Fast die Hälfte des weltweiten Internetverkehrs (49,6 Prozent) wird im Jahr 2023 von Bots erzeugt, so der aktuelle Bad Bot Report von Imperva.
Das ist ein Anstieg von zwei Prozent gegenüber dem Vorjahr. Doch warum steigt ihr Anteil so stetig und wie können sich Unternehmen vor sogenannten Bad Bots schützen?
Derzeit klagt die New York Times gegen Microsoft und Open AI. Die US-Zeitung sieht das Urheberrecht an Millionen von Artikeln verletzt, weil das Unternehmen das Wissen aus diesen Artikeln genutzt haben soll, um die Künstliche Intelligenz (KI) zu füttern. Dazu wurden sogenannte Bots eingesetzt, automatisierte Softwareanwendungen, die Informationen extrahieren. Der Fall hat die Debatte über automatisierte Programme neu entfacht, da diese massiv gegen das Urheberrecht und den Datenschutz verstoßen können.
Der Anteil der Bad Bots steigt
Bots, die beispielsweise gegen Urheberrechte verletzen, werden auch als „Bad Bots“ bezeichnet, da sie ihre Aufgaben in böswilliger Absicht ausführen. Bad Bots richten enorme Schäden an, nicht nur wirtschaftlicher Art – und die Probleme, die sie verursachen, könnten noch zunehmen. So stieg der Anteil des Internetverkehrs, der mit Bad Bots in Verbindung gebracht wird, von 30,2 Prozent im Jahr 2022 auf 32 Prozent im Jahr 2023.
In Deutschland ist der Internetverkehr besonders stark von schädlichen Bots betroffen. Mit einem Anteil von 67,5 Prozent weist die Bundesrepublik nach Irland (71,4 Prozent) den weltweit zweithöchsten Wert auf. Menschliche Nutzer verursachen hierzulande nur noch 25,5 Prozent des Traffics.
Die deutsche Finanzbranche und der Dienstleistungssektor leiden unter Bad Bots
Besonders hoch ist der Anteil schädlicher Bots in Deutschland in der Finanzbranche sowie in den Bereichen Dienstleistungen, Bildung und Nachrichten. In diesen Sektoren liegen die Anteile bei 88,7 Prozent, 76,4 Prozent bzw. knapp 76,1 Prozent jeweils auf einem Spitzenwert. Trotzdem operieren die Bots auf einem moderaten (64 Prozent in der Finanzbranche und 72 Prozent im Nachrichtensektor) bis niedrigen (62 Prozent im Dienstleistungs- und 78 Prozent im Bildungssektor) technologischen Niveau.
Im Einzelhandel hingegen hat sich die technologische Entwicklung der Bots deutlich verschoben. Während im Jahr 2022 noch fast 52 Prozent der Bots im Einzelhandel technologisch fortgeschritten waren, sank dieser Anteil im Jahr 2023 deutlich auf 3 Prozent. Dennoch blieb der Anteil der schädlichen Bots hier konstant bei knapp 37 Prozent gegenüber 21 Prozent der gutartigen Bots und knapp 42 Prozent des von menschlichen Nutzern generierten Traffics.
Bad Bots für jeden mit KI-Unterstützung
Dass der Anteil der Bad Bots steigt, liegt vor allem daran, dass die KI in den letzten Jahren enorme Entwicklungssprünge gemacht hat. Dadurch sind sie massentauglich geworden. So kann im Prinzip jeder, auch technisch weniger versierte Personen, beispielsweise mit einem Large Language Model (LLM), einfache Bot-Skripte schreiben. Dies erklärt unter anderem, warum der Anteil der im Report als „einfach“ eingestuften Bad Bots am gesamten Bad Bot-Traffic von 33,4 Prozent im Jahr 2022 auf 39,6 Prozent im Jahr 2023 gestiegen ist.
Zu diesem Anstieg tragen auch die eingangs erwähnten Bad Bots bei, die Urheberrechte verletzen, indem sie Daten aus Webseiten extrahieren. Diese als Web-Scraper oder Crawler bezeichneten Bots werden eingesetzt, um die Trainingsmodelle der KI mit den extrahierten Daten zu füttern. Ob dies tatsächlich legal ist, hängt von der Rechtsprechung des jeweiligen Landes und den spezifischen Umständen ab. Es handelt sich dabei immer noch um eine rechtliche Grauzone.
Durch den KI-Einsatz entstehen auch einige ethnische Implikationen. So bergen KI-gestützte Datensammlungen das Risiko, dass unbeabsichtigt private Informationen von Einzelpersonen gesammelt und unbemerkt verbreitet werden. Dies könnte für die Betroffenen ein Risiko darstellen. Darüber hinaus ist die Art und Weise, wie die KI Daten sammelt, sehr intransparent. Außerdem kann es schwierig sein, einmal gesammelte Daten wieder zu entfernen.
Weitere Gefahren: APIs und getarnte Browser
Urheberrechtsverletzungen sind jedoch nicht das einzige Problem mit Bad Bots. APIs stellen beispielsweise einen beliebten Angriffsvektor dar. Im Jahr 2023 waren automatisierte Bedrohungen für 30 Prozent der API-Angriffe verantwortlich, 17 Prozent davon waren Bad Bots, die Schwachstellen in der Geschäftslogik ausnutzen. Dabei nutzen Hacker Bots, um APIs zu finden, die als direkter Zugang zu sensiblen Daten dienen.
Eine weitere Gefahr sind Bad Bots, die sich als mobile Browser ausgeben. Vor fünf Jahren machten sie 28,1 Prozent des gesamten Bot-Traffics aus – im vergangenen Jahr waren es bereits 44,8 Prozent. Dabei kombinieren die Täter mobile Browser mit Residential oder Mobile Proxies. Mit Residential Proxies können Bot-Betreiber unentdeckt bleiben, indem sie den Anschein erwecken, dass der Datenverkehr von einer legitimen, vom Internetdienstanbieter zugewiesenen IP-Adresse stammt.
Die Bedrohung von Bad Bots eindämmen
Die Gefahren, die von Bad Bots ausgehen, können geschäftsschädigend sein, und mit der Weiterentwicklung der KI werden sie noch gefährlicher. Deshalb ist es für Unternehmen unerlässlich, eine wirksame Strategie für den Umgang mit Bots zu entwickeln. Diese Strategie sollte fortschrittliche Techniken umfassen, um automatisierter Angriffe auf API-Schnittstellen und die Geschäftslogik digitaler Plattformen abzuwehren. Ein solches System muss mit Technologien wie maschinellem Lernen, Geräteerkennung und Verhaltensanalysen ausgestattet sein. So erkennt es ungewöhnliche Aktivitäten. Während intensiv genutzte Bereiche einer Webseite einen stärkeren Schutz benötigen, ist dies nicht zwangsläufig für alle Segmente der Seite erforderlich.
Des Weiteren sollten Unternehmen einen mehrschichtigen Verteidigungsansatz wählen, um ihr Geschäftsmodell zu schützen. Mit Hilfe dieses Ansatzes ist es möglich, das Verhalten der Nutzer zu analysieren und Profile zu erstellen. So können legitime Nutzer weiterhin ihre Vorteile genießen und böswillige Aktivitäten effektiv herausgefiltert werden. Ein solch differenzierter Ansatz erfordert jedoch die Expertise eines dedizierten Teams, das mithilfe der richtigen Technologien in der Lage ist, die Abwehrmaßnahmen mit dem Tempo neuer Bedrohungen weiterzuentwickeln.