Kundenscoring und Inkasso by Sicherheit Scalper, Scraper, Fakeshop-Bauer: Wie Bots immer mehr Onlinehändler bedrohen Rare Waren wegkaufen und teuer ver- scherbeln, Produktlisten für Fakeshops auslesen, Gutscheincodes erraten: Das Bot-Waffenarsenal der ECommerce- Betrüger wird immer ausgefeilter. Händ- ler und ihre Dienstleister müssen sich wappnen. Die Vorfreude war riesig, die Ernüch- terung umso stärker: Als Sony im Spät- herbst 2021 seine neue Spielekonsole Playstation 5 auf den Markt brachte, waren die Bestände in den Onlineshops innerhalb kürzester Zeit ausverkauft. Viele mussten darauf verzichten, ihren Kindern oder sich selbst eine Konsole unter den Tannenbaum zu legen - oder sehr tief in die Tasche greifen. Auch ak- tuell meldet Gameswirtschaft, dass die PS 5 immer noch ausverkauft ist. Doch nicht nur diese: „Mit geringer zeitlicher Verzögerung wurde auf Amazon.de auch das Laufwerk-lose Modell PS5 Digital Edition angeboten. Auch in diesem Fall waren die Bestände rasend schnell aus- verkauft.“ Für Betuchte ist das weniger ein Problem: Auf Ebay wurden die begehrten Konso- len nämlich mit enormen Margen weiter- verkauft, teilweise zum doppelten Preis. Was war passiert? Einige Käufer hatten sich sogenannter Scalper-Bots bedient: Softwareprogramme, die automatisiert und in einem Sekundenbruchteil Waren einkaufen. Einige dieser Kunden nutzten ihren Technologie- und Geschwindig- keitsvorsprung aus, um nicht nur ihren Eigenbedarf zu decken, sondern ein gu- tes Geschäft mit dem Weiterverkauf zu machen. Die Freude über den schnellen Abver- kauf wird für die Shopbetreiber dadurch getrübt, dass die Stammkundschaft leer ausgeht und im schlimmsten Fall ver- ärgert reagiert - insbesondere, wenn zuvor kräftig die Werbetrommel für ein bestimmtes Produkt gerührt wur- de oder die begehrten Waren Teil einer Verkaufsaktion sind, beziehungsweise sein sollten. Die Scalper selbst sind sich keiner Schuld bewusst. So twitterte das Scalper-Netzwerk CrepChiefNotify vol- ler Stolz, dass sich seine Mitglieder beim Verkaufsstart innerhalb von 24 Stunden mehr als 2.500 PS5-Konsolen gesichert hatten und durch den Weiterverkauf eine Million Britische Pfund Gewinn erzielt hätten. Die Gefahr wächst Die Krux an der Sache ist die wachsen- de Zahl der Script-Kiddies: Scalper-Bots werden schon für 300 Euro verkauft, die Hemmschwelle für den Kauf dieser Pro- gramme liegt somit niedrig und die mög- liche Marge ist ein starker Anreiz. Wie auch Viren- und Hacker-Scripts schon in der Vergangenheit dafür gesorgt hatten, dass die Zahl der Hacker- und Virenan- griffe stark wuchs (weil man nicht pro- grammieren können muss, um solche Angriffe zu starten) - ist das mit Scalper- Bots ebenso. Je einfacher es ist, um so mehr Angriffe gibt es. Das Phänomen ist auch aus anderen Pro- duktbereichen bekannt. Egal ob hoch- wertige Uhren, seltene Sneaker zur oder High-End-Grafikkarten: Sind Artikel knapp und begehrt, schnappen immer öf- ter automatisierte Bots den menschlichen Onlinekäufern die limitierte Ware vor der Nase weg. Der bislang letzte Fall: Nvi- dias neue Mittelklasse-Grafikkarte RTX 3060. Offiziell sollte die Karte beim Pro- duktstart Ende Februar 329 Euro kosten. Tatsächlich ist sie aktuell für den dop- pelten Preis zu haben - wenn überhaupt. Der Grund: Vor allem Etherium- und Bitcoin-Miner brauchen Grafikkarten, um die Kryptowährung herzustellen - und zahlen deutlich höhere Preise dafür. Ein Eldorado für Scalper. Doch vor allem im lukrativen Sneaker- Markt sind Scalper aktiv. Der Scalper gibt URL, Schuhgröße und Zahlungs- information in die Bot-Oberfläche ein und anschließend begibt sich der Bot auf die Turnschuhjagd und simuliert dabei menschliches Verhalten, um nicht er- kannt zu werden. Mit Maßnahmebündeln absichern Auch hierzulande schlagen Scalper-Bots immer wieder zu. Shopbetreiber versu- chen das Problem zu minimieren, doch ihre Instrumente sind begrenzt. Nach wie vor ist beispielsweise die PS5 bei Media- markt und Saturn sehr stark nachgefragt. Deshalb erfolgt die Abgabe dort nur in „haushaltsüblichen Mengen“. Um Akti- vitäten professioneller Buyer, Bots oder möglicher Wiederverkäufer zu unter- binden, habe man hohe Sicherheitsstan- dards implementiert, heißt es auf Nach- frage. Einer Sprecherin zufolge habe man bei den letzten Verkaufswellen auf Saturn.de und Mediamarkt.de sämtliche Currys verlost PS5-Käufe - wenn man sich registriert. Bild Currys Bestellungen „auf Mehrfachbestellungen überprüft und gegebenenfalls storniert“. Man arbeite „fortlaufend“ daran, die „in- ternen Sicherheitsprozesse und -maßnah- men zu verbessern“. Die Herausforderung, mit Scalper- Bots umzugehen, beschäftigt auch den ECommerce-Giganten Otto. Man nehme „die Angriffe ernst“, so eine Unterneh- menssprecherin. Laut ihr verwende Otto „zahlreiche automatische und manuelle Mechanismen zur Betrugserkennung“, die auch den Umgang mit Sneaker- oder Scalper-Bots einschließen. Welche Me- chanismen genau zum Einsatz kommen, dazu äußert sich das Unternehmen nicht. Auch einige der von Notebooksbilliger vertriebenen Produkte sind von der Pro- blematik betroffen, zuletzt die Nvidia- Grafikkarten. Der Shop habe „diverse Maßnahmen ergriffen“, um Scalpern das Geschäft zu erschweren, erfahren wir. Unter anderem setzt man auf Bot-Protec- tion, manuelle Prüfungen und Limitie- rung von Kaufmengen. Schutz mit Rätseln und High-Tech Doch die Absicherung gegen Bots ist schwierig. Zum einen ist es immer ein technisches Wettrüsten zwischen den Händlern und den Bot-Betreibern. Und zum anderen ist es ein schmaler Grat, da Kunden nicht durch Programme zur Bot- Erkennung eingeschränkt oder fälsch- licherweise als Bot eingestuft werden sollen. Gleichzeitig etablieren sich technische Lösungen, die Onlineshops vor Bots schützen sollen. Solche Bot-Protection- Technologien überwachen alle Besu- che im Hintergrund und analysieren das Einkaufsverhalten im Kontext sowie in Bezug auf die Gesamtheit der Shopbe- sucher. Einige Bots können bereits durch sogenannte Captcha‘s ausgesperrt wer- den. Dabei handelt es sich um Aufgaben, die Nutzer beantworten und diese Ant- wort zurückschicken müssen - beispiels- weise werden sechs Bilder angezeigt mit der Aufforderung, all jene zu markieren, auf denen eine Ampel zu sehen ist. „Die einfachen und kostengünstigen Bots lassen sich mit Hilfe von Captchas gut abwehren. Doch für hochwertige Bots sind sie kein Hindernis“, weiß Benjamin Bachmann nachschlagen, Director Cyber Security beim Technologie- und Bera- tungsunternehmen Exxeta. So gehört sei- ner Erfahrung nach „ein Captcha-Löser schon fast zu den Standardfunktionen moderner Bots“. Nur spezielle Bot-Pro- tection-Lösungen seien noch in der Lage, solche Programme zu blockieren. Doch nicht nur Händler rüsten technisch auf, auch Bot-Programmierer verbessern ihre Programme kontinuierlich. „Sich vor Scalper Bots zu schützen, bleibt schwierig“, sagt Bachmann. Zum Bei- spiel könnte eine Zweifaktor-Authenti- fizierung den Bots ihren Zeitvorsprung nehmen, doch wer möchte schon jeden Einkauf auf einem zweiten Gerät bestäti- gen. Dies würde Checkout-Prozesse ver- komplizieren und unter Umständen mehr Schaden anrichten als nützen. Schon ein Seite 6 A T E X X E : d l i B „Für hochwertige Bots sind Captchas kein Hindernis.“ (Benjamin Bachmann, Director Cyber Security, Exxeta) einfaches Captcha kann für menschliche Shopbesucher eine Hürde darstellen und zu Fehlversuchen und Frustration füh- ren, anstatt zum gewünschten Kauf. Mit Kreativität gegen Shopping-Frust Wie man Scalpern trotzdem das Leben schwer machen kann, zeigt das Beispiel Currys. Der britische Elektrofachhänd- ler hat eine Art Gewinnspiel ins Leben gerufen. Auf der Website können sich Teilnehmer online für einen Priority Pass registrieren. Das Unternehmen wählt zu- fällig Nutzer aus und sendet ihnen einen eindeutigen Kaufcode per E-Mail. Mit diesem Code können die Kunden dann eine PS5 im Laden vor Ort kaufen. Eine elegante Verknüpfung zwischen Online, Offline, Interaktion und Gewinnspiel - und Bots bleiben außen vor. Die geheime Wahrheit hinter solchen Aktionen: Oft sind es gerade solche Händler, die für ihre Gewinnspiele wiederum als Käufer bei den Scalpern auftauchen - wie uns ein Scalper bestätigt hat. Darüber hinaus: Scalper-Bots sind nicht das einzige Bot-Problem, mit dem sich Onlineshop-Betreiber auseinandersetzen müssen: „Weitaus schlimmere Folgen können Denial-of-Inventory-Attacken verursachen“, warnt Bachmann. Dabei legt der Bot Produkte in den Warenkorb, schließt den Kaufvorgang jedoch nie ab. Als Folge sind die Regale leergeräumt und die Produkte nicht mehr verfügbar, aber die Umsätze bleiben aus. Viele Shops haben darauf reagiert, indem sie Warenkorb-Timeouts installiert haben, so dass Produkte nur für einen bestimmten Zeitraum im Warenkorb verbleiben. Ist die Zeit abgelaufen, werden die Waren- körbe gelöscht und die Produkte wieder dem verfügbaren Bestand zugeordnet. Andere Bots zielen darauf ab, komplet- te Produktlisten auszulesen (Scraping), um zum Beispiel darauf basierende Fa- keshops zu erstellen. Auch vor DDoS- Angriffen (DDos - Distributed Denial of Service) müssen sich Onlineshops schüt- zen. Bei einem solchen Angriff werden Botnetzwerke zusammengeschlossen und überschwemmen einen Onlineshop mit einer Flut von Anfragen, die ihn letztlich in die Knie zwingt. Shopbetrei- ber sollten die Gefahren durch Bots nicht unterschätzen. Laut einer Studie des Cy- bersecurity-Anbieters Imperva machen unerwünschte Bots rund 17 Prozent des Webtraffics im weltweiten E-Commerce aus. Deutschland liegt hinter den USA auf Platz zwei. Autoren: Karsten Zunke, Joachim Graf