Bots gehören zum Alltag jeder Webseite. Ein Blick ins Hoster-Logfile zeigt es jeden Tag. Suchmaschinen-Crawler holen sich neue Inhalte. KI-Trainings-Bots fragen Seite für Seite ab. Dazwischen tauchen Anfragen auf, die nach Login-Formularen oder offenen Admin-Pfaden suchen. Das ist der Normalfall, kein Ausnahmezustand.
Die gute Nachricht: Für eine kleine Webseite (Selbständige, Verein, kleines Unternehmen) brauchst Du keine teure Firewall, um die Lage zu beherrschen. Drei einfache Hebel auf Hoster-, Formular- und Login-Ebene fangen den Großteil ab. Dieser Beitrag zeigt, was Du selbst umsetzen kannst, ohne ein Sicherheits-Budget aufzubauen.
Welche Bots Deine Webseite täglich besuchen
Bot-Traffic ist nicht einheitlich. Drei Gruppen kommen praktisch jeden Tag vorbei, und es lohnt sich, sie zu unterscheiden.
- Suchmaschinen-Crawler: Googlebot, Bingbot und kleinere Pendants. Sie holen Deine Seiten ab, damit Du in den Trefferlisten auftauchst. Ohne sie gibt es kein SEO.
- KI-Trainings-Bots: GPTBot, ClaudeBot, PerplexityBot. Sie sammeln Texte für die Trainings- und Antwortdaten ihrer Sprachmodelle. Du kannst sie zulassen oder per robots.txt aussperren, beides ist legitim.
- Angriffs-Bots: Skripte ohne Identität, die Login-Pfade abklopfen, Kontaktformulare mit Spam fluten oder bekannte CMS-Schwachstellen testen. Das ist die Gruppe, gegen die Du Dich aktiv wehrst.
Den Unterschied erkennst Du im Server-Log am User-Agent und an der Zugriffsfrequenz. Wer mehr darüber wissen will, welche Bots überhaupt vorbeischauen und wie sie sich verhalten, findet im Beitrag zu Web-Crawlern die Detailansicht.
Was harmlos ist und was Du schützen solltest
Suchmaschinen-Crawler dürfen durch. Sie folgen den Regeln Deiner robots.txt und respektieren in der Regel die Crawl-Frequenz, die Dein Server signalisiert. KI-Bots ebenfalls. Wenn Du sie ausschließen willst, regelst Du das mit zwei Zeilen in der robots.txt.
Die wirklichen Schutzzonen sind drei: das Backend-Login, das Kontaktformular und alle Kommentar- oder Anmelde-Felder, in die Besucher schreiben können. Genau dort kommen Spam-Bots und Angriffs-Bots an, und genau dort wirst Du das spüren, nämlich als Spam-Mail im Posteingang oder als fehlgeschlagener Login-Versuch im Hoster-Log. Wer das Ausmaß unterschätzt, sollte wissen, dass Spam-Bots mehr sind als ein Mail-Problem. Sie binden Server-Ressourcen und verwässern Statistiken. Oft sind sie der erste Schritt in einer Angriffskette.
Die drei Hebel ohne teure Software
Den Grundschutz baust Du auf drei Ebenen auf. Jede Ebene fängt einen anderen Bot-Typ ab.
Hoster-Ebene. Hier sitzt die erste Verteidigungslinie. Moderne Webhoster bieten dafür drei Funktionen im Backend. Rate-Limiting begrenzt die Anfragen pro Sekunde von derselben IP. Geo-Blocking sperrt Länder, aus denen Du keinen legitimen Traffic erwartest. Eine grundlegende Firewall fängt bekannte Angriffsmuster ab. Diese Funktionen sind im Tarif oft enthalten und müssen nur aktiviert werden. Welche Punkte ein guter Anbieter mitbringt, klärt der Beitrag dazu, warum der Hoster die erste Verteidigungslinie ist.
Formular-Ebene. Jedes öffentliche Formular braucht eine Hürde, die Bots stolpern lässt, aber Menschen nicht stört. Ein verstecktes Honeypot-Feld, das nur Bots sehen und ausfüllen, ist die unsichtbarste Variante. Ein Zeitstempel, der absurd schnelle Submits aussortiert, ergänzt das. Ein CAPTCHA kommt nur dann ins Spiel, wenn die ersten beiden Hürden nicht reichen.
Login-Ebene. Der CMS-Login ist das Ziel, das Bots am häufigsten angreifen. Eine Fehlversuchs-Sperre nach fünf falschen Versuchen pro IP, kombiniert mit Zwei-Faktor-Authentifizierung am Admin-Account, macht den klassischen Brute-Force-Angriff praktisch wirkungslos.
Honeypot vor CAPTCHA — warum die Reihenfolge zählt
Viele Webseiten greifen sofort zum CAPTCHA, wenn Spam ein Problem wird. Das ist verständlich, aber nicht optimal. Ein CAPTCHA stört jeden Menschen, der das Formular ausfüllt. Es kostet Zeit, Aufmerksamkeit und manchmal auch Nerven. Ein Honeypot stört niemanden.
Ein Honeypot ist ein zusätzliches Formularfeld, das per CSS unsichtbar ist. Echte Besucher sehen es nicht und füllen es nicht aus. Bots dagegen lesen das HTML maschinell und füllen brav alles aus, was nach einem Feld aussieht. Kommt das Formular mit ausgefülltem Honeypot zurück, weißt Du: Bot. Submit verwerfen, fertig.
Die richtige Reihenfolge lautet also: erst Honeypot, dann Zeitstempel, dann erst (falls noch nötig) CAPTCHA. Wer das in der Praxis aufbauen will, findet im Beitrag zu Honeypot-Feld im Kontaktformular die konkrete Umsetzung mitsamt Danke-Seite und Pflichtfeldern.
Login absichern — Fehlversuche kappen
Brute-Force-Angriffe auf den Backend-Login sind so verbreitet wie Wettervorhersagen. Ein Bot probiert in wenigen Stunden tausende Passwort-Kombinationen durch und braucht dazu keine besondere Technik. Die Gegenmaßnahme ist trivial und in jedem gängigen CMS verfügbar. Du aktivierst eine Login-Sperre nach drei bis fünf Fehlversuchen. Dazu eine Zeitstrafe von 15 Minuten oder mehr.
Dazu Zwei-Faktor-Authentifizierung am Admin-Account. Selbst wenn ein Bot irgendwann das richtige Passwort findet, scheitert er am zweiten Faktor — sei es ein Code aus einer Authenticator-App oder ein Hardware-Token. Beides zusammen macht aus dem Backend-Login eine Wand, die Bots nicht überwinden.
Wann mehr nötig ist und was es kostet
Die drei Hebel reichen für die allermeisten kleinen Webseiten. Drei Signale heben Dich auf die nächste Stufe. Du siehst auffällige Lastspitzen. Du beobachtest gezielte Angriffe über mehrere Stunden. Oder Dein Shop verliert Umsatz, weil die Seite unter Bot-Last zusammenbricht. Dann lohnt ein Cloud-basierter Schutzdienst.
Solche Dienste arbeiten als Reverse-Proxy vor Deinem Hoster. Der gesamte Traffic läuft erst durch sie hindurch. Sie filtern Bot-Signaturen auf Netzwerkebene und leiten nur sauberen Traffic weiter. Für kleine Seiten liegt der Preis grob bei 10 bis 25 Euro pro Monat. Eine vollwertige Web Application Firewall mit individueller Regel-Pflege beginnt bei 50 bis 150 Euro monatlich und lohnt sich erst, wenn der Schutzbedarf wirklich industriell ist.
Wichtig zu wissen: Auch der beste Schutz hat Lücken. Wenn ein Bot doch durchkommt — etwa über eine bisher unbekannte Schwachstelle — ist klar zu wissen, was Du dann tun kannst, der nächste Sicherheitsanker. Grundschutz und Notfallplan gehören zusammen.
Fazit — der ehrliche Grundschutz
Bot-Traffic ist Alltag, keine Bedrohung. Mit drei Hebeln, nämlich Hoster-Konfiguration, Formular-Honeypot und Login-Sperre, hältst Du den Großteil draußen, ohne ein Werkzeug einzukaufen, dessen Funktionsumfang Du strategisch nie ausnutzt. Den Rest erledigt ein Cloud-Schutzdienst, falls Du wirklich an die Grenze stößt.
Wichtig ist die Reihenfolge: erst die kostenlosen Hebel, dann die bezahlten. Wer mit der teuren Lösung anfängt, zahlt für Schutz, den er auf einfacherem Weg hätte haben können.