Scalper, Scraper, Fakeshop-Bauer: Wie Bots immer mehr Onlinehändler bedrohen

Die Vorfreude war riesig, die Ernüchterung umso stärker: Als Sony im Spätherbst 2021 seine neue Spielekonsole Playstation 5 auf den Markt brachte, waren die Bestände in den Onlineshops innerhalb kürzester Zeit ausverkauft. Viele mussten darauf verzichten, ihren Kindern oder sich selbst eine Konsole unter den Tannenbaum zu legen - oder sehr tief in die Tasche greifen. Auch aktuell meldet Gameswirtschaft, dass die PS 5 immer noch ausverkauft ist. Doch nicht nur diese: "Mit geringer zeitlicher Verzögerung wurde auf Amazon.de auch das Laufwerk-lose Modell PS5 Digital Edition angeboten. Auch in diesem Fall waren die Bestände rasend schnell ausverkauft."

Für Betuchte ist das weniger ein Problem: Auf Ebay wurden die begehrten Konsolen nämlich mit enormen Margen weiterverkauft, teilweise zum doppelten Preis. Was war passiert? Einige Käufer hatten sich sogenannter Scalper-Bots bedient: Softwareprogramme, die automatisiert und in einem Sekundenbruchteil Waren einkaufen. Einige dieser Kunden nutzten ihren Technologie- und Geschwindigkeitsvorsprung aus, um nicht nur ihren Eigenbedarf zu decken, sondern ein gutes Geschäft mit dem Weiterverkauf zu machen.

Die Freude über den schnellen Abverkauf wird für die Shopbetreiber dadurch getrübt, dass die Stammkundschaft leer ausgeht und im schlimmsten Fall verärgert reagiert - insbesondere, wenn zuvor kräftig die Werbetrommel für ein bestimmtes Produkt gerührt wurde oder die begehrten Waren Teil einer Verkaufsaktion sind, beziehungsweise sein sollten. Die Scalper selbst sind sich keiner Schuld bewusst. So twitterte das Scalper-Netzwerk CrepChiefNotify voller Stolz, dass sich seine Mitglieder beim Verkaufsstart innerhalb von 24 Stunden mehr als 2.500 PS5-Konsolen gesichert hatten und durch den Weiterverkauf eine Million Britische Pfund Gewinn erzielt hätten.

Die Gefahr wächst
Die Krux an der Sache ist die wachsende Zahl der Script-Kiddies: Scalper-Bots werden schon für 300 Euro verkauft, die Hemmschwelle für den Kauf dieser Programme liegt somit niedrig und die mögliche Marge ist ein starker Anreiz. Wie auch Viren- und Hacker-Scripts schon in der Vergangenheit dafür gesorgt hatten, dass die Zahl der Hacker- und Virenangriffe stark wuchs (weil man nicht programmieren können muss, um solche Angriffe zu starten) - ist das mit Scalper-Bots ebenso. Je einfacher es ist, um so mehr Angriffe gibt es.

Das Phänomen ist auch aus anderen Produktbereichen bekannt. Egal ob hochwertige Uhren, seltene Sneaker zur oder High-End-Grafikkarten: Sind Artikel knapp und begehrt, schnappen immer öfter automatisierte Bots den menschlichen Onlinekäufern die limitierte Ware vor der Nase weg. Der bislang letzte Fall: Nvidias neue Mittelklasse-Grafikkarte RTX 3060. Offiziell sollte die Karte beim Produktstart Ende Februar 329 Euro kosten. Tatsächlich ist sie aktuell für den doppelten Preis zu haben - wenn überhaupt. Der Grund: Vor allem Etherium- und Bitcoin-Miner brauchen Grafikkarten, um die Kryptowährung herzustellen - und zahlen deutlich höhere Preise dafür. Ein Eldorado für Scalper.

Doch vor allem im lukrativen Sneaker-Markt sind Scalper aktiv. Der Scalper gibt URL, Schuhgröße und Zahlungsinformation in die Bot-Oberfläche ein und anschließend begibt sich der Bot auf die Turnschuhjagd und simuliert dabei menschliches Verhalten, um nicht erkannt zu werden.

Mit Maßnahmebündeln absichern
Auch hierzulande schlagen Scalper-Bots immer wieder zu. Shopbetreiber versuchen das Problem zu minimieren, doch ihre Instrumente sind begrenzt. Nach wie vor ist beispielsweise die PS5 bei Mediamarkt und Saturn sehr stark nachgefragt. Deshalb erfolgt die Abgabe dort nur in "haushaltsüblichen Mengen". Um Aktivitäten professioneller Buyer, Bots oder möglicher Wiederverkäufer zu unterbinden, habe man hohe Sicherheitsstandards implementiert, heißt es auf Nachfrage. Einer Sprecherin zufolge habe man bei den letzten Verkaufswellen auf Saturn.de und Mediamarkt.de sämtliche Bestellungen "auf Mehrfachbestellungen überprüft und gegebenenfalls storniert". Man arbeite "fortlaufend" daran, die "internen Sicherheitsprozesse und -maßnahmen zu verbessern".

Die Herausforderung, mit Scalper-Bots umzugehen, beschäftigt auch den ECommerce-Giganten Otto. Man nehme "die Angriffe ernst", so eine Unternehmenssprecherin. Laut ihr verwende Otto "zahlreiche automatische und manuelle Mechanismen zur Betrugserkennung", die auch den Umgang mit Sneaker- oder Scalper-Bots einschließen. Welche Mechanismen genau zum Einsatz kommen, dazu äußert sich das Unternehmen nicht. Auch einige der von Notebooksbilliger vertriebenen Produkte sind von der Problematik betroffen, zuletzt die Nvidia-Grafikkarten. Der Shop habe "diverse Maßnahmen ergriffen", um Scalpern das Geschäft zu erschweren, erfahren wir. Unter anderem setzt man auf Bot-Protection, manuelle Prüfungen und Limitierung von Kaufmengen.

Schutz mit Rätseln und High-Tech
Doch die Absicherung gegen Bots ist schwierig. Zum einen ist es immer ein technisches Wettrüsten zwischen den Händlern und den Bot-Betreibern. Und zum anderen ist es ein schmaler Grat, da Kunden nicht durch Programme zur Bot-Erkennung eingeschränkt oder fälschlicherweise als Bot eingestuft werden sollen.

Gleichzeitig etablieren sich technische Lösungen, die Onlineshops vor Bots schützen sollen. Solche Bot-Protection-Technologien überwachen alle Besuche im Hintergrund und analysieren das Einkaufsverhalten im Kontext sowie in Bezug auf die Gesamtheit der Shopbesucher. Einige Bots können bereits durch sogenannte Captcha's ausgesperrt werden. Dabei handelt es sich um Aufgaben, die Nutzer beantworten und diese Antwort zurückschicken müssen - beispielsweise werden sechs Bilder angezeigt mit der Aufforderung, all jene zu markieren, auf denen eine Ampel zu sehen ist.

Bild: Exxeta

"Die einfachen und kostengünstigen Bots lassen sich mit Hilfe von Captchas gut abwehren. Doch für hochwertige Bots sind sie kein Hindernis", weiß Benjamin Bachmann nachschlagen, Director Cyber Security beim Technologie- und Beratungsunternehmen Exxeta. So gehört seiner Erfahrung nach "ein Captcha-Löser schon fast zu den Standardfunktionen moderner Bots". Nur spezielle Bot-Protection-Lösungen seien noch in der Lage, solche Programme zu blockieren.

Doch nicht nur Händler rüsten technisch auf, auch Bot-Programmierer verbessern ihre Programme kontinuierlich. "Sich vor Scalper Bots zu schützen, bleibt schwierig", sagt Bachmann. Zum Beispiel könnte eine Zweifaktor-Authentifizierung den Bots ihren Zeitvorsprung nehmen, doch wer möchte schon jeden Einkauf auf einem zweiten Gerät bestätigen. Dies würde Checkout-Prozesse verkomplizieren und unter Umständen mehr Schaden anrichten als nützen. Schon ein einfaches Captcha kann für menschliche Shopbesucher eine Hürde darstellen und zu Fehlversuchen und Frustration führen, anstatt zum gewünschten Kauf.

Mit Kreativität gegen Shopping-Frust
Wie man Scalpern trotzdem das Leben schwer machen kann, zeigt das Beispiel Currys. Der britische Elektrofachhändler hat eine Art Gewinnspiel ins Leben gerufen. Auf der Website können sich Teilnehmer online für einen Priority Pass registrieren. Das Unternehmen wählt zufällig Nutzer aus und sendet ihnen einen eindeutigen Kaufcode per E-Mail. Mit diesem Code können die Kunden dann eine PS5 im Laden vor Ort kaufen. Eine elegante Verknüpfung zwischen Online, Offline, Interaktion und Gewinnspiel - und Bots bleiben außen vor. Die geheime Wahrheit hinter solchen Aktionen: Oft sind es gerade solche Händler, die für ihre Gewinnspiele wiederum als Käufer bei den Scalpern auftauchen - wie uns ein Scalper bestätigt hat.

Darüber hinaus: Scalper-Bots sind nicht das einzige Bot-Problem, mit dem sich Onlineshop-Betreiber auseinandersetzen müssen: "Weitaus schlimmere Folgen können Denial-of-Inventory-Attacken verursachen", warnt Bachmann. Dabei legt der Bot Produkte in den Warenkorb, schließt den Kaufvorgang jedoch nie ab. Als Folge sind die Regale leergeräumt und die Produkte nicht mehr verfügbar, aber die Umsätze bleiben aus. Viele Shops haben darauf reagiert, indem sie Warenkorb-Timeouts installiert haben, so dass Produkte nur für einen bestimmten Zeitraum im Warenkorb verbleiben. Ist die Zeit abgelaufen, werden die Warenkörbe gelöscht und die Produkte wieder dem verfügbaren Bestand zugeordnet.

Andere Bots zielen darauf ab, komplette Produktlisten auszulesen (Scraping), um zum Beispiel darauf basierende Fakeshops zu erstellen. Auch vor DDoSAngriffen (DDos - Distributed Denial of Service) müssen sich Onlineshops schützen. Bei einem solchen Angriff werden Botnetzwerke zusammengeschlossen und überschwemmen einen Onlineshop mit einer Flut von Anfragen, die ihn letztlich in die Knie zwingt. Shopbetreiber sollten die Gefahren durch Bots nicht unterschätzen. Laut einer Studie des Cybersecurity-Anbieters Imperva machen unerwünschte Bots rund 17 Prozent des Webtraffics im weltweiten E-Commerce aus. Deutschland liegt hinter den USA auf Platz zwei.