Sneaker-Bots in den Griff zu bekommen ist keine leichte Aufgabe
Automatisierte Skripte – auch als Bots bekannt – machen inzwischen einen Großteil der „Kunden“ aus, die Produkte im Internet kaufen. Manchen Unternehmen fügen diese Bots Schaden zu, für andere wiederum eröffnen sie neue Umsatzchancen. Der Umgang mit Bots hängt ganz vom Inhaber des jeweiligen Onlineshops ab. Aber ganz gleich, wie Ihre Anforderungen auch aussehen mögen, die Edge Cloud von Fastly ist Ihren Herausforderungen gewachsen und hilft Ihnen bei der Entwicklung der passenden Richtlinien für Ihr Unternehmen.
Sneaker (oder „Turnschuhe”, je nachdem, aus welcher Generation Sie sind) werden schon lange nicht mehr nur von Sportlern getragen. Sie sind zu begehrten Trophäen geworden, setzen Modetrends und haben Kultstatus erlangt. Einige Marken greifen sogar auf Technologie zurück, um sich in diesem hart umkämpften Markt zusätzliche Vorteile zu verschaffen.
Begeisterte Sneakerfans und Reseller von Sneakern setzen auf „Bots“, wenn es darum geht, so viele der heiß begehrten Paare wie möglich zu ergattern. Bei diesen Bots handelt es sich um Programme, die einzig und allein zu diesem Zweck entwickelt wurden und bei der Einführung langersehnter neuer Produkte einen Großteil der Bestellungen ausmachen. Die häufige Konsequenz: Der Traffic auf Shopseiten steigt sprunghaft an und menschliche Kunden bleiben auf der Strecke.
Dieser Trend schwappt inzwischen aber auch auf andere Branchen über. Bots reißen sich im Handumdrehen begehrte Artikel wie Spielzeug und Elektronik unter den Nagel, darunter beliebte Videospielkonsolen wie PlayStation oder Xbox. Bots, die in der Weihnachtszeit gerne große Mengen besonders gefragter Artikel kaufen, werden manchmal sogar als Grinch-Bots bezeichnet.
Die Roboter kommen!
Verbraucher ziehen im Konkurrenzkampf gegen Bots oft den Kürzeren, wodurch der Onlineeinkauf zu einem frustrierenden Erlebnis werden kann. Bots sind meist einfach schneller und können Bestände aufkaufen, bevor ein menschlicher Käufer den Artikel überhaupt in den Warenkorb legen kann. Die häufige Konsequenz: Echte Käufer müssen Artikel zu erhöhten Preisen von Bot-Betreibern kaufen oder verzichten komplett auf den Kauf.
Für Websitebetreiber bedeuten Bots häufig ein hohes Traffic-Aufkommen. Bei Einführung neuer Produkte generieren Bots oft Millionen von Views. Aber auch wenn es diese Bots nicht auf die Verfügbarkeit Ihrer Website, sondern auf Ihre Produkte abgesehen haben, kann solcher Traffic hohe Kosten verursachen und zu Ausfällen führen.
Und wie steht es um die Sicherheit?
Auf den ersten Blick werden Bots gerne als Sicherheitsrisiko eingestuft.
Schließlich strapazieren sie die Bandbreiten- und Verarbeitungskapazitäten des Netzwerks. Um das Rate Limiting zu umgehen, verschleiern sie Netzwerkanfragen mithilfe von Bot-Netzwerken (Botnets) oft so, dass sie den Anschein erwecken, als kämen sie von Tausenden von einzigartigen IP-Adressen. Einige Bots nutzen Angriffsvektoren in der Warenkorb-Software oder in der Netzwerkarchitektur, um sich zusätzliche Vorteile zu verschaffen. Gewisse Parallelen zwischen großangelegten Kaufversuchen durch Bots und Sicherheitsproblemen wie DDoS-Angriffen (Distributed Denial of Service) sind also nicht von der Hand zu weisen.
Bei Bots, die bereit sind, für den Kauf Ihrer Produkte echtes Geld zu bezahlen, ist die Sachlage allerdings komplizierter.
Überall, wo Lagerbestände begrenzt sind und Kunden bereit sind, Geld auszugeben, ist die Wahrscheinlichkeit groß, dass auch Bots an den Waren interessiert sind. Dabei sollten wir aber nicht vergessen, dass es verschiedene Geschäftsmodelle für den Verkauf dieser Waren gibt und große Einzelhandelsunternehmen ganz unterschiedliche Ansichten zum Thema Bots haben.
Was häufig zählt ist der Umsatz, und nicht, wie er zustandegekommen ist. Einerseits bieten Bots Unternehmen, die ihre Produkte zu Großhandelspreisen beziehen und mit einem vorab festgelegten Aufschlag weiterverkaufen, eine willkommene Gelegenheit, Lagerbestände loszuwerden. Manchmal können durch Bots – wenn auch künstlich – erzeugte Lieferengpässe Produkte sogar exklusiver und luxuriöser erscheinen lassen.
Andererseits gibt es Unternehmen, die nach wie vor lieber an menschliche Kunden verkaufen. Wenn Onlineshops zu viele menschliche Interessenten an einer PlayStation 5 oder Xbox abweisen, kommen diese Käufer voraussichtlich auch nicht wieder, wenn sie einen neuen Fernseher brauchen.
Es gibt aber auch noch weitere Bedenken: Wie steht es zum Beispiel um den Ruf Ihrer Marke, wenn Bots einen zu großen Sekundärmarkt für ein Produkt schaffen? Manche Unternehmen empfinden es möglicherweise auch schlichtweg als unfair, dass Menschen mit Bots konkurrieren müssen.
Es gibt also einen Bedarf an ganz unterschiedlichen Richtlinien, die auf dem Geschäftsmodell und den Prioritäten eines Onlineshops basieren. Die von unseren Kunden verwendeten Lösungen sind sogar so spezifisch, dass wir hier nicht im Detail auf bestimmte Beispiele eingehen können.
Wie Sie letztendlich mit Bots umgehen wollen, die Ihre Waren kaufen, ist eine geschäftliche Entscheidung, die wohlüberlegt sein will. Es gibt also kein Patentrezept, und eine Lösung, die für ein anderes Unternehmen funktioniert, ist nicht zwingend ideal für Ihres.
Wir legen Wert darauf, Ihnen als Geschäftsinhaber die Entscheidung zu überlassen, wie viel Bot-Traffic Sie zulassen und wie Sie diesen handhaben möchten.
So erkennen Sie Bot-Traffic
Websites verwenden verschiedene Erkennungsmethoden für Bot-Traffic. Eine einfache Methode besteht in der Ermittlung hoher Anfragevolumina von derselben IP-Adresse innerhalb kürzester Zeit. Dabei gilt allerdings zu bedenken, dass Botnets in der Lage sind, diese Strategie zu umgehen.
Eine weitere Lösung ist das bekannte CAPTCHA, bei dem Websitebesucher Aufgaben wie das Auswählen von Fotos von Hydranten oder das Erkennen von Buchstaben in einem unscharfen Bild lösen müssen. In unserem Developer Hub finden Sie ein Beispiel für die Bereitstellung und Validierung eines CAPTCHA auf der Edge. Aber auch diese Lösung lässt sich heutzutage mithilfe von künstlicher Intelligenz und CAPTCHA-Farmen umgehen. Neue, datenschutzkonforme Lösungen wie Private Access Tokens sind zwar auf dem Vormarsch, aber noch nicht weit genug verbreitet.
Komplexere Methoden zur Erkennung von Verhaltensmustern verwenden Heuristiken, die auf der Prämisse basieren, dass Menschen und Bots sich nicht immer gleich verhalten. Websites können unter anderem folgende Informationen berücksichtigen, um Schlussfolgerungen zu ziehen:
Zu viele Seitenaufrufe pro Sitzung
Untypische Reihenfolge bei der Seitennavigation
Zu kurze Abstände zwischen dem Laden von Seiten
Fehler beim Laden von abhängigen Ressourcen wie JavaScript, CSS und Werbeanzeigen
Klicks auf Links, die sich nicht im sichtbaren Bereich des Browserfensters befinden
Ungewöhnlich schnelles Ausfüllen von Formularen
Browser-Fingerprinting-Methoden verwenden unterschiedliche Verfahren, um Informationen über Besucher zu sammeln – zum Beispiel über das Gerät, den Browser oder das Betriebssystem. Der so gewonnene „Fingerabdruck“ wird heuristisch analysiert, um Übereinstimmungen mit bekannten Bots oder Modifikationen zu ermitteln, die versuchen, über die Anwesenheit eines Bots hinwegzutäuschen. Es gibt verschiedene Mechanismen zur Erstellung von Fingerabdrücken, darunter die FingerprintJS-Bibliothek und JA3, eine beliebte Methode zur Erstellung von Fingerabdrücken von TLS-Clients. Wir unterstützen JA3 sowohl auf unserer VCL als auch auf unserer Compute Plattform.
Die Erkennung von Bots kann sehr viel Rechenaufwand erfordern. Mit zunehmend besseren Erkennungsmethoden ändern Bots auch ihre Tarnungsstrategien – oft sogar alle paar Wochen, was zu einem nicht enden wollenden Katz-und-Maus-Spiel führt.
Bot erkannt! Wie geht es weiter?
Sobald sich ein Besucher als Bot entpuppt hat, gilt es zu entscheiden, was mit ihm geschehen soll.
Wenn Sie ihn blockieren möchten, ist es am einfachsten, ihm einen Fehlercode zuzuweisen und ihn mit der Begründung abzuweisen, dass er ein Bot ist (und wahrscheinlich gegen die Nutzungsbedingungen der Website verstößt!). Erfahrungsgemäß motiviert diese Art von Reaktion Bot-Autoren allerdings dazu, beim nächsten Mal noch aggressiver vorzugehen, um die Erkennung zu umgehen.
Vielleicht wählen Sie also stattdessen eine Abwehrstrategie, bei der der Bot nicht unbedingt weiß, dass er entdeckt wurde. Sie können zum Beispiel Penalty-Boxen verwenden, um Anfragen von einer einzelnen IP-Adresse auszubremsen.
penaltybox origin_response_pb {}
sub vcl_fetch {
if (beresp.status == 429) {
ratelimit.penaltybox_add(origin_response_pb, client.ip, 1m);
}
}
sub vcl_deliver {
if (ratelimit.penaltybox_has(origin_response_pb, client.ip)) {
resp.tarpit(5, 1000);
}
}
Das obige Beispiel zeigt die Verwendung von Penalty-Boxen, einer Edge-Rate-Limiting-Funktion von Fastly. Mit diesem Code wird die entsprechende IP-Adresse nach der Ablehnung der Antwort durch den Server mit dem Antwortcode 429 „Too Many Requests“ eine Minute lang in einer Penalty Box gehalten. Während dieses Zeitraums müssen die Clients von dieser IP-Adresse 5 Sekunden warten, bevor jeweils 1.000 Byte der Antwort gesendet werden.
Es geht natürlich auch noch kreativer, zum Beispiel indem Sie den Bots gefälschte Warenkörbe präsentieren. So können Sie Bots durch eine fingierte Kaufabwicklung führen und ihnen sogar einen erfolgreichen Kaufabschluss vortäuschen, der sie bei Laune hält, ohne dass Ihnen Umsätze entgehen.
Fastly bietet auch Integrationen mit Partnerplattformen wie HUMAN Security an, die zur Bot-Erkennung und -Abwehr genutzt werden können.
Außerdem gibt es Tools, mit denen Sie Ihren menschlichen Websitebesuchern ähnliche Chancen einräumen können wie Bots. Eine beliebte Lösung, um sicherzustellen, dass menschliche Nutzer bei Traffic-Spitzen ebenfalls einen Kauf abschließen können, sind beispielsweise Warteschlangen.
Möglicherweise sieht Ihr Unternehmen Bot-Traffic aber auch gar nicht als Störfaktor, solange Ihre Origin-Server und Ihr Warenkorb geschützt bleiben. Oder vielleicht wollen Sie lediglich Credential Stuffing verhindern. Eventuell möchten Sie auch einfach nur in den Logs Bot-Traffic von organischem Traffic unterscheiden können.
Was auch immer Ihre Anforderungen sind, die Infrastruktur von Fastly unterstützt Sie beim Umgang mit Bots:
Wir helfen Ihnen bei der Entwicklung richtlinienkonformer Strategien für die Bot-Abwehr.
Wir bieten Plattformen wie Compute, Tools wie Rate Limiting und Lösungen wie Warteschlangen an, um Sie bei der Entwicklung Ihrer Strategie zu unterstützen.
Wir schützen Ihren Origin-Server, indem wir Ihnen Skalierbarkeit bieten und Ihren Traffic von der Edge ausliefern. Die Fastly Next-Gen WAF (powered by Signal Sciences) kann ebenfalls wirkungsvoll dazu beitragen, Sie vor Bots zu schützen, die automatisierte Angriffe und Missbrauch betreiben.
Nutzen Sie Richtlinien, die für Ihr Unternehmen sinnvoll sind
Ob wir sie nun mögen oder nicht, Bots sind auf dem Vormarsch. Aber wie lässt sich der Wettbewerb zwischen Bots und Menschen mit Ihren Unternehmenszielen unter einen Hut bringen? Ganz gleich, ob Sie Bots ausschließen oder Richtlinien erstellen möchten, die es Ihnen ermöglichen, die Kaufchancen menschlicher Kunden zu maximieren: Fastly unterstützt Sie dabei, die richtigen Richtlinien für Ihr Unternehmen festzulegen.