Klickbetrug mit 7 Signalen erkennen
Bot-Traffic und Klickbetrug werden immer raffinierter. Hier sind 7 technische Signale, mit denen echte Nutzer von gefälschten Sitzungen unterschieden werden — jedes mit einem praktischen Erkennungsansatz.
Sie möchten glauben, dass jeder Klick auf Ihre Google-Ads-Kampagne von einem echten Interessenten stammt. Die Realität: laut Branchendurchschnitt werden 14 % bis 35 % des PPC-Traffics als ungültige Klicks eingestuft. Google fängt einen Teil mit seinen Filtern ab; der Rest wird abgerechnet — direkt aus Ihrem Budget.
Ein einzelnes Signal reicht nicht, um Fälschungen von echten Klicks zu trennen. Moderne Botnetze wechseln von Datacentern zu privaten IPs, ahmen Mausbewegungen nach und lösen sogar CAPTCHAs. Kein Bot ahmt jedoch alle Signale gleichzeitig perfekt nach. Eine Regel-Engine, die die folgenden sieben Signale gemeinsam bewertet, entscheidet zu über 95 % korrekt.
1. IP-Wiederholung und Frequenz
Mehrere Klicks auf dieselbe Anzeige von derselben IP innerhalb von 24 Stunden ist das älteste und immer noch stärkste Signal. Allein ist es nicht beweisend — ein Firmenbüro kann eine NAT-IP unter Hunderten Nutzern teilen — schlägt aber Alarm, wenn die Klicks pro IP das Fünffache des Kampagnendurchschnitts überschreiten.
In GA4 sehen Sie dieses Signal nicht direkt, weil Google die IP vor dem Endnutzer verbirgt. Sie brauchen einen serverseitigen Tracker (Snippet oder serverseitiges GTM), der in Ihre eigenen Logs schreibt. wall.click erledigt das und schiebt ungewöhnliche /24-Subnetze automatisch in die Google-Ads-IP-Ausschlussliste.
2. Datacenter-ASNs
Ein echter Nutzer klickt keine Anzeige aus einem IP-Block von AWS, Google Cloud, DigitalOcean, OVH oder Hetzner. Diese IPs gehören zu Datacenter-ASNs (Autonomous System Number) und sind fast immer ein Bot-Signal.
Schnelltest
Die ASN einer IP können Sie schnell über whois.arin.net oder ipinfo.io abfragen. Tauchen in der ASN-Beschreibung Wörter wie „Hosting", „Datacenter" oder „Cloud" auf, ist es fast sicher Bot-Traffic.
3. Headless-Browser- und Automatisierungs-Marker
Werkzeuge wie Puppeteer, Playwright oder Selenium steuern den Browser programmgesteuert. Sie hinterlassen Spuren: navigator.webdriver liefert true, window.chrome fehlt, einige Plugin-Aufzählungen sind leer, die Permissions-API verhält sich inkonsistent.
Moderne Bots versuchen, diese Marker zu verschleiern (z. B. mit puppeteer-stealth), aber alle Marker gleichzeitig perfekt zu imitieren ist nach wie vor schwierig. Zeigt eine Sitzung drei oder mehr Automatisierungs-Marker, geben Sie ihr einen hohen Risiko-Score.
4. Fehlendes Maus- und Scroll-Verhalten
Ein echter Mensch klickt die Anzeige, scrollt etwas, wartet mindestens eine Sekunde und erzeugt Mausbewegung. Ein Bot klickt meist und verschwindet sofort — Sitzungsdauer 0-2 Sekunden, kein Scrollen, keine Mausbewegung.
Dieses Signal alleine ist riskant; auch echte Nutzer klicken eine Anzeige und springen ab, wenn sie die falsche Seite erkennen. In Kombination mit einer Datacenter-IP oder Headless-Signatur wird es jedoch entscheidend.
5. Geografische Inkonsistenz
Zielt Ihre Kampagne nur auf Istanbul, kommen die Klicks aber aus Pakistan, Vietnam oder Brasilien, handelt es sich entweder um VPN-Bots oder Click-Farm-Traffic. Googles Sprach- und Standort-Targeting ist nicht perfekt — prüfen Sie unbedingt die Dimension „User Location" in Ihren Berichten.
Subtiler: Diskrepanz zwischen Browsersprache und Geostandort. Ein Gerät, das in der Türkei steht, aber mit vi-VN-Spracheinstellung kommt, ist mit hoher Wahrscheinlichkeit ein Bot auf einem Emulator oder Proxy.
6. Wiederholung von Gerätefingerabdrücken
Moderne Fingerprint-Bibliotheken (z. B. FingerprintJS) berechnen aus Canvas, Audiokontext, Schriftartenliste, Bildschirmauflösung und WebGL-Renderer einen einzigen Hash. Unter idealen Bedingungen ist dieser Hash pro Gerät einzigartig.
Wenn Botnetze ein virtuelles Maschinen-Image klonen und tausendfach starten, erzeugen alle Repliken denselben Fingerprint-Hash. Viele Klicks aus demselben Hash in kurzer Zeit bedeutet: ein Botnetz greift Sie aus unterschiedlichen IPs an.
7. Die Lücke zwischen Klick und Konversion
Das aufschlussreichste Signal zuletzt: Wenn Klicks aus einem bestimmten Kanal, Keyword oder einer bestimmten Stunde nahe null konvertieren, ist der Traffic entweder sehr schlecht oder gefälscht. Kampagnen, die zwischen 03:00 und 05:00 Uhr peaken, aber nie konvertieren, sind klassische Bot-Angriffssignaturen.
Wie überwachen Sie alle sieben selbst?
Jedes Signal manuell einzurichten dauert Wochen. wall.click sammelt diese Signale ab Snippet-Installation, berechnet einen Risiko-Score und schiebt riskante IPs direkt in die Google-Ads-IP-Ausschlussliste. Sie sehen außerdem, welches Signal jede Blockierung ausgelöst hat — keine Blackbox.
Praktischer Tipp: Wo anfangen?
Wenn Sie heute nur GA4 und Google Ads haben, sind zwei Dinge sofort möglich: (1) Halten Sie Ihre „Excluded IP addresses"-Liste aktuell — fügen Sie verdächtige /24-Blöcke hinzu. (2) Pausieren Sie Kampagnen, die nachts peaken, aber nicht konvertieren.
Diese manuellen Schritte erfassen 20-30 % des Problems. Für den Rest brauchen Sie eine Regel-Engine, die alle sieben Signale gleichzeitig beobachtet. wall.click zeigt Ihnen während der 14-tägigen kostenlosen Testphase Ihre echte Betrugsrate — keine Kreditkarte erforderlich.
Möchten Sie es in die Praxis umsetzen?
Testen Sie wall.click 7 Tage kostenlos auf Ihrer eigenen Seite
Keine Kreditkarte nötig. Sie sehen die echte Betrugsrate Ihrer Seite innerhalb der ersten Woche.
Jetzt starten
