Erinnert ihr euch noch an den Millenium Bug, der zur Jahrtausendwende massenhaft Computer rund um den Globus lahmlegen sollte? Eine digitale Apokalypse wurde uns vorausgesagt. Nun, die Computer und das Internet haben überlebt. Eine der massivsten Gefahren in der Welt des World Wide Web stammt allerdings dennoch aus etwa dieser Zeit. Nahezu unsichtbar durchstreift sie das Internet – und richtet dabei weltweit milliardenschwere Schäden an. Sie ändert ihr Aussehen, ist lernfähig und simuliert sogar menschliches Verhalten. Die Rede ist von Bots. Bad Bots, um genau zu sein. Pausenlos jagen sie durch unsere digitalen Welten, um dort gezielt Schaden anzurichten. Noch nie gehört oder gesehen, glaubt ihr?
Okay, erkannt habt ihr die binären Schreckgespenster vielleicht nicht. Begegnet seid ihr ihnen aber wahrscheinlich schon. Oder habt ihr euch noch nie gewundert, warum die Konzertkarten für eure Lieblingsband bereits Minuten nach Beginn des Vorverkaufs vergriffen waren? Oder dass ihr nicht mal in das Online-Shop-System hineingekommen seid? Dass Flugtickets, nach denen ihr gestern geschaut haben, plötzlich vergriffen oder viel teurer sind? Wenn es euch richtig übel erwischt hat, wurde sogar eure Kreditkarte missbraucht oder euer Echtgeldguthaben beim Online-Poker-Anbieter war auf einmal weg.
Was sind Bots überhaupt?
Nüchtern betrachtet, handelt es sich bei Bots um händisch programmierte, automatisierte Skripte, die im Internet oder auf einer App konkrete Aufgaben verrichten sollen. Längst nicht jeder von ihnen führt Böses im Schilde. Es gibt auch gute Bots – und die seien enorm wichtig, damit es einem Business gut gehe, weiß Edward Roberts, Leiter des Produktmarketings beim US-Unternehmen Distil Networks, das sich auf Internetsicherheit spezialisiert hat: „Das bekannteste Beispiel ist wohl der Google Bot. Ein Skript, das man auf seine Website lässt und ihm erlaubt, dort alle Informationen auszulesen [bzw. zu scrapen] und zu indexieren.“ Nur so landet man schließlich in der Google-Suche. Reiseagenturen nutzen Bots, um alle verfügbaren Flug- und Hotelpreise zu sammeln und dem Nutzer im Direktvergleich zu präsentieren. „Diese sogenannten Scraper zahlen auch, um Zugang zu diesen Informationen zu bekommen“, sagt Roberts.
Problematisch wird es erst, wenn Bad Bots im Spiel sind. Ein klassisches Einsatzgebiet für sie: gestohlene E-Mail-Passwort-Kombinationen. Millionenfach wabern geklaute oder illegal gekaufte Zugangsdaten durch die Bad-Bot-Hemisphäre. Das primäre Ziel ist einfach: der Account-Takeover. „Diese Bots haben es vor allem auf Login-Seiten abgesehen und probieren in Sekundenbruchteilen unzählige der geklauten Kombinationen aus – in der Hoffnung, sich einloggen zu können“, erklärt Björn Häuser, Head of Platform and Operations Development des Berliner Unternehmens reBuy. Ist das einmal geschehen, könne die Person, in dessen Auftrag der Bot unterwegs ist, im Namen des betroffenen Nutzers handeln, ohne, dass es jemandem sofort auffallen muss, sagt Häuser: „Wenn ein Bot ein Kundenkonto übernimmt, steigt die Wahrscheinlichkeit, dass er mit gestohlenen Kreditkartendaten erfolgreich eine Transaktion abschließen kann. Bei einem neuen Kundenkonto hingegen werden strengere Kontrollen durchgeführt.“
Bad Bots streuen schlechte Produktbewertungen
Um das effektiv zu verhindern und auch das automatisierte Scrapen von reBuy-Preisen durch Konkurrenten zu minimieren, arbeiten Häuser und seine Kollegen seit vergangenem Mai mit Distil Networks zusammen. Auch die Lufthansa wird von den Amerikanern betreut, schließlich ist die Airline-Industrie mit am stärksten von Bad-Bot-Traffic betroffen. Auch, weil Mitbewerber wissen möchten, was die Konkurrenz für Flugticktes verlangt. „Preisinformationen sind generell öffentlich und wir können nicht verhindern, dass diese Daten abgegriffen werden. Uns geht es eher darum, in welcher Frequenz das geschieht und wie es unsere normalen Nutzer beeinflusst“, sagt Häuser. Konkret ist die Rede von ausgelasteten Seiten, die sich schleppend langsam aufbauen – und so mögliche Kunden dazu bringen, die reBuy-Website zu verlassen.
Bad Bots richten jedoch nicht nur Schaden auf direktem Wege an, etwa indem sie Accounts hijacken. Sie werden auch eingesetzt, „um der Reputation eines Unternehmens zu schaden, indem Produkte oder Dienstleistungen schlecht bewertet oder Gerüchte über das Unternehmen gestreut werden“, sagt Teresa Ritter, Bereichsleiterin für Sicherheitspolitik beim Branchenverband Bitkom. Am stärksten seien demnach die Pharma- und Chemie-Industrie sowie der Automobil-, Maschinen- und Anlagenbau von derlei Cyberattacken betroffen.
Die Evolution der Bad Bots
Obwohl erst 2011 gegründet, zählt Distil Networks bereits weltweit zu den führenden Akteuren im Kampf gegen die Bad Bots. Neben dem Hauptsitz in San Francisco unterhält das Unternehmen drei weitere Niederlassungen in den USA, eine in London und eine in Stockholm. Manpower, die nötig ist, um mit der schnellen Entwicklung auf diesem Sektor Schritt zu halten. „Im Grunde stecken wir mitten in einem Wettrüsten mit den Entwicklern von Bad Bots“, sagt Roberts.
Während die automatisierten Skripte anfangs recht einfach auszumachen waren, hätten sie sich inzwischen stark verändert. Sie verstecken sich in ausländischen Rechenzentren oder tarnen sich als Good Bots. „Wir haben es auch mit sehr flüchtigen, schwer fassbaren und beharrlichen Bots zu tun, sogenannten Advanced Persistent Bots [APBs]. Blockt man sie, verändern sie ihre Gestalt und starten den Angriff erneut“, sagt Roberts weiter. Insgesamt haben sie vier unterschiedliche Bad-Bot-Typen klassifiziert:
- Simple Bots nutzen beispielsweise nur eine IP-Adresse und verstecken sich weder im Browser noch geben sie vor, einer zu sein.
- Moderate Bots sind komplexer und simulieren, ein Browser zu sein, beispielsweise Chrome, Firefox oder Safari, und können auch JavaScript ausführen.
- Sophisticated Bots können Mausbewegungen und Klicks ausführen, die selbst gute Sicherheitssysteme überlisten, simulieren menschliches Nutzerverhalten (Mausbewegungen oder Klicks) und können so selbst gute Sicherheitssysteme überlisten; nutzen Browser oder über Browser installierte Schadsoftware, um sich mit Seiten zu verbinden.
- Advanced Persistent Bots (APBs) sind eine Kombination aus Moderate und Sophisticated Bots, nutzen zufällig wechselnde IP-Adressen, verschaffen sich Zugang über anonyme Proxys und Peer-to-Peer-Netzwerke und entgehen so den meisten Sicherheitscheck, um so eine Seite immer und immer wieder anzugreifen.
Wenn das Problem ein globales ist und die Wirtschaft unter Druck setzt, wer steckt dann dahinter? Anonyme Hackergruppen, Regierungen oder schlichtweg Kriminelle? Ein Mix aus allem, wird es wohl sein. Doch „die offensichtlichsten Akteure vergessen die meisten von uns: die eigenen Mitbewerber. Amazon ist vermutlich das beste Beispiel für ein Unternehmen, das online umherstreift und die Preise von jedem Unternehmen ausliest – um sicherzugehen, dass man selbst das günstigste Angebot machen kann“, sagt IT-Experte Roberts.
Bots sind für 40 Prozent des Internet-Traffics verantwortlich
Wer denkt, das Internet wäre eine digitale Plattform, auf der sich hauptsächlich Menschen tummeln, irrt. Eine aktuelle Studie von Roberts und seinen Kollegen, der Bad Bot Report 2018, ergab, dass im vergangenen Jahr bereits 42,2 Prozent des gesamten Internet-Traffics nicht von Menschen ausging. Bots waren dafür verantwortlich. Etwas mehr als die Hälfte des Bot-Traffics entfiel auf Bad Bots (21,8 Prozent), der Rest (20,4 Prozent) auf Good Bots. Beide Bereiche wuchsen im Vergleich zum Vorjahr um durchschnittlich 9,2 Prozent. Der Bad-Bot-Traffic dabei stärker als der von Good Bots. Wenn sich dieser Trend fortsetzt, wovon auszugehen ist, werden wir uns das Internet künftig also mit immer mehr Skripten teilen, die im Zweifelsfalle darauf aus sind, uns zu schaden. Wir sollten also auf der Hut sein und es diesen unsichtbaren Plagegeistern schon von uns aus so schwer wie möglich machen.
Unternehmen sei beispielsweise geraten, „das Thema IT-Sicherheit direkt in der Geschäftsführung anzusiedeln“, empfiehlt Bitkom-Expertin Ritter. Eine weitere Möglichkeit besteht darin, Unternehmen wie Distil Networks oder auch vergleichbare Anbieter wie Symantec, Kaspersky Labs oder das Münchner Unternehmen Rohde & Schwarz mit der Überwachung der eigenen Webseiten zu betreuen.
Für Einzelpersonen sind solche Lösungen natürlich nur bedingt attraktiv. Hier geht es auch schon deutlich einfacher, erklärt Häuser von Rebuy.: „Das größte Problem aus Nutzersicht ist derzeit der laxe Passwort-Schutz.“ Einfache, wenig komplexe Zugangsdaten, die womöglich gleich für alle Online-Accounts gelten, erleichtern Bad Bots maßgeblich die Arbeit. Bis zu einem gewissen Grad haben wir es also selbst in der Hand, diesen unsichtbaren Plagegeistern das Leben schwer zu machen und unsere Online-Profile zu schützen. Es mag zwar etwas aufwändig sein, aber wollen Sie sich mit den Folgen einer gestohlenen Kreditkarte herumärgern?
Hinweis: Die Vor-Ort-Recherchen für diesen Beitrag in San Francisco wurden unterstützt durch den American Council on Germany und dessen «Anna-Maria and Stephen M. Kellen Fellowship»-Programm.
