Bot-Angriffe erkennen und proaktiv verhindern
Im Internet sind viele gute Bots zu finden, die zum Beispiel für die Indexierung bei Google sorgen. Auf der anderen Seite gibt es aber Bot-Angriffe, die Ihren Webshop mit unterschiedlichen Methoden angreifen. Dazu zählen beispielsweise DDoS Attacken oder Brute-Force-Angriffe. Deshalb ist eine pauschale Lösung zur Abwehr von bösartigen Bots nicht existent. Es gibt jedoch einige proaktive Schritte, die Sie unternehmen können, um das Problem anzugehen.
Hier sind 6 Empfehlungen, die helfen, Bot-Angriffe zu stoppen.
1. Blockieren veralteter Benutzeragenten/Browser
Die Standardkonfigurationen vieler Plugins und Skripte enthalten Listen mit User-Agents, die größtenteils veraltet sind. Dieser Schritt wird die fortgeschrittenen Angreifer nicht aufhalten, aber er könnte einige abfangen und entmutigen. Das Risiko, veraltete User-Agents/Browser zu blockieren, ist sehr gering. Die meisten modernen Browser erzwingen automatische Updates für die Benutzer, was es schwieriger macht, mit einer veralteten Version im Web zu surfen.
Die Empfehlung ist hier folgende Browser zu blocken oder ein CAPTCHA für diese Versionen zu erzwingen:
| Browser | Version |
| Firefox | < 38 |
| Chrome | < 41 |
| Internet Explorer | < 10 |
| Safari | < 9 |
2. Schützen Sie jeden Schnittstellenpunkt vor Bot-Angriffe
Schützen Sie offene API-Schnittstellen. Bot-Angriffe können solche Sicherheitslücken ausnutzen, um an sensible Informationen zu gelangen. Das kann entweder Ihrer Seite oder auch Dritte betreffen.
3. Den Verkehr auf Ihrer Seite evaluieren
Anhand von Trackingtools können Sie den Verkehr auf Ihrem Webshop überwachen. Existieren hier Quellen mit hoher Absprungrate? Ist die Konversionsrate bei bestimmten Quellen niedrig? Das können Anzeichen für einen Botverkehr sein oder gar ein Bot-Angriff. Hier direkt die Quelle zu sperren, ist eher eine drastische Maßnahme. Deshalb ist es nur bei häufigerem Auftreten als Lösung zu sehen.
4. Verkehrshöhepunkte untersuchen
Wenn man auf der eigenen Seite einen positiven Verlauf an Verkehr bemerkt, freut man sich in der Regel. Jedoch: Ein unerklärlicher Anstieg der Klicks auf Ihrer Seite kann ein Zeichen für eine Botaktivität sein.
5. Überwachung von fehlgeschlagene Anmeldeversuchen
Wie in der Einleitung erwähnt, ist eine Angriffsmethode die Brute-Force-Methode. Hier wird von einem programmierten Bot versucht, Passwörter durch „rohe Gewalt“ (engl. ‚brute force‘) zu erraten. Der Algorithmus per se ist simpel gehalten und konzentriert sich dabei auf das Ausprobieren möglichst vieler Kombinationen. Folge dessen hilft ein Captcha oder ein Anmeldeversuche-Limit. Ein Puffer zwischen den Anmeldeversuchen wirkt einem Brute-Force-Angriff ebenso perfekt entgegen.
Dennoch ist hier ein sicheres Passwort absolut wichtig. Um das zu veranschaulichen, hier ein Rechenbeispiel.
Die ungefähre Geschwindigkeit eines sehr starken Computers erlaubt circa 2 Milliarden Passwortanfragen pro Sekunde. Sofern Ihr Kennwort aus nur 5 Zeichen (2 Zahlen und 3 Kleinbuchstaben) besteht, ergibt das 365= 60.466.176 mögliche Kombinationen. Die benötigte Zeit für eine Entschlüsselung des Kennworts entspricht demnach ganze 0,03 Sekunden. Bei 12 Zeichen mit jeweils Groß- & Kleinbuchstaben sowie Zahlen und Sonderzeichen, beläuft sich die Rechnung auf 9412 = 475.920.314.814.253.376.475.136 Kombinationen. Das entspricht hingegen 7,5 Millionen Jahren.
Wenn Sie also sowohl ein Anmeldeversuche-Limit einführen, ein Puffer von x Sekunden zwischen Anmeldeversuchen implementieren und zusätzlich dazu ein starkes Passwort benutzen, ist man auf der absoluten Siegerseite.
6. Evaluieren Sie eine Bot-Mitigation-Lösung
Das Bot-Problem ist ein Wettrüsten. Hacker arbeiten jeden Tag hart daran, Websites auf der ganzen Welt anzugreifen. Mit dem schieren Umfang, der Raffinesse und den Geschäftsschäden, die durch Bot-Angriffe verursacht werden, stellen Bots eine kostspielige Belastung für IT-Mitarbeiter und Ressourcen dar. Heutzutage imitieren Bots menschliches Verhalten und schlüpfen durch herkömmliche Sicherheitstools. Ziehen Sie also auch in Erwägung, Anbieter von Bot-Abwehrlösungen zu evaluieren. Solche Lösungen verfügen über das Branchen-Know-how und die wachsame Unterstützung, die Sie für volle Transparenz und Kontrolle über missbräuchlichen Datenverkehr benötigen.
Wie man sonst sehr schmeichelhaft ein Bot-Angriff abwehrt, zeigt dieser Beitrag.
Sie wollen nun proaktiv gegen Bots Maßnahmen ergreifen, wissen aber nicht, wo Sie anfangen sollen? Nehmen Sie gerne Kontakt mit uns auf, mit unserer Expertise im Webbereich können wir Sie professionell beraten.
Dein Kommentar
An Diskussion beteiligen?Hinterlassen Sie uns Ihren Kommentar!