Die Begriffe 'Werbebetrug' beziehungsweise 'Klickbetrug' bezeichnen einen Betrug bei dem es ausgenutzt wird, dass ein Großteil der Online-Werbeanzeigen nach Klicks vergütet werden. Bei allen Formen des Klickbetrugs werden über verschiedene Techniken Klicks erzeugt, um sich so einen finanziellen Vorteil zu verschaffen oder der Konkurrenz zu schaden.
Werbebetrug kann aus verschiedenen Motiven genutzt werden. Grundsätzlich können die Hintermänner dabei in zwei Gruppen unterteilt werden.
Klickbetrug um Einnahmen zu generieren
Das mit großem Abstand größte Volumen entfällt beim Werbebetrug auf Kriminelle, die auf eigens dafür erstellen Webseiten Werbeanzeigen schalten. Die künstlich erzeugen Klicks sorgen direkt dafür, dass der Betreiber der Webseite dafür eine Vergütung des Werbenetzwerks erhält. Je nach Thema der Webseite und der Werbung reichen Preis pro Klick von einem Cent bis zu hin zu einigen Euro.
Indirekt kann besonders bei thematisch eng eingegrenzten Themengebieten durch Klickbetrug auch der Klickpreis auf anderen Seiten gesteigert werden. Sollte beispielsweise ein Betrüger auf Seite A künstliche Klicks auf Werbung erzeugen, registriert dies das Werbenetzwerk und passt aufgrund des gestiegenen Interesses auch auf Seite B und C die Preise an. Es erhalten in diesem Fall alle Personen die Werbung in diesem Bereich ausspielen höhere Einnahmen auch dann, wenn sie selbst mit dem Werbebetrug nichts zu tun hatten.
Klickbetrug um der Konkurrenz zu schaden
Ein kleiner Teil des Klickbetrugs erfolgt, um der Konkurrenz zu schaden. Die verantwortlichen Betrüger erzielen in diesem Fall keine direkten Einnahmen, können so aber langfristig einen Vorteil gegenüber ihrer Konkurrenz erlangen.
Das Erzeugen von künstlichen Klicks auf die Werbeanzeigen von Konkurrenten wird ausfolgenden Gründen genutzt:
Besonders bei kleineren Unternehmen kann Klickbetrug auch nach kurzer Zeit einen hohen wirtschaftlichen Schaden verursachen der die Existenz des Unternehmens bedrohen kann. Eine Analyse von searchmetrics des deutschen Marktes zeigt, dass einzelne Klicks bei Google Adwords mehr als 50 Euro kosten können.
Die rechtliche Situation ist laut Rechtsanwalt und Strafverteidiger Mirko Laudon in Deutschland eindeutig.
Nach § 4 Nr. 4 UWG handelt es sich bei Klickbetrug auf die Anzeigen der Konkurrenz um eine wettbewerbsrechtlich verbotenen Behinderung, die nach § 826 BGB einen Schadensersatzanspruch zur Folge hat. Außerdem handelt es sich bei Klickbetrug in den meisten Fällen durch die Automatisierung mithilfe spezieller Software und der Unterstützung durch Botnetze nach § 263a StGB zusätzlich um eine Form des Computerbetrugs.
Auch das Landgericht Frankfurt (Oder) hat in einem Urteil (12 O 294/04) ähnlich entschieden und einer Klägerin Schadensersatz in Höhe von 10.448,69 Euro zugesprochen, die sie zuvor für künstlich erzeugte Klicks auf ihre Werbemittel bezahlt hatte.
Problematisch ist in Deutschland daher nicht die rechtliche Situation an sich, die die Opfer von Klickbetrug ausreichend schützt, sondern die schwere Beweisbarkeit der Tat, die nur mithilfe der Werbenetzwerke erfolgen kann.
In der Praxis kann beispielsweise eine deutliche Verteuerung der geschalteten Werbung bei gleichzeitig stagnierenden Verkäufen als erstes Indiz vor Gericht genutzt werden, um Klickbetrug nachzuweisen. Dies kann zwar noch nicht bei der Ergreifung des eigentlichen Täters helfen, möglicherweise kann so aber die Bezahlung der betrügerischen Klicks an das Werbenetzwerk gestoppt werden.
Die Folgen von Klick-Betrug auf die Werbewirtschaft und die Kunden sind nur schwer finanziell bezifferbar. Massiv geschädigt werden Kunden, die für Werbung bezahlen, ohne dafür eine entsprechende Gegenleistung in Form neuer Kunden zu erhalten.
Auch die Werbenetzwerke wie Google Adwords, Bing Ads und Facebook Ads erleiden durch Klickbetrug einen hohen Schaden, auch wenn sie auf den ersten Blick durch die zusätzlich angeklickten und abgerechneten Werbeanzeigen am Geschäft der Betrüger mitverdienen. Langfristig ist es jedoch so, dass Kunden die von Werbebetrug betroffen sind weniger oder keine Werbung mehr buchen oder auf andere Werbeformen wechseln und damit auch die Einnahmen der Werbenetzwerke sinken.
Bei kleineren Klickbetrugsfällen, die vor allem genutzt werden um der Konkurrenz zu schaden, reichen bereits geringe technische Kenntnisse aus, um diese manuell auszuführen. Große organisierte "Banden", die mit Klickbetrug Millionen verdienen setzen hingegen auf komplexe automatisierte Systeme.
Laut einer Studie aus dem Jahr 2017 die Google in Kooperation mit der New York Times, der Washington Post und dem Business Insider durchgeführt hat, haben Werbebetrüger in nur einem Jahr etwa 1,27 Milliarden Dollar verdient. Andere Studien gehen von noch größeren Summen aus, die in die Taschen der Betrüger wandern. Das Sicherheitsunternehmen WhiteOps geht zum Beispiel von 7,2 Milliarden Dollar aus, die 2016 an Klickbetrüger ausgezahlt wurden.
Interessante Statistiken und Fakten zum Thema Klickbetrug hat auch das Unternehmen PPC Protect zusammengestellt.
Hyphbot nutzt 34.000 Webseiten
Das dänische Werbeunternehmen Adform hat im November 2017 ein Botnetz entdeckt, das laut ihrer Untersuchung 34.000 Webseiten genutzt hat, um dort Werbeanzeigen zu klicken. Die Aufrufe der Werbung erfolgten dabei über Computer, die die Hintermänner mit einem Bot infiziert und kontrolliert haben. Die Untersuchung zeigte, dass die Bots nur ausschließlich die Webseiten der Betrüger besucht haben, sondern dass das Surfverhalten auf normale Webseiten beinhaltete. Das gigantische Botnetz soll allein in den USA mehr als 500.000 Rechner umfasst haben.
Es konnten so pro Tag 400 Millionen bis 1,5 Milliarden Aufrufe erzeugt werden. Die Einnahmen der Betrüger lagen so bei etwa 500.000 Dollar pro Tag.
Methbot guckt den ganzen Tag Videos
Eine andere Form des Werbebetrugs haben die Sicherheitsexperten von WhiteOps Ende 2016 aufgedeckt. Die technische Komplexität des Methbot überraschte dabei selbst erfahrene Experten.
Die Betrüger registrierten anfangs rund 500.000 IP-Adressen, in dem sie sich als Internetprovider ausgaben. Dazu wurden gefälschte Dokumente genutzt. Die Kosten lagen dafür bei etwa 4 Millionen Dollar. Anschließend wurde diese IPs genutzt, um sie für die Bots der Betreiber einzusetzen. Da auf den ersten Blick die IPs zu großen Providern wie beispielsweise der Telekom gehörten, fällt es auf den ersten Blick nicht auf, dass es sich dabei nicht um normale Besucher gehandelt hat.
Die Bots wurden anschließend auf ebenfalls dafür angemieteten Servern installiert. Um sie wie reale Besucher erscheinen zu lassen, nutzen die Bots außerdem große Webseiten wie Facebook, Twitter und Co. Anschließend haben die Bots Webseiten besucht und dort Videos mit Werbung angeschaut, die sie in realistisch erscheinenden Abständen anklickten. Die Betrüger haben dafür circa 250.000 Webseiten betrieben.
Der eigentliche Klickbetrug lief ab, in dem ein Bot zum Beispiel cnn.com besucht hat und dort ein Video gestartet hat. Während das Video geladen wurde, hat innerhalb weniger Millisekunden die Software die geladene Werbung gegen eine Werbung ausgetauscht, die eigentlich auf einer der zahlreiche "Müll-Webseiten" der Betrüger ausgespielt werden sollte. Die Zwischenschaltung großer Webseiten hat zur Folge, dass die erzielten Preise aufgrund des besseren Rufs wesentlich höher waren.
Schätzungen gehen von bis zu 5 Millionen Dollar pro Tag aus, die so eingenommen werden konnten. Methbot soll von Anfang 2015 bis Ende 2016 aktiv. Wären die Betrüger nicht zu gierig geworden, wäre es möglich, dass das Botnetz auch jetzt noch aktiv wäre. Aufgefallen ist der gigantische Betrug nur, weil gegen Ende die Klicks zu stark angehoben wurden.
Aufgrund des ausufernden Klickbetrugs hat sich inzwischen eine Reihe von Dienstleistern entwickelt, die mit ihren Produkten die Folgen zumindest abmildern möchte. Auch die Werbenetzwerk selbst investieren ständig in neue Lösungen zur Verhinderung von Klickbetrug, um so das Vertrauen ihrer Kunden zu behalten und sich vor Klagen zu schützen.
Klickbetrug-Filter
Große Netzwerke wie Google Adwords verfügen eine gigantische Datenbasis, die dazu genutzt wird, Muster zu erstellen an denen sich Klickbetrug festmachen lässt. Bei einem Klick auf eine Werbeanzeige wird automatisch im Hintergrund überprüft ob die Kombination der verwendeten Hardware und Software, der Uhrzeit, die IP-Adresse und weitere Faktoren einen Klickbetrug wahrscheinlich machen. Sollte das System einen Betrug feststellen erfolgt im nächsten Schritt teilweise eine manuelle Überprüfung und der Klick wird dem Werbekunden nicht in Rechnung gestellt. Adwords-Nutzer die vermuten, dass Klickbetrug bei ihren Anzeigen erfolgt ist, können dies auch manuell an Google zu erneuten Überprüfung melden.
Big-Data und KI gegen Werbebetrug
Andere Anbieter wie Unbotify nutzen Algorithmen anhand denen analysiert werden soll, ob ein Bot oder eine reale Person eine Webseite besucht. Dazu wird beispielsweise das Klickverhalten, die Bewegung der Maus, die Nutzung des Smartphone-Touchscreens und der Tastatur analysiert, um Abweichungen zu entdecken, die auf eine Software hindeuten.