Ein comic-hafter Roboter schaut auf sein Smartphone und freut sich offenbar.
E-COMMERCE

Wenn Bots zu den besseren Kunden werden: Warum E-Commerce ein Sicherheitsproblem hat, das größer ist als Black Friday

Der Online-Handel erlebt eine stille, aber fundamentale Verschiebung: 2025 stammt ein Großteil des Webtraffics nicht mehr von echten Nutzer*innen, sondern von Bots, Skripten und KI-Agenten. Auf den Dashboards wirkt das wie Wachstum mit mehr Sessions, mehr Requests, mehr Aktivität. Doch hinter vielen dieser Zugriffe steht keine Kaufabsicht, sondern Software, die Preise crawlt, Accounts testet oder Anwendungen überlastet. Für Händler wird ein Teil ihrer „Kundschaft“ zum Risiko und gleichzeitig geraten klassische Sicherheitsmodelle an ihre Grenzen.

Während die Branche über Personalisierung und Checkout-Optimierung diskutiert, hat sich ihr Fundament leise verändert. Bots agieren heute wie Menschen: Sie scrollen, klicken, lösen Captchas und bewegen sich durch Shops, als wären sie reale Besucher. Der Effekt ist spürbar: Conversion-Raten sinken, Suchfunktionen geraten ins Stocken, Services fallen sporadisch aus. Hinter vielen dieser Symptome steckt kein einzelner Angriff, sondern ein permanentes Grundrauschen automatisierter Systeme – von Scraper-Bots über Scalper bis hin zu KI-gesteuerten Angriffswerkzeugen.

APIs: Die neue Achillesferse des Handels

Die sichtbare Website ist heute nur die Oberfläche. Darunter läuft der eigentliche Handel über APIs: Warenkörbe, Preise, Logins, Verfügbarkeiten, Payments. Genau dort setzt die Angriffswelle an.

Gartner prognostiziert, dass 80 Prozent des modernen Traffics über APIs laufen, 40 Prozent der Unternehmen bis 2027 fortgeschrittenes Bot-Management benötigen und 70 Prozent der API-Produkte in WAAP-Systeme übergehen werden.

APIs sind schnell, offen und stark vernetzt, also ein perfektes Ziel. Ein einzelner, scheinbar legitimer Request kann einen Checkout blockieren oder Verfügbarkeiten manipulieren. Für Händler bedeutet das kurzum: Wer seine APIs nicht schützt, schützt zu wenig.

Warum alte Lösungen nicht mehr funktionieren

Viele Shops verlassen sich auf traditionelle Web Application Firewalls, einfache Anti-DDoS-Services und CDN-Regeln. Doch moderne Angriffe erfüllen diese Muster nicht mehr.

Ein Layer-7-DDoS-Angriff muss keine Terabit-Spitzen erzeugen, sondern überlastet gezielt Funktionen wie Suche oder Login mit massenhaft legitimen Requests. Bots tarnen sich als echte Browser. API-Angriffe laufen „kopflos“ über Apps oder Scripte, ohne dass die Website selbst sichtbar betroffen wäre. Somit sieht der Feind aus wie ein Kunde. Und statische Regeln sehen ihn nicht.

WAAP: Sicherheit für ein nicht-menschliches Web

Die Antwort heißt WAAP, oder auch Web Application & API Protection. Dahinter steckt ein Paradigmenwechsel: weg von Signaturen, hin zu verhaltensbasierter Sicherheit.

Moderne WAAP-Lösungen kombinieren:

  • Verhaltensanalyse statt IP-Blocklisten: Wie „natürlich“ verhält sich ein Client?
  • API-Schutz als Kernfunktion: Checkout-, Preis- oder Login-APIs werden eigenständig überwacht
  • Bot-Management, das Muster erkennt: Timing, Rhythmus, Fingerprints
  • Echtzeit-Schutz vor Layer-7-DDoS: Entscheidungen in Millisekunden

Für europäische Händler kommt ein weiterer Faktor hinzu: Souveränität. Mit NIS2, Meldepflichten und wachsender Cloud-Abhängigkeit steigt der Druck, Sicherheitsarchitekturen zu modernisieren. Idealerweise setzen Händler folgend fokussiert auf europäische, regelkonforme Plattformen.

Warum Europa besonders unter Druck gerät

Der europäische E-Commerce ist vielfältig, regulatorisch anspruchsvoll und stark vernetzt. Shops betreiben Multi-Cloud-Umgebungen, nutzen externe Payment-Provider, Logistik-APIs und Marktplatzintegrationen. Jede zusätzliche Schnittstelle ist ein potenzieller Angriffsvektor.

Zugleich sorgen gesetzliche Vorgaben dafür, dass Ausfälle nicht nur geschäftlich, sondern auch regulatorisch teuer werden. Resilienz wird damit zur Pflicht, nicht zur Option.

Was Händler jetzt tun müssen

  1. API-Landschaft sichtbar machen: Viele Shops kennen ihre kritischen Schnittstellen nicht
  2. Bot-Traffic messen: Ohne Transparenz gibt es keine Kontrolle
  3. Layer-7-Stresstests durchführen: Funktionen testen, nicht Bandbreite
  4. Integrierte WAAP-Plattformen einsetzen: Kein Flickwerk aus Einzellösungen
  5. Souveräne Strukturen bevorzugen: Datensicherheit und Compliance werden zum Wettbewerbsvorteil

Fazit: E-Commerce muss Maschinen mitdenken

Digitale Kundschaft besteht heute aus zwei Gruppen: denen, die kaufen, und denen, die imitieren. Zwischen beiden zu unterscheiden, wird zur Kernaufgabe moderner Sicherheit. WAAP ist deshalb kein optionales Zusatztool, sondern ein notwendiger Schritt hin zu einem realistischen Sicherheitsverständnis.

Solange Bots zu den häufigsten Besucher:innen eines Shops gehören, wird Schutz zu einer strategischen Disziplin. Wer früh erkennt, dass E-Commerce längst in einem automatisierten Umfeld stattfindet, gewinnt mehr als nur Stabilität: Er schützt sein Geschäftsmodell.

Image © Roserodionova via Freepik

Lisa Fröhlich ist Unternehmenssprecherin bei Link11. Sie ist verantwortlich für die Bereiche Corporate Communications und PR. Ende 2023 hat sie den IT-Security Podcast „Follow the White Rabbit“ ins Leben gerufen und moderiert ihn als Host. Zuvor hat sie als Pressesprecherin in der Finanzbranche gearbeitet und sich an der TU Darmstadt im System Security Lab auf Wissenschaftskommunikation spezialisiert. Dort und als Absolventin des ewa-Weiterbildungsprogramms hat sie ihre Expertise in der Cybersecurity vertieft.

Related Articles


Artikel per E-Mail verschicken