Bots werden zur Vorstandssache: Wie bösartige Bots sich negativ auf Bilanzzahlen auswirken

Automatisierte Bot-Angriffe können auch direkt zu finanziellen Verlusten und entgangenen Geschäftschancen beitragen:

• Verlust des Kundenvertrauens nach einer Kontoübernahme: Kunden sind zu Recht unzufrieden, wenn die unzureichende Bot-Abwehr eines Unternehmens zu Kontoübernahmen (ATO) und kostspieligen betrügerischen Aktivitäten führt. Die Folgen sind ein Sinken der Kundenzufriedenheit, ein beschädigter Ruf und die Beendigung von Geschäftsbeziehungen. Mehr als ein Viertel der befragten US-amerikanischen Verbraucher gaben an, dass sie die Bank wechseln würden, wenn sie mit der Reaktion der Bank auf einen sie betreffenden Betrugsfall unzufrieden wären. 
  
• Zunehmende Verluste aufgrund von Betrug und Rückbuchungen: Bot-gesteuerte Kontoübernahmeangriffe und die betrügerische Erstellung von Konten wirken sich auf die Bilanzzahlen aus, wenn Kriminelle gestohlene Anmeldedaten verwenden, um Einkäufe zu tätigen oder gefälschte Konten einzurichten. Rückbuchungen schaden dem Ruf des Händlers bei Kreditkartenanbietern und führen zu Rückbuchungsgebühren.
  
• Steigende Arbeitskosten: Bot-Angriffe wie Credential Stuffing, die zu Kontoübernahmen führen, machen Untersuchungen durch Betrugsanalytiker erforderlich, denen dadurch weniger Zeit für wichtigere gründliche Prüfungen bleibt. Selbst wenn es Credential Stuffing-Bots nicht gelingt, ein Konto zu übernehmen, verursachen sie oft Kontosperrungen, indem sie in kurzer Folge zahlreiche Passwörter ausprobieren. Dies wiederum zwingt Kunden, den Support anzurufen, was die Supportkosten mit jedem Anruf steigen lässt.
  
• Verzerrung der Anlegerbewertungen: Wenn die Bewertung eines börsennotierten Unternehmens von der Anzahl der Follower, Nutzer oder Aufträge abhängt, können vorhandene nicht-menschliche Bot-Konten die Bewertung dramatisch verzerren. So beherrschten beispielsweise die jüngsten Versuche, eine genaue Bewertung von Twitter anhand der Anzahl der von Menschen und nicht von Bots betriebenen Konten zu erreichen, die Nachrichten im Jahr 2022. 
  
• Verwechslung von Bots mit Menschen und umgekehrt durch unzuverlässige Bot-Abwehr-Lösungen: Durch unzureichende Maßnahmen zur Abwehr von Bots kommt es zu solchen Fehlern, die jedoch eingedämmt und verhindert werden müssen. Fehlalarme (wenn ein Bot Management-Tool einen echten Menschen für einen Bot hält) und „falsch negative“ Fälle (wenn das Tool einen Bot als Menschen einstuft) wirken sich sowohl auf den Umsatz als auch auf den Gewinn aus. Im einen Fall verlieren Sie Kunden, im anderen Fall erleiden Sie wirtschaftliche Verluste durch Betrug. Tatsächlich kann ein Fehlalarm, der einen strategischen Kunden daran hindert, eine Überweisung zu tätigen, für eine Bank schädlicher sein als eine falsch negative Einstufung, die zu Betrug oder Rückbuchungen führt. Beide Situationen machen zudem die Inanspruchnahme der Zeit und Arbeit eines Betrugsanalytikers erforderlich, der den Fall untersuchen muss.
  
• Unzureichender Schutz von Verbraucherdaten: Rechtsvorschriften und Normen wie die Datenschutz-Grundverordnung (DSGVO) der EU, der California Consumer Privacy Act (CCPA) und der Payment Card Industry Data Security Standard (PCI-DSS) sollen den Datenschutz für Verbraucher gewährleisten und sehen im Falle von Datenschutzverletzungen hohe Geldstrafen vor. Dazu gehören Kontoübernahmen und Content-Scraping-Angriffe, bei denen private Daten an Bots weitergegeben werden. Datenschutzverletzungen, die aus der Nichteinhaltung dieser Vorschriften resultieren, können sehr kostspielig sein: Gemäß DSGVO haben die EU-Datenschutzbehörden die Möglichkeit, Geldstrafen von bis zu 20 Millionen Euro oder 4 % des weltweiten Umsatzes des vorangegangenen Geschäftsjahrs zu verhängen.

Bot-Angriffe beeinträchtigen nicht nur die Einnahmen. Sie verteuern auch den Betrieb von Unternehmen auf folgende Art und Weise:

• Beeinträchtigung der Anwendungsleistung und -verfügbarkeit, was zu erhöhten Infrastrukturkosten führen kann: Bot-Scraping-Angriffe können aufgrund ihres Umfangs die Leistung von Anwendungen und Plattformen beeinträchtigen und, wenn sie unkontrolliert bleiben, übermäßige Investitionen in Infrastrukturkapazitäten und zusätzliche Cloud-Nutzungsgebühren zur Aufrechterhaltung des erforderlichen Leistungsniveaus erfordern.
  
• Verringerung der Verfügbarkeit von Anwendungen und der Ausfallsicherheit von Unternehmen: Webanwendungen, die durch Bot-Aktivitäten überlastet sind, stehen nicht für Echtzeit-Kundenanfragen und E-Commerce-Aktivitäten zur Verfügung, was Umsatzeinbußen, Reputationsschäden, Kundenabwanderung und ein beeinträchtigtes Benutzererlebnis zur Folge hat.
  
• Schädigung der Beziehungen zu externen Ökosystempartnern: Eine Überlastung von Plattformen und Anwendungen durch unerwünschten Bot-Datenverkehr kann dazu führen, dass Partner innerhalb der API-Ökonomie SLAs nicht einhalten und damit ihre vertraglichen Verpflichtungen verletzen.
  
• Verzerrung von Geschäftsentscheidungen: Bot-Aktivitäten können Website-Statistiken, Protokolldaten und Kundeninteraktionsmetriken verzerren, die Unternehmen sonst als wertvolle Grundlage für Geschäftsentscheidungen dienen, z. B. bei der Preisgestaltung und der bezahlten oder organischen Suchmaschinenoptimierung.
  
• Manipulation der Bestandsverwaltung: Automatisierte Bots können online Waren oder Dienstleistungen in großen Mengen aufkaufen, sobald diese zu reduzierten Preisen angeboten werden. So können Kriminelle die Kontrolle über wertvolle Bestände erlangen, die in der Regel auf Sekundärmärkten mit einem erheblichen Aufschlag weiterverkauft werden, was zu einer künstlichen Verknappung, zu Denial-of-Inventory-Problemen und zu Frustration unter den Verbrauchern führt.
  
• Steigende Kundensupport-Kosten: Automatisierte Bots können den Druck auf Kundendienstteams erhöhen. Sind ihre Angriffe erfolgreich, steigt die Zahl der Anrufe und Mitteilungen im Zusammenhang mit Kontoübernahmen, Geschenkkarten- oder Treuepunktbetrug und anderer Kundenbeschwerden wegen kompromittierter Konten. Der Einsatz von CAPTCHA-Tools und Multi-Faktor-Authentifizierung (MFA) zum Schutz vor Betrug kann auch unbeabsichtigt dazu führen, dass die Reibungspunkte für Benutzer und die Anrufe beim Kundensupport zunehmen, da diese Prozesse umständlich sein können und u. U. die Sperrung von Konten legitimer Kunden zur Folge haben. Dies kann die Betriebskosten in den Kundensupportzentren erhöhen, zu Kundenverlusten führen und den Ruf der Marke durch Net Promoter Scores (NPS) sowie schlechte Kritiken und Bewertungen auf Social-Media-Plattformen schädigen.
  
• Steigende Personalkosten für Arbeitsstunden, die zur Entschärfung von Bot-Angriffen aufgewendet werden: Die Abwehr bösartiger Bot-Angriffe durch Web Application Firewalls (WAFs) und das manuelle Blockieren von IP-Adressen ist zeitaufwändig und erfordert eine Erhöhung der Anzahl an geschulten Mitarbeitern. Einfache WAFs lernen nicht in Echtzeit, sondern funktionieren bei der Bot-Erkennung nach voreingestellten Regeln. Um WAFs auf dem neuesten Stand zu halten, müssen sie i. d. R. schrittweise gepatcht werden und es müssen Regeln erstellt werden. Die einzige Möglichkeit zur manuellen Verstärkung der Abwehr besteht darin, die Zahl der IT- und Sicherheitsmitarbeiter zu erhöhen.

Auch wenn qualitative Auswirkungen u. U. schwieriger zu messen sind als quantitative Metriken, bedeutet das nicht, dass sie für Unternehmen weniger wichtig sind. Automatisierte Bot-Angriffe können sich auf folgende Weise als unmittelbare subjektive Werttreiber niederschlagen:

• Beeinträchtigung des Mitarbeitererlebnisses: Oft fehlt es an Fachwissen zum Thema Informationssicherheit, und viele Unternehmen haben mit einem Mangel an Cybersicherheitsmitarbeitern zu kämpfen, während die Zahl und Raffinesse der automatisierten Bot-Angriffe zunimmt. Trotz aller Bemühungen sind viele SOC- und Betrugs-Teams nicht in der Lage, mit der Fähigkeit von Cyberkriminellen, Bot-Angriffe mehrmals pro Woche spontan umzustellen und neu zu entwickeln, Schritt zu halten. Ohne intelligentere und technisch ausgefeiltere Bot-Abwehr-Lösungen ist es schwierig, talentierte Sicherheitsexperten im Unternehmen zu halten, vor allem wenn sie sich ausgebrannt und überfordert fühlen. 

Die Erläuterung der Auswirkungen von Bot-Angriffen auf Betriebsabläufe und Metriken im Hinblick auf bestimmte Rollen und Funktionen in einem Unternehmen ist eine wichtige Methode, um den Wert eines erfolgreichen Bot Managements zu verdeutlichen.

Die für Informationssicherheit verantwortliche Person (CISO) kümmert sich um die Informationssicherheit und Kostenkontrolle und stellt sicher, dass die IT die Mission des Unternehmens unterstützt; Bots wirken sich auf alle diese Bereiche aus.

Bots gefährden alle drei Aspekte der Informationssicherheit – Vertraulichkeit, Integrität und Verfügbarkeit. Ein Credential Stuffing-Bot, der ein Konto übernimmt, legt Daten offen, die vertraulich behandelt werden sollten. Ebenso geben solche Bots Angreifern die Möglichkeit, Daten zu verändern und integritätsverletzende Transaktionen durchzuführen. Scraping-Bots verzerren ebenso wie Bots, die gefälschte Konten erstellen, Daten, und verletzen so die Integrität wichtiger Geschäftskennzahlen. Schließlich können Scraping- und Scalping-Bots die Infrastruktur einer Website so stark belasten, dass sie nicht mehr verfügbar ist.

Bots wirken sich in vielerlei Hinsicht auf die Kosten aus:

• Credential Stuffing-Bots steigern die Support-Kosten aufgrund von Kontosperrungen und erhöhen die finanzielle Haftung, wenn Kriminelle Kontoguthaben leeren.
  
• Carding-Bots verursachen Rückbuchungsgebühren und können für die Verhängung von Mahngebühren verantwortlich sein.
  
• Scraping- und Scalping-Bots erhöhen die Datenverkehrsbelastung und die Infrastrukturkosten.
  
• Die Bekämpfung von Bots mit ineffektiven Tools wie einer WAF verursacht hohe SecOps-Kosten.

Bots bereiten den CISOs auch insofern Sorgen, dass sie die IT daran hindern, Geschäftsabschlüsse zu ermöglichen. Ein ineffektives Bot Management, wie etwa CAPTCHA und ein übermäßiger Einsatz von Multi-Faktor-Authentifizierungen, führt zu umständlichen Abläufen, die das Kundenerlebnis beeinträchtigen und den Umsatz verringern. Bots verzerren die Geschäftsmetriken so sehr, dass es schwierig wird, die Geschäftsstrategie zu bewerten. Wie soll man eine Geschäftsstrategie umsetzen, wenn man nicht einmal weiß, mit wem man interagiert?

Das SecOps-Team hat die Aufgabe, Cybersicherheitsrisiken für das Unternehmen effizient zu bewältigen, und Bots stehen dieser Aufgabe im Weg. Wie die für Informationssicherheit verantwortliche Person (CISO) ist auch das SecOps-Team um Vertraulichkeit, Integrität und Verfügbarkeit bemüht – Aspekte, die alle durch Bots beeinträchtigt werden. Zusätzlich zu diesen gemeinsamen Anliegen stellen Bots bei der effizienten Bewältigung von Sicherheitsrisiken die Herausforderung dar, dass sie vielfältige „Störgeräusche“ erzeugen, die das „Signal“ übertönen und Bedrohungen in einem Meer von bösartigem Datenverkehr verbergen.

Wenn Bots den größten Teil des Datenverkehrs auf einer Website ausmachen, ist es schwieriger, Protokolle auf Anzeichen von Schwachstellen-Scans und Einschleusungen zu analysieren. Sicherheitstools wie SIEMs und Intrusion-Detection- sowie Intrusion-Prevention-Systeme sind dann überfordert, was die Kosten in die Höhe treibt und dazu führt, dass viel zu viele Fehlalarme untersucht werden müssen. Sobald die Normalität in den Hintergrund tritt, wird das Aufspüren von Anomalien zu einer schwierigen Aufgabe.

Ein erfolgreiches Bot Management beseitigt Störgeräusche und versetzt das SecOps-Team in die Lage, sich effektiv auf die verbleibenden Bedrohungen zu konzentrieren.

Wie das SecOps-Team werden auch Betrugsbekämpfungsteams durch Bots in Mitleidenschaft gezogen, da ihr Arbeitsaufkommen drastisch steigt. Angesichts der vielen Bots, die Konten übernehmen, Konten sperren, gefälschte Konten erstellen und Anomalie-Warnungen auslösen, übersteigt die Arbeitsbelastung das praktisch Machbare.

Sobald Betrugs- und Sicherheitsteams bei der Bot-Bekämpfung jedoch zusammenarbeiten, gewinnen alle Teams. Die Sicherheitsteams können sich auf eine viel kleinere Anzahl von Sicherheitsvorfällen konzentrieren, und das Ausmaß des Betrugs wird eingedämmt. So können sich die Betrugsteams komplexeren Betrugsfällen widmen, die ihr Expertenwissen erfordern, was wiederum die Fallzahl senkt und den Erfolgskennzahlen zugute kommt. Was den Betrugsaspekt angeht, so sind Bots nur ein Vorspiel – ein Mittel, mit dem sich Betrüger Zugang verschaffen. Das Ausschalten der Bots im Vorfeld verringert somit die nachgelagerte Arbeitslast.

NetOps-Teams sind für den Betrieb der der Geschäftstätigkeit dienenden Infrastruktur verantwortlich, sorgen für die Aufrechterhaltung der Betriebszeit und Leistung und kontrollieren zudem die Kosten.

In einigen Fällen sind Scraping-Bots für über 90 % des Datenverkehrs von E-Commerce-Anwendungen verantwortlich. Das bedeutet, dass der größte Teil der Infrastruktur für Bots verwendet und somit ein Großteil des Infrastrukturbudgets verschwendet wird – eine Messgröße, die deutlich aus der Cloud-Dienst-Abrechnung hervorgeht.

Diese Bots kümmern sich nicht um die Leistung oder Betriebszeit einer Website und können den Datenverkehr jederzeit ohne Vorwarnung in die Höhe treiben. Dies führt zu unvorhersehbaren Bedingungen und höheren Kosten, da für die notwendige Skalierbarkeit gesorgt werden muss.

In einer DevOps-Kultur übernimmt das DevSecOps-Team die Verantwortung für die Einbindung des Sicherheitsaspekts in die CI/CD-Pipeline (kontinuierliche Integration / kontinuierliche Entwicklung). Auf diese Weise erhalten die Entwickler ein rasches Feedback zu Sicherheitsfehlern, und die Integration der Sicherheit in den technologischen Wertstrom wird kontinuierlich verbessert.

Der DevSecOps-Ansatz verlagert die Sicherheit auf die linke Seite und stellt sicher, dass auf etwaige Lücken bereits in einem früheren Stadium des Arbeitsablaufs eingegangen wird. Bots sind hier relevant, da neue Funktionen daraufhin evaluiert werden müssen, inwieweit Bots sie ausnutzen könnten, welcher Schaden entstehen könnte und welche Maßnahmen bei der Bereitstellung zur Verhinderung dieses Schadens ergriffen werden sollten.

DevSecOps-Teams sind besonders an Telemetrie interessiert. Laut dem DevOps-Handbuch¹ ist Telemetrie für die Vorhersage, Diagnose und Lösung von Problemen in komplexen Systemen unerlässlich. Für erfolgreiche DevOps sollte die Telemetrie mehrere Ebenen abdecken, darunter Geschäftsmetriken, Funktionsnutzung, Netzwerkleistung und Infrastrukturauslastung, damit ein Problem in einer Ebene über den gesamten Stapel hinweg nachverfolgt werden kann und Grundursachen rasch gefunden werden.

Bots verzerren die Telemetrie in einem erheblichen Ausmaß. Viele Kunden, die mit F5 Distributed Cloud Bot Defense arbeiten, stellten fest, dass die meisten ihrer Benutzerkonten gefälscht waren und über 95 % des Anmeldedatenverkehrs auf Bots entfielen. In einigen Fällen diente der Großteil der Infrastruktur eines Unternehmens nur dazu, Scraping-Bots zu bedienen. Das DevSecOps-Team muss diese Verzerrung aus der Telemetrie entfernen, wenn es seinen Sicherheitsauftrag erfüllen will.

Es kommt immer darauf an, in wessen Verantwortungsbereich Zahlen fallen. Ist der VP für E-Commerce für die Betrugs-, Infrastruktur- und Rückbuchungskosten verantwortlich? Greifen diese Kosten tief in die Gewinne des Online-Geschäfts ein? Werden die Konversionsraten und die Einnahmen durch Sicherheitsprobleme wie CAPTCHA beeinträchtigt? Wenn ja, dann wird sich dieser VP sehr dafür interessieren, inwieweit Bot Management sowohl den Umsatz als auch den Gewinn verbessern kann.

Das Gleiche gilt für die Leiter aller Produkt- oder Dienstleistungslinien, die online über Web- oder Mobil-Apps verkauft werden. Um den Gewinn zu maximieren, müssen Sie sich zwangsläufig mit der größten Datenverkehrsquelle Ihrer Apps befassen.

Marketingfachleute haben ihre eigenen Gründe, sich über Bots Gedanken zu machen. Bots, die die Website verlangsamen, sie lahmlegen und Kundenkonten übernehmen, schaden der Marke. Bots verfälschen die Website-Analysen, auf die Marketingfachleute bei der Entscheidungsfindung angewiesen sind. Und der von Bots verursachte Klickbetrug verschlingt Werbebudgets, ohne Einnahmen zu bringen.