In diesem Jahr hat die allgemeine Presse über einen historischen Wandel berichtet: Der automatisierte hat den von Menschen ausgelösten Datentraffic im Internet überholt. Und die Zahlen hinter diesem Wandel lassen sich schwerer ignorieren als die meisten Meilensteine in der Geschichte des Internets.

Die am häufigsten zitierte Zahl stammt aus dem „2025 Bad Bot Report“ von Imperva, der 12. Ausgabe ihrer jährlichen Reihe, die seit 2013 Trends im automatisierten Datentraffic verfolgt. Bei der Analyse der Traffic-Muster aus dem Jahr 2024 stellte der Bericht fest, dass automatisierte Aktivitäten zum ersten Mal in der Geschichte der Aufzeichnungen mehr als 50 % des gesamten Web-Traffics ausmachten und einen Anteil von 51 % erreichten. Es ist erwähnenswert, dass laut Imperva diese Schwelle schon früher fast erreicht wurde. Im Bericht von 2024 lag der Bot-Anteil bei 49,6 % – es handelt sich also weniger um einen plötzlichen Sprung als vielmehr um die Bestätigung eines Trends, der sich seit Jahren bei verschiedenen Anbietern und Messmethoden abzeichnet.

Imperva ist nicht das einzige Unternehmen, das dies dokumentiert. Cloudflare, Akamai, TollBit und Human Security haben alle Daten veröffentlicht, die in die gleiche Richtung weisen. Bei Kinsta zeigt unsere eigene Analyse von über 10 Milliarden Anfragen in unserer verwalteten Infrastruktur ein einheitliches Bild: Der KI-Bot-Traffic stieg innerhalb eines einzigen Jahres um 300 %, und die Auswirkungen sind längst nicht mehr abstrakt.

Und auch wenn der Unterschied zwischen menschlichem und automatisiertem Traffic noch gering ist, sind die Auswirkungen enorm. Werfen wir einen Blick über den Horizont hinaus, wie diese Verschiebung im Bot-Traffic das Web prägt.

Was sind Bots und warum greifen die alten Definitionen nicht mehr?

Traditionell sind Bots (kurz für „Roboter“) Softwareanwendungen, die dafür entwickelt wurden, automatisierte Aufgaben ohne menschliches Eingreifen auszuführen. Der bekannteste ist Googlebot, Googles automatisierter Crawler, der Websites für die Suche durchsucht und indexiert. Andere gängige Bots kümmern sich um Verfügbarkeitsüberwachung, Indexierung, Analysen, Sicherheitsscans und andere nützliche Funktionen, die dazu beitragen, dass das Web effizient läuft.

Während viele dieser Bots harmlos (sogar nützlich) sind, hat sich im Laufe der Zeit eine andere Klasse von Bots entwickelt, die weitaus problematischer ist. Dabei handelt es sich um KI-Crawler, die in einem Ausmaß operieren, das die Infrastruktur unabhängig von ihrer Absicht belastet.

In unserem Bericht zum KI- und Bot-Traffic erklärte David Belson, ehemaliger Leiter des Bereichs Data Insights bei Cloudflare: „Das meiste, was wir beobachten, ist nicht böswillig. Es sind Bots, die sich in großem Maßstab ineffizient verhalten, und genau da fangen die wirklichen Probleme an.“

Früher waren Bots relativ leicht zu identifizieren, da sie in der Regel weder JavaScript ausführen noch Mausbewegungen simulieren, realistische Browsersitzungen aufrechterhalten oder IP-Adressen effektiv wechseln konnten. Das hat sich dramatisch geändert. KI-gestützte Automatisierung ermöglicht es Bots nun, menschliches Verhalten mit überraschender Raffinesse nachzuahmen und so die traditionellen Erkennungsmerkmale zu verschleiern.

Wie Belson es ausdrückt: „Da gibt es den Typen, der gestern noch keine Ahnung hatte, was er da eigentlich tat, aber heute einfach aus einer Laune heraus einen Bot programmiert und losgeschickt hat – er macht sich nicht mal die Mühe, robots.txt zu überprüfen.“

Das Ergebnis ist, dass Systeme sich zunehmend von der identitätsbasierten Erkennung weg und hin zur Verhaltensanalyse verlagern.

Was verstehen wir unter menschlichem Traffic?

Um Missverständnisse zu vermeiden: Wenn wir von menschlichem Traffic sprechen, meinen wir nicht einfach nur Klicks oder offensichtliche Nutzerinteraktionen. Menschlicher Traffic umfasst die vielen Anfragen, die im Rahmen der Bereitstellung und Darstellung einer Website oder einer Anwendungserfahrung generiert werden.

Ein einziger menschlicher Websitebesuch kann Dutzende (manchmal Hunderte) von Anfragen erzeugen. Dazu können Anfragen nach HTML, CSS, JavaScript, Schriftarten, Bildern, APIs, Analyseskripten, Werbeelementen und anderen Ressourcen gehören, die zum Rendern einer modernen Website erforderlich sind.

Diese Unterscheidung ist wichtig, da Diskussionen über Bot-Traffic im Vergleich zu menschlichem Traffic in der Regel anhand von Anfragen und Netzwerkaktivität gemessen werden und nicht anhand der Anzahl der tatsächlich online befindlichen Menschen. Eine relativ kleine Anzahl aggressiver Bots kann enorme Traffic-Mengen erzeugen, indem sie wiederholt Seiten abfragen, APIs auslesen, Assets herunterladen oder automatisierte Aktionen im maschinellen Maßstab ausführen.

Warum gerade jetzt?

Mehrere Faktoren beschleunigen das Wachstum des Bot-Traffics über die generative KI hinaus.

1. Finanzieller Gewinn

Die Zeiten, in denen Streiche, Neugier oder technisches Können die Hauptmotive für böswillige Online-Aktivitäten waren, sind weitgehend vorbei. Das heutige Internet schafft ein Umfeld, in dem illegale Aktivitäten von Einzelpersonen oder großen organisierten Verbrechersyndikaten Gewinne in Millionenhöhe generieren können.

Betrug, Datendiebstahl, Ausnutzung und Zerstörung von Systemen, Marktmanipulation, groß angelegtes Content-Scraping, die Verbreitung von Ransomware und andere Formen der illegalen Geldbeschaffung werden mittlerweile in enormem Ausmaß durch automatisierte Systeme und bösartige Bots durchgeführt.

Der unbefugte und illegale Zugriff auf personenbezogene Daten ist zu einem riesigen Geschäft geworden, und KI-gestützte Bots machen es immer schwieriger, diese Aktivitäten zu erkennen, nachzuverfolgen und zu unterbinden.

2. Schwaches regulatorisches Umfeld

Das Internet ist ein global fragmentiertes Umfeld, in dem Gesetze, Durchsetzung und Gerichtsbarkeit je nach Land und Region stark variieren. Diese Fragmentierung schafft einen fruchtbaren Boden, auf dem böswillige Automatisierung gedeihen kann.

Schwache regulatorische Rahmenbedingungen ermöglichen es schädlichen KI-Bots, sich auszubreiten, da Gesetze, Durchsetzung und internationale Koordination nicht mit der rasanten Entwicklung der KI-gesteuerten Automatisierung Schritt gehalten haben. Während dies in der Technologiebranche schon lange eine Herausforderung darstellt, haben Geschwindigkeit und Ausmaß der KI-Entwicklung das Problem dramatisch verschärft.

3. User-Agents liefern keine vertrauenswürdigen Signale mehr

Jahrelang lieferten User-Agents eines der vertrauenswürdigsten Identitätssignale im Web. Ein User-Agent identifizierte zuverlässig den Browser, das Betriebssystem und manchmal auch das Gerät, von dem eine Anfrage kam. Systeme stützten sich stark auf diese Identifikatoren, um zwischen legitimen Browsern, Suchmaschinen-Crawlern, Mobilgeräten und automatisierten Bots zu unterscheiden.

Dieses Modell bröckelt. Moderne Bots können User-Agents so effektiv tarnen, fälschen oder manipulieren, dass das Signal selbst zunehmend unzuverlässig wird. Ein bösartiger Bot kann sich mittlerweile als legitimer Browser ausgeben, ein mobiles Gerät imitieren oder sich sogar als vertrauenswürdiger Crawler tarnen. KI-gesteuerte Automatisierung hat diesen Trend beschleunigt, indem sie ausgefeilte Identitätsfälschungen einfacher und kostengünstiger in großem Maßstab einsetzbar gemacht hat.

Infolgedessen stützen sich moderne Sicherheitssysteme zunehmend auf das Verhalten und nicht mehr allein auf die Identität.

Wie man Bots heute erkennt

Da die IP-Reputation und andere traditionelle Signale nicht mehr vollständig vertrauenswürdig sind, suchen Erkennungssysteme zunehmend nach Verhaltensmustern, die auf Automatisierung oder böswillige Aktivitäten hindeuten.

Anfragen, die mit einer Geschwindigkeit, einem Umfang und einer Häufigkeit eingehen, die für Menschen unmöglich nachzuahmen sind, bleiben eines der deutlichsten Warnzeichen. Wiederholte Anmeldeversuche, stark sequenzielles Scraping-Verhalten, aggressive API-Nutzung und große Anfragespitzen deuten oft auf Automatisierung hin.

Kinstas eigene Infrastrukturdaten zeigten, dass ein einzelner Bot innerhalb von 24 Stunden 3,75 Millionen Anfragen an „In den Warenkorb“-URLs auf einer Website generierte – das entspricht etwa einer Anfrage alle 23 Millisekunden, den ganzen Tag über, wobei jede einzelne als neue, nicht zwischenspeicherbare Anfrage auf dem Server landete.

7,67 Millionen Anfragen trafen innerhalb von 24 Stunden auf „In den Warenkorb“-URLs
7,67 Millionen Anfragen trafen innerhalb von 24 Stunden auf „In den Warenkorb“-URLs

Das Surfverhalten von Menschen ist in der Regel etwas unvorhersehbar. Bots, selbst hochentwickelte, erzeugen oft sehr repetitive Interaktionsmuster, vorhersehbare Navigationsabläufe oder ungewöhnlich systematische Datenextraktion – selbst wenn sie die Ausführung von JavaScript, realistische Browsersitzungen und Mausbewegungen erfolgreich nachahmen. Deshalb hat sich die Erkennung dahin verlagert, eher die Absicht hinter dem Verhalten zu bewerten als die angegebene Identität.

Bei Kinsta ist das genau die Logik, die wir nutzen, um den Traffic auf unseren verwalteten Websites zu klassifizieren. Anstelle einer einfachen „Mensch-oder-Bot“-Binärklassifizierung arbeitet unser Bot-Schutzsystem mit sechs Kategorien: verifizierte Bots, wahrscheinlich Menschen, wahrscheinlich Bots, automatisierter Traffic, nicht klassifizierter Traffic und böswilliger Traffic – mit einer separaten Einstufung für AI-Crawler mit übermäßiger Zugriffsrate, die zwar verifiziert sind, aber unabhängig von ihrer Absicht eine Belastung für die Infrastruktur darstellen.

Aufschlüsselung der Bot-Anfragen bei Kinsta
Aufschlüsselung der Bot-Anfragen bei Kinsta

Jede Kategorie wird anders behandelt, da die richtige Reaktion auf einen falsch konfigurierten KI-Trainings-Crawler nicht dieselbe ist wie auf einen Credential-Stuffing-Angriff. Standardmäßig blockieren die Abwehrmaßnahmen auf Plattformebene von Kinsta etwa 15–20 % des als bösartig eingestuften Traffics, bevor er überhaupt deine Website erreicht. Bot-Schutzebenen oberhalb dieser Basis ermöglichen es Website-Betreibern, zusätzliche Kategorien basierend auf ihren eigenen Datentrafficmustern und ihrer Risikotoleranz zu überprüfen oder zu blockieren.

Kinsta-Bot-Schutzstufe
Kinsta-Bot-Schutzstufe

Auswirkungen und Trends, die es zu beobachten gilt

Mit der Weiterentwicklung dieser Systeme reichen die Auswirkungen weit über die reine Cybersicherheit hinaus und beginnen, sich auf Infrastruktur, Veröffentlichungen, Analysen, E-Commerce und die Gesamtqualität des Webs selbst auszuwirken.

Gibt es irgendetwas am Horizont, das das Wachstum des Bot-Traffics verlangsamen könnte? Die Daten deuten darauf hin, dass dies nicht der Fall ist. Der AI-Bot-Traffic stieg innerhalb eines einzigen Jahres um 300 %, und das Verhältnis der AI-Bot-Besuche verschob sich in weniger als 12 Monaten von 1 zu 200 auf 1 zu 31. Wie Daniel Pataki, CTO von Kinsta, es ausdrückt: „In großem Maßstab ist ineffizientes Crawling kein Traffic-Problem mehr, sondern wird zu einem Ressourcenproblem.“ Die Bedingungen, die diesen Maßstab vorantreiben, lassen nicht nach.

Kosten für die Hosting-Infrastruktur

Eine der unmittelbarsten Auswirkungen des gestiegenen Bot-Traffics sind steigende Infrastrukturkosten. Jede Anfrage an eine Website verbraucht Bandbreite, Rechenressourcen, Datenbankabfragen, Arbeitsspeicher, Caching-Systeme und Speicherinfrastruktur.

Das Problem ist besonders akut bei WordPress-Websites, auf denen WooCommerce, Suchfunktionen oder viele Plugins laufen. Im Gegensatz zu statischen Seiten, die aus dem Cache bereitgestellt werden, erfordern dynamische Endpunkte, dass der Server bei jeder einzelnen Anfrage echte Arbeit leisten muss. Ein Bot, der in einer Query-String-Schleife gefangen ist, kann nicht zwischen einer zwischenspeicherbaren und einer ressourcenintensiven Seite unterscheiden. Eine einzige solche Schleife auf einer von Kinsta verwalteten Website löste innerhalb von 30 Tagen 550 Millionen Anfragen aus, bevor eine spezielle Abwehrregel sie abfing.

Wie Daniel Pataki es ausdrückt: „So etwas wie ‚nur Bot-Traffic‘ gibt es nicht. Jede Anfrage bedeutet echte Arbeit. In großem Maßstab ist ineffizientes Crawling kein Traffic-Problem mehr, sondern wird zu einem Ressourcenproblem.“

Kleinere Publisher und unabhängige Website-Betreiber sind besonders anfällig, da ihnen oft die Abwehrsysteme auf Unternehmensniveau fehlen, über die größere Organisationen verfügen.

Verzerrte Analysedaten

AI-Bot-Traffic verzerrt die Analysemetriken zunehmend auf eine Weise, die äußerst irreführend sein kann. Aufgeblasene Seitenaufrufe, gefälschtes Engagement, künstlicher Referral-Traffic und automatisierte Interaktionen können dazu führen, dass Entscheidungsträger aus unzuverlässigen Daten falsche Schlussfolgerungen ziehen.

Das Problem verschärft sich, je menschenähnlicher Bots werden. Tools, die auf JavaScript-Tracking basieren, wie Google Analytics, neigen dazu, Bot-Aktivitäten zu unterschätzen, da viele Bots kein JavaScript ausführen. Analysen auf Serverebene, die jede IP-basierte Anfrage zählen, neigen hingegen zu Überzählungen, da sie Bots erfassen, die JavaScript übersieht.

Bei Kinsta basieren die MyKinsta-Analysen auf Zugriffsprotokollen auf Serverebene und schließen bekannte Bot-User-Agents ausdrücklich aus den abrechnungsrelevanten Besuchszahlen aus. Doch selbst diese Unterscheidung hat ihre Grenzen, da automatisierter Traffic, der menschliches Verhalten sehr genau nachahmt, dennoch in den gemeldeten Zahlen auftauchen kann.

Seit November 2025 spiegeln die „Top Requests“-Charts von Kinsta den gesamten Traffic einschließlich Bots wider – genau, um Website-Betreibern ein klareres Bild davon zu vermitteln, was tatsächlich auf ihre Infrastruktur trifft und was in Rechnung gestellt wird.

Kinsta Top Requests nach Bandbreite
Kinsta Top Requests nach Bandbreite

Wenn deine Seitenaufrufe steigen, das Suchvolumen für deine Marke, die Konversionen und der Direkttraffic aber stagnieren, sind fast sicher Bots für diese Diskrepanz verantwortlich.

Das Aufkommen des „toten Webs“

Das sogenannte Phänomen des „toten Webs“ bezieht sich auf die wachsende Flut von minderwertigen, maschinell generierten Inhalten, die überall im Internet auftauchen. Auch wenn einige der extremeren Versionen dieser Theorie ins Spekulative abgleiten, besteht kaum Zweifel daran, dass KI es dramatisch einfacher macht, synthetische Artikel, gefälschte Bewertungen, Spam-Blogs, automatisierte Medien und Inhalte von geringem Wert in großem Umfang zu generieren.

Das Ergebnis könnte ein „verschmutztes Web“ sein, in dem es immer schwieriger wird, vertrauenswürdige, wirklich nützliche Informationen zu finden.

Erhöhte Sicherheitsrisiken durch bösartige Bots

KI-gestützte Bots machen Cyberangriffe immer raffinierter. Credential-Stuffing-Angriffe, Kontoübernahmen, API-Missbrauch, Phishing-Kampagnen, Schwachstellenscans und der Einsatz von Ransomware werden durch Automatisierung schneller, skalierbarer und anpassungsfähiger.

Da KI-Systeme aus Fehlern lernen und ihre Methoden kontinuierlich verfeinern können, haben traditionelle, regelbasierte Abwehrmaßnahmen zunehmend Mühe, Schritt zu halten.

Die Scraper-Ökonomie und die wirtschaftliche Umkehrung

Früher schufen Such-Crawler wie Googlebot ein relativ ausgewogenes wirtschaftliches Verhältnis zu den Publishern. Sie crawlten Inhalte, indexierten sie und leiteten den Traffic dann zurück zu den ursprünglichen Websites.

Moderne KI-Scraping-Systeme verändern dieses Verhältnis. Zunehmend extrahieren KI-Systeme Inhalte, fassen Informationen an anderer Stelle zusammen und liefern Antworten direkt, ohne unbedingt Traffic an die ursprüngliche Quelle zurückzusenden. Dadurch entsteht eine wachsende „Scraper-Ökonomie“, in der Publisher und Urheber die Kosten für die Produktion von Inhalten und die Wartung der Infrastruktur tragen, während automatisierte Systeme einen Großteil des nachgelagerten Werts abschöpfen.

KI-gestützte Browser und autonome Agenten

Diese Systeme gehen weit über einfaches Web-Crawling hinaus. KI-gestützte Agenten können mittlerweile im Web surfen, mit Anwendungen interagieren, Recherchen durchführen, online einkaufen, Termine vereinbaren, Formulare ausfüllen und Entscheidungen treffen – und das mit wenig oder gar keiner menschlichen Beteiligung.

Da sich diese Systeme ständig weiterentwickeln, wird die Grenze zwischen menschlichem Handeln und maschinengesteuerten Abläufen immer schwerer zu erkennen. Dieser Wandel könnte in Zukunft grundlegend verändern, was wir überhaupt unter „Web-Traffic“ verstehen.

Das Internet basierte ursprünglich auf der Annahme, dass Menschen die Hauptakteure seien. Diese Annahme bröckelt zusehends. Da KI-gesteuerte Automatisierung immer autonomer wird, hängt die Zukunft des Webs vielleicht weniger davon ab, Menschen von Bots zu unterscheiden – und mehr davon, zu entscheiden, welche Art von maschinengesteuertem Internet wir bereit sind zu akzeptieren.

Die Grenze zwischen Mensch und Maschine ist verschwunden

Die Auswirkungen dieses Wandels reichen weiter, als den meisten Website-Betreibern bewusst ist. Die Infrastrukturkosten steigen. Analysedaten werden immer weniger vertrauenswürdig. Die „Scraper-Ökonomie“ verlagert den Wert weg von den Publishern, die Inhalte erstellen, hin zu den Systemen, die diese extrahieren. Und da KI-gestützte Agenten zunehmend in der Lage sind, autonom zu surfen, zu recherchieren und Entscheidungen zu treffen, lautet die Frage nicht mehr „Wie gehe ich mit Bot-Traffic um?“, sondern es geht um etwas viel Größeres.

Das Internet wurde auf der Annahme aufgebaut, dass hinter jeder Anfrage ein Mensch steckt. Diese Annahme bröckelt schneller, als sich die Infrastruktur, die Vorschriften und die darauf aufbauenden Geschäftsmodelle anpassen können.

Wir befinden uns bereits mitten in einem Zeitalter, in dem Maschinen miteinander kommunizieren, ohne dass menschliche Interaktion erforderlich ist.

Für einen tieferen Einblick in die Daten hinter diesem Wandel lies den vollständigen Kinsta-Bericht zu KI und Bot-Traffic. Wenn du die Auswirkungen bereits auf deiner Website bemerkst, bietet dir der Bot-Schutz von Kinsta die notwendigen Kontrollmöglichkeiten, um damit umzugehen.

Bud Kraus

Bud Kraus has been working with WordPress as an in-class and online instructor, site developer, and content creator since 2009. He has produced instructional videos and written many articles for WordPress businesses.