Sicherheit für Onlineshops – Bad-Bots & Co.
Von Frank Dahmen
Wie Sie aggressives Crawling, Bot-Traffic und Angriffe spürbar reduzieren
Mehr Traffic ist nicht automatisch mehr Umsatz.
Bad-Bots erzeugen nicht „einfach nur“ zusätzliche Seitenaufrufe. Sie können Onlineshops spürbar verlangsamen, Systeme durch aggressives Crawling überlasten, Login-Formulare automatisiert testen und Produkt- oder Preisdaten in großem Stil abgreifen. Besonders kritisch wird es, wenn Bot-Traffic „teure“ Bereiche triggert – Suche, Filter, Warenkorb, Checkout oder API-Endpunkte – und dadurch Datenbank, PHP-Worker oder externe Services unnötig beschäftigt. Mit einem abgestuften Schutz aus Updates, WAF/Bot-Management, Rate-Limits, sauberem Logging und klaren Notfallmaßnahmen reduzieren Sie Risiken, ohne echte Besucher zu blockieren.
Warum Bad-Bots für Onlineshops ein echtes Risiko sind
Bad-Bots sind automatisierte Programme, die sich nicht wie normale Besucher verhalten. Sie rufen Seiten in hoher Frequenz ab, testen systematisch URL-Strukturen oder versuchen, bekannte Schwachstellen auszunutzen. In Onlineshops wirkt sich das schnell aus: Ressourcen werden gebunden, Antwortzeiten steigen, Caches werden „zerschossen“, und im Worst Case kommt es zu Fehlermeldungen oder Ausfällen – selbst dann, wenn kein erfolgreicher Einbruch stattfindet.
Die Motive sind dabei sehr unterschiedlich. Manche Bots wollen Daten abgreifen (Scraping) – etwa Produktinformationen, Verfügbarkeiten oder Preise. Andere zielen auf Logins (Credential-Stuffing), testen Passwörter, oder versuchen Account-Übernahmen für Betrug und Missbrauch. Wieder andere kommen als „Scanner“: Sie klopfen bekannte Pfade ab, suchen nach verwundbaren Plugins, veralteten Bibliotheken oder falsch konfigurierten Servern. Häufig sieht das nach zufälligem Rauschen aus, folgt aber typischen Mustern und wiederholt sich über viele IPs oder ganze Netze.
Ein zusätzlicher Effekt wird oft unterschätzt: Selbst wenn der Onlineshop technisch stabil bleibt, können aggressive Requests die Nutzererfahrung verschlechtern. Langsame Seiten bedeuten weniger Käufe, mehr Abbrüche und mehr Support-Anfragen. Gleichzeitig erhöhen sich Betriebskosten, weil Server größer dimensioniert werden müssen oder weil externe Dienste (z. B. Suche, Monitoring, Zahlungs- oder CDN-Anteile) stärker belastet werden. Sinnvoll ist deshalb ein pragmatischer, mehrstufiger Schutz: nicht alles pauschal blocken, sondern legitime Zugriffe von auffälligen Mustern trennen und abgestuft reagieren.
Woran Sie aggressives Crawling und Bot-Traffic erkennen
Der wichtigste Schritt ist Transparenz: Ohne Log-Auswertung und Monitoring bleibt Bot-Traffic oft lange unbemerkt. Typische Hinweise sind sehr viele Requests pro IP oder Subnetz, ungewöhnliche User-Agents, auffällig viele 404/403-Antworten oder wiederholte Aufrufe derselben Filter- und Suchkombinationen. Gerade in Onlineshops sind Such- und Filterseiten häufig besonders „teuer“, weil sie Datenbankabfragen auslösen, Sortierungen berechnen oder Inhalte dynamisch zusammenstellen.
Zusätzlich helfen Performance-Signale: steigende CPU-Last ohne passendes Umsatz- oder Nutzerwachstum, wachsende PHP- oder Datenbank-Laufzeiten, mehr gleichartige Requests mit ähnlichen Parametern oder eine hohe Zahl paralleler Verbindungen. Auch ein Blick auf Antwortzeiten ist aufschlussreich: Wenn sich ein Teil der Requests immer wieder auf dieselben Pfade konzentriert und dabei die Antwortzeiten hochgehen, ist das ein Hinweis, dass Bots genau diese „schweren“ Bereiche ausreizen.
In der Praxis lohnt sich ein einfacher Dreiklang: (1) Top-Pfade nach Häufigkeit (Welche URLs werden am meisten angefragt?), (2) Statuscodes und Fehlerraten (Wo häufen sich 404/403/429/503?) und (3) Zeitverhalten (Welche Requests dauern besonders lange und treten in Clustern auf?). Damit können Sie aggressive Muster gut abgrenzen – und anschließend zielgerichtet drosseln, challengen oder blocken, ohne Ihren Onlineshop „blind“ zu schließen.
Schutzmaßnahmen: WAF, Rate-Limits, Bot-Management und Regeln
Stufenmodell statt „alles blocken“
Ein wirksamer Schutz für Onlineshops entsteht fast nie durch eine einzelne Maßnahme, sondern durch ein Paket aus technischen und organisatorischen Bausteinen. Typisch ist eine Kombination aus Caching/Kompression für schnelle Auslieferung, gezielten Rate-Limits für „teure“ Endpunkte, sowie einer Web Application Firewall (WAF), die bekannte Angriffsmuster (z. B. Scans, Injection-Strings, Exploit-Versuche) filtert, bevor sie Ihren Onlineshop erreichen. Ergänzend helfen Bot-Management-Lösungen (häufig als Cloud-Dienst), die automatisierten Traffic anhand von Verhalten, Fingerprints und Auffälligkeiten bewerten.
In der Praxis funktioniert ein Stufenmodell besonders gut: Erst drosseln (damit echte Nutzer nicht sofort Fehler sehen), dann bei wiederholten Treffern eine Challenge (z. B. JavaScript/Managed Challenge) und anschließend blocken. Wichtig ist dabei die Trennung nach Bereichen: Für Login, Suche, Filter, Warenkorb und Checkout gelten meist strengere Regeln als für statische Inhalte. Gleichzeitig können legitime Crawler (z. B. für Indexierung) gezielt ausgenommen werden – allerdings mit Vorsicht und Verifikation, damit sich Bots nicht einfach als „guter“ Crawler ausgeben.
Wichtig: Passen Sie die rot markierten Variablen im Skript (z. B. Pfade, Schwellenwerte und Ausnahmen) unbedingt an Ihre eigene Umgebung an. Starten Sie lieber konservativ und prüfen Sie Logdaten, bevor Sie Regeln verschärfen – so vermeiden Sie unnötige Sperren echter Besucher.
# Ziel: auffällige Requests auf „teuren“ Seiten begrenzen
# (z. B. Suche, Filter, Login, Checkout)
# Rate-Limit (Beispielwerte) – pro IP und Endpunkt
/login → 10 Requests / Minute, danach drosseln oder blocken
/suche → 60 Requests / Minute, danach drosseln
/filter → 120 Requests / Minute, danach drosseln
# WAF-Regeln – typische Scan-Muster stoppen
Blockiere Requests auf /wp-admin, /wp-login, /xmlrpc.php usw.
Blockiere verdächtige Query-Pattern (z. B. SQLi/XSS-Strings) per WAF
# Bot-Management – abgestufte Reaktion
Bei niedrigem Bot-Score: challenge
Bei wiederholten Treffern: block
# Ausnahmen
Erlaube bekannte Crawler nur, wenn Reverse-DNS/Verifikation passt
end
Gezielte Angriffe: Scans auf Sicherheitslücken und wie Sie reagieren
Neben Bot-Traffic gibt es gezielte Angriffsversuche, die auf bekannte Schwachstellen abzielen. Typisch sind automatisierte Scans auf Standardpfade, veraltete Plugins, anfällige Bibliotheken oder falsch konfigurierte Endpunkte. Solche Requests wirken oft wie „Hintergrundrauschen“, sind aber ein sehr klares Signal: Ihr Onlineshop wird aktiv überprüft – häufig breit gestreut über viele IPs, teilweise auch mit wechselnden User-Agents und Parametern, um einfache Sperren zu umgehen.
Die wichtigste Abwehr ist eine Kombination aus Prävention und schneller Reaktion. Prävention heißt: Betriebssystem, Webserver, PHP/Runtime, Bibliotheken und Onlineshop-Software regelmäßig aktualisieren, nicht genutzte Komponenten entfernen und die öffentlich erreichbare Angriffsfläche reduzieren. Dazu gehört auch, Admin-Bereiche nicht unnötig offen zugänglich zu lassen, Zugriffe auf sensible Pfade zu begrenzen und Standardpfade, die nicht gebraucht werden, konsequent zu sperren. Eine WAF hilft zusätzlich, bekannte Exploit- und Injection-Muster früh abzufangen, bevor sie in Ihrem Onlineshop überhaupt verarbeitet werden.
Wenn Sie plötzlich viele 401/403/404 auf verdächtige Pfade sehen oder ungewöhnliche Parameter-Kombinationen auftauchen, lohnt sich ein strukturierter Check: Sind nur Scans sichtbar, oder gibt es Auffälligkeiten im System (z. B. unerwartete Dateien, ungewöhnliche Prozesslast, neue Admin-Logins, veränderte Konfigurationen)? Sinnvolle Sofortmaßnahmen sind temporär strengere Rate-Limits/Challenges auf betroffenen Pfaden, das Schließen nicht benötigter Endpunkte, das Zurücksetzen kompromittierter Zugangsdaten und – bei Admin-Logins – möglichst ein zusätzlicher Schutz wie 2-Faktor-Login. Wichtig ist dabei, die Änderung kontrolliert zu machen, damit echte Nutzer im Onlineshop nicht unnötig ausgesperrt werden.
Praxis-Tipps: Updates, Monitoring, Backups und Notfallplan
Ein belastbares Sicherheitskonzept für Onlineshops lebt von wiederkehrenden Routinen. Planen Sie Updates als festen Prozess ein: erst testen, dann ausrollen, danach kurz die Kernfunktionen prüfen (Startseite, Suche, Produktseite, Warenkorb, Checkout, Kontakt). Parallel dazu sollten Sie Logs und Monitoring nutzen, um Bot-Traffic und Angriffe früh zu erkennen: auffällige Pfade, wiederkehrende Parameter, hohe Request-Raten oder ungewöhnliche Herkunftsnetze sind gute Indikatoren. Je früher Sie reagieren, desto geringer ist meist der Aufwand.
Backups bleiben ein zentraler Baustein – nicht nur „irgendwo“ erstellen, sondern so, dass Sie im Ernstfall handlungsfähig sind. Sinnvoll ist eine getrennte Aufbewahrung (z. B. externes Ziel), ein Rotationsprinzip und ein gelegentlicher Wiederherstellungstest. Der Test ist entscheidend, weil er zeigt, ob Daten wirklich vollständig und nutzbar sind, und wie lange eine Wiederherstellung dauert. Gerade bei Onlineshops zählt neben Datenintegrität auch die Zeit bis zur Wiederverfügbarkeit, weil Ausfälle direkt Umsatz kosten können.
Für akute Bot-Spitzen helfen kurzfristige Maßnahmen: strengere Rate-Limits auf „teuren“ Endpunkten, temporäre Challenges für auffällige Muster oder das drosselnde Behandeln bestimmter Parameter-Kombinationen. Dabei lohnt sich eine Balance: Eine harte Blockade kann Bots schnell stoppen, kann aber auch legitime Crawler oder echte Nutzer treffen, wenn die Regeln zu grob sind. Ein guter Notfallplan arbeitet deshalb mit klaren Stufen (Normalbetrieb, Schutzmodus, Eskalation) und definiert, was wann passiert: welche Regeln werden verschärft, wie wird geprüft, ob echte Nutzer betroffen sind, und wie wird im Anschluss wieder in den stabilen Betrieb zurückgekehrt. So wird Sicherheit im Onlineshop planbar – auch wenn die Angriffsarten sich laufend ändern.
Unsere All-In-One Lösung speziell für JTL-Shop
Für JTL-Shop mit umfangreicher Merkmalfilterung haben wir ein eigenes Plugin entwickelt, das den Onlineshop gezielt vor Bad-Bots und extremem Bot-Traffic schützt. Gerade die verschachtelte URL-Struktur aus Merkmal-Kombinationen kann sehr viele Varianten erzeugen und dadurch unnötige Seitenaufrufe provozieren – in der Praxis teilweise bis in den fünfstelligen Bereich. Unser Ansatz reduziert diese Last deutlich, hält die Performance stabil und sorgt dafür, dass echte Besucher weiterhin normal navigieren können, während automatisierte Zugriffe wirksam ausgebremst werden.
- Schutz der Merkmalfilter-URLs: reduziert Bot-Traffic auf verschachtelte Filterkombinationen und entlastet damit Server und Datenbank.
- Intelligente Erkennung von Bad-Bots: kombiniert mehrere Signale, um automatisierte Zugriffe zuverlässig zu identifizieren.
- Abwehr bekannter Bot-Typen: blockiert typische Scraper- und SEO-Bots sowie auffällige Fake-Browser-User-Agents.
- Whitelist für legitime Systeme: schont wichtige Akteure wie interne Tools und relevante Crawler, damit der Onlineshop erreichbar und indexierbar bleibt.
- Stabilitäts- und Fail-Safe-Logik: der Schutz bleibt alltagstauglich und verursacht keine unnötigen Ausfälle durch überharte Sperren.
- Transparente Protokollierung: nachvollziehbare Logs für Analyse, Feintuning und langfristige Optimierung der Schutzregeln.
- Praxisorientiert konfigurierbar: Anpassung an Ihre Onlineshop-Struktur, typische Bot-Muster und individuelle Anforderungen.
Über Frank Dahmen
Frank Dahmen beschäftigt sich seit den Anfängen des Internetzeitalters Mitte der 1990er Jahre intensiv mit Webentwicklung und Programmierung. Seine langjährige Erfahrung reicht von klassischen Webtechnologien bis hin zu modernen Software- und Systemarchitekturen. Besondere Interessen liegen in den Bereichen IT-Security und Künstliche Intelligenz, er greift aber auch gerne andere Themen rund um das IT-Geschehen auf.
Unsere Lösungen für Sie – passend zum Thema
Wir zeigen Ihnen, welche Lösung technisch sinnvoll ist und langfristig funktioniert.