Automatisierte Angriffe auf Webanwendungen und mobile APIs nehmen zu – trotz bestehender Schutzmechanismen. ITWelt.at hat sich die Studie „2025 Advanced Persistent Bots Report“ von F5 Labs angesehen. [...]
Der aktuelle Bericht von F5 Labs beleuchtet die Aktivitäten besonders hartnäckiger und fortschrittlicher Bots, die es auf Online-Dienste abgesehen haben. Die Analyse basiert auf über 200 Milliarden HTTP-Transaktionen zwischen November 2023 und September 2024 bei Kunden, die bereits über Bot-Schutzlösungen verfügen. Die Studie zeigt, wie sich Bedrohungsakteure auf ausgeklügelte Taktiken verlagern, sobald herkömmliche Abwehrmaßnahmen greifen. Besonders betroffen sind Branchen wie Hospitality, Entertainment und eCommerce, wo ein erheblicher Teil des Web- und API-Traffics von automatisierten Zugriffen stammt.
Der aktuelle Stand: Umfang und Wirkung von Bot-Traffic
Im Durchschnitt entfallen laut F5 etwa 10,2 Prozent aller analysierten Transaktionen auf automatisierten Traffic – darunter sowohl legitime Dienste wie Finanzdaten-Aggregatoren als auch unerwünschte Bots. Nach der Kategorisierung ergeben sich folgende Anteile:
- 2,0 Prozent stammen von bekannten Finanzaggregatoren.
- 3,5 Prozent entfallen auf „flagged automation“, etwa Monitoring- und erlaubte externe Bots.
- 4,8 Prozent machen bösartige Bots aus, die aktiv blockiert wurden.
Dabei zeigen sich deutliche Unterschiede zwischen Web- und Mobile-API-Plattformen: Webdienste sind häufiger betroffen, insbesondere von fortgeschrittenen Bots (24 Prozent), während Mobile-APIs eher unter mittleren Angriffsformen leiden (40 Prozent).
Branchenvergleich: Hospitality und Entertainment besonders betroffen
Die Hospitality-Branche weist mit Abstand den höchsten Anteil an automatisiertem Web-Traffic auf – fast 45 Prozent aller Anfragen stammen dort von Bots, vor allem durch aggressive Preis-Scraping-Versuche. Bei mobilen APIs liegt der Entertainment-Sektor vorne, mit 23 Prozent Bot-Anteil – allerdings mit sinkender Tendenz im Vergleich zum Vorjahr.
Auch eCommerce und Quick Service Restaurants (QSR) verzeichnen Zuwächse bei Bot-Aktivitäten, was auf erhöhte Automatisierungsversuche durch sogenannte Reseller-Bots hinweist. Diese versuchen gezielt, Produkte schnell in Warenkörbe zu legen und zu kaufen, bevor echte Nutzer eine Chance haben.
Bot-Strategien: Zwischen einfacher Automatisierung und menschenähnlichem Verhalten
F5 unterscheidet drei Stufen der Bot-Komplexität:
- Basic: Einfaches HTTP-Scripting ohne JavaScript-Ausführung – z. B. mit Tools wie WGET oder Scrapy.
- Intermediate: Emuliert echte Browser oder Apps, generiert gültige Tokens – etwa durch Headless Browser.
- Advanced: Simuliert echtes Nutzerverhalten (Mausbewegung, Touch-Events), nutzt reale oder emulierte Geräte, um vollständige Authentifizierungsdaten zu liefern.
Dabei steigen Aufwand und technische Anforderungen mit der Komplexität. Angreifer setzen diese Techniken gezielt dort ein, wo sich der wirtschaftliche Ertrag lohnt – etwa bei Zugangsdaten zu Kundenkonten, Rabattaktionen oder dem massenhaften Kauf limitierter Produkte.
Automatisierte Angriffsziele: Flows im Visier
F5 teilt die Ziele automatisierter Angriffe in sogenannte „Flows“ auf – typische Funktionen von Webdiensten und mobilen APIs. Besonders häufig betroffen sind:
- Login-Flows: Ziel von Credential Stuffing und Account Takeover
- Search & Content: Hauptziel für Web-Scraping
- Add to Cart: Bevorzugtes Ziel für Reseller-Bots
- Sign Up: Ziel für Fake-Account-Erstellung
Insgesamt zeigt sich: Je nach Ziel und Funktion variiert sowohl die Häufigkeit als auch die Komplexität der eingesetzten Bots erheblich.
Auswirkungen von Bot-Mitigation: Erfolg und Nebenwirkungen
Ein zentrales Thema der Studie ist die Wirksamkeit von Bot-Mitigation-Lösungen. Der Unterschied zwischen reiner Überwachung (Monitoring) und aktiver Abwehr (Mitigation) zeigt sich insbesondere bei mobilen APIs deutlich: Dort sinkt der Anteil unerwünschter Bots nach Aktivierung der Schutzmaßnahmen in der Regel drastisch – etwa von 25 auf unter ein Prozent bei Suchanfragen.
Überraschend dagegen: Bei Webplattformen steigen die gemessenen Bot-Aktivitäten nach der Aktivierung von Mitigation in vielen Fällen an. F5 erklärt das damit, dass besonders hartnäckige Bot-Betreiber ihre Aktivitäten intensivieren, um Gegenmaßnahmen zu umgehen. Die eigentlichen Zielsysteme bleiben zwar geschützt – der beobachtete Anstieg betrifft nur die Abwehrschicht, nicht die Server selbst.
Credential Stuffing: Webzugänge besonders gefährdet
Ein zentrales Angriffsszenario ist das sogenannte Credential Stuffing: Hierbei werden kompromittierte Zugangsdaten automatisiert getestet, um fremde Accounts zu kapern. In der Studie lag der Anteil solcher Angriffe bei:
- 10,6 Prozent auf Webplattformen
- 5,2 Prozent auf mobilen APIs
Besonders betroffen sind:
- Web: Technologie (33,5 Prozent), General Retail (25,7), Gaming (19,6)
- Mobile API: Entertainment (24,7 Prozent), eCommerce (23,8), General Retail (7,1)
Telekommunikationsanbieter sind laut Studie Spitzenreiter bei der Zahl fortgeschrittener Credential-Stuffing-Bots – 50 Prozent aller Logins über Mobile API sind dort betroffen.
Proxy-Netzwerke: Tarnung durch Residential IPs
Ein weiteres zentrales Thema ist der Einsatz sogenannter Residential Proxies. Dabei leiten Angreifer ihren Bot-Traffic über heimische Internetanschlüsse um, um wie legitime Nutzer zu erscheinen. Die Studie beschreibt detailliert, wie Proxyware in harmlos wirkende Apps (z. B. kostenlose VPNs oder Browsererweiterungen) eingebaut wird, oft ohne Wissen der Nutzer. Das ermöglicht Botnetzwerken den Zugriff auf saubere IPs mit hoher Reputation.
Ein besonders illustratives Beispiel ist die Proxyware SDK „PROXYLIB“, die in mehreren Apps unter verschiedenen Marken (LumiApps, AppMonetize, APKM.org) verbreitet wurde. Diese Netzwerke tarnen sich oft als legale Dienste und arbeiten mit professionellem Marketing, obwohl sie aktiv zur Verschleierung bösartiger Bots beitragen.
Saisonalität: Wann Bots besonders aktiv sind
Der Bericht zeigt auch deutliche saisonale Schwankungen bei Bot-Aktivitäten:
- Entertainment (Mobile): Spitzenwert im November 2023 (41 Prozent), Tiefpunkt im Juni 2024 (8 Prozent), korreliert mit Sportevents.
- Hospitality (Web): Höchstwert im Juli 2024 (55 Prozent), konstant hohe Automatisierung während der Reisesaison.
- Healthcare (Web): Hohe Aktivität zu Jahresende wegen offener Versicherungsanmeldungen, danach Rückgang.
- eCommerce (Mobile): Anstieg in Shopping-Saisons wie Weihnachten oder Schulbeginn.
Fazit der ITWelt-Redaktion
Die Analyse von F5 Labs verdeutlicht die zunehmende Raffinesse und Ausdauer automatisierter Angriffe – trotz bestehender Schutzmechanismen. Besonders die Umgehung von IP-basierten Blocklisten durch Residential Proxies und der gezielte Einsatz fortgeschrittener Automatisierungstechniken machen Bot-Traffic zu einer dauerhaften Herausforderung für Unternehmen. Der Bericht empfiehlt nicht nur technische Gegenmaßnahmen, sondern auch strategische Entscheidungen: Unternehmen sollen ihre Risikobereitschaft definieren, Budgets bereitstellen und kontinuierlich evaluieren, ob die eingesetzten Schutzmaßnahmen wirken.
Die Studie kann hier heruntergeladen werden.
Be the first to comment