Über den Schutzbereich hinaus: Wie sich automatisierte Bedrohungen weiterentwickeln

In der digitalen Wirtschaft von heute sind nicht alle Bedrohungen auf den ersten Blick erkennbar. Manche tarnen sich als legitim – automatisierte Skripte, die Nutzer imitieren, Bots, die Geschäftsabläufe nachbilden, und KI-Agenten, die sich unauffällig in den normalen Datenverkehr einfügen. Diese Akteure missbrauchen keinen Code, sondern unser Vertrauen in gewohnte Abläufe. Ihre Waffe ist nicht Malware oder fehlerhafte Pakete, sondern die Absicht dahinter.

Führungskräfte im Sicherheits- und Risikomanagement (SRM) müssen sich auf eine neue Realität einstellen: Absicht ist die neue Bedrohung. Autonomer Datenverkehr, der auf den ersten Blick harmlos wirkt, kann gezielt so gesteuert werden, dass er erheblichen Schaden an Ihrem Geschäft anrichtet und dabei traditionelle Schutzmaßnahmen wie Web Application Firewalls (WAFs), Distributed Denial-of-Service-(DDoS-)Schutz und API-Gateways mühelos umgeht.

WAFs und DDoS-Schutz sind seit langem das Fundament der Anwendungssicherheit. Doch diese Werkzeuge wurden nie entwickelt, um Verhaltensnuancen zu erkennen. Sie beantworten Fragen wie „Was steht in dieser Anfrage?“ statt „Wer stellt sie?“ oder „Warum tun sie das?“

Die meisten WAFs basieren auf zwei Sicherheitsmodellen. Das negative Sicherheitsmodell (Denylist) blockiert Anfragen, die mit bekannten Angriffssignaturen übereinstimmen, während das positive Sicherheitsmodell (Allowlist) nur Anfragen erlaubt, die einem vorgegebenen Format entsprechen. Moderne WAFs schützen vor automatisierten Angriffen durch Funktionen wie IP-basierte Ratenbegrenzung, Geo-Filterung und verwaltete Regelsätze für bekannte schädliche Bots.

Moderne bösartige Bots umgehen diese Schutzmaßnahmen heute gezielt. Sie erzeugen Datenverkehr, der auf Protokoll- und Anwendungsebene legitim wirkt, und nutzen aus, dass sich die WAF auf den Nutzlastinhalt statt auf die Absicht des Nutzers konzentriert. Ein Bot, der Bestände in großem Umfang reserviert, benutzt etwa die „In den Warenkorb“-Funktion genau wie vorgesehen; ein Credential-Stuffing-Bot sendet einfach Anmeldeformulare, und ein Scraper-Bot fordert Web-Seiten an. Diese Handlungen verstoßen nicht gegen WAF-Signaturen, die auf das Abfangen von Code-exploitierenden Angriffen wie XSS oder Befehlsinjektionen ausgelegt sind. Deshalb fehlen der WAF architektonische Möglichkeiten, sie zu stoppen.

Im Kern dieses Problems liegt die „Kontextblindheit“. WAFs erkennen nur bösartige Muster, nicht die Hintergründe einer Anfrage. Sie können nicht feststellen: „Wer sendet die Anfrage?“ oder „Wie wird die Anwendung genutzt?“ Ein Bot kann einen Headless-Browser einsetzen, über einen Residential Proxy mit Missbrauchshistorie kommt und keine menschlichen Mausbewegungen zeigt – all das entgeht einer WAF.

DDoS-Schutzdienste wehren eine andere Art von Bedrohung ab: Angriffe mit hohem Volumen, die darauf ausgelegt sind, Ihre Infrastruktur zu überlasten. Sie stoppen groß angelegte Angriffe auf Anwendungsebene wie HTTP-Floods, indem sie Verkehrsmenge, -geschwindigkeit und -quelle genau analysieren.

Fortschrittliche Bots umgehen gezielt diese volumetrischen Schutzmaßnahmen. Im Gegensatz zu klassischen DDoS-Angriffen senden Bots syntaktisch korrekte und einzeln harmlose Anfragen, die zusammen jedoch kritische Ressourcen Ihrer Anwendungen erschöpfen können. Sie drosseln ihre Anfragen gezielt, um Erkennungsschwellen nicht zu überschreiten, und nutzen tausende unterschiedliche IP-Adressen, oft über Residential Proxies, sodass sie für klassische IP-Blockaden unsichtbar bleiben.

Heutige fortschrittliche Bots sind raffinierter und ausdauernder denn je. Sie bilden eine neue Kategorie automatisierter Bedrohungen – unauffällig, anpassungsfähig und wirtschaftlich getrieben. Indem sie knapp unter den Erkennungsschwellen operieren, umgehen sie die meisten traditionellen Schutzmaßnahmen.

Traditionelle Werkzeuge erfassen nicht die Verhaltens- und Kontextsignale, die böswillige Automatisierung entlarven. Sie schützen zuverlässig vor bekannten Bedrohungen, tun sich jedoch schwer mit Gegnern, die echten Nutzern täuschend ähnlich sind.

Autonomer Datenverkehr ist längst keine bloße Hintergrundkulisse mehr, sondern eine strategische Waffe. Bots und KI-Agenten, die menschliches Verhalten imitieren, lassen sich schwer erkennen und noch schwerer stoppen. Ihre Angriffe richten sich nicht nur gegen technische Ziele, oft haben sie wirtschaftliche Folgen:

• Credential Stuffing und Kontoübernahmen: Hartnäckige Bots injizieren in großem Umfang gestohlene Anmeldedaten in Login-Formulare. Jede Anfrage wirkt gültig, ist jedoch böswillig und führt zu Betrug, Datenverlust und Kundenverlust.
• Hamstern von Vorräten und Scalping: Bots reservieren oder kaufen sofort stark nachgefragte Artikel, erzeugen dadurch künstliche Knappheit und sorgen dafür, dass echte Kunden enttäuscht werden. Dadurch verlieren Sie Umsatz, Ihre Marke leidet und der Markt wird verzerrt.
• Web Scraping zur Wettbewerbsmanipulation: Konkurrenten setzen Bots ein, um Preise und Lagerbestände zu erfassen und dadurch Echtzeit-Unterbietungen zu ermöglichen. Generative KI hat die Häufigkeit von Scraping explosionsartig gesteigert, weil es große Sprachmodelle speist – und so eine anhaltende Bedrohung für digitales geistiges Eigentum darstellt.

Das sind keine Brute-Force-Angriffe. Bots, die sich unauffällig bewegen, führen gezielte Attacken auf Geschäftsprozesse durch.

Gartners Cybersicherheitstrends 2025  bestätigen diese Entwicklung. SRM-Führungskräfte sollten über den Perimeter hinausblicken und absichtsgeleitete, verhaltensorientierte Strategien übernehmen:

• 68 % der Sicherheitsverletzungen resultieren aus menschlichem Verhalten – inzwischen greifen Bots dieses Verhalten nach.
• Bis 2026 werden Organisationen, die generative KI mit verhaltensorientierten Sicherheitsprogrammen verbinden, 40 % weniger durch Mitarbeiter verursachte Vorfälle erleben.
• 85 % der identitätsbezogenen Sicherheitsvorfälle entstehen durch kompromittierte Maschinenidentitäten, die häufig Bot-Angriffe ermöglichen.

Absicht definiert die neue Grenze. Autonomer Datenverkehr stellt die neue Insider-Bedrohung dar.

Um raffinierten Bedrohungen wirksam zu begegnen, setzen wir auf eine mehrschichtige Verteidigungsstrategie, die über die reine Analyse des Datenverkehrs hinaus Verhalten, Kontext und Absichten versteht. Jede Schicht übernimmt dabei eine spezifische Aufgabe zur Erkennung und Abwehr unterschiedlicher Risiken:

• DDoS-Abwehr: Wir nehmen volumetrische und protokollbasierte Angriffe auf, die Ihre Infrastruktur überlasten sollen.
• Web Application Firewall (WAF): Blockiert bekannte Angriffe und stellt die korrekte Struktur der Anfragen auf Anwendungsebene sicher.
• API-Sicherheit: Wir schützen Interaktionen zwischen Maschinen durch Schemaüberprüfung, Frequenzkontrollen und Verhaltensmuster – unverzichtbar, da Bots immer gezielter APIs angreifen.
• Bot-Management: Wir analysieren das Verhalten, erkennen Absichten und stoppen automatisierte Aktionen, die legitime Nutzer oder Abläufe nachahmen.

Hier geht es nicht um Redundanz, sondern um Spezialisierung. Jede Ebene ist auf eine andere Art von Bedrohung zugeschnitten. Die letzte Ebene – das Bot-Management – prüft die Absicht, entlarvt Automatisierung und schützt Ihre Geschäftslogik vor Missbrauch.