Die Anatomie von Bot-Traffic: 4 Spezies und ihre Abwehr

„Bot-Traffic" ist nicht eine einzige Sache. Es gibt mindestens vier Hauptarten, die sich ähnlich verhalten, aber technologisch sehr unterschiedlich sind. Jede hat eigene Ökonomie, technische Signatur und Verteidigungsstrategie. Wir nehmen sie nacheinander durch.

Spezies 1: Datacenter-Bots

Was sie sind

Automatisierte Skripte aus IP-Pools von Cloud-Anbietern (AWS, Google Cloud, DigitalOcean, OVH, Hetzner). Sie betreiben Headless-Browser (Puppeteer, Playwright) und können Hunderte Anfragen pro Sekunde abfeuern.

Wer sie betreibt

Drei Gruppen: (1) Datenfirmen mit Content-Scraping (Klicks sind Beifang), (2) Monitoring-Tools, die Wettbewerber beobachten, (3) bösartige Akteure für direkten Wettbewerber-Betrug.

Erkennungsschwierigkeit: Gering

Datacenter-ASNs sind öffentlich. Über APIs wie ipinfo.io oder ipdata.co ist der Anbieter sofort sichtbar. Die Erkennung ist leicht; das Sperren aller Datacenter-IPs kann jedoch legitime Besucher betreffen (z. B. echte Nutzer hinter einem VPN).

Verteidigung

• Markieren Sie alle bekannten Datacenter-ASNs mit Risiko-Score +60
• Bei Datacenter-IP + Headless-Signatur automatisch blockieren
• VPN-Anbieter-IP-Pools getrennt behandeln (Nutzer-VPN kann legitim sein)
• Riskanteste ASNs in die Google-Ads-IP-Ausschlussliste schreiben

Spezies 2: Residential-Proxy-Netzwerke

Was sie sind

Bot-Traffic, der über echte Privat-IPs geroutet wird. Betreiber teilen IPs entweder bewusst (Verkauf von Proxy-Zugang) oder unbewusst (von Malware betroffene Geräte). Der Bot wirkt daher wie ein normales Türk-Telekom- oder Vodafone-IP.

Wer sie betreibt

Der Markt ist mit Anbietern wie Bright Data, Smartproxy, Oxylabs professionalisiert. Für Klickbetrug gemietete Proxy-Netzwerke zielen mit USD 500-5.000 pro Monat auf Werbetreibende und konzentrieren sich auf wettbewerbsintensive Branchen (Recht, Versicherung, Finanzen, E-Commerce).

Erkennungsschwierigkeit: Hoch

ASN-Daten helfen nicht (echte ISP-IP). Geo ist konsistent (Türkei → Istanbul). Die Erkennung stützt sich auf Verhaltenssignale und Frequenzmuster.

Verteidigung

• Anormale Klickfrequenz pro IP überwachen (5+ in einer Stunde)
• Geräte-Fingerprint-Wiederholung (gleicher Hash, andere IP)
• Null Maus-/Scroll-Verhalten + kurze Sitzungsdauer
• Bekannte Residential-Proxy-Listen abonnieren (bezahlte Threat-Intel-Feeds)
• TLS-Fingerprint (JA3-Hash) — die meisten Proxy-Netzwerke hinterlassen eine typische TLS-Signatur

Spezies 3: Click Farms — menschlich betrieben

Was sie sind

Operationen an günstigen Standorten (Bangladesch, Pakistan, Vietnam, Philippinen), wo echte Menschen Anzeigen von dutzenden Telefonen aus manuell klicken. Sie arbeiten zu USD 0,01-0,05 pro Klick und werden über Mikrojob-Plattformen organisiert.

Wer sie betreibt

Meist „Mehr-Traffic"-Anbieter. Manchmal nutzen aber auch Wettbewerber diesen Kanal — gezielt, um Zielkampagnen-Budget zu erschöpfen.

Erkennungsschwierigkeit: Mittel

Es gibt eine deutliche geografische Signatur: Klicks auf eine Türkei-Kampagne aus Bangladesch oder Pakistan sind fast immer Click Farms. Das Verhalten unterscheidet sich auch: echte Handbewegung (Maus, Scrollen) bei sehr kurzer Sitzungsdauer (3-7 Sekunden, ohne die Seite zu lesen).

Verteidigung

• Geo-Restriktion: Kampagne auf das Zielland sperren
• Zielsprache als einzige Option setzen (z. B. nur Türkisch)
• Außerlandes-IPs mit Sitzungsdauer unter 10 Sekunden automatisch markieren
• Mobile-ISP-/Prepaid-SIM-IP-Pools überwachen — Click Farms kommen meist von dort

Spezies 4: Manuelle Wettbewerberklicks

Was sie sind

Ein Mitarbeiter eines Wettbewerbers klickt absichtlich Ihre Anzeigen, um das Budget zu erschöpfen. Der geringste Volumen, aber heimtückischste Typ — einzelne Klicks sind nicht von echten Nutzern zu unterscheiden.

Erkennungsschwierigkeit: Sehr hoch

Ein einzelner Klick ist nicht beweisend. Mustererkennung hilft: Klickt ein Nutzer Ihre Anzeige in fünf Tagen einer Woche immer zu Bürozeiten ohne je zu konvertieren, ist das entweder ein Researcher oder ein Wettbewerber. 5+ Klicks in 7 Tagen aus derselben IP/demselben Geräte-Hash sind ein guter Schwellwert.

Verteidigung

• Frequenzgrenze: IPs mit 3+ Klicks in 7 Tagen markieren
• Geräte-Fingerprint-Persistenz: trotz IP-Wechsel bleibt der Browser-Fingerprint meist gleich
• IPs ausschließen, die nur in Bürozeiten aktiv sind und nie konvertieren
• Geografisch IPs nahe dem bekannten Wettbewerberstandort separat überwachen

Welche Spezies trifft Sie am meisten?

Die Verteilung schwankt stark je Branche. Recht und Versicherung sehen einen hohen Anteil manueller Wettbewerberklicks. E-Commerce und Handel werden von Datacenter- und Residential-Proxy-Traffic dominiert. Mobile-App-Installationen werden von Click Farms bombardiert.

wall.click bewertet jeden Klick, welcher der vier Spezies er wahrscheinlich angehört. Sie sehen also nicht nur „blockiert", sondern auch „welche Angriffsart trifft Sie". So lässt sich die Kampagne strategisch neu strukturieren.