Wer einen Online-Shop betreibt, hat es im Tagesgeschäft längst nicht mehr nur mit menschlichen Besuchern zu tun. Ein erheblicher Teil des Traffics stammt heute von automatisierten Programmen -- von harmlosen Suchmaschinen-Crawlern über aggressive Preis-Scraper bis zu Angriffs-Bots, die Logins durchprobieren oder Schwachstellen suchen. Laut dem Imperva Bad Bot Report machten böse Bots im Jahr 2023 rund 32 Prozent des gesamten Internet-Traffics aus, während der Anteil menschlicher Nutzer auf 50,4 Prozent sank (Imperva Bad Bot Report 2024). Eine Web Application Firewall (WAF) und ein durchdachtes Bot-Management sind deshalb keine Kür mehr, sondern fester Bestandteil eines verantwortungsvollen Shop-Betriebs. Dieser Leitfaden zeigt, wie WAF- und Bot-Schutz im laufenden Betrieb funktioniert, welche Angriffe sie abfedern und warum die Pflege dieser Schicht in die laufende Wartung gehört.
Warum Bots längst die Mehrheit stellen
Automatisierter Traffic ist kein Randphänomen, sondern bestimmt heute einen Großteil der Anfragen an einen Shop. Cloudflare ordnete in seinem State of Application Security Report 2024 rund 31,2 Prozent des gesamten Anwendungs-Traffics Bots zu -- ein Wert, der über drei Jahre hinweg nahe 30 Prozent lag (Cloudflare State of Application Security 2024). Seitdem hat sich die Lage zugespitzt: Mit dem Aufkommen autonomer KI-Agenten gab Cloudflare im Juni 2026 an, dass automatisierte Systeme inzwischen 57,5 Prozent aller HTTP-Anfragen an Web-Inhalte ausmachen (Cloudflare 2026).
Für deutsche Shops ist die Lage besonders angespannt. Im Imperva Bad Bot Report 2024 lag der Anteil bösartigen Bot-Traffics in Deutschland bei 67,5 Prozent und damit unter den höchsten weltweit, nur knapp hinter Irland mit 71 Prozent (Imperva Bad Bot Report 2024). Diese Zahlen verdeutlichen: Ein Shop ohne aktiven Filter sieht in seinen Analysedaten oft mehr Maschinen als Menschen -- mit verfälschten Statistiken, unnötiger Serverlast und einem ständig offenen Einfallstor für Angriffe. Wie man echten Traffic von Rauschen unterscheidet, ist auch beim Log-Monitoring und Alerting ein zentrales Thema.
Hinzu kommt eine wirtschaftliche Dimension, die häufig unterschätzt wird. Jede automatisierte Anfrage verbraucht Rechenzeit, Datenbankverbindungen und Bandbreite -- Ressourcen, die für zahlende Kunden gedacht sind. Ein Shop, der einen Großteil seiner Last für Scraper und Angriffsversuche aufwendet, zahlt für Infrastruktur, die keinen Umsatz erzeugt, und riskiert in Spitzenzeiten langsamere Antwortzeiten für echte Besucher. Ein vorgeschalteter Filter, der einen Teil dieses Lärms abfängt, entlastet damit nicht nur die Sicherheit, sondern auch die Performance und die laufenden Betriebskosten.
WAF und Bot-Management sind zwei Schichten
Was eine Web Application Firewall leistet
Eine WAF sitzt vor der eigentlichen Shop-Anwendung und untersucht jede eingehende HTTP-Anfrage, bevor sie den Code erreicht. Sie arbeitet auf Anwendungsebene (Layer 7) und erkennt Angriffsmuster, die eine klassische Netzwerk-Firewall nicht sieht. Als bewährte Regelbasis dient das OWASP ModSecurity Core Rule Set (CRS), eine quelloffene Sammlung generischer Erkennungsregeln gegen die verbreitetsten Angriffsklassen (OWASP CRS). Die Regeln decken unter anderem Injection-Versuche, Path-Traversal und das Ausnutzen bekannter Schwachstellen ab.
Der Bedarf ist messbar: Das OWASP-Projekt Automated Threats to Web Applications katalogisiert 21 unterschiedliche Bot-Angriffsarten gegen Webanwendungen, vom Credential Stuffing über Scraping bis zum Ausnutzen von Geschäftslogik (OWASP Automated Threats). Eine WAF allein behebt keine Schwachstelle im Code, aber sie verschafft Zeit und filtert einen großen Teil des automatisierten Lärms heraus -- als zusätzliche Schicht über einer sauber gehärteten Server-Konfiguration.
Signaturbasierte Filter
Bekannte Angriffsmuster wie SQL-Injection oder XSS werden anhand von Regelsätzen wie dem OWASP CRS erkannt und blockiert, bevor sie die Anwendung erreichen.
Anomalie-Erkennung
Ungewöhnliche Anfrage-Muster -- etwa plötzliche Spitzen auf einzelnen Endpunkten -- fallen auf und lassen sich gezielt drosseln oder prüfen.
Virtuelles Patchen
Bis ein Code-Update verfügbar ist, kann eine WAF-Regel eine frisch bekannt gewordene Lücke vorübergehend abschirmen und das Zeitfenster überbrücken.
Geo- und IP-Filter
Anfragen aus auffälligen Netzen oder Regionen ohne Geschäftsbezug lassen sich strenger prüfen oder mit zusätzlichen Hürden versehen.
Rate-Limiting
Zu viele Anfragen pro Zeiteinheit von einer Quelle deuten auf Automatisierung hin und werden begrenzt -- ein wirksames Mittel gegen Brute-Force.
Protokollierung
Jede blockierte und durchgelassene Anfrage wird protokolliert und liefert die Grundlage für Auswertung, Feinabstimmung und Vorfallanalyse.
Bot-Management: gute von bösen Bots trennen
Nicht jeder Bot ist ein Gegner. Suchmaschinen-Crawler sorgen für Sichtbarkeit, Monitoring-Dienste prüfen die Verfügbarkeit, und KI-Crawler werten Inhalte aus. Die Kunst des Bot-Managements liegt darin, diese erwünschten Automatisierungen zuzulassen und gleichzeitig schädliche Bots zu erkennen. Cloudflare nutzt dafür beispielsweise einen Bot-Score, der Anfragen anhand von Verhalten und Merkmalen einordnet -- ein Wert nahe der Untergrenze gilt als eindeutig automatisiert (Cloudflare Bot Management Dokumentation).
Die Unterscheidung wird zunehmend schwieriger, weil Angreifer ihre Werkzeuge verfeinern. Laut dem Account Takeover Report von Kasada setzten 65 Prozent der untersuchten Übernahme-Angriffe auf fortgeschrittene Automatisierung wie CAPTCHA-Bypass-Dienste und Wohn-Proxys, und 85 Prozent der angegriffenen Unternehmen hatten bereits eine Bot-Erkennung im Einsatz -- die Angriffe waren dennoch teils erfolgreich (Kasada Account Takeover Report 2025). Gutes Bot-Management ist deshalb kein einmaliges Häkchen, sondern eine kontinuierlich nachgeschärfte Schicht.
| Bot-Typ | Beispiel | Sinnvoller Umgang |
|---|---|---|
| Erwünschte Bots | Suchmaschinen-Crawler, Monitoring | Zulassen, ggf. über verifizierte Listen bestätigen |
| Graubereich-Bots | KI-Crawler, Preisvergleiche | Abwägen, ggf. drosseln oder per robots.txt steuern |
| Scraper | Inhalts- und Preis-Diebstahl | Begrenzen, Challenge anbieten, Muster blockieren |
| Angriffs-Bots | Credential Stuffing, Schwachstellen-Scan | Konsequent blockieren und protokollieren |
| Spam-Bots | Fake-Registrierungen, Formular-Spam | Über Rate-Limiting und Challenges abfangen |
Fake-Traffic verfälscht jede Entscheidung
Die häufigsten automatisierten Angriffe auf Shops
Online-Shops sind ein besonders lohnendes Ziel, weil hinter den Kundenkonten Zahlungsdaten, gespeicherte Adressen und Treuepunkte liegen. Account-Takeover-Angriffe nahmen 2024 deutlich zu -- ein Bericht verzeichnete einen Anstieg um rund 250 Prozent im Jahresverlauf, befeuert durch saisonale Spitzen und Credential-Stuffing-Kampagnen (Kasada Account Takeover Report 2025). Beim Credential Stuffing testen Bots massenhaft gestohlene Zugangsdaten gegen die Login-Maske, in der Hoffnung, dass Nutzer Passwörter mehrfach verwenden.
Parallel steigt die Zahl der Überlastungsangriffe. Die weltweite Zahl der DDoS-Angriffe verdoppelte sich 2024 nahezu und legte um rund 108 Prozent gegenüber dem Vorjahr zu (StormWall 2024). Der Handel zählte dabei zu den am stärksten betroffenen Branchen mit etwa 12 Prozent aller registrierten Angriffe (StormWall 2024). Das BSI beobachtet zudem einen wachsenden Anteil hochvolumiger DDoS-Angriffe, deren Anteil 2024 auf rund 13 Prozent stieg -- mehr als doppelt so hoch wie im langjährigen Mittel (BSI Lagebericht 2024).
- Credential Stuffing und Account-Takeover -- automatisiertes Durchprobieren gestohlener Zugangsdaten an der Login-Maske.
- Scraping -- systematisches Abgreifen von Produktdaten, Preisen und Inhalten, oft durch Wettbewerber oder Aggregatoren.
- Carding und Fake-Bestellungen -- Testen gestohlener Kartendaten über den Checkout in schneller Folge.
- Spam-Registrierungen -- automatisiertes Anlegen von Fake-Konten, das Datenbanken aufbläht und Versand auslöst.
- Schwachstellen-Scans -- Bots suchen nach bekannten Lücken in Erweiterungen, Admin-Pfaden und veralteten Komponenten.
- DDoS und Lastspitzen -- gezielte Überlastung, häufig kommerziell motiviert und zeitlich auf Aktionsphasen gelegt.
Viele dieser Angriffe richten sich gegen den Login und die API-Endpunkte des Shops -- genau die Stellen, an denen eine WAF mit Rate-Limiting und ein Bot-Filter mit Verhaltensanalyse den größten Hebel haben. Besonders heikel sind Schwachstellen-Scans: Bots klopfen automatisiert bekannte Pfade ab, suchen nach veralteten Erweiterungen und versuchen, eingeschleusten Schadcode zu hinterlegen. Wird ein solcher Versuch erfolgreich, beginnt oft eine stille Kompromittierung, die erst Wochen später auffällt -- weshalb ein laufendes Malware-Scanning und eine saubere Bereinigung den WAF-Schutz sinnvoll ergänzen. Wer einen Vorfall trotzdem nicht früh genug abfängt, sollte einen Notfallplan für gehackte Websites griffbereit haben.
WAF und Bot-Schutz im laufenden Betrieb pflegen
Eine WAF ist kein Gerät, das man einmal einschaltet und vergisst. Regelsätze müssen aktuell gehalten, Schwellenwerte angepasst und Fehlalarme bereinigt werden. Zu streng konfiguriert, blockiert eine WAF echte Kunden und legitime Bestellungen; zu locker, verfehlt sie ihren Zweck. Diese Balance entsteht nur durch laufende Beobachtung der Protokolle und schrittweises Nachschärfen -- am besten zunächst in einem Beobachtungsmodus, der Treffer meldet, ohne sofort zu blockieren.
Beobachtungsmodus aktivieren
Neue Regeln laufen zunächst im reinen Melde-Modus mit. So zeigt sich, welche Anfragen sie treffen würden, ohne echte Kunden zu blockieren -- die Grundlage jeder seriösen Einführung.
# Login-Endpunkt gegen Brute-Force und Credential Stuffing schützen
limit_req_zone $binary_remote_addr zone=login:10m rate=5r/m;
location = /account/login {
limit_req zone=login burst=3 nodelay;
limit_req_status 429;
# weiterleiten an die Anwendung
proxy_pass http://shop_backend;
}
# API-Endpunkte enger takten als regulaere Seiten
limit_req_zone $binary_remote_addr zone=api:10m rate=30r/m;
location /api/ {
limit_req zone=api burst=10 nodelay;
proxy_pass http://shop_backend;
}Schutz ergänzt Härtung, ersetzt sie nicht
Falsch-Positive vermeiden: echte Kunden nicht aussperren
Die größte Herausforderung im laufenden Betrieb sind nicht die Angreifer, sondern die Fehlalarme. Eine zu aggressive WAF, die einen legitimen Checkout blockiert oder einen Großkunden mit vielen schnellen Anfragen für einen Bot hält, kostet unmittelbar Umsatz. Deshalb gehört zu jedem Schutzkonzept ein bewusster Umgang mit der Frage, was passiert, wenn die Regel einen Zweifelsfall trifft. Ein hart blockierter Kunde sieht im besten Fall eine Fehlerseite und versucht es erneut -- im schlechtesten Fall wandert er zum Wettbewerb ab und kommt nicht wieder. Genau deshalb wird die Reaktion auf einen Verdachtsfall sorgfältig gestaffelt, statt jede Auffälligkeit pauschal abzuweisen.
Die richtige Einstellung hängt stark vom konkreten Shop ab. Ein Marktplatz mit vielen gleichzeitigen Nutzern verträgt andere Schwellenwerte als ein Nischen-Shop mit wenigen, aber großen Bestellungen. Auch die Struktur der Kundschaft spielt eine Rolle: Geschäftskunden, die über zentrale Firmen-Netzwerke zugreifen, erzeugen viele Anfragen von einer einzigen Adresse und dürfen nicht reflexartig als Bot eingestuft werden. Diese Feinheiten lassen sich nicht aus einem Standard-Regelsatz ableiten, sondern entstehen aus der Beobachtung des realen Verkehrs über mehrere Wochen -- ein weiterer Grund, warum WAF-Pflege in den laufenden Betrieb gehört und nicht in ein einmaliges Setup.
Challenge statt Block
Im Zweifel wird nicht hart blockiert, sondern eine niederschwellige Prüfung angeboten. Echte Menschen passieren sie, einfache Bots scheitern.
Allowlists pflegen
Bekannte gute Quellen -- Zahlungsdienstleister, Monitoring, eigene Systeme -- werden auf Ausnahmelisten gesetzt, damit sie nicht fälschlich anschlagen.
Protokolle auswerten
Regelmäßige Sichtung der blockierten Anfragen deckt Fehlalarme früh auf und liefert die Grundlage für gezielte Ausnahmen.
Stufenweise Reaktion
Statt eines harten Ja/Nein gibt es Abstufungen: protokollieren, drosseln, fordern, blockieren -- je nach Verdachtsgrad.
Saisons einplanen
Aktionsphasen und Sale-Tage erzeugen legitime Lastspitzen. Schwellenwerte werden vorab angepasst, damit echter Andrang nicht als Angriff gilt.
Regelmäßig prüfen
Was heute passt, kann nach dem nächsten Shop-Update überholt sein. Eine wiederkehrende Kontrolle hält den Filter treffsicher.
Guter Schutz fällt nicht auf -- er lässt die echten Kunden ungestört durch und hält das Rauschen leise im Hintergrund. Spürbar wird er erst, wenn er fehlt.
Schutz, Monitoring und Wartung greifen ineinander
Wer WAF und Bot-Management einmal sauber eingerichtet und in den Wartungsrhythmus aufgenommen hat, gewinnt gleich doppelt: weniger erfolgreiche Angriffe und sauberere Daten als Entscheidungsgrundlage. Die Einrichtung, Feinabstimmung und laufende Pflege dieser Schicht übernimmt unsere Managed-Service-Betreuung -- damit der Schutz nicht nach dem ersten Tag still verfällt, sondern mit dem Shop mitwächst. Eine Einschätzung für Ihren konkreten Shop liefert ein persönliches Gespräch.