Ad Fraud verursacht Millionenschäden

Kürzlich griff der Sicherheitsdienst von Apple zu: Er warf alle Apps einer indischen Firma aus dem Store, nachdem er festgestellt hatte, dass sie für Klickbetrug eingesetzt wurden. Es waren auf den ersten Blick harmlose Programme wie ein GPS-Tachometer, eine Radio-App oder ein Video-Bearbeitungs-Tool. Doch vom Nutzer unbemerkt öffneten die Apps im Hintergrund andere Webseiten und klickten Links und Werbebanner an.

Ad Fraud, Werbebetrug im Internet, ist weitverbreitet und zählt in Deutschland zu den größten Problemen der Werbungtreibenden. Die Vorgehensweise der Betrüger ist dabei unterschiedlich. Ein gängiges Szenario ist, dass Bots vortäuschen, sie ­wären ein menschlicher User, der diverse Websites ansurft. Damit wird das Interesse eines Werbungtreibenden geweckt, dessen Demand Side Platform (DSP) nun eine Werbebotschaft ausspielt. Meist landet diese dann auf einer gefakten Website, die von niemandem ­gesehen wird. Bezahlt werden muss sie trotzdem.

Dieses sogenannte Domain Spoofing ist nur einer von vielen Tricks. Zum Handwerkszeug der Betrüger zählen Techniken wie Hidden Ads, Pixel Stuffing oder Click Bots, die alle das Gleiche wollen: an einer Werbeauslieferung mitverdienen, ohne dafür irgendeinen Ge­gen­wert zu bieten. Denn der User, der sie angeblich zu sehen bekommt, existiert nicht. Dass Betrüger trotzdem abrechnen können, liegt an der automatisierten Werbeabwicklung und der intransparenten Media-Landschaft. Durch die oft sehr langen, verschachtelten Verwertungsketten lässt sich kaum mehr erkennen, wer ­eigentlich der originäre Anbieter des Werbeplatzes ist. „Das Risiko, erwischt zu werden, ist gering – das Geschäft für Betrüger dagegen sehr lukrativ“, sagt Oliver Hülse, Managing Director bei Integral Ad Science (IAS).

„Beim Ad Fraud lässt sich mit einfachen Mitteln eine ganze Menge Geld verdienen, und das ohne hohe Risiken“, bestätigt ­Philipp von Hilgers, Mitgründer und CEO des Validierungsdienstleisters Meetrics und im Digitalverband BVDW Vorsitzender der Fokusgruppe ­Digital Marketing Quality. „Manchmal ­simuliert eine ganze Armada von fern­gesteuerten Botnets, dass sie unterschiedliche Nutzer seien, und surfen Webseiten an, die aussehen wie normale Nachrichtenseiten, aber in Wahrheit Potemkinsche Dörfer sind.“ Diese Seiten werden dann im automatisierten Werbehandel zu ­attraktiven Preisen angeboten und tatsächlich gebucht.

Der entstandene Schaden geht in die Millionen. Im aktuellen „Digital Marketing Quality Report“ geht der BVDW davon aus, dass im Display-Bereich der „Invalid Traffic“ bei 4,2 Prozent liegt. Bei einem geschätzten Nettoumsatz von 3,6 Milliarden Euro (Online-Vermarkterkreis/Pro­gnose 2019) würde sich damit bei der Auslieferung von Display-Werbung ein Schaden von rund 150 Millionen Euro ergeben. Andere Marktteilnehmer gehen von noch größeren Summen aus. Genaue Zahlen existieren allerdings nicht. 

Der BVDW-Report basiert auf Angaben von Tech-Dienstleistern wie Meetrics oder IAS, die im Netz nach betrügerischen Bots suchen und diese eliminieren. Und deren Angaben variieren erheblich. Man weiß also nicht, wie mächtig der Feind eigentlich ist. „Alle messen nach ­unterschiedlichen, standardisierten Kriterien und kommen dadurch zu zum Teil sehr unterschiedlichen Ergebnissen“, beklagt Christine Diener, Leiterin Digital bei der OWM, dem Verband, der die Interessen der werbungtreibenden Unternehmen vertritt. Der Verband fordert deshalb eine einheitliche, repräsentative Messung für den deutschen Markt. 

Richtig kompliziert wird das Ganze durch die Tatsache, dass es auch „gut­artige“ Bots gibt, die ebenfalls für Traffic sorgen, aber keine betrügerischen Absichten hegen. Sie werden etwa für Forschung, Preisvergleiche oder Suchmaschinen-Listings ein­gesetzt. Auch diese Bots können Werbeauslieferungen auslösen.

Der BVDW setzt sich deshalb dafür ein, nicht alles als Ad Fraud, also als Betrug, zu bezeichnen. Betrügerische Maßnahmen fallen für ihn unter „Sophisticated ­Invalid Traffic (SIVT). Die Werbekon­takte, die von „gutartigen“ Bots aus­gelöst werden, bezeichnet der BVDW als „General Invalid Traffic (GIVT).

Wehren müssen sich die werbenden ­Unternehmen vor allem gegen den SIVT. Möglich ist dies durch „Ad Fraud Detection“-Tools oder Protection-Tools, die in der Auslieferungskette zwischengeschaltet werden. Viele dieser Tools sind in der ­Lage, Betrüger zu identifizieren, indem sie beispielsweise das Klickverhalten auf Webseiten analysieren und erkennen, wenn dieses nicht von einer von ­einem Menschen betätigten Maus stammt, und dann Alarm schlagen. Und dennoch können die Tech-Anbieter ihren Kunden keine hundertprozentige Sicherheit versprechen. „Eine Dunkelziffer wird es immer geben“, räumt Oliver Hülse ein. Aber man könne Ad Fraud mit geeigneten Maßnahmen auf 1 oder 0,5 Prozent drücken. 

Es bleibt also ein Katz-und-Maus-Spiel, ähnlich wie bei Virenscannern. Während die eine Seite ihre Schutzmaßnahmen verfeinert, arbeitet die andere Seite intensiv daran, diese umgehen zu können. „Kaum ist ein Betrugsmuster enttarnt und eliminiert, entsteht an anderer Stelle ein neues“, weiß Christine Diener.

„Die technischen Möglichkeiten werden raffinierter – aber auf beiden Seiten“, betont auch Hülse. „Wenn ein Betrüger gerade eine neue Ad-Fraud-Mechanik erfunden hat, jagt er diese durchs Netz. Die neue Betrugsart muss zunächst als solche erkannt werden, um wirkungsvolle Maßnahmen anzuwenden zu können. Ein Unternehmen, das in dieser kurzen Zeitspanne gerade Werbung schaltet, ist dann ein mögliches Opfer.“

Ad Fraud müsse daher so erschwert werden, dass es sich für die Hacker wirtschaftlich nicht mehr trägt, fordert Philipp von Hilgers. „Man muss dafür sorgen, dass sie auf ­ihrem Inventar sitzenbleiben. Der Aufwand muss so hoch sein, dass sie auch ­eine echte Website betreiben und deren Inventar vermarkten könnten.“

Dieses Szenario liegt allerdings noch in weiter Ferne, zumal mit der Zunahme von Programmatic Advertising der Werbehandel auch immer anfälliger für Betrug wird. „Früher arbeitete der Advertiser mit einer Handvoll Publishern zusammen, die er kannte“, erklärt Christine Diener. Mit der Verlagerung der digitalen Spendings in den automatisierten Werbehandel eröffneten sich Möglichkeiten zum Betrug. Diener: „Konkret ist in dem unübersichtlich gewordenen Inventarsystem und der Intransparenz im automatischen Inventarhandel Betrug sehr viel einfacher möglich als im klassischen Face-to-Face Business.“

Geschädigte gibt es in dieser Gemengelage gleich mehrere: erstens den Werbungtreibenden, der für Werbung bezahlt, die keiner zu ­sehen bekommt, zweitens den Vermarkter, der das Problem gern beseitigen würde, aber nicht wirklich dazu in der Lage ist, und drittens die User. „Diese wissen oft nicht, dass ihre Browser infiziert sind und im Hintergrund Webseiten laden, die für sie unsichtbar bleiben“, berichtet der auf Internetrecht spezialisierte Anwalt Michael Voltz.

Dennoch sehen die Werbungtreibenden vor allem die Anbieter von Werbeplätzen in der Pflicht. „Jeder Inventar-Anbieter ist aufgefordert, mit allen Mitteln konsequent gegen Ad Fraud vorzugehen und eine Null-Prozent-Ad-Fraud-Rate zumindest anzustreben“, fordert Christine Diener. Es könne schließlich nicht die Aufgabe der Werbungtreibenden sein, zu überprüfen, ob ihre Werbung auch an echte Menschen ausgespielt werde.

Allerdings gibt es auch Kampagnen, für die sich dieser Aufwand schlicht nicht lohnt: etwa wenn sie strikt Performance-orientiert ausgerichtet sind, im automatisierten Verfahren günstig Restplätze im großen Stil einkaufen oder einfach ein­kalkulieren, dass ein gewisser Prozentsatz ihres Etats irgendwo versickert. Ad Fraud wird hier gewissermaßen als Kollateralschaden einer aggressiven Werbestrategie toleriert.

Michael Voltz ist Rechtsanwalt in München und Spezialist für Internet-, Online-, IT- und Medienrecht. Er erläutert im Interview, was sich hinter Ad Fraud verbirgt, wer davon betroffen ist und was man aus juristischer Sicht tun kann.

Michael Voltz: Unter dem Begriff „Ad Fraud“ versteht man das betrügerische Vortäuschen einer nicht oder falsch erbrachten Werbeleistung, kurz Werbebetrug.

Hierbei gibt es verschiedene Methoden, beispielsweise das Vortäuschen von tatsächlich nicht erfolgten Werbe­einblendungen oder des händischen Anklickens einer auf Pay-per-Click gebuchten Werbung durch den Vermarkter selbst. Heute erfolgt diese Form des „Click Fraud“ durch programmierte Crawler oder Bots und sorgt damit für noch deutlich höhere Klickraten.

Voltz: Ziel des Ad Fraud ist es stets, das Werbebudget des Werbetreibenden abzuschöpfen. Betroffen sind ­somit in erster Linie die Werbetreibenden. Denn diesen wird ein an sich ungültiger Traffic vorgetäuscht, der dann zu entsprechenden Zahlungen führt. Betroffen sind aber auch die Nutzer. Denn diese wissen oft gar nicht, dass ihre Browser infiziert sind und im Hintergrund Webseiten laden, die für sie unsichtbar bleiben.

com! professional: Welche rechtlichen Maßnahmen können ergriffen werden?

Voltz: Wie überall, wo eigene Rechte verletzt sind, sollten Betroffene ­Beweise sichern, um ihre Schadensersatzansprüche gegen den Betrüger später durchsetzen zu können. Für die Durchsetzung zivilrechtlicher Ansprüche sind die
ordentlichen Gerichte ­zuständig, bis zu einem Schaden in Höhe von 5000 Euro die Amtsgerichte, darüber die Landgerichte. In strafrechtlicher Hinsicht ist die Erstattung eines Strafantrags erforderlich, um die Ermittlungen in Gang zu bringen.