.svg)
.jpg)
Die Online-Werbelandschaft hat 2024 einen bemerkenswerten Wendepunkt erreicht: Erstmals seit einem Jahrzehnt übersteigt der automatisierte Traffic den von Menschen generierten und macht nun 51 Prozent des gesamten Internet-Traffics aus. Noch alarmierender ist die Tatsache, dass davon 37 Prozent des gesamten Internet-Traffics auf Bad Bots entfallen. Das ist ein deutlicher Anstieg von 32 Prozent im Vorjahr und markiert bereits das sechste Jahr in Folge mit steigender Bad-Bot-Aktivität. Diese Zahlen stammen aus dem aktuellen Bad Bot Report 2025, der die Entwicklung automatisierter Bedrohungen im Internet dokumentiert. Für Marketingverantwortliche bedeutet diese Entwicklung eine doppelte Herausforderung: Sie müssen ihre Werbebudgets nicht nur vor immer raffinierteren Bot-Angriffen schützen, sondern dies gleichzeitig unter strenger Einhaltung der DSGVO tun. Die europäischen Datenschutzbehörden haben 2024 Bußgelder in Höhe von 1,22 Milliarden Euro verhängt, was deutlich macht, dass Compliance kein optionales Extra ist. Die zentrale Erkenntnis lautet: Klickbetrugsschutz, der nicht vollständig DSGVO-konform arbeitet, schafft mehr rechtliche Risiken als er Probleme löst.
Die Bot-Bedrohung hat eine neue Dimension erreicht
Die Zahlen zeichnen ein eindeutiges Bild: Künstliche Intelligenz und Large Language Models haben die Entwicklung von Bots revolutioniert und die Einstiegshürde für Angreifer drastisch gesenkt. Selbst Personen mit begrenzten technischen Kenntnissen können heute dank generativer KI-Tools und Bot-as-a-Service-Plattformen Angriffe durchführen. Das Resultat ist eine massive Zunahme sowohl einfacher als auch hochentwickelter Bot-Angriffe. Die Simple Bot-Angriffe sind von 40 Prozent in 2023 auf 45 Prozent in 2024 gestiegen, während fortgeschrittene und moderate Bot-Angriffe zusammen 55 Prozent aller Angriffe ausmachen. Diese Entwicklung wird durch KI-gestützte Bots beschleunigt, die maschinelles Lernen nutzen, um sich an Abwehrmaßnahmen anzupassen und ihre Angriffstechniken kontinuierlich zu verfeinern.
Besonders besorgniserregend ist die gezielte Ausrichtung auf APIs: 44 Prozent der fortgeschrittenen Bot-Angriffe zielen auf API-Endpunkte, verglichen mit nur 10 Prozent, die Webanwendungen direkt attackieren. Dies stellt einen bewussten strategischen Wechsel der Angreifer dar, die erkannt haben, dass APIs sensible und hochwertige Daten verarbeiten und gleichzeitig oft weniger gut geschützt sind als traditionelle Webanwendungen. Die Angriffe auf APIs beschränken sich nicht auf simple Überlastungsversuche, sondern zielen gezielt auf die Geschäftslogik ab, die definiert, wie APIs funktionieren. Angreifer setzen speziell entwickelte Bots ein, um Schwachstellen in API-Workflows auszunutzen und automatisierten Zahlungsbetrug, Kontoübernahmen und Datenexfiltration durchzuführen.
Der Imperva Threat Research hat 2024 über 13 Billionen Bad-Bot-Anfragen über Tausende von Domains und Branchen hinweg blockiert. Die Analyse zeigt, dass 31 Prozent aller aufgezeichneten und abgewehrten Angriffe automatisierte Bedrohungen nach OWASP-Definition waren. Dabei handelt es sich um automatisierte Cyberangriffe, die Bots und Skripte nutzen, um Schwachstellen in Webanwendungen im großen Maßstab auszunutzen, Sicherheitskontrollen zu umgehen und Unternehmen in verschiedenen Branchen zu stören. Ihre weit verbreitete Natur und die Leichtigkeit, mit der Angreifer sie ausnutzen, machen sie zu einem vorrangigen Problem für jede Organisation, die Online-Werbung betreibt.
Die Angreifer werden zudem immer ausgefeilter in ihren Verschleierungstaktiken: 21 Prozent aller Bot-Angriffe nutzen Residential Proxies, die von Internet Service Providern bereitgestellt werden. Diese Technik ermöglicht es, bösartigen Bot-Traffic als legitimen Nutzer-Traffic zu tarnen, indem er über IP-Adressen von Privatanschlüssen geleitet wird, die normalerweise mit Heiminternetverbindungen assoziiert werden. Dadurch wird es für Sicherheitssysteme erheblich schwieriger, die bösartigen Aktivitäten zu erkennen, da Residential IPs üblicherweise als vertrauenswürdig eingestuft werden.
Welche Branchen trifft es besonders hart
Die Auswirkungen von Bot-Angriffen verteilen sich nicht gleichmäßig über alle Branchen. Die Analyse identifiziert klare Schwerpunkte, wobei die Reisebranche zum am stärksten betroffenen Sektor wurde und 27 Prozent aller Bot-Angriffe auf sich vereint, ein deutlicher Anstieg von 21 Prozent im Vorjahr. Sowohl die Reise- als auch die Einzelhandelsbranche kämpfen mit einem massiven Advanced-Bot-Problem, wobei Bad Bots 41 Prozent beziehungsweise 59 Prozent ihres gesamten Traffics ausmachen. Bemerkenswert ist die Verschiebung in der Reisebranche: Während 2023 noch 61 Prozent der Angriffe fortgeschrittene Bot-Attacken waren, sank dieser Anteil 2024 auf 41 Prozent, während simple Bot-Angriffe von 34 Prozent auf 52 Prozent zunahmen.
Bei Account Takeover Angriffen, die besonders gefährlich sind, da sie zu digitalem Identitätsdiebstahl und finanziellen Verlusten führen, steht die Finanzdienstleistungsbranche an erster Stelle. Sie ist Ziel von 22 Prozent aller ATO-Angriffe, gefolgt von Telekommunikation und Internet Service Providern mit 18 Prozent sowie Computing und IT mit 17 Prozent. Die Zahl der Account Takeover Angriffe ist dramatisch gestiegen: um 40 Prozent im Vergleich zum Vorjahr und sogar um 54 Prozent in den letzten drei Jahren. Diese Entwicklung wird durch den Einsatz von KI und maschinellem Lernen durch Cyberkriminelle angetrieben, die ihre Techniken kontinuierlich optimieren.
Finanzdienstleistungen, Gesundheitswesen und E-Commerce sind die am stärksten von API-bezogenen Bot-Angriffen betroffenen Sektoren. Diese Branchen sind besonders anfällig, da sie für kritische Geschäftsabläufe und sensible Transaktionen auf APIs angewiesen sind, was sie zu bevorzugten Zielen für ausgefeilte Bot-Angriffe macht. Die Analyse der API-Angriffe zeigt eine bewusste Strategie der Angreifer, API-Endpunkte anzugreifen, die sensible und hochwertige Daten verarbeiten. Data Scraping macht dabei 31 Prozent aller API-Angriffe aus, gefolgt von Payment Fraud mit 26 Prozent und Account Takeover mit 12 Prozent.
Die rechtliche Realität verschärft sich parallel zur technischen Bedrohung
Während die technische Bedrohung durch Bots zunimmt, entwickelt sich auch die rechtliche Landschaft weiter. Der Europäische Datenschutzausschuss hat im April 2024 eine wegweisende Stellungnahme zu sogenannten "Consent or Pay"-Modellen veröffentlicht, die die Anforderungen an rechtmäßige Einwilligungen weiter präzisiert. Deutsche Gerichte haben etabliert, dass bereits die bloße Verletzung von DSGVO-Vorschriften ohne nachweisbaren Schaden einen Anspruch auf Schadensersatz von mindestens 100 Euro begründet, was die potenzielle Haftungslast für Unternehmen erheblich erhöht. Besonders relevant ist die persönliche Haftung von Geschäftsführern und Vorständen, die im Fall Clearview AI konkretisiert wurde und zeigt, dass Datenschutzverstöße nicht nur das Unternehmen, sondern auch einzelne Entscheidungsträger persönlich treffen können.
Für 2025 haben die europäischen Datenschutzbehörden koordinierte Durchsetzungsmaßnahmen angekündigt, die sich auf Artikel 17 DSGVO konzentrieren werden, das Recht auf Vergessenwerden. Diese koordinierten Aktionen zeigen einen neuen Reifegrad der DSGVO-Durchsetzung, bei dem nicht mehr nur einzelne, besonders gravierende Fälle verfolgt werden, sondern systematische Überprüfungen in spezifischen Bereichen stattfinden. Für Anbieter von Klickbetrugsschutz-Lösungen bedeutet dies, dass ihre Systeme nicht nur technisch effektiv sein müssen, sondern auch vollumfänglich den Anforderungen der DSGVO entsprechen müssen.
Die DSGVO verlangt für jede Verarbeitung personenbezogener Daten eine Rechtsgrundlage, wobei für Klickbetrugsschutz in der Regel das berechtigte Interesse nach Artikel 6 Absatz 1 Buchstabe f in Betracht kommt. Allerdings muss dieses berechtigte Interesse stets gegen die Rechte und Freiheiten der betroffenen Person abgewogen werden. Das Prinzip der Datenminimierung fordert, dass nur die für den konkreten Zweck notwendigen Daten erhoben werden dürfen. Speicherbegrenzungen legen fest, dass personenbezogene Daten nur so lange aufbewahrt werden dürfen, wie es für den Verarbeitungszweck erforderlich ist. Die Anforderungen an technische und organisatorische Maßnahmen zur Sicherheit der Verarbeitung sind hoch und müssen dem Stand der Technik entsprechen.
Warum DSGVO-konforme Lösungen technisch überlegen sind
Die Annahme, dass Datenschutzkonformität zwangsläufig mit Einbußen bei der Effektivität einhergeht, erweist sich in der Praxis als falsch. Moderne, DSGVO-konforme Klickbetrugsschutz-Lösungen nutzen Privacy by Design Prinzipien, die von Anfang an Datenschutz als Kernbestandteil der Systemarchitektur verankern. Dies führt nicht zu Kompromissen, sondern zu technisch ausgereifteren Lösungen. Anstatt personenbezogene Daten zu sammeln und zu speichern, setzen diese Systeme auf Verhaltensanalysen ohne Personenbezug, IP-Reputationsprüfungen und maschinelles Lernen, das Muster erkennt, ohne einzelne Nutzer zu identifizieren.
Die serverseitige Analyse ermöglicht es, verdächtiges Verhalten zu erkennen, bevor überhaupt Daten in ein System gelangen, das personenbezogene Informationen verarbeitet. Diese Architektur ist nicht nur datenschutzkonform, sondern auch technisch robuster, da sie weniger Angriffspunkte bietet und nicht durch clientseitige Manipulationen umgangen werden kann. Der Markt für Fraud Detection and Prevention wird 2025 voraussichtlich 2,5 Milliarden US-Dollar erreichen und bis 2033 mit einer durchschnittlichen jährlichen Wachstumsrate von 15 Prozent wachsen. Dieser Wachstumstrend zeigt, dass Organisationen zunehmend bereit sind, in ausgefeilte Schutzlösungen zu investieren.
Die Implementierung nach europäischen Datenschutzstandards wird für Anbieter zunehmend zum entscheidenden Differenzierungsmerkmal. Dabei zeigt sich, dass technische und organisatorische Prozesse, die von Anfang an auf DSGVO-Konformität ausgelegt sind, eine solidere Grundlage bieten als nachträglich angepasste Systeme. Das EU-U.S. Data Privacy Framework wird fortlaufend überprüft, und die Herausforderungen bei grenzüberschreitenden Datenübermittlungen bleiben bestehen. Unternehmen, die auf europäische Lösungen mit Infrastruktur in der EU setzen, haben hier einen strukturellen Vorteil, da sie diese komplexen rechtlichen Fragen von vornherein umgehen und die Datenverarbeitung vollständig im Geltungsbereich der DSGVO erfolgt.
Die Integration einer DSGVO-konformen Klickbetrugsschutz-Lösung erfordert zwar sorgfältige Planung, bietet aber gleichzeitig die Gelegenheit, die gesamte Datenverarbeitungslandschaft zu überprüfen und zu optimieren. Eine Datenschutz-Folgenabschätzung hilft, Risiken systematisch zu identifizieren und zu minimieren. Das Verzeichnis von Verarbeitungstätigkeiten muss aktualisiert werden, um die neue Verarbeitung zu dokumentieren. Die Rechtsgrundlage für die Verarbeitung muss klar dokumentiert sein, und Auftragsverarbeitungsverträge müssen mit allen Dienstleistern abgeschlossen werden, die im Auftrag personenbezogene Daten verarbeiten. Diese Anforderungen mögen zunächst aufwändig erscheinen, schaffen aber langfristig Transparenz und Rechtssicherheit.
Die Zukunft gehört rechtssicheren und technisch ausgereiften Lösungen
Mit dem AI Act und dem Data Act treten weitere regulatorische Anforderungen in Kraft, die die Anforderungen an technische Systeme erhöhen werden. Machine-Learning-Modelle, wie sie im Klickbetrugsschutz zum Einsatz kommen, müssen erklärbar und transparent sein. Dies bedeutet, dass Entscheidungen nachvollziehbar dokumentiert werden müssen und Betroffene verstehen können, warum bestimmte Aktionen ergriffen wurden. Die zunehmende Verbreitung von Deepfakes und die kontinuierliche Weiterentwicklung von Bot-Technologien durch KI erfordern immer ausgefeiltere Erkennungsmethoden. Lösungen, die heute State-of-the-Art sind, müssen morgen bereits weiterentwickelt werden, um mit den Angreifern Schritt zu halten.
Die aktuellen Zahlen machen deutlich, dass Unternehmen vor einer klaren Entscheidung stehen: Sie können entweder in DSGVO-konforme Schutzlösungen investieren, die sowohl technisch ausgereift als auch rechtssicher sind, oder sie riskieren auf der einen Seite massive Budgetverluste durch Bot-Traffic und auf der anderen Seite erhebliche Bußgelder durch Datenschutzverstöße. Mit 37 Prozent des gesamten Internet-Traffics, der aus Bad Bots besteht, und einem weiteren Anstieg für das sechste Jahr in Folge, ist Untätigkeit keine Option mehr. Die Kombination aus KI-gestützten Angriffen, die kontinuierlich raffinierter werden, und einer sich verschärfenden Regulierungslandschaft macht deutlich: Die Zukunft gehört Lösungen, die technische Exzellenz mit vollständiger Rechtskonformität verbinden.
Unternehmen, die sich für eine vollständig DSGVO-konforme Lösung entscheiden, investieren nicht nur in den Schutz ihrer Werbebudgets, sondern auch in die Zukunftssicherheit ihrer digitalen Infrastruktur. Sie bauen Vertrauen bei Kunden auf, die zunehmend sensibel für Datenschutzfragen werden, und sie vermeiden das Risiko erheblicher Bußgelder, die sich auf bis zu vier Prozent des weltweiten Jahresumsatzes belaufen können. Die Frage ist nicht, ob Klickbetrugsschutz notwendig ist, sondern nur noch, welche Lösung die richtige Kombination aus technischer Leistungsfähigkeit und rechtlicher Sicherheit bietet. Mit 51 Prozent automatisiertem Traffic, von dem 37 Prozent bösartig sind, und Account Takeover Angriffen, die um 40 Prozent gestiegen sind, ist der Handlungsbedarf offensichtlich. Die Lösung liegt in DSGVO-konformen Systemen, die Privacy by Design nicht als Einschränkung, sondern als technologischen Vorteil verstehen.
.jpg)
