2018-12-13 7 Minuten

Wenn Marketingmanager verarscht werden. Der Betrug mit Online-Werbung.

Bin das nur ich, oder fragst du dich auch manchmal: wie sieht die Rechnung hinter dieser Trafik / Handyshop / Souvenirladen aus. Wie zur Hölle kann das funktionieren?

Ich persönlich stelle mir solche Fragen sehr oft. Deshalb liebe ich es, bei Spam hinter die Kulissen zu blicken. Aber man muss gar nicht so weit in die Cybercrime gehen, um ein Thema zu finden, wo eine Rechnung besonders gut aufgeht:

Im Online-Marketing.

Ich weiß, die Hälfte meiner Werbung ist hinausgeworfenes Geld. Ich weiß nur nicht, welche Hälfte.

– Henry Ford

Diesen Spruch kennt man als marketing-affiner Mensch sehr wahrscheinlich. Und hier liegt vielleicht auch der Grund, warum das Online-Marketing auf Facebook und Co. sich so großer Beliebtheit erfreut:

Endlich können wir genau sagen, welcher Euro welchen Effekt hat. Oder?

Nicht ganz.

Nicht nur gehen bis zu 70% des Werbebudgets an sogenannte Ad Tech-Firmen (die ganzen Tracker, die du z.B. mit Ghostery siehst), die das Targeting und Bidding dazwischen erledigen, darüber hinaus ist ein nicht unerheblicher Teil der resultierenden Klicks und Impressions (=Werbung wurde angezeigt) nicht einmal menschlich.

Richtig gelesen.

Es wird geschätzt, dass Ad Fraud (also Betrug mit Online-Werbung) bis zu 6,5 Milliarden Dollar Schaden pro Jahr verursacht.

Die Leidtragenden? Jeder, der Werbung schaltet.

Damit das Ganze jetzt nicht so abstrakt klingt, hier mal ein paar lose zusammengetragene Statistiken:

  • 50% aller Onlinewerbungen werden nie von Menschen gesehen (Google, 2014)
  • 25% des Budgets gehen an Bots (adage.com, 2015)
  • 8,3% aller Display Ad (Banner usw.) Impressions waren verfälscht (Integral Ad Science, 2016)
  • 1 von 5 Webseiten mit Werbung werden exklusiv von Bots besucht (The Verge, 2017)
  • Die Ad-Fraud-Operation namens Methbot hat pro Tag 3 bis 5 Millionen Dollar verdient

Warum Ad Fraud?

Sagen wir es so: weil eine Bank auszurauben zu viel Aufmerksamkeit erregt. Weil, wenn ich Kreditkartendaten stehle, die Bank irgendwann draufkommt. Weil „traditionelle“ Cybercrime auffällig ist.

Weil ich mit Ad Fraud jahrelang unentdeckt Geld absaugen kann, das niemandem fehlt.

Und weil das Onlinemarketing die perfekte undurchsichtige, von Buzzwords geprägte Welt ist.

Nehmen wir an, ich zahle einer Media-Agentur 1 Million Euro, um für mich Werbung zu schalten. Zurück kriege ich ein buntes Portfolio an Kennzahlen. Impressions, Klicks, CTR, Placements, was auch immer.

Das impliziert volle Transparenz, ich habe jedoch keine Chance nachzuvollziehen, ob Tante Mitzi tatsächlich vorm Rechner gesessen hat und meine Werbung klickte.

Aber solang die Zahlen gut sind, die ich nach oben reporten, kann ist alles prima.

In dieser Situation hat niemand das Interesse, transparent zu sein.

Die Player

Ich möchte hier keineswegs nur auf Media-Agenturen hinbashen. Das Ökosystem ist viel zu komplex, um einen einzelnen Schuldigen auszumachen.

Die Media-Agenturen sind ja auch nur Mittelsmann: sie buchen die Ads auf einer Plattform ein, schrauben ein wenig am Targeting und kopieren die zurückgemeldeten Zahlen dann in Reports.

Die Liste an involvierten Parteien ist lang:

  • Die Werbenden (das Unternehmen)
  • Die Media-Agentur (die die technischen Details der Kampagne handlen)
  • Demand Side Platforms (bieten die “Placements” – also wo die Werbung tatsächlich platziert wird und Targeting)
  • Supply Side Platform (haben die Plätze, auf denen Werbung geschalten werden kann sozusagen unter Vertrag)
  • Publishers (die tatsächlich dann eine Webseite betreiben)
  • Content Creators (z.B. die YouTuber, die die Videos produzieren)

Jedem Level ist hier eher egal, was die Ebene darunter macht. Solange das Geld fließt und die Zahlen stimmen.

So ein intransparentes Gewurschtel ist der Traum eines jeden Cyberkriminellen. Und die Möglichkeiten sind grenzenlos.

Das Geschäftsmodell

Jetzt ist Kreativität gefragt:

  • Bin ich ein YouTuber, kann ich mir Traffic kaufen, um mehr Geld durch Werbung zu verdienen
  • Bin ich ein Seitenbetreiber, kann ich Werbungen auf meiner Seite erlauben, und Traffic kaufen
  • Bin ich eine Media-Agentur und schaffe es nicht, das Budget auszuspielen, kann ich Klicks zukaufen
  • Bin ich ein Publisher, der die versprochenen Zahlen nicht liefern kann? Zukaufen.
  • Habe ich genügend Bots, kann ich selbst Trafficbroker werden:
  • Ich kann sogar in einem Land mit niedrigem Lohnniveau Leute bezahlen, um auf Werbung zu klicken (eine sogenannte Click farm):

Funktionieren kann das Ganze nur, wenn Bot-Traffic sehr billig ist (das ist er), wenn jeder einzelne Player zu wenig Ahnung oder Übersicht hat (das haben sie) oder einfach nicht hinterfragen, weil sie Geld verdienen wollen (das tun sie).

Puh, das Budget schaffen wir nicht auszuspielen. Vielleicht sollten wir da ein bisschen weniger reinstecken?

– Kein Werbetreibender, ever.

Der Ad-Fraud-Researcher Dr. Augustine Fou ging für seinen Report State of Digital Ad Fraud sogar so weit, selbst eine betrügerische Kampagne durchzurechnen. Mit einem bis zu 41-fachen Gewinn.

Wie kann man sich Bots vorstellen?

Ein Botnetz im klassischen Sinn ist ein Zusammenschluss an mehr oder weniger (eher mehr) illegal übernommenen Rechnern, Handys, Überwachungskameras, Zahnbürsten und was sonst noch so im Internet hängt.

Nicht anders in der Online-Werbung: ein Fake-Besuch auf einer Webseite ist nichts anderes als ein ferngesteuerter Aufruf einer Webseite. Und das passiert ohne das Wissen der Personen, die am Rechner sitzen.

Auf einem infizierten Rechner läuft im Hintergrund ein Browser, der für die Betreiber Geld verdient. Er besucht laufend die Fake-Seiten, simuliert laufend Klicks.

Und weil er wie ein guter Virus funktioniert und seinem Träger nicht schadet, bleibt er auch lange unentdeckt.

Wettrüsten

Natürlich ist die Branche schon auf das Problem aufmerksam geworden: sie liefert sich seit Jahren ein Wettrüsten, um diese betrügerischen Klicks auszusortieren.

Nur: Die Bösen können aus dem Vollen schöpfen. Sie können Menschen simulieren, in dem sie das Verhalten der ahnungslosen Tante Mitzi einfach kopieren. So kann das Ganze unter dem Radar bleiben.

Vom Location-Spoofing – damit es wirkt, als wäre der Traffic tatsächlich aus Österreich – und diversen anderen Taktiken aus dem Hacking will ich gar nicht anfangen.

Auf der einen Seite stehen also Organisationen, die sich eine eigene Forschung und Entwicklung leisten können, auf der anderen Seite die Werbetreibenden, die oft nicht einmal das Interesse haben, das Thema wirklich anzufassen.

Die Bösen gewinnen

Wie hoffnungslos die Situation ist, zeigt das Beispiel von JP Morgan.

Ich weiß nicht, ob du dich noch erinnern kannst, aber 2017 gab es die Diskussion, dass Werbungen z.B. auf Youtube neben terroristischen Videos aufgetaucht sind.

JP Morgan hatte ihre Werbungen zuvor auf rund 400.000 verschiedenen Webseiten laufen (quasi der Gießkannen-Ansatz, um so viel Reichweite wie möglich zu generieren). Aber nur 3 % davon resultierten in irgendeiner Aktivität, außer angezeigt zu werden.

Durch den Terror-Skandal haben sie dann die Zahl von 400.000 auf 5.000 menschlich überprüfte Webseiten reduziert. Also auf Whitelisting umgestellt.

Komischerweise: die Endergebnisse blieben gleich.

Und da diese Dinge meist pro angezeigter Werbung und nicht pro erzieltem Ergebnis abgerechnet werden, kann sich JP Morgan so viel Geld sparen.

Ich will gar nicht wissen, wie wenige Impressionen hier tatsächlich menschlicher Natur waren.

Was kann man tun?

  1. volle Transparenz von Agenturen verlangen. Ich will nicht nur wissen wie viel die Werbung ausgespielt wurde, ich will wissen wann (auf die Minute) und auf welcher Webseite.
    Sind in dieser Liste verdächtig viele Webseiten mit einer unseriösen Domain oder viele abstruse Android-Apps von denen man noch nie etwas gehört hat, sollte man tiefer in die Daten tauchen.
  2. Generell kommt man mit dem Hausverstand auch hier sehr weit. Wenn sich die Zahlen eines Dienstleisters überhaupt nicht mit den eigenen Zahlen in beispielsweise Google Analytics decken: nachforschen. Das kann zwar gute Gründe haben, aber Vorsicht ist geboten.
  3. Über einen Klick hinaus tracken. Wenn die Anzahl der Conversions gleich bleibt, obwohl ich viel mehr (oder weniger) Geld in die Werbung stecke, stimmt irgendetwas nicht.
  4. Nicht zu viel zahlen. Es gibt so etwas wie zu viel Budget. Hier gilt es, den sweet spot zwischen Conversions und Kosten zu finden.

Fazit

Der Goldrausch ist vorbei.

Ich persönlich war nie ein Fan von Banner- oder Videowerbung (wer ist das schon?), aber hier beißt sich das Online-Marketing schön langsam selbst in den Schwanz.

Und weil jeder in diesem Ökosystem Geld verdient, sagt auch niemand etwas dazu oder hat ernsthaftes Interesse, dieses Problem anzugehen.

Ich für meinen Teil habe mir gerade um 35 Dollar 5.000 Besucher für meinen Blog gekauft. Mal schauen, ob ich den Unterschied zu echtem Traffic herausfinden kann. Aber das ist ein Thema für einen anderen Artikel.

Von Hackern, Wordpress, SEO & Co

  • Wo kommt mein Spam her?
  • Wie leicht ist es, eine Wordpress Seite zu hacken?
  • Wie Umzugsfirmen ihre Gaunereien mit SEO umsetzen

...wöchentlich in deiner Inbox! 🚀

1 Kommentar

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.