Als Zehntausende Fans sich auf die Tickets für die Ye Live Concert Shows am 6. und 8. Juni 2026 im Gelredome in den Niederlanden stürzten, waren sie nicht die Einzigen, die dabei sein wollten. Hinter jedem großen Ticketverkauf tobt heute ein unsichtbarer Kampf, einer, den die meisten Fans nie sehen, aber definitiv spüren.

Hier ist der technische Blick hinter die Kulissen, wie Weeztix sich von einer Plattform, die von Bots „überrollt" wurde (bedingt durch die offene API-Architektur), zu einem Vorreiter im Kampf gegen Bots und Ticket-Scalping entwickelt hat. Und das, ohne Abstriche bei der User Experience zu machen, an die unsere Kunden gewöhnt sind.

Wie Scalping zum Geschäft wird

Bevor wir in die technischen Details einsteigen, lohnt es sich, zu verstehen, warum Events dieser Größenordnung überhaupt Bots anziehen. Ticket-Scalping ist ein margenstarkes Geschäft. Wer 50 Tickets für je 180 € kauft und sie auf unregulierten Zweitmarktplattformen für 600 € pro Stück listet, erzielt eine Rendite von 100 % bis 200 % pro Session. Bei einem seltenen Event wie diesem ist der Anreiz groß genug, um ernsthaft in die nötigen Tools zu investieren.

Die Strategie hinter den Bots

Das gängigste Instrument für solche Operationen ist der Sneaker Bot — ursprünglich entwickelt für limitierte Sneaker-Releases von Marken wie Nike und Adidas. Bis 2025 hatte sich das Bild klar verschoben. Scalper erkannten, dass Konzerttickets ebenfalls gute Margen bei weniger Konkurrenz bieten, und brachten Tools wie Stellar AIO und Adonis mit. Plattformen, die sich nie gegen solche Bots verteidigen mussten, wurden plötzlich zu neuen Zielen.

Die Bot-Strategie funktioniert so: 10.000 Bots werden eingesetzt, um die Warteschlange zu fluten. Alle diese Bots verteilen sich in der Queue, und sobald sie drin sind, versuchen sie, so viele günstige Tickets wie möglich zu reservieren. Selbst eine Erfolgsquote von 1 % kann 100 Tickets und massiven Profit einbringen. Bots kaufen in der Regel nicht alle reservierten Tickets, sie kaufen nur, was sie brauchen. Das bedeutet, dass bestimmte Ticketkategorien wie Early Birds nach einem scheinbaren Ausverkauf plötzlich wieder verfügbar werden, was den Verkauf unübersichtlich und für Fans extrem frustrierend macht.

Welche Bots wir erlebt haben

Die Bots, denen wir beim Spitzenverkauf der Ye Live Concerts in den Niederlanden begegnet sind, fielen in drei Kategorien - und jede erforderte eine eigene Antwort.

1. Consumer-Sneaker-Bots

Mittlerweile als Abo-Dienste weit verbreitet, erfordern diese Tools kein technisches Hintergrundwissen. Vorkonfigurierte Oberflächen ermöglichen es Nutzern, mit minimalem Aufwand Ticketing-Warteschlangen ins Visier zu nehmen und die Schritte zu automatisieren, die ein echter Fan manuell durchführen würde.

2. Professionelle Scalper-Bots

Eine deutlich ernsthaftere Bedrohung. Diese Tools sind speziell für Ticket-Scalping gebaut und werden wahrscheinlich von (semi-)professionellen Akteuren betrieben. Sie sind bei großen internationalen Events und Konzerten aktiv und deutlich leistungsfähiger als Consumer-Sneaker-Bots, sprich: sie senden viel mehr Anfragen pro Sekunde.

3. Invalid-Order-Bots

Die Kategorie mit dem größten Schadenspotenzial, der wir begegnet sind, war auch die, die beim ersten Verkauf den größten Schaden angerichtet hat. Diese Bots senden massenhaft fehlerhafte Anfragen, ohne die Absicht, einen Kauf abzuschließen. Ihr Zweck ist unklar. Das Ergebnis ist jedoch eine Menge zusätzliches Datenbank-Rauschen, das aufwendige Validierungsprozesse immer wieder auslöst.

Reguläre Sicherheitsmaßnahmen

Wir führen jedes Jahr Tausende von Spitzenverkäufen durch und haben selten Probleme. Hier ein Überblick über die Standardlösungen, die bei allen unseren Shows aktiv waren — einschließlich des ersten Ye-Spitzenverkaufs:

1. Queue-it

Jeder Weeztix-Shop ist durch Queue-it geschützt, ein virtueller Warteraum, der dem Verkauf vorgeschaltet ist und kontrolliert, wie viele Nutzer gleichzeitig in den Shop gelangen. Wenn die Nachfrage einen festgelegten Schwellenwert überschreitet, werden Besucher in einer geordneten Warteschlange gehalten und schrittweise zugelassen. Das schützt die Plattform vor Überlastung beim Launch und stellt sicher, dass der Zugang fair verteilt wird - nach dem Prinzip „Wer zuerst kommt, mahlt zuerst".

2. Rate Limiting im Stack

Innerhalb der Anwendung begrenzt Rate Limiting, wie viele Anfragen ein einzelner Nutzer oder eine IP-Adresse innerhalb eines bestimmten Zeitfensters stellen kann. Das bietet einen grundlegenden Schutz gegen automatisierte Tools, die versuchen, das System mit schnellen, wiederholten Anfragen zu überfluten. Traffic, der über normales menschliches Verhalten hinausgeht, wird verlangsamt oder blockiert, bevor er Schaden anrichten kann.

3. Echtzeit-Monitoring

Bei jedem stark nachgefragten Verkauf überwacht unser Team das Plattformverhalten in Echtzeit. Traffic-Muster, Fehlerraten, Datenbankauslastung und Antwortzeiten werden kontinuierlich getrackt. So erkennen wir Anomalien, sobald sie auftreten — nicht erst danach. Wenn etwas Ungewöhnliches auftaucht, können wir sofort reagieren, anstatt abzuwarten, bis sich der Schaden summiert.

4. Shops auf Weeztix-gehostete Seiten verlegen

Bei großen Verkäufen werden eingebettete und Floating-Shops auf Veranstalter-Websites auf Weeztix-gehostete Seiten verlegt. Wenn ein Shop auf einer Drittanbieter-Website läuft, ist das Traffic-Management zwischen der Infrastruktur des Veranstalters und unserer aufgeteilt — das schränkt unsere Kontrollmöglichkeiten ein. Durch das Hosting in unserer eigenen Umgebung läuft der gesamte Traffic über unsere Systeme, was uns volle Transparenz gibt und die Möglichkeit, unsere Schutzmaßnahmen ohne Störungen durch externe Infrastruktur einzusetzen.

5. Sealed Tickets

Sealed Tickets (versiegelte Tickets) erschweren betrügerische Aktivitäten wie Ticket-Scalping oder Fälschungen auf unregulierten Zweitmarktplattformen erheblich. Ein gesiegeltes Ticket kann erst ab einem bestimmten Datum und Uhrzeit heruntergeladen werden, in der Regel kurz vor Eventbeginn. Sealed Tickets können problemlos auf regulierten Plattformen wie TicketSwap und Tixel weiterverkauft werden, auch wenn sie noch gesiegelt sind.

6. Datenbank freimachen für Conversions

Wir deaktivieren während des Spitzenverkaufs vorübergehend die Late Personalisation. Late Personalisation ermöglicht es Ticketkäufern, den Großteil ihrer Daten erst nach dem Kauf einzugeben, das beschleunigt den Checkout. Der Nachteil: Es belastet die Datenbank stärker. Für den zweiten Verkauf haben wir diese Funktion deaktiviert und so erhebliche Datenbankkapazitäten für das Transaktionsvolumen freigesetzt.

Was wir für die zweite Show geändert haben

Leider reichten diese Schutzmaßnahmen für ein Event dieser Größenordnung nicht aus, und der Verkauf wurde beeinträchtigt. Für den zweiten Verkauf war klar: Wir mussten etwas ändern. Unsere Schutzmaßnahmen mussten weiter nach vorne, näher an die Traffic-Quelle, und das zusätzlich zu allen bestehenden Sicherheitsmaßnahmen.

1. Rate Limiting auf Edge-Ebene über Cloudflare

Die wichtigste Änderung war die Verlagerung des Rate Limitings an den Netzwerk-Edge über Cloudflare, um Traffic bereits am Eingangspunkt zu bewerten und zu blockieren. Bots, die zuvor die Anwendungsschicht erreicht und Serverressourcen verbraucht hatten, wurden jetzt weit vorher gestoppt.

2. Infrastruktur für neue Elemente und Rätsel

Wir haben eine Infrastrukturänderung vorgenommen, die es uns ermöglicht, Rätsel in der Benutzeroberfläche einzuführen und zu rotieren. Eine kleine, unerwartete Aktion, die Käufer einmalig ausführen müssen, nachdem sie die Warteschlange passiert haben — bevor sie den Shop betreten dürfen. Durch das Rotieren der Rätsel vor und während eines Verkaufs wird es für Consumer-Bots deutlich schwieriger, darauf vorbereitet zu sein.

3. Shop-Segmentierung nach Geografie

Wir haben den Verkauf in drei separate Umgebungen aufgeteilt, jede mit eigenen Zugangskontrollen und Zahlungsmethoden. Für dieses Event haben wir zum Beispiel drei verschiedene Shops erstellt:

• Deutschland
• Niederlande und Belgien
• Rest der Welt: offen für alle Regionen, mit deutlich strengerer CAPTCHA-Durchsetzung

IP-Adressen außerhalb der erwarteten geografischen Regionen (z. B. Niederlande und Belgien für den lokalen Shop) wurden aus Sicherheitsgründen sofort abgewiesen. Das bedeutete, dass ein Bot-Netzwerk in einer Region die Verfügbarkeit oder Performance für Fans in einer anderen Region nicht beeinträchtigen konnte.

Das Ergebnis

Die Ergebnisse des zweiten Verkaufs spiegelten die Änderungen direkt wider: Datenbankfehler sanken um 98 Prozent im Vergleich zum ersten Verkauf. Bot-Traffic war weiterhin vorhanden, wurde aber effektiv am Edge abgefangen, bevor er die Performance der Plattform beeinträchtigen konnte, sodass echte Fans ihre Käufe abschließen konnten.

Der Edge-Schutz leistete, was die Verteidigung auf Anwendungsebene nicht konnte: Er reduzierte das Trafficvolumen, das das System erreichte, auf ein Niveau, das die Plattform sauber verarbeiten konnte.

Was das wirklich beweist

Wir behaupten nicht, das Bot-Problem dauerhaft gelöst zu haben. Die Leute hinter diesen Tools sind hartnäckig: Sie passen ihre Skripte an und perfektionieren sie als Reaktion auf unsere Maßnahmen - ein ständiges Katz-und-Maus-Spiel, besonders bei professionellen Ticket-Scalpern.

Allerdings sind wir mehrere Schritte voraus, und die Ergebnisse zeigen das. Seit den Änderungen, die wir für den zweiten Ye-Verkauf vorgenommen haben, haben wir große Events ausverkauft und Spitzenverkäufe sauber abgewickelt und das Erlebnis für Fans von Kunden wie Audio Obscura, Thuishaven, Verknipt und ADE geschützt. Wir werden die Entwicklungen weiter beobachten und bei Bedarf nachjustieren. Für große Verkäufe bedeutet das heute: die Tools und Funktionen zu haben, um Bots in Schach zu halten und echten Fans eine faire Chance zu geben. Diese Fähigkeit haben wir uns auf die harte Tour erarbeitet - und wir haben vor, sie zu behalten.

Ein Hinweis für Veranstalter und Partner

Wenn du einen stark nachgefragten Verkauf planst und verstehen möchtest, wie diese Dynamiken dein Event betreffen könnten, sprechen wir gerne über die Details. Die Informationen oben teilen wir genau in diesem Sinne: Je offener wir darüber sprechen, was bei großen Verkäufen wirklich passiert, desto besser können alle Beteiligten ihre Fans schützen und das Erlebnis fair halten.

Du willst wissen, wie Weeztix mit Spitzenverkäufen bei hoher Nachfrage umgeht? Melde dich bei uns über den Chat oder per E-Mail an info@weeztix.com.