patrolmindAI
← all case studies/Handel · Retail

Customer story

Lattice Retail

14 Millionen Credential-Stuffing-Versuche am Black-Friday-Wochenende — kein einziges Kundenkonto verloren.

Acht Botnets, vier Stunden Spitzenzeit, ein Login-Endpoint. Während Lattice's größtes Umsatzwochenende des Jahres lief, eskalierte ein gezielter Credential-Stuffing-Angriff. PatrolMind erkannte das Muster, blockte autonom — und ließ legitime Kund:innen ungestört einkaufen.

At a glance

Industry
Handel · Retail
HQ
Hamburg, Deutschland
Size
23 000 Mitarbeitende · 380 Stores · €4,1 Mrd. Umsatz
Stack
PatrolMind Guardian, Cloudflare WAF

14 M

blockierte Login-Versuche in 96 h

0

übernommene Kundenkonten

+€18 M

Umsatz, der dadurch nicht verloren ging

The challenge

Lattice's E-Commerce-Plattform sieht das ganze Jahr über stabile 6 000 Logins pro Minute. Black-Friday-Weekend rechnen sie mit 24 000. Am 28. November 2025 um 19:14 sprang das auf 380 000 — und blieb dort vier Stunden.

Der Angriff war ausgereift: Acht Botnets aus 14 ASNs, verteilt über 380 000 IPs, headless-browser-basiert, mit echten Cookies aus früheren Sitzungen, mit Tippmustern aus gesammelten Browsing-Profilen. Die alte WAF-Regel — „mehr als 5 fehlgeschlagene Logins von einer IP" — sah nichts.

The solution

Lattice hatte PatrolMind im Sommer als Guardian-Tier eingeführt, primär für interne Threat-Detection. Doch das Verhaltensmodell hatte auch das Kundenseite gelernt: Wie ein echter Mensch tippt, scrollt, sich entscheidet, abbricht.

Sobald die erste Bot-Welle ankam, sah NeuralGuard™ das Anomalie-Muster sofort: Tippmuster zu glatt, Mausbewegungen zu linear, Geräteprofile zu generisch, Geo-zu-Cookie-Mismatch zu häufig. Score: 0,98. Aktion: chirurgisches Rate-Limit auf die spezifischen Verhaltens-Fingerabdrücke, nicht auf IPs.

Echte Kund:innen mit langsamerer DSL aus Bayern bemerkten nichts. Botnetze, die ihre Verhaltensmuster nicht anpassen konnten, fielen aus dem Spiel. Lattice's SOC schaltete nicht einmal in den „Krisenmodus" — sie bekamen eine kurze Slack-Nachricht und konnten die Live-Karte beobachten, wie der Angriff abebbte.

Vor PatrolMind hätten wir am Sonntagabend wahrscheinlich Geo-Blocks aufgebaut und damit echte Kunden verärgert. Stattdessen merkten unsere Kund:innen nichts, der Vorstand bekam eine ruhige E-Mail, und unser CFO sah die Umsatzkurve, die wir versprochen hatten.
Mateusz Drabik, VP Engineering, Lattice Retail

The results

Kein Account-Takeover, kein Reputationsverlust

Während Wettbewerber im selben Quartal mit ATO-Schlagzeilen kämpften, sah Lattice 0 erfolgreiche Übernahmen über das gesamte Black-Friday-Wochenende. Twitter ruhig, Reddit ruhig, Support-Telefon ruhig.

Legitime Kund:innen verschont

PatrolMind's chirurgische Aktion bedeutete: Kein einziges echtes Login-Pop-up extra, kein CAPTCHA-Spam, kein Geo-Block. Der Conversion-Rate-Trend blieb unverändert.

Live-Lerneffekt während des Angriffs

Während die Botnets ihre Taktik anpassten (sie wechselten Tippmuster, dann Mausbewegung), passte PatrolMind die Erkennung in Echtzeit an. Jeder neue Trick wurde nach 7 Sekunden gefangen.

Story für die Marketing-Abteilung

Lattice's Marketing erzählte die Geschichte nicht öffentlich — aber bot sie als Referenz an. Drei weitere Einzelhändler buchten innerhalb von 60 Tagen einen Pilot.

What's running

PatrolMind GuardianCloudflare WAFAkamai BotManager (legacy)Stripe + AdyenGCP europe-west3

Next story

Atlas Health — Ransomware-Stopp in 12 Sekunden

Read →
30-Tage-Pilot · 0 € Risiko

Schließen Sie die Lücke zwischen Angriff und Abwehr.

30 Tage Pilotbetrieb, in Ihrer Cloud, ohne Risiko. Sie sehen Bedrohungen, die Ihr aktuelles SIEM nicht erkennt — oder Sie zahlen nichts.

Pilot vereinbaren Mit Engineering sprechen