Zusammenfassung
2024 ereignete sich ein grundlegender Wandel: Zum ersten Mal seit einem Jahrzehnt übertraf der automatisierte Bot-Traffic die menschliche Aktivität im Internet. Bots erzeugen heute 51 % des gesamten Web-Traffics und drängen menschliche Nutzer online in die Minderheit. Das ist kein gradueller Trend, sondern das Überschreiten einer Schwelle, das neu definiert, wie Organisationen über Web-Traffic, Infrastrukturkosten und Sicherheitslage denken müssen.
Die Beschleunigung wird durch künstliche Intelligenz angetrieben. Große Sprachmodelle haben das Erstellen von Bots demokratisiert und ermöglichen es Angreifern mit minimalen technischen Kenntnissen, hochentwickelte Automatisierung in großem Umfang einzusetzen. KI-gestützter Bot-Traffic stieg im Jahresvergleich um 300 %; bösartige Bots wuchsen von 32 % auf 37 % des gesamten Traffics – das sechste Jahr in Folge. Gleichzeitig konsumieren KI-Trainings-Crawler von OpenAI, Anthropic und Meta beispiellose Mengen an Web-Inhalten und verändern damit das Verhältnis zwischen Content-Erstellern und KI-Plattformen grundlegend.
Die geschäftlichen Folgen sind unmittelbar und messbar. Account-Takeover-Betrug verursachte 2023 13 Milliarden USD an Verlusten. Web Scraping kann bis zu 14,7 % des Jahresumsatzes betroffener Unternehmen aufzehren. Infrastrukturkosten steigen, da Server Millionen unzulässiger Anfragen verarbeiten. Für Sicherheitsteams besteht die Herausforderung nicht mehr darin, guten von schlechtem Traffic zu unterscheiden – sondern darin, in einer Umgebung zu arbeiten, in der legitime menschliche Besucher tatsächlich in der Minderheit sind.
Bot-Landschaft 2025: Wichtige Zahlen
Bot-Traffic übertrifft erstmals seit einem Jahrzehnt die menschliche Aktivität
Imperva Bad Bot Report 2025Anteil bösartiger Bots am gesamten Internet-Traffic, Anstieg von 32 % im Jahr 2023
ImpervaZusammensetzung des Web-Traffics: 2023 vs. 2024
| Traffic-Typ | 2023 | 2024 | Veränderung | Implikation |
|---|---|---|---|---|
| Menschlicher Traffic | 52,6 % | 49 % | -3,6 % | Menschen sind jetzt Minderheit unter Web-Besuchern |
| Bad Bots | 32 % | 37 % | +5 % | Sechstes Jahr in Folge Wachstum |
| Good Bots | 15,4 % | 14 % | -1,4 % | Suchcrawler, Monitoring usw. |
| Automatisiert insgesamt | 47,4 % | 51 % | +3,6 % | Schwelle 2024 überschritten |
KI: Der Verstärker hinter dem Bot-Wachstum
Künstliche Intelligenz hat die Bot-Landschaft auf zwei distincte Weisen verändert. Erstens haben generative KI und Bots-as-a-Service-Plattformen die technischen Hürden für Bot-Angriffe beseitigt. Was früher spezielle Programmierkenntnisse erforderte, benötigt heute nur ein Abo und grundlegende Prompting-Fähigkeit. Das Ergebnis: Einfache Bot-Angriffe stiegen von 40 % auf 45 % des gesamten Bot-Traffics, da neue, weniger versierte Angreifer in den Markt eintraten.
Zweitens hat KI die Wirksamkeit von Bots drastisch verbessert. Machine Learning ermöglicht es Bots, menschliche Verhaltensmuster nachzuahmen, CAPTCHAs zu lösen und sich in Echtzeit an Abwehrmaßnahmen anzupassen. Fortgeschrittene Bots machen heute die verbleibenden 55 % der Angriffe aus, und ihre Raffinesse nimmt weiter zu. Allein der ByteSpider-Bot – verbunden mit dem TikTok-Mutterkonzern ByteDance – war für 54 % aller KI-fähigen Angriffe verantwortlich, gefolgt von AppleBot (26 %), ClaudeBot (13 %) und ChatGPT User Bot (6 %).
Die Ökonomie begünstigt Angreifer. Ein einzelner Akteur kann heute Bot-Infrastrukturen aufbauen und betreiben, für die noch vor drei Jahren ein Entwicklerteam nötig gewesen wäre. Der ROI für Credential Stuffing, Scalping und Scraping war nie höher – das erklärt das unerbittliche Wachstum trotz verbesserter Verteidigungstechnologien.
Entwicklung der Marktanteile von KI-Crawlern
| Crawler | Juli 2024 | Juli 2025 | Veränderung | Primärer Zweck |
|---|---|---|---|---|
| Googlebot | 39 % | 39 % | — | Suchindexierung |
| GPTBot (OpenAI) | 4,7 % | 11,7 % | +7 % | KI-Training |
| ClaudeBot (Anthropic) | 6,0 % | 9,9 % | +3,9 % | KI-Training |
| Meta-ExternalAgent | 0,9 % | 7,5 % | +6,6 % | KI-Training |
| Amazonbot | 10,2 % | 5,9 % | -4,3 % | Alexa-/AWS-Dienste |
| Bytespider (ByteDance) | 14,1 % | 2,4 % | -11,7 % | KI-Training/TikTok |
KI-Unternehmen konsumieren weit mehr Inhalte, als sie als Referral-Traffic zurückgeben. Die Crawler von Anthropic besuchen 38.000 bis 286.000 Seiten pro einzelnem Besucher, den sie an Publisher zurückverweisen. Bei OpenAI liegt das Verhältnis bei etwa 1.000:1. Diese Asymmetrie bedeutet, dass Content-Ersteller die Infrastrukturkosten des KI-Trainings tragen, ohne nennenswert davon zu profitieren. Der Google-Referral-Traffic zu Nachrichten-Websites sank von Januar bis April 2025 um 15 % – zeitgleich mit erweiterten KI-generierten Suchzusammenfassungen, die Klicks zu Originalquellen reduzieren.
Aufteilung der KI-Crawler nach Zweck
Anteil der KI-Crawling-Aktivität für Modelltraining (Anstieg von 72 % im Jahr 2024)
CloudflareAnalyse des Bot-Traffics nach Branche
| Branche | Bad-Bot-Traffic | Angriffsanteil | Primärer Angriffstyp | Risikostufe |
|---|---|---|---|---|
| Reise | 48 % | 27 % | Tarif-Scraping, gefälschte Buchungen | Kritisch |
| Einzelhandel | 59 % | 15 % | Preis-Scraping, Scalping | Kritisch |
| Finanzdienstleister | 28 % | 22 % (ATO) | Account Takeover, Betrug | Kritisch |
| Telekom & ISP | 24 % | 18 % (ATO) | Account Takeover | Hoch |
| Computing & IT | 22 % | 17 % (ATO) | Credential Stuffing | Hoch |
| Gesundheitswesen | 18 % | 8 % | Daten-Scraping, Betrug | Hoch |
| Gaming | 35 % | 12 % | Cheating, Account-Diebstahl | Hoch |
Der Reisesektor erlebte 2024 einen dramatischen Wandel und wurde mit 27 % aller Bot-Angriffe (gegenüber 21 % im Jahr 2023) zur am stärksten angegriffenen Branche. Fast die Hälfte des gesamten Traffics auf Reise-Sites – 48 % – besteht aus bösartigen Bots, verglichen mit nur 47 % menschlichen Besuchern und 5 % nützlichen Bots. Einfache Angriffe stiegen von 34 % auf 55 % der reisebezogenen Bot-Aktivitäten – ein Zeichen für den Zustrom neuer, weniger versierter Angreifer in den Sektor. Tarif-Scraping, das Horten von Beständen und gefälschte Buchungen wirken sich direkt auf Umsatz und Kundenerlebnis aus.
Bad-Bot-Angriffstypen & geschäftliche Auswirkungen
Automatisierte Angriffe, die gestohlene Nutzername-Passwort-Kombinationen durchprobieren und die Wiederverwendung von Passwörtern über Dienste hinweg ausnutzen. Account-Takeover-Vorfälle stiegen 2024 um 40 %, wobei Finanzdienstleister 22 % der Angriffe tragen. Wirtschaftliche Folge: 13 Milliarden USD ATO-Betrugsverluste allein 2023, mit durchschnittlich 12.000 USD Schaden pro Opfer. KI und Machine Learning haben diese Angriffe beschleunigt, da sie CAPTCHA-Lösung in Echtzeit und Verhaltensimitation ermöglichen.
Automatisierte Inhaltsextraktion, die Preisdaten, Produktinformationen und urheberrechtlich geschützte Inhalte stiehlt. Für Unternehmen mit dynamischer Preisbildung verzerrt Scraping Nachfragesignale und untergräbt Wettbewerbsvorteile. Die Auswirkungen können bis zu 14,7 % des jährlichen Website-Umsatzes betragen. KI-Scraper erzeugten allein in Q2 2025 über 120 Millionen Anfragen, was Infrastrukturen belastet und teure Auto-Scaling-Ereignisse auslöst.
Bots, die stark nachgefragte Produkte schneller kaufen als menschliche Kunden und so künstliche Knappheit für den Weiterverkauf schaffen. In Q2 2025 trieb der bot-gesteuerte Weiterverkauf von Labubu-Puppen Aufschläge von 25–127 %; nur zwei Cook-Gruppen koordinierten 3.160 automatisierte Checkouts. Im Einzelhandel machen Scalping-Angriffe über 40 % der Checkout-Anfragen bei stark nachgefragten Produkten aus – viermal der Branchendurchschnitt.
44 % des fortgeschrittenen Bot-Traffics zielen heute auf APIs statt auf klassische Web-Oberflächen. APIs verfügen oft nicht über denselben Bot-Schutz wie Webanwendungen und sind daher attraktive Ziele. Finanzdienstleister, Business Services, Telekom und Gesundheitswesen tragen 75 % der API-gerichteten Bot-Angriffe. API-Missbrauch ermöglicht skalierte Datenexfiltration und umgeht klassische, web-fokussierte Abwehrmaßnahmen.
Bots, die Artikel in Warenkörbe legen, ohne Käufe abzuschließen, machen Bestände für legitime Kunden unzugänglich. In Kombination mit Anwendungs-DDoS-Techniken können diese Angriffe E-Commerce-Operationen lahmlegen, ohne klassische DDoS-Abwehrmaßnahmen auszulösen. Folge: verlorene Umsätze, frustrierte Kunden und Reputationsschäden.
Die Ökonomie von Bot-Angriffen
Framework für die Bot-Abwehr im Unternehmen
Die Verteidigung gegen moderne Bot-Angriffe erfordert, über signaturbasierte Erkennung hinauszugehen. KI-gestützte Bots passen sich in Echtzeit an, imitieren menschliches Verhalten und nutzen Residential Proxies, um legitim zu erscheinen. Wirksame Verteidigung erfordert einen mehrschichtigen Ansatz, der mehrere Erkennungsmethoden mit kontinuierlicher Verhaltensanalyse verbindet.
Verhaltensanalyse implementieren
Setzen Sie ML-basierte Erkennung ein, die Mausbewegungen, Tippmuster und Navigationsverhalten analysiert. Statische Regeln scheitern bei Bots, die ihre Signaturen randomisieren; Verhaltensanalyse erkennt Automatisierung unabhängig davon, wie gut menschliche Attribute imitiert werden.
APIs als primäre Angriffsfläche schützen
44 % der fortgeschrittenen Bots zielen auf APIs. Implementieren Sie API-spezifische Rate-Limitierung, Authentifizierungsvalidierung und Anomalieerkennung. Überwachen Sie ungewöhnliche Muster in API-Aufruffolgen, Response-Konsum und geografischer Verteilung.
Device-Fingerprinting bereitstellen
Erfassen und analysieren Sie Geräteattribute wie Browserkonfiguration, installierte Schriftarten, Canvas-Rendering und WebGL-Eigenschaften. Legitime Nutzer zeigen konsistente Fingerabdrücke; Bots weisen häufig unmögliche oder schnell wechselnde Geräteprofile auf.
Verdächtige Sitzungen herausfordern
Implementieren Sie adaptive Challenges, die basierend auf Risikosignalen eskalieren. Beginnen Sie mit unsichtbaren Challenges, gehen Sie über CAPTCHAs weiter und blockieren Sie hartnäckige Automatisierung. Moderne Challenges müssen KI-gestützter Lösungskompetenz standhalten.
Nutzung von Residential Proxies überwachen
Hochentwickelte Bots leiten ihren Traffic über Residential-IP-Adressen, um IP-basierte Blockierung zu umgehen. Erkennen Sie Residential-Proxy-Muster durch Analyse des Verbindungsverhaltens, IP-Reputations-Scoring und Konsistenzprüfungen der Geografie.
Traffic-Baselines und Alerting etablieren
Kennen Sie Ihre normalen Traffic-Muster. Bot-Angriffe äußern sich häufig als plötzliche Traffic-Spitzen, ungewöhnliche geografische Verteilungen oder abnormale Conversion-Raten. Echtzeit-Alerting ermöglicht schnelle Reaktion, bevor erheblicher Schaden entsteht.
TR7-Bot-Management-Funktionen
Die Sicherheitsplattform von TR7 bietet umfassenden Schutz gegen das gesamte Spektrum von Bot-Bedrohungen:
KI-gestützte Erkennung
Auf Milliarden von Anfragen trainierte Machine-Learning-Modelle unterscheiden legitime Nutzer von hochentwickelten Bots – auch von solchen, die menschliches Verhalten mit KI imitieren.
Erweitertes Fingerprinting
Mehrschichtiges Device-Fingerprinting erkennt Automatisierung, selbst wenn Bots Browser-Attribute fälschen und über Residential Proxies rotieren.
API-Schutz
Speziell entwickelte API-Sicherheit, die automatisierten Missbrauch, Rate-Limit-Verstöße und Credential-Stuffing-Angriffe gegen Backend-Dienste erkennt und blockiert.
Echtzeit-Analysen
Umfassende Sichtbarkeit der Traffic-Zusammensetzung mit sofortiger Benachrichtigung, wenn Bot-Aktivitäten Schwellenwerte überschreiten oder kritische Endpunkte angreifen.
Adaptive Challenges
Risikobasiertes Challenge-System, das die Reibung für legitime Nutzer minimiert und gleichzeitig unüberwindbare Hürden für automatisierten Traffic schafft.
KI-Crawler-Management
Granulare Steuerung von KI-Trainings-Crawlern – mit der Möglichkeit, bestimmte Bots je nach Unternehmensrichtlinie zuzulassen, zu rate-limitieren oder zu blockieren.
Die 51-%-Schwelle ist kein Endpunkt – sie ist ein Wendepunkt. Mit dem Fortschritt der KI werden sowohl legitimer als auch bösartiger Bot-Traffic weiter wachsen. Organisationen sollten erwarten, dass Bots innerhalb von zwei Jahren 60 % oder mehr des Web-Traffics ausmachen. Die strategische Antwort besteht nicht darin, jegliche Automatisierung zu blockieren – das ist weder möglich noch wünschenswert –, sondern Infrastruktur und Sicherheitsmodelle zu schaffen, die davon ausgehen, dass Bots die Mehrheit sind, und die darauf optimiert sind, die menschliche Minderheit effektiv zu erkennen und zu bedienen.
Häufig gestellte Fragen
Good Bots dienen legitimen Zwecken: Suchmaschinen-Crawler indexieren Inhalte, Monitoring-Dienste prüfen die Erreichbarkeit, Aggregatoren sammeln autorisierte Daten. Sie weisen sich in der Regel aus, respektieren robots.txt und agieren transparent. Bad Bots betreiben bösartige Aktivitäten: Credential Stuffing, Content-Scraping, Preismanipulation und Betrug. Sie verschleiern ihre Identität, ignorieren Zugriffsbeschränkungen und agieren verdeckt, um Entdeckung zu vermeiden.
APIs erhalten oft weniger Sicherheitsaufmerksamkeit als Webanwendungen, obwohl sie sensible Daten und Transaktionen verarbeiten. Sie sind für Maschine-zu-Maschine-Kommunikation konzipiert, was Bot-Traffic schwerer von legitimer Nutzung unterscheidbar macht. APIs bieten zudem direkten Datenzugriff ohne den Umweg über Web-Oberflächen und ermöglichen so schnellere und effizientere Datenextraktion. 2024 zielten 44 % des fortgeschrittenen Bot-Traffics auf APIs.
Klassische Such-Crawler wie Googlebot indexieren Inhalte, um Suchergebnisse auszuliefern, und führen Publisher über Referrals Traffic zu. KI-Crawler wie GPTBot und ClaudeBot konsumieren Inhalte vor allem für das Modelltraining mit minimalem Traffic-Rückfluss – das Crawl-zu-Refer-Verhältnis von Anthropic liegt über 38.000:1. Daraus entsteht ein Wertabschöpfungsmodell, bei dem KI-Unternehmen von Inhalten profitieren, ohne Publisher über Traffic zu kompensieren.
Klassische CAPTCHAs verlieren zunehmend an Wirksamkeit. KI-gestützte Bots können viele CAPTCHA-Typen schneller lösen als Menschen, und CAPTCHA-Solving-Dienste bieten automatisierte Lösungen in großem Maßstab. Moderne Bot-Abwehr erfordert Verhaltensanalyse, Device-Fingerprinting und adaptive Challenges, die auf Risikosignalen eskalieren, statt sich auf eine einzelne Verifikationsstelle zu verlassen.
Reise (48 % Bad-Bot-Traffic), Einzelhandel (59 %) und Finanzdienstleister (22 % der ATO-Angriffe) tragen das höchste Risiko. Jede Organisation mit wertvollen Daten, Nutzerkonten oder E-Commerce-Funktionalität ist jedoch ein Ziel. Die Demokratisierung von Bot-Tools bedeutet, dass auch kleinere Unternehmen mit hochentwickelten automatisierten Angriffen konfrontiert sind.
Fazit
Das Internet hat 2024 eine Schwelle überschritten. Bots erzeugen heute mehr Traffic als Menschen, und der Abstand wird größer. Diese Verschiebung ist nicht per se negativ – Automatisierung ermöglicht wertvolle Dienste von Suchindexierung bis Security Monitoring. Die Herausforderung liegt in der Zusammensetzung: Bad Bots wachsen im sechsten Jahr in Folge und machen heute 37 % des gesamten Traffics aus. KI hat beide Trends beschleunigt: raffiniertere Angriffe – und gleichzeitig bessere Verteidigungsmöglichkeiten.
Für Sicherheitsteams im Unternehmen sind die Folgen klar. Traffic-Baselines und Sicherheitsmodelle, die von einer menschlichen Mehrheit ausgehen, sind veraltet. Bot-Erkennung darf nicht länger ein nachgelagertes Anliegen oder ein Häkchen-Feature sein – sie muss zur Kernkompetenz werden. Erfolgreich werden die Organisationen sein, die Infrastrukturen aufbauen, die mehrheitlich Bot-Traffic effizient verarbeiten, und gleichzeitig die menschliche Minderheit präzise erkennen und priorisieren.
Die Frage ist nicht mehr, ob Ihre Organisation signifikanten Bot-Traffic hat. Sie hat ihn. Die Frage ist, ob Sie die 49 % menschlichen von den 51 % nicht-menschlichen Besuchern unterscheiden können – und ob Infrastruktur, Sicherheitslage und Geschäftsmodell auf diese neue Realität ausgelegt sind.
Referenzen & Quellen
Primärquelle für Bot-Traffic-Statistiken, Branchenaufschlüsselungen und Angriffstrends. Der 12. Jahresbericht analysiert Daten aus 13 Billionen blockierten Anfragen. Zugriff: https://www.imperva.com/resources/resource-library/reports/2025-bad-bot-report/
Quelle für Marktanteilsdaten von KI-Crawlern, Crawl-zu-Refer-Verhältnisse und die Aufteilung zwischen Trainings- und Such-Crawlern. Zugriff: https://blog.cloudflare.com/crawlers-click-ai-bots-training/
Quelle für Wachstumsstatistiken zum KI-Bot-Traffic (+300 % YoY) und API-Angriffstrends. Zugriff: https://www.akamai.com/security-research/the-state-of-the-internet
Quelle für Statistiken zu Scalping-Angriffen, KI-Scraper-Volumina und Auswirkungen auf den Einzelhandel. Zugriff: https://www.kasada.io/reports/q2-2025-bot-attack-trends/
Quellen für ATO-Betrugsverluste (13 Mrd. USD), Kosten pro Opfer (12.000 USD) und Umsatzauswirkungen aus Daten von Netacea, DataDome und der Branchenforschung.
Verteidigung gegen die Bot-Mehrheit
Die Bot-Management-Plattform von TR7 kombiniert KI-gestützte Erkennung, Verhaltensanalyse und API-Schutz, um automatisierte Bedrohungen zu identifizieren und zu mitigieren. Sehen Sie, wie wir die menschlichen 49 % von den Bot-51 % unterscheiden.
Bot-Schutz entdecken