Kim Weinand - Kim Labs
Kim Weinand - Kim Labs

Ad-Fraud – Betrug im Onlinemarketing

Was versteckt sich hinter dem Begriff Fraud und welche Lösungen gibt es?

Schon lange sind Bots nicht mehr aus der Internetbranche wegzudenken. Spätestens seit den medienwirksamen Verhandlungen zur Twitter-Übernahme durch Elon Musk hat wohl jeder schon einmal von diesem Begriff gehört. Denn wo große Summen an Onlinekäufen und Werbebudgets fließen, sind Betrüger zumeist nicht weit. Vor allem der Betrug durch schädliche Bots hat in den vergangenen Jahren ein enormes Hoch erfahren – das belegen auch die Zahlen des Imperva Bad Bot Reports. Denn der Bad-Bot-Verkehr machte im Jahr des Pandemiebeginns 2020 rekordverdächtige 25,6 % des gesamten Website-Verkehrs aus. Anders ausgedrückt: Ein Viertel allen Traffics entfällt auf schädliche Bots. Zahlen, die zum Nachdenken anregen und an vielen Stellen ein Handeln erfordern!

Bad-Bots vs. Good-Bots – wo liegt der Unterschied?

Nicht jeder von einem Bot verursachte Traffic muss schlecht sein – grundsätzlich lässt sich zwischen schädlichen und guten Bots unterscheiden. Während das Abgreifen persönlicher Daten oder andere Betrügereien im Fokus der Bad-Bots stehen, nutzen Good-Bots der Internetbranche in vielerlei Hinsicht. So fallen hierunter beispielsweise Programme, die im Auftrag von Suchmaschinen Inhalte von Web-Angeboten platzieren. Etwa 15 % des nicht-menschlichen Traffics lässt sich diesen nützlichen, guten Bots zuschreiben.

Das Bad-Bot-Problem wächst stetig weiter

Insbesondere durch die Corona-Pandemie und den daraus resultierenden Anstieg des Internet-Traffics erfuhr das Bot-Problem ein neues Rekordhoch. In Zahlen ausgedrückt, stiegt der Verkehr von Bad-Bots im Vergleich zu 2019 um ganze 6,2 %. Und auch der gute Bot-Verkehr stieg im Vergleich zum Vorjahr an und zwar laut Imperva Bad Bot Report um rund 16 %. Die neulich veröffentlichten Zahlen für das Internetjahr 2021 lassen wenig Raum für Hoffnung: So war auch 2021 ein echtes Rekordjahr, bei dem der Anteil der Bad-Bots bei ganzen 27,7 % lag. Zu den häufigsten Bot-Angriffen zählten dabei Kontoübernahmen, das Scraping von Inhalten sowie Preisen und das Scalping zur Bescha

ffung nur begrenzt verfügbarer Artikel, um diese im Anschluss überteuert weiterzuverkaufen – ebenfalls ein Randphänomen der weltweiten Pandemie. Ein weiteres Problem: Moderate und hochentwickelte Bots machen die Mehrheit des nicht-menschlichen Traffics aus, genauer gesagt ca. 57 % des Bad-Bot-Traffics. Diese als Advanced Persistent Bot (APB) kategorisierten Bots entziehen sich dabei nicht selten jeglicher Entdeckung, da sie mit zufälligen IP-Adressen arbeiten, sich über anonymisierte Proxys einloggen, immer wieder ihre Identität ändern und so ein menschliches User-Verhalten imitieren. Entsprechend schwer ist es, diese Bots zu identifizieren und zu bekämpfen.

Egal, ob E-Commerce oder Telekommunikation – alle sind von Fraud betroffen

Fest steht: Bad-Bots stellen eine echte Gefahr für Unternehmen und Kunden gleichermaßen dar – und das branchenübergreifend, denn die Betrüger haben es auf nahezu jeden Bereich des Internetgeschäfts abgesehen. Hier stehlen die Bots persönliche Informationen, Treuepunkte sowie Kreditkarteninfos oder beeinflussen maßgebliche das Online-Erlebnis von Usern. Durch ihre hochentwickelten Algorithmen sind Bad-Bots nämlich in der Lage, eine große Vielfalt schädlicher Aktivitäten durchzuführen – entsprechend vielfältig auch ihre möglichen Ziele im World Wide Web. Zu den fünf Branchen, die am meisten mit Bad-Bot-Verkehr kämpfen müssen, gehören dabei

  • Telekommunikation und ISPs (45,7 %)
  • Computer und IT (41,1 %)
  • Sport (33,7 %)
  • Nachrichten (33 %)
  • Unternehmensdienstleistungen (29,7 %)

Auch bei Bots liegt der Fokus verstärkt auf Mobilgeräten

Natürlich haben auch die Bad-Bots längst den mobilen Traffic für sich entdeckt. Zwar gilt der Browser Chrome nach wie vor als eine der beliebtesten Plattformen für die schädlichen Bots, doch für rund 28 % aller Bad-Bot-Anfragen waren 2020 mobile Clients (z. B. Mobile Safari und Mobile Chrome) verantwortlich. Dabei fällt auf, dass Bad-Bots oftmals aus dem Land stammen, auf das sie auch abzielen. Deutschland ist dabei überdurchschnittlich oft betroffen – mit rund 39,6 % Bad-Bot-Anteil am gesamten Internetverkehr liegen wir weltweit über dem Durchschnitt von rund 27,7 %. Und auch weitere Länder sind vergleichsweise oft von Bad-Bot-Angriffen betroffen, darunter etwa

  • Singapur (39,1 %)
  • Kanada (30,2 %)
  • die USA (29,1 %) und
  • das Vereinigte Königreich (29,7 %).

Fraud ist vielschichtig – Vom Abgreifen persönlicher Daten bis hin zur Wahlbeeinflussung

Web Scraping, Data Mining von Wettbewerbern, Sammeln von finanziellen oder persönlichen Daten, digitaler Anzeigenbetrug, Spam, Transaktionsbetrug oder Brute-Force-Login – so vielfältig die Ziele der Bad-Bots, so vielfältig auch ihre Betrugsmaschen. Doch nicht nur Unternehmen und Einzelpersonen sind von den schädlichen Bots betroffen, auch stehen diese im Verdacht, Wahlergebnisse zu manipulieren. So zeigte etwa eine Untersuchung, dass der Bad-Bot-Verkehr auf den Regierungswebseiten der United States of America bei den letzten Wahlen von Februar bis September ausgesprochen niedrig war, jedoch im November explosionsartig anstieg. Auch wenn die genauen Ziele und Identitäten der Angreifer nach wie vor unklar sind, so ist diese Entwicklung für die Demokratie dennoch nicht zu unterschätzen. Und auch das Credential Stuffing und Credential Cracking gehören zu den unheimlichsten Angriffen, mit denen Bad-Bots das Internet bombardieren. Daten des Imperva Research Labs bestätigen, dass rund ein Drittel aller Anmeldeversuche zurzeit durch bösartige Bots ausgeführt wird. Hierbei erhalten die Hacker jedoch nicht nur persönliche Daten der Kunden, sondern schaden auch gezielt der Reputation der Unternehmen.

Ad-Fraud: Werbetreibende sind vom Bot-Problem betroffen

Klar ist: In die Internetwerbung investiert heutzutage nahezu jedes Unternehmen. Rechnet man dabei die Budgets kleiner und mittelständischer Unternehmen sowie global agierender Konzerne zusammen, ergeben sich gigantische Summen in Milliardenhöhe, die natürlich auch Betrüger mit ihren Bad-Bots anlocken. Bereits seit einigen Jahren lässt sich in der Branche das Phänomen Ad-Fraud beobachten – ein Phänomen, das Unternehmen vor große Probleme stellt. Denn dieser gezielte Non-Human-Traffic unterbricht die Wertschöpfungskette, die durch die digitale Werbung eigentlich aufgebaut werden soll. Schließlich ist es das erklärte Ziel von Anzeigen und Bannern, potenzielle Interessenten anzusprechen und für dieses Branding bzw. den Klick auf die Anzeige investieren die Werbetreibenden Geld. Dadurch entstehen jedoch nicht nur dem Werbetreibenden teils hohe Unkosten, schließlich spricht er statt interessierter Käufer einen nicht-menschlichen Bot an, auch Publisher und Plattformbetreiber verlieren durch den Bad-Bot-Traffic wertvolle Werbekunden. Kurz gesagt: Der Werbetreibende hat Kosten, wird mit seinen Anzeigen und Bannern jedoch keine Erfolge erzielen.

Wie funktioniert Ad-Fraud?

Mit der fortschreitenden Digitalisierung und dem Erfolg der digitalen Werbung haben sich auch die Betrügereien im World Wide Web stetig weiterentwickelt. Für das aktuell weit verbreitete Ad-Fraud bedienen sich die Betrüger dabei verschiedener Hilfsmittel, darunter beispielsweise Ad-Stuffing, Klickroboter oder auch Klickfarmen. Der betrügerischen Kreativität sind dabei kaum Grenzen gesetzt. Zu den verbreitetsten Ad-Frau-Taktiken gehören dabei unter anderem:

  • Manuelle Klicks: Klicken, bis das Budget aufgebraucht ist und die Werbeanzeigen keinen echten Interessierten mehr angezeigt werden können – die manuellen Klicks sind quasi der Urvater des Ad-Fraud, finden jedoch heutzutage kaum mehr Verbreitung. Schließlich erfordert das manuelle Klicken auf Werbeanzeigen viel Zeit und ist ohne die Unterstützung von Freunden oder Bekannten auch wenig lukrativ.
  • Klickcenter: Professioneller kommen sogenannte Klickcenter, auch als Klickfarmen bekannt, daher. Hierunter versteht man echte Unternehmen mit Mitarbeitenden, die den ganzen Tag lang nichts anderes tun, als Werbeanzeigen zu klicken. Es ist also quasi eine Weiterentwicklung des manuellen Klickens und steigert die Effektivität des Betruges um ein Vielfaches.
  • Klickroboter: Wer sich die Arbeit des manuellen Klickens und die Kosten für die Mitarbeitenden eines Klickcenters sparen möchte, setzt wiederum einen Klickroboter ein. Dieser erledigt die Klicks automatisch und ist somit eine weitere Entwicklung des Ad-Fraud.
  • Bots: Besonders heimtückisch präsentieren sich wiederum sogenannte Botnetze, denn diese machen auch Unbeteiligte zu Mittätern, indem sie eine Schadsoftware auf einem Server oder Endgerät wie Computer oder Mobiltelefon platzieren und so vollkommen unbemerkt Klicks generieren. In der Regel erfolgen diese dabei von verschiedenen IP-Adressen aus, sodass sich der Betrug kaum oder nur sehr schwer nachweisen und nachverfolgen lässt.
  • Ad-Stuffing: Ebenfalls betrügerisch: das sogenannte Ad-Stuffing. Hierbei werden die Werbeanzeigen zwar vom Publisher eingebaut und auch ausgespielt – allerdings so, dass die User sie gar nicht sehen können, da sie sich an nicht einsehbaren Stellen der Webseite befinden oder einfach viele verschiedene Banner übereinandergelegt werden. Auch hier haben Interessierte also gar nicht die Möglichkeit, die Werbeangebote im Sinne des Werbetreibers zu nutzen und in Anspruch zu nehmen.

Wie Sie sich vor Ad-Fraud schützen können

Auch wenn die Aussichten bei den betrügerischen Möglichkeiten nicht gerade rosig sind – es gibt durchaus Möglichkeiten, sich vor Ad-Fraud zu schützen und sicherzustellen, dass die eigenen Werbebudgets sinnvoll, also für echten, menschlichen Traffic, eingesetzt werden. So finden sich zwischenzeitlich auf nahezu allen bekannten Werbeplattformen hochentwickelte Technologien, die den Bot-Einsatz verhindern sollen. Google setzt dazu beispielsweise auf einen Online-Filter, der Werbeanzeigen-Klicks automatisch prüft. Stimmen dabei Daten wie Zeit, IP-Adresse oder Datum nicht überein, fängt der Filter den Klick ab und leitet den Verdachtsfall an einen Mitarbeiter weiter. Zudem ist es möglich, auch selbst verdächtige Aktivitäten bei Google zu melden und so dazu beizutragen, das Bad-Bot-Problem einzudämmen. Entsprechende Verdachtsfälle können unter folgendem Formular eingereicht werden: https://support.google.com/google-ads/contact/click_quality

Ad-Fraud mithilfe von Analytics erkennen

Doch wie erkennen Sie überhaupt, ob Ihre Anzeigen ggf. von nicht-menschlichen Bots geklickt und Ihre Werbekosten damit ins Leere laufen? Teure Spezialprogramme sind hierzu in der Regel nicht von Nöten, vielmehr lässt sich der Verdacht auch mithilfe von kostenfreien Tools wie Google Analytics fundieren. Denn zeigt sich trotz vieler Klicks auf Anzeigen oder Werbebanner kein Anstieg der Besucherzahlen auf der Webseite oder im Shop, sind hier wahrscheinlich schädliche Bots am Werk. Auch eine nicht proportional zu den Klicks steigende Conversion-Rate kann ein Hinweis auf Ad-Fraud sein.In den Reportings der Vermarkter können zudem ungewöhnlich hohe Klickraten von mehr als 25% darauf hinweisen, dass Ihre Werbemittel bewusst so platziert werden, um Werbeklicks zu generieren. Dies ist ebenfalls nicht nachhaltig für Sie und sie sollten es unterbinden in dem Sie diese Quellen ausschliessen.

Kim Labs filtert 10,5% Ad-Fraud für Kunden aus.

Dass sich nähere Untersuchungen des Ad-Fraud-Traffics und eine gezielte Bekämpfung des non-human Traffics lohnen, zeigen auch die analysierten Projekte im Bereich Suchmaschinenmarketing, die bei der Kim Labs GmbH mit Fraud Protection überwacht werden. 2022 wurde bei einer Vielzahl von Kunden Fraud-Traffic nachgewiesen und herausgefiltert. Der Anteil an Fraud Traffic lag je nach Branche bei 15%, 26 % und im Höchstfall bei 38%. Nahezu jeder vierte Klick erfolgte also nicht aus menschlicher Hand, sondern durch einen schädlichen Bot!

Fraud Protection Musterreporting

Im 4. Quartal wurde bei einer Auswertung von über 170.000 Klicks 10,5% des Traffics als Fraud-Traffic erkannt und ausgefiltert. Die IP-Adressen der verdächtigen Zugriffe wurden temporär gesperrt. Über 17.000 Klicks wurden in 3 Monaten als irrelevanter / nicht menschlicher Traffic identifiziert! Durch das Blocken der IP-Adressen ergab sich ein Saved Budget von über 15.000 € – wären die verdächtigen IP-Adressen nicht sofort beim ersten Klick blockiert worden, könnte der Betrag vermutlich noch deutlich höher liegen. Kim Labs setzt eine Fraud Protection Software bei 70 % der verwalteten Kundenbudgets ein – mit großem Erfolg. In 2022 lag der Gesamtwert an eingesparten Klicks bei über 75.000 €!

Sie interessieren sich für Ad-Fraud und Fraud Protection?

Wir beraten Sie persönlich rund um die Gefahren des Ad-Fraud und helfen Ihnen dabei, Ihr Werbebudget sinnvoll und effektiv mit Fraud Protection einzusetzen. Sprechen Sie mit Ihrem Budget potenzielle Kunden an, statt das Geld für non-human Traffic zu verschwenden!


Kontakt Anrufen