11-Netzwerk, dass inzwischen mehr als die Hälfte des gesamten Webverkehrs von automatisierten Systemen stammt.
Dabei ist der Anteil bösartiger Bots gestiegen und liegt insgesamt mittlerweile bei 37 Prozent. Auf Retail-Seiten tummeln sich besonders viele der „Bad Bots“. Im vergangenen Jahr stammten bereits 33 Prozent des Webtraffics auf Retail-Seiten von bösartigen Bots. In diesem Jahr dürfte der Wert auf nahezu 40 Prozent steigen.
Händler sehen Traffic-Peaks, die wie Nachfrage aussehen, aber kaum Umsatz erzeugen und gleichzeitig Systeme unter Stress setzen. Dabei steht nicht nur der Einzelhandel im Zentrum der Bot-Angriffe.
Die stille Last: Wie Bots Ressourcen leise binden
Hinter den vermeintlich gesunden Wachstumszahlen verbirgt sich oft eine unsichtbare Belastung. Ein Link11-Beispiel illustriert, wie subtil moderne Bot-Angriffe agieren:
Innerhalb weniger Wochen stieg die Zahl der Unique IPs von 2.000 auf bis zu 8.000, während Bandbreite und Request-Volumen kaum messbar zunahmen. Wie ist das möglich?
Die Antwort liegt im raffinierten Verhalten der Bots: Sie laden lediglich das HTML der Seite und ignorieren alle ressourcenintensiven Elemente wie Bilder, Skripte oder Medien. Das Ergebnis ist ein hohes Aufkommen kurzlebiger Sessions mit minimaler Datenrate. Für die Infrastruktur entsteht der Eindruck einer Vielzahl echter, aber inaktiver Besucher. Diese vielen Verbindungen belasten jedoch die Server massiv, verursachen höhere Latenzen und Störungen in den Anwendungen – eine lautlose, aber reale Ressourcenbindung.
API-Driven Business: Die größte Schwachstelle
Das eigentliche Problem sitzt tiefer: Moderne, verteilte Architekturen basieren stark auf APIs. Ob Login, Suche, Warenkorb oder Datenabfrage – APIs sind die zentralen Schnittstellen jedes digitalen Angebots. Gerade ihre Geschwindigkeit und Flexibilität machen sie zum bevorzugten Angriffsziel. Laut Gartner werden APIs bald für rund 80 Prozent des Webtraffics verantwortlich sein.
Ein Angriff zielt daher längst nicht mehr nur auf die sichtbare Webseite, sondern direkt auf die darunterliegende Geschäftslogik. Ein einzelner, scheinbar legitimer API-Request an einen kritischen Endpunkt kann Prozesse blockieren oder Daten verfälschen, ohne dass dies auf dem Frontend bemerkt wird. Für Gartner ist eindeutig: Bis 2027 wird fast die Hälfte aller Unternehmen hochentwickeltes Bot-Management benötigen, und der Großteil der API-Security wird in WAAP-Plattformen (Web Application & API Protection) wandern.
Die Grenzen der WAF
Klassische Sicherheitsmechanismen (WAFs, IP-Filter) wurden für eine Ära der lauten, volumetrischen oder signaturbasierten Angriffe konzipiert. Die heutigen Angriffsmuster sind leise, verteilt und adaptiv. Adaptive Bots imitieren Browser, lösen Captchas und nutzen Generative KI, um kontextsensitiver und somit schwerer detektierbar zu sein. Sie bewegen sich im Bereich „legitimer“ Requests, um Logins oder Suchfunktionen gezielt zu überlasten.
WAAP: Verhaltensanalyse als technologischer Wendepunkt
Die Antwort auf die neue, subtile Bedrohungslandschaft lautet WAAP (Web Application & API Protection). Gartner etablierte diesen Begriff als die konsequente Weiterentwicklung der klassischen WAF.
WAAP ist mehr als ein Upgrade: Es ist ein paradigmatischer Wandel. Der Fokus verschiebt sich von statischer Mustererkennung zur verhaltensbasierten Echtzeitanalyse. Statt nur die Herkunft zu prüfen, betrachten WAAP-Lösungen den Traffic ganzheitlich, identifizieren maschinelle Muster und stoppen präzise Layer-7-Angriffe, lange bevor sie volumetrische Spitzen erreichen. Denn moderne Bedrohungen fallen nicht durch ihre Größe, sondern durch ihre Präzision auf. WAAP markiert einen technologischen Wendepunkt: weg von reaktiver Abwehr, hin zu dynamischer, kontextsensitiver Echtzeitanalyse.
Solange der automatisierte Verkehr wächst und KI-basierte Bots immer menschenähnlicher agieren, wird die Fähigkeit, zwischen echten und künstlichen Interaktionen zu unterscheiden, zur Kernkompetenz moderner Cybersicherheit. Unternehmen, die diese Entwicklung frühzeitig erkennen, stärken nicht nur ihre Resilienz, sondern auch die Stabilität ihrer digitalen Geschäftsmodelle.
(lb/Link11)
