Wie eine Branche gegen Ad Fraud kämpft

Vor einiger Zeit griff der Sicherheitsdienst von Apple zu: Er warf alle Apps einer indischen Firma aus dem Store, nachdem er festgestellt hatte, dass sie für Klickbetrug eingesetzt wurden. Es waren auf den ersten Blick harmlose Programme wie ein GPS-Tachometer, eine Radio-App oder ein Video-Bearbeitungstool. Doch vom Nutzer unbemerkt öffneten die Apps im Hintergrund andere Webseiten und klickten Links und Werbebanner an. 

Ad Fraud, Werbebetrug im Internet, ist weitverbreitet und zählt in Deutschland zu den größten Problemen der Werbungtreibenden. Die Vorgehensweise der Betrüger ist dabei unterschiedlich. Ein gängiges Szenario ist, dass Bots vortäuschen, sie ­wären ein menschlicher User, der diverse Websites ansurft. Damit weckt er das Interesse eines Werbungtreibenden, dessen DSP ihm nun eine Werbebotschaft ausspielt. Meist landet diese dann auf einer gefakten Website, die von niemandem ­gesehen wird. Bezahlt werden muss sie trotzdem.

Dieses "Domain Spoofing" ist nur einer von vielen Tricks. Zum Handwerkszeug der Betrüger zählen Techniken wie "Hidden Ads“, "Pixel Stuffing“ oder "Click Bots“, die alle das Gleiche wollen: an einer Werbeauslieferung mitverdienen, ohne dafür irgendeinen ­Gegenwert zu bieten. Denn der User, der sie angeblich zu sehen bekommt, existiert nicht.

Dass Betrüger trotzdem abrechnen können, liegt an der automatisierten Werbeabwicklung und der intransparenten Medialandschaft. Durch die oft sehr langen, verschachtelten Verwertungsketten lässt sich kaum mehr erkennen, wer ­eigentlich der originäre Anbieter des ­Werbeplatzes ist. "Das Risiko, erwischt zu werden, ist gering - das Geschäft für Betrüger dagegen sehr lukrativ“, sagt Oliver Hülse, Managing Director bei Integral Ad Science (IAS).

"Beim Ad Fraud lässt sich mit einfachen Mitteln eine ganze Menge Geld verdienen und das ohne hohe Risiken“, bestätigt ­Philipp von Hilgers, Mitgründer und CEO von Meetrics und im Digitalverband BVDW Vorsitzender der Fokusgruppe ­Digital Marketing Quality. "Manchmal ­simuliert eine ganze Armada von fern­gesteuerten Botnets, dass sie unterschiedliche Nutzer seien, und surfen Webseiten an, die aussehen wie normale Nachrichtenseiten, aber in Wahrheit Potemkinsche Dörfer sind."

Diese Seiten werden dann im automatisierten Werbehandel zu ­attraktiven Preisen angeboten und tatsächlich gebucht.

Der dadurch entstandene Schaden geht in die Millionen. Im aktuellen Digital Marketing Quality Report geht der BVDW davon aus, dass im Display-Bereich der "Invalid Traffic“ bei 4,2 Prozent liegt. Bei einem geschätzten Nettoumsatz von 3,6 Milliarden Euro (Online-Vermarkterkreis/Pro­gnose 2019) würde sich damit bei der Auslieferung von Display-Werbung ein Schaden von rund 150 Millionen Euro ergeben.

Andere Marktteilnehmer gehen von noch größeren Summen aus. Genaue Zahlen existieren allerdings nicht. Der BVDW-Report basiert auf Angaben von Tech-Dienstleistern wie Meetrics oder IAS, die im Netz nach betrügerischen Bots suchen und diese eliminieren. Und deren Angaben variieren erheblich. Man weiß also nicht, wie mächtig der Feind eigentlich ist. "Alle messen nach ­unterschiedlichen, nicht standardisierten Kriterien und kommen dadurch zu zum Teil sehr unterschiedlichen Ergebnissen", sagt Christine Diener, Leiterin Digital bei der OWM, dem Verband, der die Interessen der Werbung treibenden Unternehmen vertritt. Der Verband fordert deshalb eine einheitliche, repräsentative Messung für den deutschen Markt. 

Richtig kompliziert wird das Ganze durch die Tatsache, dass es auch "gut­artige“ Bots gibt, die ebenfalls für Traffic sorgen, aber keine betrügerischen Absichten hegen. Sie werden etwa für Forschung, Preisvergleiche oder Suchmaschinen-Listings ein­gesetzt. Auch diese Bots können Werbeauslieferungen auslösen. 

Der BVDW setzt sich deshalb dafür ein, nicht alles als "Ad Fraud“, also als Betrug, zu bezeichnen. Betrügerische Maßnahmen fallen für ihn unter "Sophisticated ­Invalid Traffic (SIVT). Die Werbekon­takte, die von "gutartigen“ Bots ausgelöst werden, bezeichnet der BVDW als "General Invalid Traffic (GIVT). 

Wehren müssen sich die werbenden ­Unternehmen vor allem gegen den SIVT. Möglich ist dies durch "Ad Fraud Detection"- oder Protection-Tools, die in der Auslieferungskette zwischengeschaltet werden. Viele dieser Tools sind in der ­Lage, Betrüger zu identifizieren, indem sie beispielsweise das Klickverhalten auf Webseiten analysieren und erkennen, wenn dieses nicht von einer von ­einem Menschen betätigten Maus stammt, und dann Alarm schlagen. Und dennoch können die Tech-Anbieter ihren Kunden keine hundertprozentige Sicherheit versprechen. "Eine Dunkelziffer wird es immer geben“, räumt Oliver Hülse ein. Aber man könne Ad Fraud mit geeigneten Maßnahmen auf ein oder auf 0,5 Prozent drücken.

Es bleibt also ein Katz-und-Maus-Spiel, ähnlich wie bei Virenscannern. Während die eine Seite ihre Schutzmaßnahmen verfeinert, arbeitet die andere Seite intensiv daran, diese umgehen zu können. "Kaum ist ein Betrugsmuster enttarnt und eliminiert, entsteht an anderer Stelle ein neues“, sagt Christine Diener.

"Die technischen Möglichkeiten werden raffinierter - aber auf beiden Seiten“, betont auch Hülse. „Wenn ein Betrüger gerade eine neue Ad-Fraud-Mechanik erfunden hat, jagt er diese durchs Netz. Die neue Betrugsart muss zunächst als solche erkannt werden, um wirkungsvolle Maßnahmen anzuwenden zu können. Ein Unternehmen, das in dieser kurzen Zeitspanne gerade Werbung schaltet, ist dann ein mögliches Opfer.“ Man müsse Ad Fraud deshalb so erschweren, dass es sich für die Hacker wirtschaftlich nicht mehr trägt, sagt Philipp von Hilgers. "Man muss dafür sorgen, dass sie auf ­ihrem Inventar sitzenbleiben. Der Aufwand muss so hoch sein, dass sie auch ­eine echte Website betreiben und deren Inventar vermarkten könnten.“

Dieses Szenario liegt allerdings noch in weiter Ferne, zumal mit der Zunahme von Programmatic Advertising der Werbehandel auch immer anfälliger für Betrug wird. "Früher arbeitete der Advertiser mit einer Handvoll Publishern zusammen, die er kannte“, erklärt Diener. Mit der Verlagerung der digitalen Spendings in den automatisierten Werbehandel eröffneten sich Möglichkeiten zum Betrug. Diener: "Konkret ist in dem unübersichtlich gewordenen Inventarsystem und der Intransparenz im automatischen Inventarhandel Betrug sehr viel einfacher möglich als im klassischen Face-to-Face Business.“ 

Geschädigte gibt es in der Gemengelage gleich mehrere. Erstens: den Werbungtreibenden, der für Werbung bezahlt, die keiner zu ­sehen bekommt. Zweitens: den Vermarkter, der das Problem gern beseitigen würde, aber nicht wirklich dazu in der Lage ist. Und drittens: die User. "Diese wissen oft gar nicht, dass ihre Browser infiziert sind und im Hintergrund Webseiten laden, die für sie unsichtbar bleiben“, sagt der auf Internet-Recht spezialisierte Anwalt Michael Voltz.

Dennoch sehen die Werbungtreibenden vor allem die Anbieter von Werbeplätzen in der Pflicht. "Jeder Inventaranbieter ist aufgefordert, mit allen Mitteln konsequent gegen Ad Fraud vorzugehen und eine Null-Prozent-Ad-Fraud-Rate zumindest anzustreben“, sagt Christine Diener. Es könne schließlich nicht die Aufgabe der Werbungtreibenden sein zu überprüfen, ob ihre Werbung auch an "echte“ Menschen ausgespielt werde.

Allerdings gibt es auch Kampagnen, für die sich dieser Aufwand schlicht nicht lohnt: etwa wenn sie strikt Performance-orientiert ausgerichtet sind, im automatisierten Verfahren günstig Restplätze im großen Stil einkaufen oder einfach ein­kalkulieren, dass ein gewisser Prozentsatz ihres Etats irgendwo versickert. Ad Fraud wird hier gewissermaßen als Kollateralschaden einer aggressiven Werbestrategie toleriert.