Von Bots in den Sitzungssaal: Wie sich schlechte Bots negativ auf Ihre Bilanz auswirken

Automatisierte Bot-Angriffe können auch direkt zu finanziellen Verlusten und verpassten wirtschaftlichen Möglichkeiten beitragen, indem sie:

• Verlust des Kundenvertrauens nach der Kontoübernahme. Kunden sind zu Recht unzufrieden, wenn es aufgrund unzureichender Bot-Abwehrmaßnahmen eines Unternehmens zu einer Account-Übernahme (ATO) und kostspieligen betrügerischen Aktivitäten kommt, die wiederum die Kundenzufriedenheit mindern, den Ruf schädigen und die Geschäftsbeziehung beenden. Über ein Viertel der befragten US-Verbraucher geben an, sie würden die Bank wechseln, wenn sie mit der Reaktion der Bank auf ihren Betrugsfall unzufrieden wären. 
   
• Zunehmende Verluste durch Betrug und Rückbuchungen. Botgesteuerte ATO-Angriffe und die betrügerische Erstellung von Konten wirken sich negativ auf das Endergebnis aus, wenn Kriminelle gestohlene Anmeldeinformationen verwenden, um Einkäufe zu tätigen oder gefälschte Konten einzurichten. Rückbuchungen schädigen den Ruf des Händlers bei den Kreditkartenabwicklern und führen zu Rückbuchungsstrafen.
   
• Steigende Arbeitskosten. Bot-Angriffe wie Credential Stuffing, die zu ATO führen, erfordern eine Untersuchung durch Betrugsanalysten, was Zeit in Anspruch nimmt, die für deren kritischere und gründlichere Untersuchungen zur Verfügung steht. Selbst wenn es Credential-Stuffing-Bots nicht gelingt, ein Konto zu übernehmen, sperren sie die Konten häufig, indem sie viele Passwörter in schneller Folge ausprobieren. Die Kunden sind dann gezwungen, den Support anzurufen, was mit jedem Anruf die Supportkosten in die Höhe treibt.
   
• Verzerrung der Anlegerbewertungen. Wenn die Bewertung eines börsennotierten Unternehmens von der Anzahl der Follower, Benutzer oder Interaktionen abhängt, kann die Anwesenheit nicht-menschlicher Bot-Konten genaue Bewertungen dramatisch verfälschen. So dominierten beispielsweise die jüngsten Versuche, eine genaue Bewertung von Twitter zu erreichen, basierend auf der Anzahl der von Menschen im Vergleich zu Bots betriebenen Konten, die Nachrichten im Jahr 2022. 
   
• Verwechseln von Bots mit Menschen und umgekehrt durch unzuverlässige Lösungen zur Bot-Abwehr.  Diese Fehler werden durch unzureichende Bemühungen zur Bot-Eindämmung verursacht, sie müssen jedoch begrenzt und verhindert werden. Sowohl falsch-positive als auch falsch-negative Ergebnisse (wenn ein Bot-Management-Tool einen echten Menschen beschuldigt, ein Bot zu sein) wirken sich auf den Umsatz und das Endergebnis aus. Im einen Fall verlieren Sie Kunden, im anderen Fall entstehen Ihnen durch Betrug wirtschaftliche Einbußen. Tatsächlich kann ein falsch-positives Ergebnis, das einen strategischen Kunden von einer Geldüberweisung abhält, für eine Bank schädlicher sein als ein falsch-negatives Ergebnis, das zu Betrug oder Rückbuchungen führt. Die Untersuchung beider Situationen erfordert außerdem die Zeit und Arbeit eines Betrugsanalytikers.
   
• Mangelnder Schutz der Verbraucherdaten. Gesetze und Standards wie die Datenschutz-Grundverordnung (DSGVO) in der EU, der California Consumer Protection Act (CCPA) und der Payment Card Industry Data Security Standard (PCI-DSS) sollen den Schutz der Daten der Verbraucher gewährleisten und im Falle von Datenschutzverstößen hohe Geldstrafen verhängen. Hierzu gehören ATO- und Content-Scraping-Angriffe, die private Daten Bots preisgeben. Datenschutzverletzungen, die aus der Nichteinhaltung dieser Vorschriften resultieren, können sehr kostspielig sein: Im Rahmen der DSGVO können die Datenschutzbehörden der EU Geldbußen von bis zu 20 Millionen Euro oder 4 % des weltweiten Umsatzes des vorangegangenen Geschäftsjahres verhängen. 

Bot-Angriffe wirken sich nicht nur auf den Umsatz aus. Sie verteuern den Betrieb von Unternehmen außerdem durch:

• Beeinträchtigung der Anwendungsleistung und Verfügbarkeit mit potenziell erhöhten Infrastrukturkosten. Aufgrund ihres Umfangs können Bot-Scraping-Angriffe die Leistung von Apps und Plattformen beeinträchtigen. Werden sie nicht kontrolliert, kann dies zu übermäßigen Investitionen in die Infrastrukturkapazität und zu zusätzlichen Gebühren für die Cloud-Nutzung führen, um das erforderliche Leistungsniveau aufrechtzuerhalten.
   
• Verringerung der App-Verfügbarkeit und Geschäftsstabilität. Von Bot-Aktivitäten überlastete Web-Anwendungen stehen für Kundenanfragen und E-Commerce-Aktivitäten in Echtzeit nicht zur Verfügung. Dies führt zu Umsatzeinbußen, Reputationsschäden, Kundenabwanderung und einer beeinträchtigten Benutzererfahrung.
   
• Schädigung der Beziehungen zu externen Ökosystempartnern. Plattformen und Apps, die mit unerwünschtem Bot-Verkehr überlastet sind, können dazu führen, dass Partner innerhalb der API-Wirtschaft SLAs nicht einhalten und damit gegen vertragliche Verpflichtungen verstoßen.
   
• Verfälschung von Geschäftsentscheidungen. Bot-Aktivitäten können ansonsten wertvolle Website-Statistiken, Protokolldaten und Kennzahlen zur Kundeninteraktion verzerren, auf die sich Unternehmen bei Geschäftsentscheidungen verlassen, wie etwa bei der Preisgestaltung und der bezahlten und organischen SEO-Optimierung.
   
• Manipulation der Bestandsverwaltung. Automatisierte Bots können Online-Waren oder -Dienstleistungen in großen Mengen kaufen, sobald diese in den Verkauf gelangen. Dadurch erlangen Kriminelle die massive Kontrolle über wertvolle Lagerbestände, die in der Regel mit einem erheblichen Aufschlag auf dem Sekundärmarkt weiterverkauft werden, was zu künstlicher Verknappung, Lagerbeständen und Frustration auf Seiten der Verbraucher führt.
   
• Steigende Kosten für den Kundensupport. Automatisierte Bots können bei erfolgreichen Angriffen den Druck auf die Kundensupportteams erhöhen, da sie mehr Anrufe und Nachrichten im Zusammenhang mit Kontoübernahmen, Geschenkkarten- oder Treuepunktebetrug und anderen Kundenbeschwerden über kompromittierte Konten generieren. Die Verwendung von CAPTCHA-Tools und Multi-Faktor-Authentifizierung (MFA) zum Schutz vor Betrug kann auch die unbeabsichtigte Folge haben, dass es zu mehr Benutzerreibungen und Anrufen beim Kundensupport kommt, da es schwierig sein kann, diese Prozesse korrekt abzuschließen, und dies zur Sperrung der Konten legitimer Kunden führen kann. Dies kann zu höheren Betriebskosten in Kundensupportzentren, Kundenverlusten und einer Schädigung des Markenrufs durch Net Promoter Scores (NPS) und schlechte Bewertungen und Beurteilungen auf Social-Media-Plattformen führen.
   
• Steigende Kosten für die Arbeitsstunden, die für die Abwehr von Bot-Angriffen aufgewendet werden. Die Abwehr bösartiger Bot-Angriffe über Web Application Firewalls (WAFs) und die manuelle Blockierung von IP-Adressen ist zeitintensiv und erfordert zur Durchführung eine steigende Zahl geschulter Mitarbeiter. Einfache WAFs lernen nicht in Echtzeit. Sie verlassen sich bei der Erkennung bösartiger Bots auf voreingestellte Regeln. Um WAFs auf dem neuesten Stand zu halten, sind in der Regel schrittweise Patches und Regelfestlegungen erforderlich. Die einzige Möglichkeit, die Abwehr dieser manuellen Prozesse zu skalieren, besteht in der Erhöhung der Zahl dedizierter IT- und Sicherheitsmitarbeiter.

Qualitative Auswirkungen sind möglicherweise schwieriger zu messen als quantitative Kennzahlen, das heißt aber nicht, dass sie für Unternehmen weniger wichtig sind. Automatisierte Bot-Angriffe können auch direkt zu diesen subjektiven Werttreibern beitragen, und zwar durch:

• Einfluss auf die Mitarbeitererfahrung. Es herrscht ein Mangel an Fachwissen im Bereich Informationssicherheit und viele Unternehmen kämpfen mit einem Mangel an Fachkräften im Bereich Cybersicherheit, obwohl die Zahl und Komplexität automatisierter Bot-Angriffe zunimmt. Trotz größter Bemühungen sind viele SOC- und Betrugsteams nicht in der Lage, mit der Fähigkeit der Cyberkriminellen Schritt zu halten, ihre Bot-Angriffe mehrmals pro Woche umgehend umzulenken und anders auszurichten. Ohne intelligentere und technisch ausgereiftere Lösungen zur Bot-Abwehr ist es eine Herausforderung, talentierte Sicherheitsexperten im Unternehmen zu halten, insbesondere wenn diese ausgebrannt und überfordert sind. 

Um den Wert eines erfolgreichen Bot-Managements darzustellen, müssen Sie erklären, wie sich Bot-Angriffe auf Abläufe und Kennzahlen im Zusammenhang mit bestimmten Rollen und Funktionen in einer Organisation auswirken können.

Der CISO kümmert sich um Informationssicherheit, Kostenkontrolle und stellt sicher, dass die IT die Geschäftsmission unterstützt. Bots wirken sich auf alle diese Belange aus.

Bots gefährden jeden Aspekt der Informationssicherheits-Triade aus Vertraulichkeit, Integrität und Verfügbarkeit. Ein Credential-Stuffing-Bot, der ein Konto übernimmt, legt Daten offen, die vertraulich behandelt werden sollten. Darüber hinaus ermöglichen diese Bots Angreifern, Daten zu verändern und Transaktionen durchzuführen, wodurch die Integrität verletzt wird. Scraping-Bots verfälschen die Daten ebenso wie Bots zur Erstellung gefälschter Konten, was alles in allem die Integrität wichtiger Geschäftskennzahlen verletzt. Schließlich können Scraping- und Scalping-Bots die Infrastruktur einer Site so stark belasten, dass sie nicht mehr verfügbar ist.

Bots wirken sich auf vielfältige Weise auf die Kosten aus:

• Credential-Stuffing-Bots erhöhen die Supportkosten durch Kontosperrungen und erhöhen die finanzielle Haftung, da Kriminelle Kontostände leeren.
   
• Carding-Bots erhöhen Rückbuchungsgebühren und können zu Geldstrafen führen.
   
• Scraping- und Scalping-Bots erhöhen die Verkehrslast und die Infrastrukturkosten.
   
• Der Kampf gegen Bots mit ineffektiven Tools wie einer WAF verursacht hohe SecOps-Kosten.

Bots bereiten CISOs auch deshalb Sorgen, weil sie die IT daran hindern, das Geschäft zu unterstützen. Ineffektives Bot-Management, wie etwa CAPTCHA, und eine übermäßige Abhängigkeit von der Multi-Faktor-Authentifizierung führen zu Reibungen, die das Kundenerlebnis beeinträchtigen und den Umsatz reduzieren. Bots verzerren Geschäftskennzahlen derart, dass es schwierig wird, die Geschäftsstrategie zu bewerten. Wie setzen Sie eine Geschäftsstrategie um, wenn Sie nicht einmal wissen, mit wem Sie interagieren?

Die Aufgabe des SecOps-Teams besteht darin, die Cybersicherheitsrisiken für das Unternehmen effizient zu managen. Bots stehen dieser Aufgabe im Weg. Ebenso wie der CISO sind auch die SecOps mit den Themen Vertraulichkeit, Integrität und Verfügbarkeit befasst, die alle durch Bots beeinträchtigt werden. Zusätzlich zu diesen gemeinsamen Bedenken stellen Bots bei der effizienten Bewältigung von Sicherheitsrisiken die Herausforderung dar, dass sie viel Lärm verursachen, der das Signal übertönt und Bedrohungen in einer Flut bösartigen Datenverkehrs versteckt.

Wenn Bots den Großteil des Datenverkehrs einer Site ausmachen, ist es schwieriger, Protokolle auf Anzeichen von Schwachstellenscans und Injection-Angriffen zu analysieren. Und Sicherheitstools wie SIEMs sowie Systeme zur Erkennung und Verhinderung von Angriffen werden überlastet, was die Kosten erhöht und zu vielen Fehlalarmen führt, die untersucht werden müssen. Wenn zu wenig normal ist, wird das Aufspüren der Anomalien unpraktisch.

Durch erfolgreiches Bot-Management wird das Rauschen beseitigt und SecOps kann sich effektiv auf verbleibende Bedrohungen konzentrieren.

Wie SecOps wirken sich Bots auf Betrugsbekämpfungsteams aus, indem sie den Lärm drastisch erhöhen. Angesichts der vielen Bots, die Konten übernehmen, Konten sperren, gefälschte Konten erstellen und Anomaliewarnungen auslösen, wird der Arbeitsaufwand unpraktisch.

Wenn Betrugsbekämpfungs- und Sicherheitsteams bei der Bekämpfung von Bots zusammenarbeiten, gewinnt jedes Team. Sicherheitsteams können sich auf eine wesentlich kleinere Anzahl von Sicherheitsvorfällen konzentrieren und das Betrugsausmaß wird reduziert. So können sich Betrugsteams auf komplexere Betrugsfälle konzentrieren, zu deren Lösung ihr Expertenurteil erforderlich ist. Dies reduziert die Falllast und verbessert die Erfolgskennzahlen. Aus der Betrugsperspektive sind Bots ein Vorspiel, ein Mittel, mit dem Betrüger Zugriff erhalten. Das Stoppen von Bots im Vorfeld reduziert den Arbeitsaufwand im Nachfeld.

NetOps-Teams sind für den Betrieb der geschäftsbezogenen Infrastruktur verantwortlich. Sie sorgen für Verfügbarkeit und Leistung und kontrollieren gleichzeitig die Kosten.

In manchen Fällen machen Scraping-Bots bei E-Commerce-Apps über 90 % des Datenverkehrs aus. Das bedeutet, dass ein Großteil der Infrastruktur für Bots verwendet wird, wodurch ein Großteil des Infrastrukturbudgets verschwendet wird – ein Wert, der sich sehr deutlich in der Rechnung für Cloud-Dienste niederschlagen kann.

Diese Bots kümmern sich nicht um die Leistung oder Verfügbarkeit einer Site und können den Datenverkehr jederzeit und ohne Vorwarnung steigern, was zu Unvorhersehbarkeit und höheren Kosten führt, um die notwendige Skalierbarkeit sicherzustellen.

In einer DevOps-Kultur übernimmt DevSecOps die Verantwortung für die Einbindung der Sicherheit in die Pipeline für kontinuierliche Integration/Entwicklung (CI/CD), sorgt für schnelles Feedback zu Sicherheitsfehlern an Entwickler und verbessert kontinuierlich die Integration der Sicherheit in den Technologie-Wertstrom.

DevSecOps verschiebt die Sicherheit nach links und stellt sicher, dass etwaige Lücken früher im Arbeitsablauf eingeplant werden. Bots sind hier relevant, da neue Funktionen daraufhin bewertet werden müssen, wie Bots die Funktion ausnutzen könnten, welcher Schaden verursacht werden könnte und welche Maßnahmen bei der Bereitstellung ergriffen werden sollten, um den Schaden zu verhindern.

DevSecOps-Teams legen besonderen Wert auf die Telemetrie. Laut DevOps-Handbuch¹ Telemetrie ist für die Vorhersage, Diagnose und Lösung von Problemen in komplexen Systemen von entscheidender Bedeutung. Damit DevOps erfolgreich ist, sollte die Telemetrie mehrere Ebenen abdecken, darunter Geschäftsmetriken, Funktionsnutzung, Netzwerkleistung und Infrastrukturlast, sodass ein Problem in einer Ebene über den gesamten Stapel verfolgt und die Grundursachen schnell identifiziert werden können.

Bots verzerren die Telemetrie in großem Maße. Viele Kunden von F5 Distributed Cloud Bot Defense stellten fest, dass die meisten ihrer Benutzerkonten gefälscht waren und dass Bots für über 95 % des Anmeldeverkehrs verantwortlich waren. In manchen Fällen diente der Großteil der Infrastruktur einer Organisation lediglich zum Scraping von Bots. DevSecOps muss diese Verzerrung aus der Telemetrie entfernen, wenn es seiner Sicherheitsmission gerecht werden will.

Es kommt alles darauf an, wem die Zahlen gehören. Ist der Vizepräsident für E-Commerce für die Kosten von Betrug, Infrastruktur und Rückbuchungen verantwortlich? Belasten diese Gebühren die Gewinne des Online-Geschäfts erheblich? Werden Konversionsraten und Umsatz durch Sicherheitsprobleme wie CAPTCHA beeinflusst? Wenn ja, dann wird sich dieser Vizepräsident intensiv damit befassen, wie durch Bot-Management sowohl der Umsatz als auch der Gewinn gesteigert werden können.

Dasselbe gilt für die Marktführer aller Produkt- oder Dienstleistungslinien, die online über das Web oder mobile Apps verkauft werden. Um den Gewinn zu maximieren, müssen Sie zwangsläufig die größte Datenverkehrsquelle für Ihre Apps ansprechen.

Vermarkter haben ihre eigenen Gründe, sich um Bots zu kümmern. Bots, die die Site verlangsamen, lahmlegen und Kundenkonten übernehmen, schaden der Marke. Bots verzerren die Website-Analyse, auf die sich Vermarkter bei ihrer Entscheidungsfindung verlassen. Und durch Bots ausgelöster Klickbetrug erschöpft Werbebudgets, ohne Einnahmen zu erzielen.