Die Bots sind los: Warum Webserver-Schutz neu gedacht werden muss
/ News & Trends - Zurück zur Übersicht
Kundenserver, die plötzlich nicht erreichbar sind. Ladezeiten, die ohne Vorwarnung in die Höhe schießen. Wir sprechen hier nicht von klassischen Hackerangriffen, sondern von dem stillen, permanenten Druck hunderter Bots, die gleichzeitig anklopfen. Was früher die Ausnahme war, ist heute das neue Normal.
Überlast im Online-Shop
Über praktisch alle Projekte und Server hinweg beobachten wir seit Monaten dasselbe Bild: eine schleichende, aber konstante Überlastung durch automatisierten Traffic. Dabei lassen sich zwei klare Muster unterscheiden:
- KI-Bots, die mit der Tür ins Haus fallen: Crawler von OpenAI, Google, Anthropic & Co. identifizieren sich zwar offen, ignorieren aber Crawling-Regeln und Serverauslastung vollständig. Allein GPTBot generierte laut Vercel innerhalb eines einzigen Monats 569 Millionen Requests im Netzwerk – ein konkreter Beleg für die Last, die KI-Crawler auf Servern verursachen. [Search Engine Journal, 2025]
- Anonyme Request-Wellen: Generierte User-Agents, keine erkennbare Herkunft, kein legitimes Nutzungsmuster. Diese Anfragen kommen in koordinierten Wellen und sind gezielt auf maximale Ressourcenauslastung ausgelegt.
- Auffällige Herkunft: Ein Großteil der Anfragen stammt aus Asien (China, Singapur, Hongkong, Vietnam) – teils aber auch gestreut über globale IPs, was auf den Einsatz von Botnetzen hindeutet.
- E-Commerce im Visier: Die Architektur von E-Commerce-Systemen macht sie anfällig für Überlastung. Schon wenige parallele Bot-Anfragen reichen aus, um echte Nutzer:innen auszubremsen oder den Server in die Knie zu zwingen.
Die Zahlen hinter dem Problem
Diese Muster sind kein Zufall. Das öffentliche Internet besteht heute zu einem erheblichen Teil aus automatisierten Clients – die Datenlage ist hier eindeutig:
Laut dem Imperva / Thales Bad Bot Report 2026 (Datenbasis 2025) entfallen mittlerweile 53 % des gesamten Internet-Traffics auf automatisierte Clients. Davon sind 40 % „Bad Bots“ und 13 % gutartige Automatisierungen. Besonders krass: Die KI-getriebene Bot-Aktivität hat sich innerhalb von 2025 um das 12,5-Fache gesteigert. Täglich blockierte Requests stiegen von 2 Millionen auf 25 Millionen. Menschlicher Traffic ist damit zur Minderheit geworden. [Imperva / Thales, 2026]
Bereits der Vorjahresbericht markierte einen Wendepunkt: Erstmals überstieg automatisierter Traffic den menschlichen Anteil. Akamai kommt in seinem Report „Scraping Away Your Bottom Line“ zu ähnlichen Ergebnissen: Bots stellen 42 % des Web-Traffics, wobei zwei Drittel bösartig sind. Besonders alarmierend: E-Commerce ist die am stärksten betroffene Branche – also genau das Umfeld, in dem Plattformen wie Magento und Shopware zu Hause sind. [Akamai SOTI, 2024]
Cloudflare Radar bestätigt diesen Trend: Der Anteil von GPTBot am gesamten Crawler-Traffic stieg innerhalb eines Jahres von 4,7 % auf 11,7 %. [Cloudflare Radar, 2025]
Warum das bisherige Sicherheitsmodell versagt
Das klassische Modell lautet implizit: „Alle dürfen rein – und falls nötig, sperren wir punktuell.“ Man setzt auf Blocklists für IPs oder filtert verdächtige User-Agents.
Dieses Modell hat ein fundamentales Problem: Es ist reaktiv. Es setzt voraus, dass schlechter Traffic erkannt wird, bevor Schaden entsteht. Moderne Bots unterwandern genau diese Schwelle – sie sind langsam genug, um keine Rate-Limits auszulösen, aber zahlreich genug, um in der Summe Überlast zu erzeugen.
Für ressourcenintensive Plattformen wie Magento bedeutet das: Schon ein paar Dutzend gleichzeitige Bot-Anfragen sorgen für spürbare Ausfälle. Die Leidtragenden sind am Ende die zahlenden Kund:innen.
Das geographische Muster
Die regionale Häufung deutet auf koordinierte Infrastrukturen wie Rechenzentren oder VPNs hin, mit denen Scraping günstig und skalierbar betrieben wird.
Gleichzeitig weisen gestreute globale IPs auf den Einsatz von Residential-Proxy-Netzwerken hin. Dabei handelt es sich um kompromittierte Endgeräte privater Nutzer:innen weltweit, die als Anonymisierungsschicht dienen. Die Forschung zeigt, wie weitverbreitet dieses Ökosystem ist: Diese Proxies werden über manipulierte Apps oder infizierte IoT-Geräte rekrutiert – oft ohne Wissen der Eigentümer:innen. [Yang et al., 2024]
Ein aktuelles Beispiel ist das Aisuru-Botnet, das Millionen infizierter Geräte (v. a. Android-TVs) für LLM-Scraping vermietet. [Cloudflare, 2025] IP-basiertes Blocking allein schützt hier nicht mehr. Für jede gesperrte IP stehen hunderte andere bereit, die als legitime Haushalts-IPs getarnt sind.
Der notwendige Paradigmenwechsel
Aus unserer Sicht ist der Status quo das neue Normal. Wer darauf wartet, dass das Problem von selbst verschwindet, wird enttäuscht. Die einzig nachhaltige Antwort ist ein grundlegend anderes Denkmodell: Von „Open by Default“ zu „Suspect by Default“.
Dieses Prinzip hat eine solide Grundlage im Zero Trust-Konzept (NIST SP 800-207): Kein implizites Vertrauen aufgrund des Standorts. Jede Verbindung muss kontinuierlich verifiziert werden. Übertragen auf das Web heißt das: Der Server antwortet nicht einfach jedem, sondern prüft erst, ob der Client menschlich oder ein legitimes System ist. [NIST, 2020]
Technische Schutzmaßnahmen
1. Edge-seitiger Challenge-Layer
Der wirksamste Filter liegt vor dem eigentlichen Webserver – auf Edge-Ebene (z. B. Cloudflare, Fastly). Cloudflare wehrte allein in Q1 2025 bereits 20,5 Millionen Angriffe ab – fast so viel wie im gesamten Jahr 2024. [Cloudflare, 2025]
2. JavaScript-Challenge, Browser-Fingerprinting und Proof-of-Work
Moderne Abwehr fragt nicht nach der IP, sondern: „Verhält sich dieser Client wie ein echter Browser?“
- JS-Challenges: Zwingen den Client zur Ausführung von JavaScript – eine Hürde für einfache Bots.
- Fingerprinting: Techniken wie Canvas-Fingerprinting erzeugen ein Profil des Browsers, das selbst bei gefälschten User-Agents erkennbar bleibt.
- AI Labyrinth: Ein kreativer Ansatz von Cloudflare (März 2025), der KI-Crawler nicht blockt, sondern in ein Netz aus Dummy-Seiten lockt. Das kostet den Angreifer Rechenzeit, ohne Nutzen zu stiften. Ziel: Den Aufwand für den Angreifer so hoch treiben, dass es sich nicht mehr lohnt.
3. Whitelist für legitime Systeme
Nicht jeder automatisierte Client ist ein Feind. Payment-Provider (Stripe, PayPal, Klarna) oder Monitoring-Dienste müssen zuverlässig passieren können. Eine saubere Whitelist stellt sicher, dass dein Geschäftsbetrieb reibungslos läuft.
4. Bot-Score-basiertes Routing
Statt „erlaubt“ oder „geblockt“ nutzen wir Bot-Scores für differenziertes Routing: Wahrscheinliche Bots landen in einer Challenge, eindeutig legitime Clients passieren ohne Reibung.
5. Geo-basiertes Risiko-Scoring – kein blindes Blocking
Geografische Häufungen sind ein Signal, aber kein Ausschlusskriterium. Blindes Länder-Blocking trifft oft auch echte Kund:innen und lässt sich durch Proxy-Netze leicht umgehen. Wir setzen daher auf die Kombination verschiedener Signale.
6. Crawl-Budget-Kontrolle für KI-Bots
KI-Crawler lassen sich über die robots.txt regulieren. Wenn kein Mehrwert durch die Indexierung in KI-Systemen erwartet wird, ist eine explizite Steuerung oder Blockierung eine valide Option, um Ressourcen zu sparen.
Magento, Shopware und Shopify
Magento / Adobe Commerce: Bekannte Schwächen
Magento ist aufgrund seiner Architektur ein bevorzugtes Ziel. Sicherheitsforscher von Sansec zeigten, dass nach Bekanntwerden der Schwachstelle CVE-2025-54236 innerhalb von nur vier Tagen 49 % aller Magento-Shops kompromittiert wurden. [Sansec, 2025] Bots scannen das Netz automatisiert nach ungepatchten Versionen. Bot-Schutz und Patch-Management sind hier zwei Seiten derselben Medaille.
Shopware: API-Exposition als Risiko
Shopware 6 ist als API-first-Plattform konzipiert. Das ist toll für uns Entwickler:innen, bietet aber auch Angriffsfläche. Mehrere kritische Lücken betrafen genau diese Schicht. Zudem ermöglichen manche Versionen Account-Enumeration (Prüfen von E-Mail-Adressen), was die Basis für Credential-Stuffing-Angriffe ist. Regelmäßige Updates sind hier Pflicht. [Shopware CVE, 2024]
Shopify: Plattformsicherheit ≠ Store-Sicherheit
Shopify ist infrastrukturell gut abgesichert, aber auf der Anwendungsebene gibt es Gefahren:
- Credential Stuffing: Massenhaftes Testen gestohlener Logins.
- Inventory Hoarding: Bots reservieren Lagerbestände in Millisekunden und blockieren echte Käufer:innen. Beim BFCM 2025 verarbeitete Akamai 11,8 Milliarden Bot-Requests – ein Anstieg von 79 % zum Vorjahr. [Akamai, 2025]
- Price Scraping: Bots kopieren Preise und Inhalte in Echtzeit für die Konkurrenzanalyse.
- Carding-Angriffe: Automatisiertes Testen gestohlener Kreditkarten führt zu teuren Chargebacks.
Wer nichts ändert, zahlt den Preis
Die Bot-Last wird nicht abnehmen. Die ENISA stuft Bot-getriebene Angriffe mittlerweile als die häufigste Bedrohung überhaupt ein. [ENISA, 2024]
Der Wechsel zu „Suspect by Default“ ist keine Option, sondern die notwendige Antwort auf eine veränderte digitale Realität. Unser Ziel ist es, das Kosten-Nutzen-Verhältnis für Angreifer so zu verschlechtern, dass dein Shop für sie schlichtweg uninteressant wird.
Unser Vorschlag
Lass uns gemeinsam schauen, wie wir deinen Server „zukunftsfähig“ absichern können. Wir bringen Struktur in deine Sicherheitsstrategie, damit du dich auf das konzentrieren kannst, was zählt: dein Business.
