07.02.2020
Werbebetrug
1. Teil: „Ad Fraud verursacht Millionenschäden“
Ad Fraud verursacht Millionenschäden
Autor: Helmut van Rinsum
Golden Sikorka / shutterstock.com
Werbende Unternehmen sind regelmäßig von Werbebetrug betroffen. Das ist nicht nur lästig, sondern kann unter Umständen auch ziemlich teuer werden.
Apple zu: Er warf alle Apps einer indischen Firma aus dem Store, nachdem er festgestellt hatte, dass sie für Klickbetrug eingesetzt wurden. Es waren auf den ersten Blick harmlose Programme wie ein GPS-Tachometer, eine Radio-App oder ein Video-Bearbeitungs-Tool. Doch vom Nutzer unbemerkt öffneten die Apps im Hintergrund andere Webseiten und klickten Links und Werbebanner an.
Kürzlich griff der Sicherheitsdienst von Bots täuschen Mensch vor
Ad Fraud, Werbebetrug im Internet, ist weitverbreitet und zählt in Deutschland zu den größten Problemen der Werbungtreibenden. Die Vorgehensweise der Betrüger ist dabei unterschiedlich. Ein gängiges Szenario ist, dass Bots vortäuschen, sie wären ein menschlicher User, der diverse Websites ansurft. Damit wird das Interesse eines Werbungtreibenden geweckt, dessen Demand Side Platform (DSP) nun eine Werbebotschaft ausspielt. Meist landet diese dann auf einer gefakten Website, die von niemandem gesehen wird. Bezahlt werden muss sie trotzdem.
Dieses sogenannte Domain Spoofing ist nur einer von vielen Tricks. Zum Handwerkszeug der Betrüger zählen Techniken wie Hidden Ads, Pixel Stuffing oder Click Bots, die alle das Gleiche wollen: an einer Werbeauslieferung mitverdienen, ohne dafür irgendeinen Gegenwert zu bieten. Denn der User, der sie angeblich zu sehen bekommt, existiert nicht. Dass Betrüger trotzdem abrechnen können, liegt an der automatisierten Werbeabwicklung und der intransparenten Media-Landschaft. Durch die oft sehr langen, verschachtelten Verwertungsketten lässt sich kaum mehr erkennen, wer eigentlich der originäre Anbieter des Werbeplatzes ist. „Das Risiko, erwischt zu werden, ist gering – das Geschäft für Betrüger dagegen sehr lukrativ“, sagt Oliver Hülse, Managing Director bei Integral Ad Science (IAS).
Potemkinsche Dörfer
„Beim Ad Fraud lässt sich mit einfachen Mitteln eine ganze Menge Geld verdienen, und das ohne hohe Risiken“, bestätigt Philipp von Hilgers, Mitgründer und CEO des Validierungsdienstleisters Meetrics und im Digitalverband BVDW Vorsitzender der Fokusgruppe Digital Marketing Quality. „Manchmal simuliert eine ganze Armada von ferngesteuerten Botnets, dass sie unterschiedliche Nutzer seien, und surfen Webseiten an, die aussehen wie normale Nachrichtenseiten, aber in Wahrheit Potemkinsche Dörfer sind.“ Diese Seiten werden dann im automatisierten Werbehandel zu attraktiven Preisen angeboten und tatsächlich gebucht.
Der entstandene Schaden geht in die Millionen. Im aktuellen „Digital Marketing Quality Report“ geht der BVDW davon aus, dass im Display-Bereich der „Invalid Traffic“ bei 4,2 Prozent liegt. Bei einem geschätzten Nettoumsatz von 3,6 Milliarden Euro (Online-Vermarkterkreis/Prognose 2019) würde sich damit bei der Auslieferung von Display-Werbung ein Schaden von rund 150 Millionen Euro ergeben. Andere Marktteilnehmer gehen von noch größeren Summen aus. Genaue Zahlen existieren allerdings nicht.
Der BVDW-Report basiert auf Angaben von Tech-Dienstleistern wie Meetrics oder IAS, die im Netz nach betrügerischen Bots suchen und diese eliminieren. Und deren Angaben variieren erheblich. Man weiß also nicht, wie mächtig der Feind eigentlich ist. „Alle messen nach unterschiedlichen, standardisierten Kriterien und kommen dadurch zu zum Teil sehr unterschiedlichen Ergebnissen“, beklagt Christine Diener, Leiterin Digital bei der OWM, dem Verband, der die Interessen der werbungtreibenden Unternehmen vertritt. Der Verband fordert deshalb eine einheitliche, repräsentative Messung für den deutschen Markt.
2. Teil: „Gutartige Bots“
Gutartige Bots
Der BVDW setzt sich deshalb dafür ein, nicht alles als Ad Fraud, also als Betrug, zu bezeichnen. Betrügerische Maßnahmen fallen für ihn unter „Sophisticated Invalid Traffic (SIVT). Die Werbekontakte, die von „gutartigen“ Bots ausgelöst werden, bezeichnet der BVDW als „General Invalid Traffic (GIVT).
Wehren müssen sich die werbenden Unternehmen vor allem gegen den SIVT. Möglich ist dies durch „Ad Fraud Detection“-Tools oder Protection-Tools, die in der Auslieferungskette zwischengeschaltet werden. Viele dieser Tools sind in der Lage, Betrüger zu identifizieren, indem sie beispielsweise das Klickverhalten auf Webseiten analysieren und erkennen, wenn dieses nicht von einer von einem Menschen betätigten Maus stammt, und dann Alarm schlagen. Und dennoch können die Tech-Anbieter ihren Kunden keine hundertprozentige Sicherheit versprechen. „Eine Dunkelziffer wird es immer geben“, räumt Oliver Hülse ein. Aber man könne Ad Fraud mit geeigneten Maßnahmen auf 1 oder 0,5 Prozent drücken.
Es bleibt also ein Katz-und-Maus-Spiel, ähnlich wie bei Virenscannern. Während die eine Seite ihre Schutzmaßnahmen verfeinert, arbeitet die andere Seite intensiv daran, diese umgehen zu können. „Kaum ist ein Betrugsmuster enttarnt und eliminiert, entsteht an anderer Stelle ein neues“, weiß Christine Diener.
„Die technischen Möglichkeiten werden raffinierter – aber auf beiden Seiten“, betont auch Hülse. „Wenn ein Betrüger gerade eine neue Ad-Fraud-Mechanik erfunden hat, jagt er diese durchs Netz. Die neue Betrugsart muss zunächst als solche erkannt werden, um wirkungsvolle Maßnahmen anzuwenden zu können. Ein Unternehmen, das in dieser kurzen Zeitspanne gerade Werbung schaltet, ist dann ein mögliches Opfer.“
Ad Fraud müsse daher so erschwert werden, dass es sich für die Hacker wirtschaftlich nicht mehr trägt, fordert Philipp von Hilgers. „Man muss dafür sorgen, dass sie auf ihrem Inventar sitzenbleiben. Der Aufwand muss so hoch sein, dass sie auch eine echte Website betreiben und deren Inventar vermarkten könnten.“
Dieses Szenario liegt allerdings noch in weiter Ferne, zumal mit der Zunahme von Programmatic Advertising der Werbehandel auch immer anfälliger für Betrug wird. „Früher arbeitete der Advertiser mit einer Handvoll Publishern zusammen, die er kannte“, erklärt Christine Diener. Mit der Verlagerung der digitalen Spendings in den automatisierten Werbehandel eröffneten sich Möglichkeiten zum Betrug. Diener: „Konkret ist in dem unübersichtlich gewordenen Inventarsystem und der Intransparenz im automatischen Inventarhandel Betrug sehr viel einfacher möglich als im klassischen Face-to-Face Business.“
Dreierlei Geschädigte
Geschädigte gibt es in dieser Gemengelage gleich mehrere: erstens den Werbungtreibenden, der für Werbung bezahlt, die keiner zu sehen bekommt, zweitens den Vermarkter, der das Problem gern beseitigen würde, aber nicht wirklich dazu in der Lage ist, und drittens die User. „Diese wissen oft nicht, dass ihre Browser infiziert sind und im Hintergrund Webseiten laden, die für sie unsichtbar bleiben“, berichtet der auf Internetrecht spezialisierte Anwalt Michael Voltz.
Dennoch sehen die Werbungtreibenden vor allem die Anbieter von Werbeplätzen in der Pflicht. „Jeder Inventar-Anbieter ist aufgefordert, mit allen Mitteln konsequent gegen Ad Fraud vorzugehen und eine Null-Prozent-Ad-Fraud-Rate zumindest anzustreben“, fordert Christine Diener. Es könne schließlich nicht die Aufgabe der Werbungtreibenden sein, zu überprüfen, ob ihre Werbung auch an echte Menschen ausgespielt werde.
Allerdings gibt es auch Kampagnen, für die sich dieser Aufwand schlicht nicht lohnt: etwa wenn sie strikt Performance-orientiert ausgerichtet sind, im automatisierten Verfahren günstig Restplätze im großen Stil einkaufen oder einfach einkalkulieren, dass ein gewisser Prozentsatz ihres Etats irgendwo versickert. Ad Fraud wird hier gewissermaßen als Kollateralschaden einer aggressiven Werbestrategie toleriert.
3. Teil: „Im Gespräch mit Michael Voltz, Rechtsanwalt“
Im Gespräch mit Michael Voltz, Rechtsanwalt
Internet-, Online-, IT- und Medienrecht. Er erläutert im Interview, was sich hinter Ad Fraud verbirgt, wer davon betroffen ist und was man aus juristischer Sicht tun kann.
Michael Voltz ist Rechtsanwalt in München und Spezialist für com! professional: Was wird unter Ad Fraud verstanden?
Michael Voltz: Unter dem Begriff „Ad Fraud“ versteht man das betrügerische Vortäuschen einer nicht oder falsch erbrachten Werbeleistung, kurz Werbebetrug.
Hierbei gibt es verschiedene Methoden, beispielsweise das Vortäuschen von tatsächlich nicht erfolgten Werbeeinblendungen oder des händischen Anklickens einer auf Pay-per-Click gebuchten Werbung durch den Vermarkter selbst. Heute erfolgt diese Form des „Click Fraud“ durch programmierte Crawler oder Bots und sorgt damit für noch deutlich höhere Klickraten.
com! professional: Wer ist davon betroffen?
Voltz: Ziel des Ad Fraud ist es stets, das Werbebudget des Werbetreibenden abzuschöpfen. Betroffen sind somit in erster Linie die Werbetreibenden. Denn diesen wird ein an sich ungültiger Traffic vorgetäuscht, der dann zu entsprechenden Zahlungen führt. Betroffen sind aber auch die Nutzer. Denn diese wissen oft gar nicht, dass ihre Browser infiziert sind und im Hintergrund Webseiten laden, die für sie unsichtbar bleiben.
com! professional: Welche rechtlichen Maßnahmen können ergriffen werden?
Voltz: Wie überall, wo eigene Rechte verletzt sind, sollten Betroffene Beweise sichern, um ihre Schadensersatzansprüche gegen den Betrüger später durchsetzen zu können. Für die Durchsetzung zivilrechtlicher Ansprüche sind die
ordentlichen Gerichte zuständig, bis zu einem Schaden in Höhe von 5000 Euro die Amtsgerichte, darüber die Landgerichte. In strafrechtlicher Hinsicht ist die Erstattung eines Strafantrags erforderlich, um die Ermittlungen in Gang zu bringen.
ordentlichen Gerichte zuständig, bis zu einem Schaden in Höhe von 5000 Euro die Amtsgerichte, darüber die Landgerichte. In strafrechtlicher Hinsicht ist die Erstattung eines Strafantrags erforderlich, um die Ermittlungen in Gang zu bringen.
Cyberbedrohungen überall
IT-Sicherheit unter der Lupe
Cybersecurity ist essentiell in der IT-Planung, doch Prioritätenkonflikte und die Vielfalt der Aufgaben limitieren oft die Umsetzung. Das größte Sicherheitsrisiko bleibt der Mensch.
>>
Glasfasernetz
GlobalConnect stellt B2C-Geschäft in Deutschland ein
Der Glasfaseranbieter GlobalConnect will sich in Deutschland künftig auf das B2B- und das Carrier-Geschäft konzentrieren und stoppt die Gewinnung von Privatkunden mit Internet- und Telefonanschlüssen.
>>
WebGPU
Sicherheitslücke in Browser-Schnittstelle erlaubt Rechnerzugriff via Grafikkarte
Forschende der TU Graz waren über die Browser-Schnittstelle WebGPU mit drei verschiedenen Seitenkanal-Angriffen auf Grafikkarten erfolgreich. Die Angriffe gingen schnell genug, um bei normalem Surfverhalten zu gelingen.
>>
Untersuchung
Amerikaner sehen KI als Risiko für Wahlen
Die Unterscheidung zwischen echten Infos und KI-Inhalten fällt vielen politisch interessierten US-Amerikanern schwer, wie eine Studie des Polarization Research Lab zeigt.
>>