Eigentlich sind Bots nur manuell programmierte Skripte, die darauf ausgerichtet sind, im Netz oder auf einer App bestimmte Aufgaben zu erledigen. Doch zielen diese darauf ab, Nutzern oder der Konkurrenz zu schaden, dann werden aus Good Bots sehr schnell Bad Bots. Und die machen inzwischen fast 22 Prozent des gesamten Internet-Traffics aus. In einem ausführlichen Artikel berichten wir über die Evolution der Bad Bots und über den Schaden, den sie anrichten.
Im dazugehörigen Interview haben wir bei Edward Roberts, dem Leiter der Abteilung Product Marketing des US-Unternehmens Distil Networks, nachgefragt, was genau gerade Firmen gegen Bad Bots tun können. Distil Networks unterstützt unter anderem die Lufthansa im Kampf gegen die Internetstörenfriede.
WIRED: Herr Roberts, am meisten Kopfzerbrechen bereiten Ihnen die sogenannten Advanced Persistent Bots – also Bots, die vorgeben können ein bestimmter Browser zu sein, auf einer Website menschliches Verhalten nachahmen können, wechselnde IP-Adressen verwenden und sich anonym Zugang verschaffen können. Wie lassen sich diese identifizieren und bekämpfen?
Edward Roberts: Man erkennt sie an zahlreichen Indikatoren. Zum Beispiel stürzt plötzlich der Server ab und eine Website reagiert nicht so schnell, wie sie sollte. Vielleicht, weil der Betreiber gerade den Sommerschlussverkauf gestartet oder ein neues Produkt in den Online-Shop gestellt hat, sodass es tatsächlich unzählige echte Kunden auf der Seite gibt. Ist das nicht der Fall und die Seite registriert dennoch unzählige Log-In-Versuche, sind vermutlich Bots am Werk, die ihr Glück mit gestohlenen Zugangsdaten versuchen. Der logische Schritt wäre, die entsprechenden IP-Adressen zu sperren und zu hoffen, dass der Spuk vorüber ist.
Außerdem schauen wir uns die Eigenschaften jedes einzelnen Bot-Requests an: die Version des Browsers, ob ein menschlicher Nutzer tatsächlich von einem ukrainischen Rechenzentrum kommen sollte und wie sich der User auf der Website verhält. Ob er also dem klassischen menschlichen Weg folgt: Homepage, Produktseite, Auswählen, zum Warenkorb hinzufügen, Lieferart wählen, weiter zur Kasse. Manchmal beobachten wir jedoch, wie ein Nutzer sofort den Warenkorb ansteuert und beginnt, Preise auszulesen.
WIRED: Wie sehen Ihre Gegenmaßnahmen aus?
Roberts: Man könnte es mit einem digitalen Hindernisparkour vergleichen, den wir für die Besucher einer Website aufbauen. Menschliche Internetnutzer werden keine oder nur wenig Schwierigkeiten haben, diese Hürden zu nehmen. Bad Bots bekommen dabei hoffentlich Probleme.
WIRED: Das stärkste Ziel sind Websites von Glücksspielanbietern. Mehr als jeder zweite Besucher (53%) ist ein Bad Bot. Warum ist dort die Quote so hoch?
Roberts: Weil in diesen Nutzerkonten tatsächlich echtes Geld, hauseigene Wertmarken oder Kreditkarteninformationen zu holen sind. Wer über einen Bot einmal Zugang zu diesen Konten bekommt, kann diese Vermögenswerte problemlos auf sein eigenes Konto schieben.
WIRED: Wird man das Problem der Bad Bots jemals lösen können?
Roberts: Gesetze können ebenso ein Mittel sein, dagegen anzukämpfen, wie die entsprechende Technologie. Letztlich braucht es schlaue Köpfe, die mit klugen Entscheidungen festlegen, welche Funktionen und Schutzmechanismen vor eine Website geschaltet werden, um dem Wettrüsten mit Bad Bots Herr zu werden.
