Automatisierter Traffic wird für den Onlinehandel zunehmend zum Sicherheitsproblem. Laut dem „2026 E-Commerce Bot Threat Report“ von Radware entfielen während der Weihnachtssaison 2025 43 Prozent des untersuchten E-Commerce-Traffics auf bösartige Bots. Menschliche Nutzer kamen demnach auf 46 Prozent. Im Vorjahr hatte der Anteil bösartiger Bots noch bei 31 Prozent gelegen.

Damit verschiebt sich der Fokus der Bot-Debatte. Lange ging es vor allem darum, dass automatisierter Traffic insgesamt wächst. Inzwischen rückt stärker in den Vordergrund, wie groß der Anteil schädlicher Automatisierung geworden ist. Bad Bots nähern sich laut Radware in Spitzenzeiten dem Umfang des gesamten menschlichen Shopping-Traffics an.
KI senkt Einstiegshürden
Radware sieht generative KI als einen Grund für die Entwicklung. Dem Bericht zufolge wurden fast 70 Prozent des bösartigen Bot-Traffics in der Weihnachtssaison als wenig anspruchsvoll eingestuft. Das deutet nach Einschätzung des Sicherheitsanbieters darauf hin, dass KI-Werkzeuge es auch weniger erfahrenen Angreifern erleichtern, automatisierte Attacken zu erstellen und auszuführen.
Die beobachteten Angriffe betreffen mehrere typische Schwachstellen im E-Commerce. Dazu zählen Account Takeover, Carding, Fake-Registrierungen, Preis- und Content-Scraping sowie das Blockieren von Warenbeständen durch automatisierte Käufe oder Reservierungen. Bei einem großen multinationalen Händler registrierte Radware besonders starke Zuwächse: Account-Takeover-Angriffe hätten sich im Jahresvergleich mehr als verfünffacht, Carding-Angriffe seien um etwa das 15-Fache gestiegen, Fake-Registrierungen um das Sechsfache.
Auffällig ist auch der Zeitpunkt vieler Angriffe. Sie erreichten nicht erst während der großen Rabattaktionen ihren Höhepunkt, sondern bereits in den Tagen davor. Laut Radware wurden dabei unter anderem inaktive Kundenkonten reaktiviert oder gespeicherte Zahlungsinformationen aktualisiert. Dadurch können Angriffe vorbereitet werden, bevor der eigentliche Ansturm im Shop beginnt.
Automatisierung wird schwerer unterscheidbar
Neben klassischen Bad Bots nennt Radware auch KI-Crawler und KI-Agenten als wachsende Herausforderung. Während der Weihnachtssaison entfiel mehr als die Hälfte der beobachteten KI-Crawler-Aktivität auf Trainingscrawler. Mit der Entwicklung hin zu agentischem Handel dürfte die Abgrenzung schwieriger werden: KI-Systeme können im Auftrag von Nutzern Produkte suchen, vergleichen, Informationen abrufen und perspektivisch auch Transaktionen ausführen.
Damit wächst die Aufgabe, legitime Automatisierung von schädlicher Automatisierung zu unterscheiden. Preisvergleiche, Suchmaschinen, KI-Assistenten und Shopping-Agenten können erwünschten Traffic erzeugen. Gleichzeitig nutzen Angreifer ähnliche technische Muster für Betrug, Scraping, Kontoübernahmen oder das Ausnutzen von Zahlungsdaten.















