Lange Zeit war es ruhig um das Thema Spam Traffic in Google Analytics. Einerseits weil die von Google eingebauten Filter besser wurden – und zum anderen, weil jeder das Problem mit ein paar einfachen Filtern simpel selbst in den Griff bekommen konnte. Seit Anfang Februar 2021 ist das aber anders. Aktuell beobachten wir bei vielen Kunden wieder eine massive Spam-Traffic-Welle in Google Analytics, die anders ist als alles, was wir bis dato kannten und zu sprunghaften Anstiegen des Gesamt-Traffics führt. Das sieht dann beispielsweise so aus:

Spam Traffic bei Google Analytics
Direkt zur Problemlösung
Doch schauen wir uns erst die Grundlagen zum Thema an: Zunächst einmal klären wir die Frage, wie Spammer Traffic in Google Analytics-Konten bekommen können. Grundsätzlich gibt es dafür zwei Möglichkeiten:
  1. Webcrawler, die Websites mit Google Analytics-Trackingcodes besuchen
  2. Direkte Dateneinfügung in Google Analytics-Konten über das Measurement Protocol

Spamming von Google Analytics-Konten mit Webcrawlern

Webcrawler sind Bots, die automatisiert eine große Anzahl an Websites im Internet besuchen. Die meisten der Webcrawler haben dabei nützliche Funktionen. Die bekanntesten und wichtigsten Crawler sind die verschiedenen Googlebots, die alle auffindbaren Websites crawlen und es Google so ermöglichen, beinahe das gesamte Web zu indexieren. Derartige Besuche von Webcrawlern werden normalerweise nicht von Google Analytics erfasst, weil sich der Bot als Crawler und eben nicht als echter Nutzer ausgibt. So wird verhindert, dass jeder Besuch eines Crawlers fälschlicherweise als  neuer Seitenaufruf eines Nutzers reportet wird.

Nun war es in der Vergangenheit ein Weg der Spammer, mithilfe von Webcrawlern massenhaft Seitenbesuche zu simulieren, wodurch die Analytics-Reports verfälscht wurden. Spätestens seit der massenhaften Implementierung von Cookie-Bannern ist diese Variante aber nicht mehr so einfach umzusetzen, wie sie in der Theorie klingt.

Und sowieso: Warum so kompliziert, wenn es auch ganz einfach geht?

Spamming von Google Analytics-Konten über das Measurement Protocol

Google Analytics basiert seit der Einführung von Universal Analytics auf dem Measurement Protocol. Dieses ermöglicht eine einfache Integration verschiedener Systeme in Ihr Website-Tracking. Ein Beispiel für ein Tracking-Feature, das seit der Einführung des Measurement-Protokolls viel reibungsloser zu implementieren ist, ist das Telefonanruf-Tracking. Anruf-Tracking-Anbieter können nun Daten über eine einfache HTTP-Anfrage in Ihr Google Analytics-Konto einfügen. Diese können alle Dimensions- und Metrikdaten enthalten, die ein normaler Seitenaufruf oder ein Ereignis auf deiner Website enthalten würde.

Die Einführung des Measurement Protocol stellte damals zwar die mächtigste Neuerung von Universal Analytics dar. Gerade aktuell kann man aber auch sagen: Es ist gleichzeitig auch seine größte Schwachstelle. Das Problem: Jeder kann alles an Ihr Google Analytics Konto senden. Alles, was dafür benötigt wird, ist die jeweilige Tracking-ID.

Genau diese Schwachstelle ist es, die Spammer aktuell im großen Stil ausnutzen. Sie ist also der Grund dafür, warum unzählige Webmaster im Moment verwirrend hohe Zahlen in ihren Analytics-Accounts reportet bekommen.

Die meisten der Spam-Besuche, die Sie derzeit eventuell in Ihrem Google Analytics-Konto sehen, sind also gar nicht auf direkt auf Ihrer Website passiert. Jemand hat stattdessen einfach Daten über das Measurement Protocol durch eine einfache HTTP-Anfrage an Ihr Google Analytics-Konto gesendet. Diese Methode ermöglicht es den Spammern, jede Dimension oder Metrik zu manipulieren. Das wiederum ist auch der Grund dafür, dass Measurement Protocol-Spam nicht nur wie früher als Referral-Traffic, sondern beispielweise auch als organischer Traffic in den Reports auftauchen kann.

→ Wenn Sie mehr über das Measurement Protocol erfahren möchten, können Sie sich auch den Measurement Protocol Hit Builder von Google anschauen.

Warum ist dieser Spam schlimm – und was haben die Spammer davon?

An und für wirkt sich Google Analytics-Spam über das Measurement Protocol nicht direkt auf Ihre Seite aus. Im Gegensatz beispielsweise zu DDoS-Attacken gibt es auch keine Server-Überlastung oder Ähnliches. Nichtsdestotrotz verfälschen Spam-Attacken mithilfe des Measurement Protocol Ihre Daten in Google Analytics zum Teil gewaltig. So lassen sich eine Vergleichbarkeit der Daten sowie eine zuverlässige Leistungsmessung nicht mehr gewährleisten, was schlussendlich sauberes datenbasiertes Online Marketing verhindert.

Der Nutzen der Spammer ist derweil ein ganz simpler: Nutzer von Google Analytics wollen in der Regel, gerade bei sprunghaften Traffic-Anstiegen, wissen, woher der neue Traffic kommt. Daher besuchen Sie die als Traffic-Quelle in Analytics angegebenen URLs – und erzeugen so wiederum echten Traffic auf diesen Seiten. Auf diesen Seiten haben die Spammer dann wiederum einfach Anzeigen geschaltet, der ihnen pro Besuch ein klein wenig Geld einbringt. Alternativ werden dort auch – in der Regel sehr dubiose – Dienstleistungen angeboten.

Im Kleinen mag das so klingen, als sei es nicht lohnenswert. Wenn Sie aber bedenken, dass nicht nur Sie, sondern Tausende oder sogar Millionen von Analytics-Konten auf diese Art und Weise bei sehr geringem Aufwand vollgespammt werden können, dann verstehen Sie die Motivation der Spammer vielleicht schon eher.

Wie löse ich das Problem des Spams bei Google Analytics?

Nachdem nun klar ist, wie Spammer es schaffen, falsche Daten in Google Analytics-Konten zu schleusen, um damit echten Traffic auf ihre Websites zu bekommen, schauen wir uns im Folgenden verschiedene Lösungsmöglichkeiten für das Problem an.

Fangen wir damit an, welche gutgemeinten Ratschläge nicht funktionieren, um dem Measurement Protocol-Spam beizukommen:

Verwenden Sie auf gar keinen Fall Referral-Ausschlusslisten

Die Referral-Ausschlussliste oder auch Verweis-Ausschlussliste fand gemeinsam mit dem Measurement Protocol mit Universal Analytics Einzug in Google Analytics. Ihre Funktion besteht darin, zu verhindern, dass eine neue Sitzung beginnt, wenn Nutzer die getrackte Website verlassen, um eine Aktion auf einer anderen Domain auszuführen, von der sie wieder zurückgeschickt werden. Ein klassisches Beispiel dafür ist die kurzfristige Weiterleitung zu PayPal oder einem anderen Zahlungsabwickler.

Sie können also PayPal auf Ihre Referral-Ausschlussliste setzen, damit Nutzer, die von PayPal zurückkommen, nicht als neue Nutzer gewertet werden. Wenn Sie nun also versuchen, Spam-URLs auf die Referral-Ausschlussliste zu setzen, dann verhindert das nicht, dass der Besucher getrackt wird, weil Sie die Nutzer eben nicht zuvor von Ihrer Website dorthin geschickt haben und er nicht zurückkommt. Stattdessen wird der Besucher dann sogar als Direct Visit getrackt, was die Sache nur noch schlimmer macht.

Also: Finger weg von Referral-Ausschlusslisten zur Bekämpfung von Measurement Protocol-Spam!

Verwenden Sie keine Länderfilter zum Ausschließen von Spam Traffic

Auch die Verwendung von Länderfiltern wird gerne als Fix zur Problematik mit Spam bei Google Analytics vorgeschlagen. Der Gedanke dahinter: Der Spam Traffic kommt größtenteils aus bestimmten Ländern, aus denen sonst kaum oder gar kein Traffic auf der URL landet.

Länderfilter bringen aber sogar gleich zwei Probleme mit sich: Erstens kann es eben doch einmal vorkommen, dass jemand aus dem jeweilige Land auf Ihrer Website landet. Und zweitens kann Spam auch aus anderen Ländern kommen – auch aus Deutschland. Diese Lösung ist also im besten Fall kurzsichtig und im schlimmsten Fall tracken Sie tatsächliche Besucher nicht, Spam aber weiterhin.

Die bisherige Lösung: Verwendung eines Hostnamen-Filters

Eine Lösung, die bisher relativ gut funktioniert hat, ist die Verwendung eines Hostnamen-Filters für Google Analytics-Daten, der nur gültige Hostnamen einschließt. Diese Lösung hat eine Weile ganz gut funktioniert. Perfekt war sie aber nie – und sie birgt auch einige Risiken. Auf diesem Wege können Sie zwar den Großteil des Measurement Protocol-Spams eliminieren, da die Spammer, die Daten in Ihr Google Konto pushen, den Namen Ihrer Domain in der Regel nicht kennen. Sollte das jedoch der Fall sein, dann funktioniert die Lösung schon nicht mehr. Bislang generierten die Spammer nämlich Google Analytics Tracking-IDs nach dem Zufallsprinzip und verwendeten zufällige Hostnamen in ihren Treffern oder auch ihre eigenen Domains.

Seit spätestens Februar 2021 funktioniert auch diese Lösung offensichtlich nicht mehr. Bei unseren Kunden konnten wir beobachten, dass die Spammer dazugelernt haben und in der Regel korrekte Kombinationen aus Analytics-Property-ID und Hostname verwenden.

Die beste Lösung: Einen Spam-Filter mit dem Google Tag Manager einbinden

Kommen wir also endlich zu der einzigen Lösung, die aktuell wirklich sicher, zuverlässig und ohne ungewollte Nebeneffekte das neu aufgeflammte Problem des Spam Traffics in Google Analytics löst – zur Implementierung eines Spam-Filters mithilfe des Google Tag Managers.

Vorweg: Für diese Lösung benötigen Sie den Google Tag Manager, über den Sie Google Analytics eingebunden haben müssen. Sollten Sie den Google Tag Manager noch nicht verwenden und den Google Analytics Tracking Code direkt im Quellcode Ihrer Website platziert haben, dann sollten Sie das unabhängig von der Thematik des Measurement Protocol-Spams schnellstmöglich ändern, da Sie erst mit dem Tag Manager das Potenzial von Google Analytics wirklich ausschöpfen können.

Der Gedanke hinter dem Einrichten eines Measurement Protocol Spam Traffic-Filters ist, alle Hits, die Sie kontrollieren, eindeutig zu identifizieren und alle anderen Hits, die diese Identifikation nicht tragen, auszuschließen.

Dies können Sie erreichen, indem Sie in einer benutzerdefinierten Dimension allen Hits, die auf Ihrer Website stattfinden, einen bestimmten Wert mitgeben. Zu den Hits gehören Pageviews, Events, Transaktionen und alle anderen Interaktionen Ihres Tracking-Codes mit den Servern von Google Analytics.

Im Google Tag Manager fügen Sie diesen Wert, den Sie selbst definieren, einfach zu einer benutzerdefinierten Dimension in all Ihren Google Analytics Tags hinzu. Sie können sich diesen Wert als Passwort vorstellen, mithilfe dessen sich alle Hits ausweisen müssen.

Nun richten Sie diese benutzerdefinierte Dimension in Ihrem Google Analytics-Konto ein und erstellen einen Filter für die Datenansicht, mit der Sie arbeiten. Dieser darf nur Treffer enthalten, die den Wert tragen, den Sie in der von Ihnen definierten benutzerdefinierten Dimension festgelegt haben.

Im Ergebnis wird künftig kein Measurement Protocol-Spam mehr in Ihren Analytics-Daten auftauchen, da die Spammer – um bei der Analogie zu bleiben – ihren Spam ohne richtiges Passwort losschicken und somit von Google Analytics herausgefiltert werden.

Natürlich kann auch dieses Vorgehen irgendwann limitiert werden. Bis dahin scheint dies aber die beste Lösung in Anbetracht von Aufwand und Nutzen zu sein.

Klingt kompliziert? Dann lassen Sie es uns doch einmal einfach Schritt für Schritt durchgehen.

Einen Spam-Filter im Google Tag Manager Schritt für Schritt einrichten

Fügen Sie in Google Analytics zunächst eine neue benutzerdefinierte Dimension hinzu, die Sie beispielsweise „SpamFilterKey“ oder auch einfach „Passwort“ nennen können:

SpamFilterKey

Sobald Sie die benutzerdefinierte Dimension gespeichert haben, notieren Sie sich die Indexnummer, die Google Analytics ihr zugewiesen hat. Diese Nummer brauchen Sie im nächsten Schritt für den Google Tag Manager:

Wenn Sie im Google Tag Manager eine Google Analytics Einstellungsvariable verwenden, richten Sie nun eine benutzerdefinierte Dimension mit der notierten Indexnummer und einem von Ihnen gewählten „Passwort“ ein. Kopieren Sie dieses in Ihre Zwischenablage:

Passwort

Wenn Sie keine Google Analytics Einstellungsvariable verwenden, müssen Sie einfach nur sicherstellen, dass Sie diese benutzerdefinierte Dimension in jedem Google Analytics Tag einrichten, den Sie verwenden.

Im nächsten Schritt gehen Sie zurück zu Google Analytics und richten dort einen Filter für Ihre Datenansicht ein, der nur Treffer enthält, die den Wert des Dimensionswertes haben, den Sie in der soeben eingerichteten benutzerdefinierten Dimension in die Zwischenablage kopiert haben:

Et voilà! Sie – oder besser gesagt Ihre Daten in Google Analytics – sind nun vor Spam Traffic geschützt, der über das Measurement Protocol eingeschleust wird. Nur noch Treffer, die Ihr eingerichtetes „Passwort“ enthalten, können der gefilterten Datenansicht auftauchen.

Wichtiger Hinweis: Wenn Sie selbst das Measurement Protocol verwenden, um Daten für bestimmte Tracking-Funktionen wie z. B. das Telefonanruf-Tracking an Google Analytics zu pushen, müssen Sie sicherstellen, dass Sie den Identifikationswert auch in diese Treffer miteinbeziehen.

Wenn Sie noch Fragen zur Einrichtung haben, dann zögern Sie bitte nicht, einen Kommentar unter diesem Artikel zu hinterlassen oder uns über das Kontaktformular, per Mail oder telefonisch zu kontaktieren. Wir helfen Ihnen gerne!

Wobei können wir Ihnen helfen?

Fordern Sie jetzt Ihre kostenlose und unverbindliche Ersteinschätzung an

Jetzt Kontakt aufnehmen

Ähnliche Beiträge:

Google Ads & Google AnalyticsGoogle Ads & Google Analytics: Die Unterschiede im Ads-Tracking Microsoft AdvertisingMicrosoft Advertising aka Bing Ads – lohnt sich der Google-Konkurrent? Google Shopping einrichtenGoogle Shopping einrichten: So funktioniert es Schritt für Schritt Remarketing bei Google AdsRemarketing bei Google Ads – das müssen Sie wissen