Starke Zunahme bösartiger KI-gesteuerter Bots im Netz

Um ihre technologischen Innovationen und die Effektivität und Effizienz ihrer Geschäftsabläufe immer weiter voranzubringen, setzen Unternehmen zunehmend auf die Fähigkeiten generativer KI. Zu Recht. Sinnvoll eingesetzt kann sie ihnen eine wertvolle Unterstützung sein. Doch sollte über der Vielzahl positiver, produktiver Anwendungsmöglichkeiten nicht übersehen werden, dass sich KI auch in cyberkriminellen Kreisen einer wachsenden Popularität erfreut. Sogenannten Bad Bots, ausgestattet mit Machine Learning- und KI-Fähigkeiten, gelingt es zunehmend, herkömmliche Sicherheitsarchitekturen und -tools zu überwinden. Sie werden immer besser darin, menschliche Nutzer zu imitieren und herkömmliche Erkennungstools zu umgehen. Laut dem kürzlich erschienenen Bad Bot Report 2025 macht der automatisierte Bot-Verkehr mittlerweile mehr als die Hälfte aller weltweiten Internetaktivitäten aus. Besorgniserregende 37 Prozent dieses Bot-Verkehrs, so der Report, haben dabei bösartige Aktivitäten zum Gegenstand.

Der rasante Anstieg von Bad Bots hat in vielen Unternehmen die Schnittstellen zur Interaktion mit ihren menschlichen Kunden, Zulieferern, Partnern und Mitarbeitern – wie Anmeldeseiten und Kundendienstportale – mittlerweile in hochriskante Einfallstore für Cyberbetrüger verwandelt.

APIs als Einfallstor

Besonders deutlich zeigt sich die veränderte Bedrohungslage auf API-Ebene. Mit einem Anteil von 44 Prozent haben sich APIs zum Hauptziel KI-gesteuerter Bot-Angriffe entwickelt. APIs dienen der Rationalisierung digitaler Dienste. Über sie wird die Geschäftslogik abgewickelt, die unter anderem auch für die Identitätsüberprüfung, die Zahlungsverarbeitung, die Bestandsaktualisierung und andere Funktionen zuständig ist.

Genau hier bringen Angreifer nun verstärkt ihre bösartigen Bots zum Einsatz. Diese geben sich als legitime menschliche Nutzer, zum Beispiel als Kunden aus, um dann gefälschte Bestellungen aufzugeben. Massenhaft zur Anwendung gebracht können Unternehmen so innerhalb kürzester Zeit erhebliche Schäden entstehen. KI unterstützt die Angreifer dabei maßgeblich. Umso weiter entwickelt sie ist, umso häufiger gelingt es den Bots, menschliches Nutzerverhalten überzeugend zu imitieren und die Sicherheitsarchitektur der Opfer zu überwinden – mit emulierten Mausbewegungen, Zeitmustern und Browser-Fingerabdrücken.

Die Kosten von Account-Übernahmen und Identitätsbetrug nehmen zu

Entsprechend stark sind die gemeldeten Schadenssummen in den vergangenen Jahren angestiegen. Laut einem Bericht der US-amerikanischen Federal Trade Commission (FTC) verloren allein US-Amerikaner im Jahr 2023 2,7 Milliarden US-Dollar durch Cyberbetrug. Ein erheblicher Teil dieser Summe lässt sich auf den Diebstahl von Zugangsdaten und Bot-Kriminalität zurückführen. Laut dem Bad Bot-Report stiegen Kontoübernahmen (ATOs) zwischen 2024 und 2025 um sage und schreibe 40 Prozent an. Insgesamt wurden für das vergangene Jahr 14 Prozent aller Anmeldeversuche als Kontoübernahmeversuche eingestuft.

Unternehmen nicht ausreichend auf Bad Bots vorbereitet

Ein Teil des Problems liegt in der komplexen IT-Architektur moderner Unternehmen begründet. Sie nutzen exzessiv APIs, Multi-Cloud und Automatisierung als Katalysatoren zur Ankurbelung ihrer Geschäftstätigkeit. Laut dem Data Threat Report 2025 verwaltet mittlerweile jedes dritte Unternehmen mehr als 500 APIs. Viele von ihnen haben jedoch keinen umfassenden Überblick darüber, wie auf diese APIs zugegriffen wird, wie sie abgesichert sind oder wie sie überwacht werden.

Besorgniserregend ist auch, dass der effektiven Verwaltung von Geschäftsgeheimnissen, Credentials und Encryption Keys in vielen Unternehmen nach wie vor keine hohe Priorität eingeräumt wird. Nur 16 Prozent der Unternehmen stufen deren Absicherung als wichtig ein.

Und schließlich haben laut dem Data Report 69 Prozent der Unternehmen Schwierigkeiten, mit der Geschwindigkeit der KI-Entwicklung Schritt zu halten – auch und gerade in sicherheitstechnischer Hinsicht. Ein echtes Problem. Denn umso mehr Unternehmen KI in ihren Kundenservice, die Erstellung von Inhalten, den Betrieb und vieles mehr integrieren und damit immer stärker mit ihren menschlichen Nutzern verzahnen, umso mehr können Bots ihre Fähigkeit perfektionieren, menschliche Nutzer zu imitieren, um einer Aufspürung durch Sicherheitstools und Sicherheitsexperten zu entgehen.

Sechs wirkungsvolle Maßnahmen gegen KI-gestützte Bad Bots

Um dieser sich stetig weiterentwickelnden Bedrohung wirkungsvoll entgegentreten zu können, müssen Sicherheitsteams über eine rein reaktive Verteidigungsstrategie hinausgehen. Viele Unternehmen haben mittlerweile begonnen, ihre Investitionen in KI-spezifische Sicherheitstools auszubauen. Dies allein wird aber nicht genügen. Benötigt wird eine umfassende Strategie, mit der die richtigen Abwehrmaßnahmen zum richtigen Zeitpunkt an den richtigen Stellen erfolgreich zum Einsatz gebracht werden können.

Folgende Punkte sollte eine effektive Strategie gegen KI- und ML-gestützte Bad Bots beinhalten:

• Identifizierung und Priorisierung der Risiko-Hotspots:  Sicherheitsteams müssen die Bereiche ihrer Webpräsenz identifizieren, die mit hoher Wahrscheinlichkeit Bad Bot-Traffic anziehen (Webseiten für Produkteinführungen, Anmeldeportale, Bestellformulare, Webseiten mit Geschenkkarten oder exklusiven Angeboten).
• Einrichtung adaptiver Bot-Erkennungen sowie die Begrenzung von Anfragen: Sie sollten KI-gestützte Tools verwenden, die ungewöhnliche und menschenähnliche Bots in Echtzeit erkennen. Sicherheitsteams sollten dynamische Ratenbegrenzungen, adaptive CAPTCHAs und die Erkennung von Verkehrsanomalien einrichten, um verdächtiges Verhalten einzudämmen – ohne die Nutzerfreundlichkeit der Webpräsenz zu beeinträchtigen.
• Absicherung der API-Endpunkte gegen Missbrauch: Sie müssen die API-Logik durch strenge Authentifizierung, verhaltensbasierte Überwachung und Regeln schützen, die geskriptete Aktivitäten erkennen (zum Beispiel Web Scrapings oder den Versuch einer Kontoübernahme). Darüber hinaus gilt es die Freigabe allzu freizügiger Endpunkte zu vermeiden und auf ungewöhnliche Muster im Kauf-/Anfragevolumen zu achten.
• Implementierung einer Multi-Faktor-Authentifizierung (MFA) und weiterer Maßnahmen zum Schutz von Zugangsdaten: Sicherheitsteams müssen Phishing-resistente MFA zum Einsatz bringen, insbesondere für ihre Anmelde- und Verwaltungsschnittstellen. Sie müssen sich vor Credential Stuffing- und Carding-Angriffen schützen, indem sie Credential Intelligence-Services integrieren und bekannte missbrauchte Credentials blockieren.
• Fortlaufende Überwachung und kontinuierliche Tests im Hinblick auf neu auftretende Bedrohungsmuster: Sicherheitsteams müssen eine Baseline für fehlgeschlagene Anmeldeversuche auf ihren Anmeldeseiten definieren und diese dann auf Anomalien oder Spitzenwerte überwachen. Sie sollten Tools zur Überwachung des Bot-Verhaltens in Echtzeit implementieren und ihre Verteidigungsstrategien anpassen, wenn sie feststellen, dass die Bots sich weiterentwickeln. Die Anwendungen müssen außerdem regelmäßig Tests hinsichtlich der neuesten Angriffsvektoren unterzogen werden.
• Gestaffelte Einführung neuer Abwehrmaßnahmen: Die gleichzeitige Implementierung von Techniken auf einer gesamten Plattform kann ungewollt das gesamte Verteidigungskonzept offenlegen und es Angreifern ermöglichen, Gegenmaßnahmen zu ergreifen. Sicherheitsteams sollten deshalb Abwehrmaßnahmen lieber strategisch staffeln. Sie sollten den Schutz schrittweise einführen. Alternativ können sie zunächst auch nur bestimmte Bereiche, zum Beispiel solche mit hohem Risiko, ins Visier nehmen. So können Sicherheitsteams in Echtzeit ihre spezifische Bedrohungslandschaft erlernen und sich anpassen, wenn sich die Bedrohungen weiterentwickeln.

Fazit

KI befeuert den Bot Traffic-Anteil im Internet und das hat Konsequenzen unter anderem für die IT-Sicherheit. Je mehr Bots sich auf Webseiten herumtreiben, desto schwieriger wird deren Kontrolle aus diesem Grund sind die oben aufgeführten Sicherheitsmaßnahmen für Sicherheitsteam so wichtig, um auch weiterhin den Schutz der menschlichen Nutzer aber auch des Unternehmens selbst zu gewährleisten.