KI-Agenten sind der neue Betrugsvektor. Darum übersieht Ihre Erkennung sie wahrscheinlich.
LLM-gestützte Agenten steuern echte Browser, denken über Seiten nach und wirken an der Oberfläche menschlich. Die Verhaltens- und CAPTCHA-Signale, die Skript-Bots erkannten, sind gegen sie deutlich schwächer.
Den größten Teil des vergangenen Jahrzehnts bedeutete „Bot-Erkennung", Automatisierung von Menschen zu unterscheiden. Das Signal war klar, weil die Lücke groß war: Bots hatten kein Maus-Jitter, keine Lesepausen, kein Kontextbewusstsein. Sie waren offensichtlich, wenn man wusste, wo man hinsehen musste.
Diese Lücke schließt sich. Die Bedrohungskategorie, die Fraud-Teams 2026 verstehen müssen, ist der LLM-gestützte Agent — Automatisierung, die auf großen Sprachmodellen aufbaut und lesen, denken, entscheiden und handeln kann, und zwar auf eine Weise, die menschlicher Kognition näher kommt als jede frühere Bot-Generation. Die Erkennungssignale, die gegen skriptbasierte Bots funktionierten, sind gegen Agenten, die auf menschlichem Verhalten trainiert sind, deutlich weniger wirksam.
Das ist keine Spekulation über eine künftige Bedrohung. Agentengesteuerter Traffic steckt bereits in Ihren Fraud-Logs, meist falsch als entweder „echte Nutzer" oder „ausgefeilte Bots" gekennzeichnet. Die Zusammensetzung dieses Traffics ändert sich. Die Erkennungsansätze, die standhalten, erfordern ein anderes Architekturmodell als das, was die meisten Plattformen einsetzen.
Dieser Beitrag richtet sich an Verantwortliche aus Security und Produkt, die verstehen wollen, was an agentengesteuerter Automatisierung tatsächlich anders ist, warum es für die Betrugsabwehr wichtig ist und welche Erkennungsmuster dagegen funktionieren.
Was ein KI-Agent im Betrugskontext tatsächlich ist
Der Begriff „KI-Agent" wird locker verwendet. Im Betrugskontext lautet die sinnvolle Definition: Automatisierung, die drei Kriterien erfüllt:
- Gesteuert von einem Sprachmodell (GPT-4, Claude, Gemini oder ähnlich) für die Entscheidungsfindung statt von fest codierten Skripten.
- Betrieb einer echten Browser-Umgebung — meist eine Headless- oder Headed-Instanz von Chrome, Firefox oder Safari, oft auf Cloud-Infrastruktur, die für Browser-Automatisierung ausgelegt ist.
- Fähig, sich an unerwartete Seitenzustände anzupassen — Fehlermeldungen, Layoutänderungen, zusätzliche Verifizierungsschritte —, ohne dass ein Entwickler das Skript aktualisieren muss.
Diese Kombination ist qualitativ anders als ältere Automatisierung. Ein skriptbasierter Bot, der einem aufgezeichneten Makro folgt, scheitert in dem Moment, in dem sich eine Seite ändert. Ein Agent liest die Seite, versteht, was er vor sich hat, und passt sein Vorgehen an. Die erste Generation wurde für legitime Anwendungsfälle gebaut (Webrecherche, Barrierefreiheitstests, automatisiertes Browsen). Die zweite Generation umfasst Akteure, die diese Werkzeuge im großen Maßstab auf Betrug anwenden.
Warum alte Erkennungssignale gegen Agenten schwächer sind
Das traditionelle Bot-Erkennungs-Toolkit stützt sich auf Signale, die Automatisierung von Menschen unterscheiden. Agenten verändern die Stärke jedes einzelnen Signals.
Verhaltenssignale. Entropie der Mausbewegung, Tastenanschlagsdynamik, Scroll-Muster. Echte Menschen haben natürliche Varianz — Jitter, Zögern, Fehlerkorrektur. Skriptbasierte Bots haben entweder keine Varianz (perfekt gerade Linien, sofortige Formularausfüllung) oder generierte Varianz, die statistisch nachweisbar ist.
Agenten, die echte Browser steuern, erzeugen tendenziell menschenähnlichere Muster. Sie nutzen die tatsächliche Eingabesimulation des Browsers, oft randomisiert. Sie brauchen Zeit, um Seiten zu „lesen", weil das zugrunde liegende Modell visuelle oder DOM-Inhalte verarbeiten muss. Das Verhaltenssignal ist weiterhin vorhanden, aber es ist verrauschter und erfordert anspruchsvollere Analyse, um es herauszuziehen.
CAPTCHA. Moderne CAPTCHA-Lösungsdienste konnten CAPTCHAs schon immer im großen Maßstab für etwa 0,001 US-Dollar pro Challenge überwinden. Agenten tun es nativ. Ein generisches GPT-4o oder Claude kann sich ein bildbasiertes CAPTCHA ansehen und mit hoher Genauigkeit erkennen, worauf zu klicken ist. Der Abwehrwert von CAPTCHA gegen Agenten liegt nahe null.
Velocity-Regeln. Feste Schwellen für Aktionen pro Minute. Skriptbasierte Bots verletzen diese tendenziell aggressiv, weil die Optimierung auf Geschwindigkeit der ganze Sinn ist. Agenten verlangsamen sich bewusst, weil ihr zugrunde liegendes Modell auf menschlichem Verhalten trainiert ist, das ein natürliches Tempo hat. Velocity-Regeln erkennen Agenten nur dann, wenn sie für Operationen mit hohem Volumen konfiguriert sind.
Einfaches Fingerprinting. Statische Listen von Canvas-Hashes, Schriften, User-Agent-Strings. Agenten, die echte Browser betreiben, erzeugen für all das legitime Werte. Der Fingerprint sieht korrekt aus, weil er korrekt ist — der Agent nutzt einen echten Browser, und der Browser meldet, was er wirklich ist.
Das Muster: Signale, die auf „Automatisierung sieht anders aus als Menschen" beruhen, werden schwächer, je menschlicher Automatisierung wirkt.
Die Signale, die weiterhin funktionieren
Erkennung gegen Agenten erfordert Signale, die Automatisierung nicht leicht verbergen kann — unabhängig davon, wie menschenähnlich das Oberflächenverhalten erscheint.
Netzwerksignaturen. Agenten laufen typischerweise auf Cloud-Infrastruktur: AWS, GCP, Azure oder spezialisierten Browser-Automatisierungsdiensten. Die IP-Bereiche sind identifizierbar. Die TCP/TLS-Fingerprints unterscheiden sich von Consumer-ISPs. Serverseitig beobachtbare Signale erkennen den meisten Agenten-Traffic unabhängig davon, was die Client-Seite behauptet.
Die Anbieter, die speziell Browser-as-a-Service-Produkte betreiben (Browserbase, Anchor, Steel.dev und andere), haben identifizierbare Netzwerksignaturen. Echte Nutzer von Residential-ISPs sehen auf der Netzwerkebene anders aus als Agenten, die in Cloud-Umgebungen laufen. Das ist 2026 das einzelne zuverlässigste Signal.
Subtile Device-Fingerprints. Echte GPUs erzeugen Gleitkommamuster, die pixelgenau schwer zu fälschen sind. Virtualisierte Umgebungen und Cloud-GPU-Instanzen erzeugen leicht abweichende Muster. AudioContext-Fingerprinting offenbart Unterschiede in der Audioverarbeitung zwischen physischer und virtualisierter Hardware. Der Echtzeit-Uhrenversatz unterscheidet sich zwischen Consumer-Geräten im lokalen Netzwerk und Cloud-Instanzen, die mit hochwertigen NTP-Servern synchronisiert sind.
Jedes einzelne Signal ist klein. Kombiniert über 130+ Proben ergeben sie ein kohärentes Bild: „das sieht aus wie ein echtes Consumer-Gerät" gegenüber „das sieht aus wie eine cloud-gehostete Browser-Umgebung, unabhängig davon, was der User-Agent behauptet".
Sitzungsübergreifende Verknüpfung. Agenten-Operationen umfassen oft ein einzelnes zugrunde liegendes System, das viele Sitzungen steuert. Selbst wenn jede Sitzung einen einzigartigen Device-Fingerprint hat, offenbaren Verhaltenskorrelationen über Sitzungen hinweg (identische Timing-Muster, identische Entscheidungsfindung, identische Reaktion auf Fehler) die Koordination.
Serverseitige Kohärenzprüfungen. Agenten können jedes einzelne Signal fälschen. Die Kohärenz über alle Signale hinweg aufrechtzuerhalten, ist dramatisch schwerer. Wenn die JavaScript-Umgebung „Chrome 120 auf macOS" behauptet, der Netzwerk-Fingerprint aber auf einen Linux-Server in AWS hindeutet, ist das eine Inkonsistenz, in die der Client keinen Einblick hat und die er daher nicht korrigieren kann.
Polymorphe Erkennung. Client-seitiger Erkennungscode, der sich täglich ändert, verwehrt Agenten die Möglichkeit, darauf vorzutrainieren. Statische Proben werden zurückentwickelt; rotierende Proben nicht.
Das Architekturmuster: Mehrere schwache Signale, kombiniert mit Kohärenzprüfung, schlagen jedes einzelne starke Signal. Einzelne starke Signale werden ausgehebelt. Die Kombination aus fünfzig schwachen Signalen mit Kohärenzanforderungen untereinander widersteht Umgehung deutlich länger.
Wie agentengesteuerte Angriffe in der Praxis aussehen
Drei Muster, die wir 2026 im Traffic beobachten:
Muster 1: Farming von Kontoerstellungen. Agenten erstellen Konten im großen Maßstab und schließen dabei E-Mail-Verifizierung, KYC-Schritte und das erste Produkt-Onboarding ab. Jedes Konto ist für nachgelagerte Wertentnahme bestimmt: Bonus-Abgreifen, Ausnutzung des Free-Tarifs, Airdrop-Farming, Content-Scraping. Der Agent erledigt die Arbeit, die zuvor entweder plumpe Skripte (leicht erkannt) oder menschliche Arbeitskraft (teuer) erforderte.
Die finanzielle Stückkostenrechnung begünstigt den Angreifer. Eine Agenten-Operation kann 1.000 gleichzeitige Browser-Sitzungen auf gewöhnlicher Cloud-Infrastruktur für unter 50 US-Dollar pro Stunde betreiben. Jedes erfolgreiche Konto hat einen gewissen Wert (50–500 € für iGaming-Willkommensboni, 10–100 US-Dollar für die Ausnutzung von SaaS-Free-Tarifen, deutlich mehr für Krypto-Airdrops). Die Grenzkosten pro Konto nähern sich null, während der Grenzwert bedeutsam bleibt.
Muster 2: Credential Stuffing mit adaptiver Logik. Ältere Credential-Stuffing-Werkzeuge feuern Zugangsdaten-Paare mit Brute-Force-Geschwindigkeit gegen Login-Endpunkte. Moderne agentengesteuerte Ansätze testen vorsichtiger, bewältigen CAPTCHA, wenn es erscheint, navigieren zu Wiederherstellungs-Flows, wenn der erste Login fehlschlägt, und behandeln jede „erfolgreiche" Zugangsdatenkombination sorgfältiger, um keine aggressive Abwehr auszulösen.
Die Erfolgsquote pro Zugangsdatenkombination ähnelt älteren Techniken. Die Erkennungsschwierigkeit ist höher, weil der Agent nicht wie eine Brute-Force-Operation aussieht — er wirkt wie eine Reihe normaler Login-Versuche mit normalem Tempo.
Muster 3: Missbrauch von Aktionscodes und Content-Scraping. Die langsamsten Agenten-Angriffe. Der Agent besucht Produktseiten, wendet Aktionscodes an, erfasst Preise, erfasst Inhalte, steigt aus. Das Volumen pro IP ist bescheiden. Das Volumen pro Sitzung ist klein. Das Signal ist subtil, aber die aggregierten Kosten — Verlust von Wettbewerbsintelligenz, Erschöpfung des Aktionsbudgets, Content-Diebstahl — sind erheblich.
Diese drei Muster teilen eine gemeinsame Verteidigungsherausforderung: Die Signatur pro Aktion sieht menschlich aus. Erkennung erfordert entweder den Blick auf aggregierte Muster über viele Sitzungen hinweg oder den Blick auf die tieferen Schichten (Netzwerk, Hardware, Kohärenz), die der Agent nicht leicht fälschen kann.
Was das für Ihr Team bedeutet
Drei Beobachtungen, die unabhängig vom Plattformtyp wichtig sind:
Beobachtung 1: Die Bot-Erkennungswerte, die Sie verfolgt haben, unterschätzen die tatsächliche Bedrohung womöglich. Die meisten Plattformen messen „Bot-Traffic" mit Signalen, die Agenten-Traffic nicht auslöst. Der Wert ist bei vielen Plattformen gesunken oder gleich geblieben — nicht weil die Bedrohung schrumpft, sondern weil die Messung die neue Kategorie verfehlt.
Beobachtung 2: Anbieter, die auf alten Signalmodellen aufbauen, sind exponiert. Wenn das Marketing Ihres Erkennungsanbieters Verhaltensanalyse als primäres Unterscheidungsmerkmal betont, stellen Sie harte Fragen dazu, wie ihre Architektur mit Agenten-Traffic umgeht. Viele Anbieter sind bei dieser Kategorie Monate oder Jahre im Rückstand.
Beobachtung 3: Die richtige Architektur ist keine einzelne Schicht. Netzwerkbasierte Erkennung allein verpasst Agenten, die auf Residential-Proxy-Infrastruktur laufen. Geräteschicht-Erkennung allein verpasst Agenten, die auf physischer Hardware laufen. Die widerstandsfähige Architektur kombiniert Schichten mit Kohärenzprüfung.
Die Plattformen, die diesen Übergang gut meistern, teilen ein Muster: Sie behandeln ihre Erkennung als fortlaufende Fähigkeit statt als eingesetztes Produkt. Sie messen vierteljährlich, optimieren Regeln monatlich und pflegen eine Beziehung zu ihrem Erkennungsanbieter, die laufende Forschung und Entwicklung statt eines statischen SaaS-Vertrags umfasst.
Die nächsten 18 Monate
Drei Prognosen, wie sich diese Kategorie entwickelt:
Prognose 1: Der Anteil des Agenten-Traffics wächst. Von einstelligen Prozentwerten 2025 hin zu zweistelligen Prozentwerten bis Ende 2026. Die wirtschaftlichen Anreize begünstigen die Ausweitung: Die Kosten der Agenten-Infrastruktur sinken weiter, die Fähigkeiten der Agenten verbessern sich weiter, und der Wert automatisierten Betrugs zieht weiterhin Investitionen an.
Prognose 2: Spezialisierte Agenten-Plattformen entstehen. Generische LLM-basierte Automatisierung ist die erste Welle. Die zweite Welle sind zweckgebaute Agenten für spezifische Betrugskategorien: Bonus-Farming-Agenten, Credential-Stuffing-Agenten, Airdrop-Farming-Agenten. Jeder ist für sein spezifisches Ziel optimiert und schwerer zu erkennen als Allzweck-Agenten.
Prognose 3: Die Reaktion der Verteidiger konsolidiert sich um spezifische Architekturmuster. Mehrschichtige Erkennung mit schichtübergreifender Kohärenzprüfung und polymorphem Client-seitigem Code wird zum Standard. Anbieter, die diese Architektur nicht in den nächsten 18 Monaten ausliefern, werden gegenüber Anbietern, die es tun, nicht mehr wettbewerbsfähig.
Das Zeitfenster, um dieser Bedrohung voraus zu sein, ist etwa jener 18-Monats-Zeitraum. Plattformen, die im frühen Teil des Fensters wirksame Erkennung einsetzen, haben einen leichteren Weg als Plattformen, die warten, bis Agenten-Traffic ihre Bedrohungsfläche dominiert, und dann nachrüsten müssen.
Wo Tracio ins Bild passt
Agenten-Erkennung ist 2026 eine der zentralen Forschungs- und Entwicklungsinvestitionen von Tracio. Die Architektur deckt die Signalschichten ab, die gegen Agenten standhalten: Netzwerksignaturen (einschließlich bekannter cloud-gehosteter Browser-Umgebungen), Geräte-Kohärenzprüfungen (erkennen virtualisierte Hardware unabhängig von der behaupteten Umgebung), Verhaltensbiometrie (Muster im Sub-Millisekunden-Bereich, die selbst ausgefeilte Agenten noch unterscheiden) und kundenübergreifender Signalaustausch (erkennt koordinierte Kampagnen, die sich über mehrere Plattformen erstrecken).
Die polymorphe JavaScript-Schicht verwehrt Agenten die Möglichkeit, Umgehungen gegen statische Proben vorzutrainieren. Das serverseitige Verdikt integriert alle Signale und liefert eine ALLOW-, CHALLENGE- oder BLOCK-Entscheidung in unter 50 Millisekunden, mit angehängter Begründung, damit Ihr Team sie überprüfen und optimieren kann.
Der Einsatz ist schnell: ein SDK auf der Seite, ein serverseitiger Verify-Aufruf an jedem kritischen Entscheidungspunkt. Der Free-Tarif umfasst 2.500 Verifizierungen pro Monat — genug, um einen aussagekräftigen Piloten zu fahren und zu sehen, was tatsächlich in Ihrem Traffic steckt.
Neugierig, welcher Anteil Ihres Traffics agentengesteuert ist?
Starten Sie Ihre kostenlose Testphase
— 2.500 Verifizierungen gratis, keine Kreditkarte.
Buchen Sie eine Demo
, um Ihre spezifische Bedrohungsfläche durchzugehen und eine Ausgangsschätzung des Agenten-Traffics auf Ihrer Plattform zu erhalten.