Klickbetrug & Co.
Abzocke mit Anzeigen

E-CommerceMarketingSicherheitSicherheitsmanagement

Betrugsraten in erschreckender Größenordnung erschüttern die glitzernde Welt der Online-Werbung von Google und Yahoo. Wer sich schützen will, muss zur Selbsthilfe greifen.

Google und Yahoo am Pranger

Klickbetrug & Co.

Eine spektakuläre Sammelklage gegen Google und andere Anzeigenvermarkter in den USA lenkt derzeit die Aufmerksamkeit auf ein Thema, das schon beinahe monströse Züge angenommen hat: Klickbetrug. Systematisch aufgebaute Netzwerke mit klaren Merkmalen organisierter Kriminalität verursachen dabei Schäden im mehrstelligen Millionenbereich. Im Vergleich ein harmloser Waisenknabe ist da der private Website-Betreiber, der hin und wieder auf Google-Adsense-Anzeigen der eigenen Seiten klickt, um die monatlichen Auszahlungen um ein paar Cent zu steigern.

In der aktuellen Sammelklage, die ursprünglich die kleine Firma Lane?s Gifts and Collectibles aus Arkansas gegen Google angestrengt hatte, verschickten amerikanische Anwälte im Mai massenhaft E-Mails an alle Google Adwords-Kunden, die möglicherweise im Jahr 2002 Opfer von Klickbetrug gewesen sein könnten. Insgesamt hat sich Google bereits verpflichtet, an die Kläger bis zu 90 Millionen Dollar als Entschädigung für Klickbetrug zu bezahlen – allein 33 Millionen davon werden wohl an die Anwälte gehen. Angesichts der Dimensionen, die Experten heute in Umfeld von Klickbetrug vermuten und teils auch beweisen können, ist das Jahr 2002 aber eigentlich schon längst langweiliger Schnee von gestern.

Nicht nur Google sieht sich dabei heftiger Kritik seiner Adwords-Kunden ausgesetzt. Auch andere Anzeigennetzwerk-Betreiber, allen voran Yahoo/Overture, müssen erklären, warum der Klickbetrug so enorme Ausmaße angenommen hat und warum sie so wenig dagegen unternehmen – Letzteres ist jedenfalls der Vorwurf der betroffenen Kunden.


Kreative Betrugsmethoden

Klickbetrug & Co.

Längst funktioniert Klickbetrug nicht mehr nur über vielfaches Anklicken von Werbebannern der Konkurrenz. Die Techniken sind deutlich ausgefeilter, und die Köpfe hinter den vielfältigen Betrugsmethoden verdienen auf gewisse Weise sogar Respekt für so viel Kreativität.

Der deutsche Anbieter für Besucher-Tracking, eTracker, hat kürzlich auf einem Kongress Zahlen genannt, aus denen sich die Dimensionen des Klickbetrugs auch für Deutschland abschätzen lassen. Dabei schnellen die Betrugsraten immer dann in die Höhe, wenn ein Preis von rund 1 Euro pro Ad-Klick überschritten ist. Im Bereich Versandhandel ermittelte eTracker beispielsweise Betrugsraten von durchschnittlich 11,6 Prozent, bei Reise & Touristik 9,5 Prozent und bei Banken & Versicherungen 4,1 Prozent. Spitzenwerte liegen bei 21 Prozent. Bis zu 21 Prozent aller Klicks auf Keyword-Ads in Suchmaschinen sind also betrügerischer Natur. Noch erschreckender sind die Zahlen auf Partnersites, beispielsweise im Google-Adsense-Programm: Dort beginnt die Betrugskurve schon bei Anzeigenpreisen von 50 Cent anzusteigen, durchschnittliche Betrugsraten um 20 Prozent sind normal, Spitzenwerte gehen bis 41 Prozent.


Der Toolbar-Trick

Klickbetrug & Co.

Spektakulär ist, was der amerikanische Spyware-Experte Benjamin Edelman auf seiner Website umfassend dokumentiert. Edelman hat sich auf Spyware spezialisiert und vor allem im Umfeld von Browser-Toolbars Unglaubliches aufgedeckt: Yahoo beispielsweise soll durch Untätigkeit bewusst in Kauf nehmen, dass Yahoo-Geschäftspartner indirekt beim Anzeigenbetrugsgeschäft mitkassieren. Edelman wirft den Anzeigennetz-Betreibern vor, ihre Geschäftspartner nicht konsequent genug zu überwachen und sich nicht von fragwürdigen Partnern zu trennen.

Das System der Betrüger ist etwas kompliziert, aber dafür offenbar umso effizienter: Da Yahoo nicht über ausreichend eigene Werbeplätze verfügt, um alle Anzeigen unterzubringen, reicht es Anzeigen an Geschäftspartner weiter, die ihrerseits die Platzierung der Anzeigen übernehmen. Soweit ist das völlig normal und unproblematisch. Kritisch wird es, wenn die Anzeigen erneut weitergereicht werden und letztlich nach mehreren Stationen bei unseriösen Vermarktern landen – nämlich bei Spammern und Spyware-Verbreitern.


Anzeige im Verborgenen

Klickbetrug & Co.

Im besten Fall werden die Anzeigen in thematisch völlig unpassendem Umfeld angezeigt, im schlechtesten Fall bekommen reale User die Anzeigen noch nicht einmal zu Gesicht. Abgerechnet wird trotzdem. Das Problem: Zwar werden die Anzeigen immer vom Yahoo-Adserver abgerufen, von dort aus ist aber die technisch mögliche Kontrolle über das Umfeld beschränkt. Und die Frage, ob die Anzeigen wirklich von einem realen Kunden betrachtet oder beispielsweise nur automatisch in einem versteckten Fenster angezeigt werden, lässt sich nicht beantworten.

Ben Edelman dokumentiert mehrere Fälle, in denen betrügerische Toolbars dazu benutzt wurden, Anzeigen lediglich versteckt darzustellen. Da die Toolbars, die Anzeigen aufrufen und sogar automatisch anklicken, bei realen Usern installiert sind, kann der Adserver keine ungewöhnlichen Traffic-Muster erkennen, was ein Indiz für Klickbetrug wäre. Um die Effizienz des Verfahrens noch zu steigern, installieren sich viele dieser fragwürdigen Toolbars in der Manier von Spyware einfach automatisch und gegen den Willen der User, zudem sind sie nur schwer wieder zu deinstallieren. Und die Opfer wissen in der Regel nichts von dem heimlichen Treiben dieser vermeintlich harmlosen Toolbars.


Affiliate-Hopping

Klickbetrug & Co.

Nicht viel feiner geht es im Umfeld von Affiliate-Programmen zur Sache. Die Partnerprogramm-Idee basiert darauf, dass viele thematisch passende Websites ein Produkt bewerben und bei Erfolg prozentual am Gewinn beteiligt werden. Häufiger Fall: Pay per Lead – wenn ein qualifizierter Kunde vermittelt wurde, der also beispielsweise einen Newsletter bestellt, seine Daten in einem Kontaktformular hinterlässt oder auch tatsächlich ein Produkt kauft.

Große Unternehmen bieten ihre Produkte über mehrere verschiedene Affiliate-Netzwerke an, beispielsweise Affilinet oder Zanox. Genau hier setzt ein Betrüger an: Er wird Mitglied in allen Affiliate-Netzwerken, in denen sein Opfer aktiv ist, und trickst etwas mit den Cookies, die für die Erfolgskontrolle eingesetzt werden. Klickt ein User jetzt auf die fragliche Anzeige, wird das nicht nur über eines, sondern gleich über mehrere Affiliate-Programme abgerechnet, der Betrüger kassiert mehrfach.

Auch für Pay-per-Lead-Modelle gibt es Tricks, um Mehrfachhonorierung zu erschleichen. Da die konkurrierenden Affiliate-Netzwerke keinen Datenabgleich vornehmen, ist diese Betrugsmethode zumindest aus Sicht der Netzwerke nicht feststellbar. Selbst bei Pay per Sale ist Betrug möglich: Der Betrüger klickt auf die Anzeige auf der eigenen Seite und bestellt teure Produkte beim Opfer. Für den vermittelten Verkauf wird er über das Affiliate-Programm honoriert. Kurz nach Bestellung storniert er die Bestellung dann. Wegen fehlender Datentransparenz bei den meisten Online-Shops ist diese Stornierung aber nicht mehr einem konkreten Affiliate-Vermittlungsvorgang zuzuordnen, weswegen die Rückbuchung des Vermittlungshonorars nicht den Betrüger allein, sondern pauschal und anteilig alle Partner des Affiliate-Netzwerks belastet.

Auf bis zu 20 Prozent zu hohe Provisionsausschüttungen beziffert eTracker den Schaden durch Affiliate-Hopping in Deutschland, in den USA liegt der Wert sogar bis zu 40 Prozent.


Abwehr ist möglich!

Klickbetrug & Co.

Diese Betrugsmethoden funktionieren deshalb so gut, weil jeder der Beteiligten nur über einen Teil der Daten eines Geschäftsprozesses verfügt und Datenabgleich über Unternehmen hinweg in der Regel schon am Datenschutz scheitern würde. Google, Yahoo & Co. versuchen zwar, verdächtige Klicks zu erkennen und zu filtern, stoche
rn dabei aber mangels aussagekräftiger Daten ziemlich im Nebel. Denn die Suchmaschinen erkennen nur die IP-Adresse des Klickers, können aber nicht das weitere Verhalten auf der Website des Opfers beobachten.

Wer von Google außerhalb der ohnehin automatisch stattfindenden Rückerstattung für Klickbetrug eine weitergehende Erstattung fordert, braucht dafür stichhaltige Beweise in Form von entsprechend aufbereiteten Traffic-Analysen. Zwar lassen sich mit klassischer Logfile-Analyse Klickbetrügereien über Indizien wie schlechte Konversionsraten, Abrechnungsschwankungen, Traffic-Spitzen zu unnormalen Uhrzeiten oder eine ungewöhnliche geografische Verteilung der Besucher grundsätzlich feststellen. Um die Ursache der Auffälligkeiten zu ermitteln, ist dann aber mühselige Handarbeit angesagt, etwa das vorübergehende Abschalten bestimmter Anzeigenkanäle.

Dienstleister wie eTracker gehen deshalb zunehmend dazu über, für ihre Kunden komplette Klickbetrugs-Berichte zu erstellen. Genaues User-Tracking auf der Website beziehungsweise im Online-Shop des Opfers schafft dabei ausreichend beweiskräftiges Datenmaterial, um Klickbetrug anhand von User-Verhaltensmustern mit hoher Wahrscheinlichkeit zu identifizieren.


Daten erfassen und zusammenführen

Klickbetrug & Co.

Präventiver Schutz vor Affiliate-Hopping ist kaum möglich, sehr wohl aber das Erkennen der Betrüger selbst. Entscheidend ist dafür aber, dass die intern vorhandenen Daten wie Logfiles oder Traffic-Analysen, Affiliate-Abrechnungen und Bestell- und Stornodaten zusammengeführt und gemeinsam ausgewertet werden. Dann lassen sich beispielsweise Zusammenhänge zwischen Affiliatenetz-Abrechnungen und stornierten Bestellungen feststellen und vor allem auf einen ganz konkreten, betrügerischen Affiliate herunterbrechen.

Beim Keyword-Advertising ist der Einsatz umfassender Tracking-Software wie beispielsweise eTracker lohnenswert, und selbst bei geringen Umsätzen amortisieren sich die Kosten dafür recht schnell. Wichtig ist, dass eine solche Lösung den Besucher komplett verfolgt. Dazu eignen sich insbesondere Landingpages, die ausschließlich für eine bestimmte Keyword-Kampagne aufgesetzt werden, so dass Besucher sofort dieser Kampagne zugeordnet und über ihren weiteren Klickpfad beispielsweise im Online-Shop verfolgt werden können. Ein klares Indiz für Klickbetrug ist dann beispielsweise ein gehäuftes Auftreten von Besuchern, die lediglich die Landingpage sehen und danach die Site sofort wieder verlassen. Tritt dies gehäuft bei Seiten für relativ teure Keywords auf, reichen diese Beweise aus, um vom Anzeigennetzwerk eine Rückerstattung zu fordern.

Beobachten Sie Klicks aus immer derselben IP-Adressen-Range, hilft schon ein einfaches Traceroute, um die Klicks beispielsweise auf einen Mitbewerber zurückzuführen. Page Impression Fraud dagegen ist mit eigenen Mitteln nicht zu bekämpfen, weil der Betrugsvorgang komplett außerhalb des eigenen Einflussbereichs stattfindet. Hier hilft nur Hoffen, dass Google und Yahoo auch im eigenen Interesse geeignete Erkennungsmechanismen einsetzen, um das Problem von sich aus zu beheben.


Lohnt sich Keyword Advertising?

Klickbetrug & Co.

Trotz der massiven Probleme durch die diversen Betrugsmuster betrachten Experten das Modell Keyword-Advertising keineswegs als gescheitert. Und in der Tat verfügt das System über einen gewissen Selbstregulierungsmechanismus: Die Kosten für Keywords regelt der Markt – wird dieses Anzeigenmodell zu teuer, weil der Betrug überhand nimmt, ziehen sich Kunden in andere Bereiche zurück und die Preise fallen wieder.

Allerdings gilt das nur dann, wenn die Kunden ihre Umsätze und Werbemaßnahmen intensiv beobachten und tracken, um festzustellen, wenn bestimmte Werbeformen zu teuer werden. Ohne einen gewissen technischen und organisatorischen Aufwand ist das nicht zu realisieren. Wer aber nicht den kompletten Überblick hat, zahlt am Ende wirklich drauf. Keyword-Advertising und Affiliate-Marketing rechnet sich also nur, wenn man über die nötigen Controlling-Tools verfügt – zumindest in den Branchen und Keyword-Gruppen, die wegen relativ hoher Preise betrugsanfällig sind.