\n\n\n\n Mein Bericht vom März 2026: Bots, die sich als echte Benutzer ausgeben - BotSec \n

Mein Bericht vom März 2026: Bots, die sich als echte Benutzer ausgeben

By /
📖 10 min read1,875 wordsUpdated Mar 28, 2026

Hallo zusammen, Pat Reeves hier, zurück auf botsec.net. Wir haben den 20. März 2026, und ich kämpfe mit etwas, das mir den Schlaf raubt, besonders in Anbetracht der Entwicklung von Bots. Vergessen Sie Ihr einfaches DDoS. Wir sprechen von einer viel heimtückischeren Bedrohung: Bots, die sich als echte Nutzer ausgeben, nicht nur für einen kurzen Moment, sondern über längere Zeiträume, langsam Daten exfiltrieren oder sich für größere Angriffe positionieren. Und die herkömmlichen Verteidigungen? Sie beginnen, wie ein Sieb auszusehen.

Heute möchte ich über etwas sprechen, das im großen Schema der Bot-Sicherheit oft übersehen wird, aber das ich zunehmend für unsere erste Verteidigungslinie gegen diese fortlaufenden, fortgeschrittenen Bots halte: verhaltensbasierte Biometrie für die Integrität von Sitzungen.

Die unsichtbare Bedrohung: Bots, die keine Alarmglocken auslösen

Seit Jahren betraf die Bot-Abwehr die IP-Reputation, die Ratenbegrenzung, CAPTCHAs und die signaturbasierte Erkennung. Und täuschen Sie sich nicht, diese Werkzeuge sind nach wie vor lebenswichtig. Aber die anspruchsvollen Bots von heute? Sie setzen sich nicht nur IPs ein; sie verwenden Wohnproxies, ahmen Mausbewegungen und menschliche Tippergebnisse nach, und lösen sogar CAPTCHAs mit menschlicher Hilfe (oder einer fortschrittlichen KI, die sich einen Spaß daraus macht). Sie bombardieren Ihre Seite nicht mit 10.000 Anfragen pro Sekunde von einer einzigen IP. Stattdessen könnten sie in einer Stunde 5 Anfragen durchführen, perfekt menschliches Navigationsverhalten imitieren und dann verschwinden, um einige Stunden später zurückzukehren. Sie sind langsam, sie sind absichtlich, und sie sind so konzipiert, dass sie sich perfekt in die Umgebung einfügen.

Ich habe das vor einigen Monaten mit eigenen Augen gesehen, während ich für eine mittelgroße E-Commerce-Website konsultierte. Sie beobachteten einen leichten, aber konstanten Anstieg der abgebrochenen Warenkörbe von dem, was wie legitime Nutzer aussah. Bei einer tiefergehenden Untersuchung entdeckten wir, dass diese “Nutzer” sich anmeldeten, einige Artikel durchstöberten, sie zu einem Warenkorb hinzufügten und dann… weg waren. Keine Käufe. Aber was seltsam war, war das Muster: immer dieselben Produktkategorien, immer von unterschiedlichen IPs (aber anscheinend residential), und immer nach einer sehr spezifischen und kurzen Browsing-Session. Es sah aus wie echtes Schaufensterbummeln. Bis wir es mit ihrem Lagerverwaltungssystem korrelierten. Artikel wurden zu Warenkörben hinzugefügt, wodurch sie effektiv reserviert wurden, und dann wieder freigegeben. Es war ein langsames und absichtliches Denial-of-Service auf Bestände, das dazu entworfen wurde, um anzuzeigen, dass die Artikel bei echten Käufern beliebt waren und nicht mehr vorrätig sind, was sie zu Konkurrenten drängte. Die traditionelle Bot-Erkennung hat fast nichts von diesen Sessions angezeigt. Warum? Weil sich die Bots wie Menschen verhalten haben, nur leicht… abweichend.

Warum die traditionelle Bot-Erkennung gegen fortgeschrittene persistente Bots versagt

Denken Sie darüber nach. Die meisten Bot-Erkennungssysteme suchen nach Anomalien, die “Roboter” schreien.

  • Anfragespeed: Zu viele Anfragen zu schnell.
  • IP-Reputation: IPs, die für schlecht oder aus Rechenzentren bekannt sind.
  • User-Agent-Strings: Offensichtliche Bot-Signaturen.
  • Rate der CAPTCHA-Fehler: Bots haben manchmal Probleme mit visuellen Tests.

Aber was passiert, wenn der Bot:

  • Eine saubere residential IP verwendet?
  • Anfragen in Intervallen stellt, die menschlich erscheinen?
  • Ein perfekt legitimes Browser-User-Agent hat?
  • Erfolgreich durch Formulare navigiert und sogar CAPTCHAs löst?

Hier kommt die verhaltensbasierte Biometrie ins Spiel. Es geht nicht darum, was der Bot ist, sondern wie er handelt.

Verhaltensbasierte Biometrie: der digitale Fingerabdruck eines Menschen

Verhaltensbasierte Biometrie analysiert die einzigartigen Arten, wie ein Mensch mit einer digitalen Schnittstelle interagiert. Es geht nicht nur um die anfängliche Authentifizierung; es geht um kontinuierliche Authentifizierung während einer Sitzung. Es ist das digitale Äquivalent dazu, jemanden beim Betreten eines Geschäfts zu beobachten, durch zu stöbern, einen Artikel zu nehmen und zu bezahlen. Man prüft nicht einfach ihren Ausweis an der Tür; man beobachtet ihr Verhalten auf jegliche verdächtige Weise.

Über welche Arten von Verhaltensweisen sprechen wir?

  • Mausbewegungen: Geschwindigkeit, Beschleunigung, Verzögerung, der Wegverlauf und der Druck (wenn verfügbar). Menschen bewegen sich nicht in perfekten geraden Linien, und es gibt eine natürliche Zittern. Bots haben oft unnaturlich flüssige oder ruckartige Bewegungen.
  • Tippdynamiken: Rhythmus, Geschwindigkeit und Druck beim Tippen. Die Zeit zwischen dem Drücken einer Taste und dem Loslassen sowie die Zeit zwischen dem Drücken auf aufeinanderfolgende Tasten. Menschen haben einzigartige Tippmuster.
  • Gesten auf dem Touchscreen: Wischen, Kneifen, Tippen – deren Geschwindigkeit, Dauer und Präzision.
  • Scrollmuster: Wie ein Nutzer durch eine Seite scrollt – flüssig versus ruckartig, Geschwindigkeit und Häufigkeit der Pausen.
  • Browser- und Gerätecharakteristika: Nicht nur der User-Agent, sondern auch interne Timings, Schriftarten-Rendering, Hardware-Fähigkeiten und sogar Akkustände. Diese subtilen Unterschiede können oft Emulatorumgebungen offenbaren.

Die Schönheit daran ist, dass es ein sich ständig weiterentwickelndes Profil für jeden Nutzer erstellt. Wenn eine neue Sitzung beginnt, beginnt das System, ein Verhaltensprofil aufzubauen. Wenn dieses Profil signifikant von dem abweicht, was für einen Menschen erwartet wird, oder sogar von dem bekannten Profil eines bestimmten Nutzers, wird dies signalisiert.

Wie das funktioniert (vereinfacht für Bots)

Stellen Sie sich vor, Ihre Webseite hätte einen JavaScript-Schnipsel, der im Hintergrund läuft. Dieser Schnipsel sammelt Datenpunkte wie:

  • mousemove Ereignisse: X/Y-Koordinaten, Zeitstempel, Geschwindigkeit.
  • keydown und keyup Ereignisse: Tasten-Code, Zeitstempel.
  • scroll Ereignisse: Scroll-Differenzen, Zeitstempel.

Diese Rohdaten werden dann an ein Backend-System (häufig ein IA/ML-Modell) gesendet, das diese Muster analysiert. Es stellt eine Basislinie für das Verhalten “menschlich” auf und vergleicht dann die eingehenden Daten damit. Für authentifizierte Nutzer kann es sogar mit ihrem vergangenen Verhalten verglichen werden.

Betrachten wir ein sehr vereinfachtes Beispiel dafür, was es erfassen könnte (kein tatsächlicher Produktionscode, sondern illustrativ):


// Vereinfachtes JavaScript zur Erfassung der Mausbewegung
let mouseMovements = [];
let lastTimestamp = Date.now();

document.addEventListener('mousemove', (event) => {
 const currentTimestamp = Date.now();
 const deltaTime = currentTimestamp - lastTimestamp;
 
 // Geschwindigkeit berechnen (vereinfacht zur Veranschaulichung)
 if (mouseMovements.length > 0) {
 const lastMove = mouseMovements[mouseMovements.length - 1];
 const dx = event.clientX - lastMove.x;
 const dy = event.clientY - lastMove.y;
 const distance = Math.sqrt(dx*dx + dy*dy);
 const speed = distance / deltaTime; // Pixel pro Millisekunde
 
 mouseMovements.push({
 x: event.clientX,
 y: event.clientY,
 timestamp: currentTimestamp,
 speed: speed
 });
 } else {
 mouseMovements.push({
 x: event.clientX,
 y: event.clientY,
 timestamp: currentTimestamp,
 speed: 0 
 });
 }
 lastTimestamp = currentTimestamp;

 // In einem echten System würden Sie diese Daten gruppieren und an den Server senden
 // nicht bei jeder Bewegung, sondern vielleicht alle paar Sekunden oder bei bestimmten Ereignissen.
});

// Beispiel zum Senden von Daten (nochmals, stark vereinfacht)
setInterval(() => {
 if (mouseMovements.length > 0) {
 // Senden Sie die Daten mouseMovements an Ihr Backend zur Analyse
 console.log("Sende Mausbewegungsdaten:", mouseMovements.length, "Ereignisse");
 mouseMovements = []; // Für den nächsten Batch leeren
 }
}, 5000); // Alle 5 Sekunden senden

Das Backend erhält dann diesen Datenstrom. Ein Bot könnte Mausbewegungen zeigen, die zu perfekt linear sind, oder sich immer mit einer konstanten Geschwindigkeit bewegen, oder direkt zu Formularfeldern springen, ohne die natürlichen explorativen Bewegungen eines Menschen. Das sind die “Zeichen”, die die traditionelle IP-basierte Erkennung verpasst.

Die Implementierung der verhaltensbasierten Biometrie: nicht so gruselig, wie es aussieht

Sie müssen kein maschinelles Lernmodell von Grund auf neu erstellen. Es gibt Anbieter, die sich auf diesem Gebiet spezialisiert haben. Mein Rat: Beginnen Sie mit einem Proof-of-Concept.

  1. Wählen Sie einen Anbieter aus: Suchen Sie nach Dienstleistern, die sich auf Verhaltensbiometrie zur Betrugs- und Bot-Erkennung spezialisiert haben. Fragen Sie nach Fallstudien, die speziell mit fortgeschrittenen Bots zu tun haben.
  2. Testen Sie auf einer risikomarmen Seite: Setzen Sie es nicht sofort auf der gesamten Website ein. Beginnen Sie mit einer weniger kritischen Seite, wie einer Produktdetailseite, und sammeln Sie Daten.
  3. Integrieren Sie die Daten: Die meisten Lösungen stellen ein JavaScript-SDK bereit. Sie integrieren dieses Skript, das die Datensammlung verwaltet und die Daten an ihren Dienst sendet.
  4. Beobachten und anpassen: Arbeiten Sie mit dem Anbieter zusammen, um die Informationen zu verstehen. Überprüfen Sie die generierten „Risiko-Scores“ für die Sitzungen. Identifizieren Sie, welche Verhaltensweisen gemeldet werden.
  5. Schrittweise Anwendung: Sobald Sie zuversichtlich sind, können Sie beginnen, Richtlinien anzuwenden. Bei hohen Risiko-Scores könnten Sie ein CAPTCHA einfügen, eine MFA-Herausforderung auslösen oder die Sitzung sogar blockieren. Bei mittlerem Risiko könnten Sie es einfach protokollieren und genau überwachen.

Hier ist ein konzeptionelles Beispiel für eine Backend-Politik:


// Beispiel für einen vereinfachten Risiko-Bewertungspunkt in Python Flask
from flask import Flask, request, jsonify
# Angenommen, 'behavioral_biometrics_service' ist ein SDK/Client für Ihren Anbieter
# Es würde Rohdaten zur Verhaltensbiometrie annehmen und einen Risiko-Score zurückgeben.
from my_biometrics_sdk import analyze_session_behavior 

app = Flask(__name__)

@app.route('/api/analyze_behavior', methods=['POST'])
def analyze_behavior_data():
 session_id = request.json.get('session_id')
 behavior_data = request.json.get('behavior_data') # Dies wären aggregierte Daten von Maus/Tastatur/Scrollen

 if not session_id or not behavior_data:
 return jsonify({"error": "session_id oder behavior_data fehlt"}), 400

 # Rufen Sie Ihren Verhaltensbiometrie-Service/Ihr Modell auf
 risk_score = analyze_session_behavior(session_id, behavior_data)

 action_to_take = "überwachen"
 if risk_score > 0.8: # Hoher Risikowert
 action_to_take = "blockieren"
 elif risk_score > 0.5: # Mittlerer Risikowert
 action_to_take = "herausfordern" # z. B. erneut authentifizieren, CAPTCHA

 print(f"Sitzung {session_id}: Risiko-Score = {risk_score}, Aktion = {action_to_take}")
 
 return jsonify({
 "session_id": session_id,
 "risk_score": risk_score,
 "action": action_to_take
 })

if __name__ == '__main__':
 app.run(debug=True)

Dieses Backend reagiert auf den von der Verhaltensbiometrie-Engine generierten Risiko-Score, sodass Sie Ihre Bot-Minderungsstrategie in Echtzeit für einzelne Sitzungen anpassen können.

Die Zukunft ist Verhaltensbasiert

Da die Sophistizierung von Bots zunimmt, müssen sich unsere Abwehrmaßnahmen über statische Regeln hinaus entwickeln. Verhaltensbiometrie bietet eine dynamische und anpassungsfähige Sicherheitsschicht, die direkt auf die Taktiken der menschlichen Emulation fortschrittlicher und hartnäckiger Bots reagiert. Es ist keine Allroundlösung – keine Sicherheitsmaßnahme ist das jemals – aber es ist ein entscheidendes Puzzlestück, um die Integrität der Sitzungen zu wahren und sich gegen subtile, langanhaltende Angriffe zu schützen.

Mein Rat? Warten Sie nicht, bis Sie von einem dieser langsamen Angriffe betroffen sind. Beginnen Sie jetzt mit der Erkundung der Verhaltensbiometrie. Sprechen Sie mit Anbietern, informieren Sie sich über die Technologie und ziehen Sie ein Pilotprojekt in Betracht. Bots werden intelligenter, und wir müssen noch intelligenter sein, um sie fernzuhalten.

Wichtige Punkte

  • Bewerten Sie Ihre aktuelle Bot-Minderung: Konzentriert sie sich zu sehr auf IP, Ratenbegrenzungen und Benutzeragentenketten? Wenn ja, sind Sie anfällig für Bots, die Menschen imitieren.
  • Recherchieren Sie Anbieter von Verhaltensbiometrie: Suchen Sie nach Lösungen, die speziell für die Erkennung von Bots und Betrug entwickelt wurden, nicht nur für die Benutzer-Authentifizierung. Wichtige Akteure sind Arkose Labs, DataDome und sogar einige Angebote größerer CDN-Anbieter.
  • Planen Sie ein Pilotprogramm: Beginnen Sie klein. Identifizieren Sie einen hochpreisigen oder risikobehafteten Ablauf auf Ihrer Website (z. B. Anmeldung, Bestellung, Kontoeinstellungen) und testen Sie eine Verhaltensbiometrie-Lösung dort.
  • Integrieren Sie mit bestehenden Systemen: Stellen Sie sicher, dass jede neue Lösung Daten bereitstellen oder Aktionen in Ihrer bestehenden Sicherheitsorchestrierung auslösen kann, wie Ihrem WAF oder SIEM.
  • Schulen Sie Ihr Team: Stellen Sie sicher, dass Ihre Sicherheits- und Entwicklungsteams die Feinheiten der Verhaltens-erkennung verstehen und wie sie die traditionellen Bot-Abwehrmaßnahmen ergänzt.

Seien Sie vorsichtig und halten Sie diese Bots fern!

Verwandte Artikel

You May Also Like

🕒 Published:

📚 You Might Also Like

✍️
Written by Jake Chen

AI technology writer and researcher.

Learn more →
Browse Topics: AI Security | compliance | guardrails | safety | security

Recommended Resources

AgntapiAgntzenBot-1Agntkit
Scroll to Top