Google Analytics Spam: Fake-Traffic und Referrer-Spam loswerden

Nicht jeder Traffic, der in Google Analytics ankommt, ist echter Traffic. Fake-Traffic und Referrer-Spam verfälschen eure Zugriffszahlen. Wie ihr ungebetene Gäste erkennt und mit welchen Filtern ihr den Spam in Google Analytics stoppen könnt, lest ihr im Post. Update: Ende Januar/Anfang Februar 2021 tauchte Traffic in unseren Konten auf, der verdächtig nach Spam aussah. Gab es das bei euch auch? Schreibt uns gerne einen Kommentar dazu!

Was ist Google Analytics Fake-Traffic?

Als Fake-Traffic werden solche Zugriffe bezeichnet, die in euren Analytics Daten erscheinen, die aber aus irgendeinem Grund nicht „echt“ sind, also nicht von einer Person stammen. Das kann sowohl technische Probleme als auch bewusste Täuschung als Ursache haben. Egal was die Ursache ist: Diese Zugriffe wollt ihr normalerweise nicht in euren Auswertungen haben, denn sie verfälschen Zugriffszahlen und verwässern somit die Aussagekraft.

Ghost-Traffic als Spam

Generiert jemand Zugriffe oder generell Einträge in euren Analytics Berichten, um auf Webseiten oder Services aufmerksam zu machen, ist das klassischer Spam – nur eben nicht per Email. Ghost Traffic deshalb, weil die Zugriffe häufig nicht wirklich auf euerer Seite entstehen, sondern direkt in euren GA Bericht geschleust werden.

Wie funktioniert Google Analytics Spam?

Das Analytics-Tracking Script auf eurer Seite ist lediglich ein Werkzeug, um alle Daten der Nutzer einzusammeln. Die eigentliche Datenübertragung passiert anschließend an einen Google-Server https://www.google-analytics.com durch eine bestimmte URL mit entsprechenden Parametern. Jeder Parameter steht für eine bestimmte Information, z.B. bedeutet aip=1, dass die IP-Anonymisierung aktiviert wurde. Der Haken an der Sache: Der Aufruf dieser URL ist nicht geschützt. Jeder kann sie direkt aufrufen und in die Parameter-Felder schreiben, was er oder sie möchte. Ein Script zu schreiben, das nacheinander eine Liste von Analytics Konto-Nummern durchgeht und an diese einen entsprechend vorbereiteten Aufruf sendet, ist keine unlösbare Aufgabe für einen Programmierer. Mit den „richtigen“ Parametern landen die gewünschten Einträge im Seiten-, Ereignis- oder vor allem im Verweis- und Kampagnen-Bericht.

Warum ausgerechnet im Verweis-Bericht?

Der Bericht Verweise zeigt in Analytics an, auf welcher Website Nutzer einen Link geklickt haben, um auf eure Website zu kommen. Der Browser übergibt diese Information netterweise im Referrer-Feld. Taucht in den Verweisen ein neuer Eintrag auf, von dem viele Nutzer kamen, schaut man nach, wo denn dieser tolle Link herkam und geht auf die URL.

Die Domain beherbergt lediglich eine Weiterleitung, die euch weiter zu einer Website führt, auf der man in diesem Fall genau solche gefakten Nutzerzugriffe kaufen kann. Um z.B. seine eigene Nutzer-Statistik aufzuhübschen, für Vorgesetzte, Investoren oder z.B. Kunden, die auf eurer Seite Werbung schalten.

Fake Zugriffe durch Bots, Crawler und Spider

Im Netz sind jede Menge Programme unterwegs, die Websites abrufen, kopieren oder durchforsten. Neben den bekannten Suchmaschinen wie Google gibt es tausende mehr oder weniger bekannte Programme, die eure Seiten untersuchen. Nicht jeder dieser Bots taucht in euren Nutzerberichten auf, dazu müssen sie die Tracking-Codes der Seite ausführen. Tun sie das allerdings, sind sie für Google Analytics zunächst kaum vom Browser eines echten Nutzers zu unterscheiden. Manche Bots lassen sich an ihrer Browserkennung identifizieren (im Bericht Zielgruppe > Technologie > Browser und Betriebssystem). Der Google-Crawler melden als Browserkennung z.B. „Googlebot“. Einige Bots werden sich allerdings als „normaler Nutzer“ tarnen und vorgeben, als Chrome, Firefox oder Edge auf die Seite zu kommen.

Was kann man gegen Fake-Traffic tun?

Mit ein paar Handgriffen könnt ihr euer Analytics-Konto eine Art Spam-Filter für Fake-Traffic einbauen. Wie bei Email-Spam gilt: Einen 100%-tigen Schutz gibt es nicht, aber 80% sind ja auch schon was.

Bots herausfiltern

Einige Bots, wie etwa den eigenen Googlebot, filtert Analytics immer heraus. Einen Teil weiterer Bots kann GA ebenfalls automatisch herausfiltern. Dazu setzt ihr in der Verwaltung der Datenansicht ein Häkchen bei der Option „Bots herausfiltern“ Die wichtige Einschränkung ist hier „bekannte Bots und Spider“, allerdings sind GA schon eine ganze Menge Programme und Crawler bekannt.

Hostname filtern

Bei jedem Zugriff übermittelt der Tracking-Code die Ursprungsdomain, auf der der Zugriff gemessen wird. Auf unserer Website enthält das Host-Feld z.B. auf jeder Seite den Wert www.luna-park.de. Bei Ghost-Spam, der über direkte Aufrufe in eure Property geschickt wird, ist dieses Feld nicht immer korrekt befüllt. Denn für diese Aufrufe wird häufig einfach nur eine Property-ID „geraten“ und dann dort ein Aufruf abgesetzt. Ein Prüfung, auf welcher Website sie tatsächlich verbaut ist, bleibt meistens aus. Im Screenshot seht ihr viele Aufrufe für die Domain webanalyse-news.de, auf der der Tracking-Code aber gar nicht verbaut ist. Mit einem Host-Filter könnt ihr solche unerwünschten Zugriffe von vorneherein abblocken. Dazu fügt ihr unter den Einstellungen der Datenansicht einen Filter von Typ Host hinzu, mit dem ihr nur Zugriffe von den Domain zulasst, von denen ihr Traffic erwartet. Im Beispiel seht ihr einen regulären Ausdruck: Es werden alle Domains zugelassen, die luna-park enthalten, also luna-park.de, luna-park.net, www.luna-park.de, usw. Außerdem werden noch Zugriffe mit usercontent im Hostnamen durchgelassen. Diese entstehen, wenn ein Nutzer eure Seite über den Google Cache aufruft. Denn auch dabei werden Tracking-Codes ausgeführt, allerdings kommen sie von einer anderen Domain, wie man im Screenshot sieht.

Referrer und Kampagnen filtern

Eine weitere Möglichkeit um Fake-Traffic einzuschränken, ist es verdächtige Verweise und Kampagnen komplett zu blockieren. Hierbei schließt ihr von vorneherein bestimmte Sessions aus. Dazu legt ihr einen Filter für das Feld Kampagnenquelle bzw. Verweis. Eine aktuelle Liste bzw. Vorlage für diese Filter findet ihr auf carloseo.com

Property-ID über 1 wählen

Bei der simpelsten Form dieses Traffic-Spams läuft ein Script eine Liste von Analytics-Konten ab und schickt Aufrufe dort hin. Dabei wird in jedem Fall die erste Property „bespielt“, da diese in den meisten Analytics-Konten vorhanden ist. Weitere Properties werden dagegen oft nicht berücksichtigt, weil sie eben oft gar nicht vorhanden sind. Wenn ihr für eure primäre Domain also eine Property mit einer „höheren“ ID nutzt, seid ihr zumindest diese einfachen Scripte schon mal los.

Zusätzliche Absicherung über den Google Tag Manager (fortgeschritten)

Nutzt ihr den Google Tag Manager, um auf eurer Site Tracking-Codes auszuspielen, könnt ihr darüber eine zusätzliche Absicherung einbauen. Legt dazu eine Benutzerdefinierte Dimension in eurer Analytics Property an. Anschließend fügt ihr in euren Tags im Google Tag Manager die Dimension hinzu und übergebt darin eine beliebige Zeichenkette. Es ist egal, was oder wie lang diese Zeichenkette ist. Zurück in der Analytics Verwaltung richtet ihr nun einen Filter in der Datenansicht ein, mit dem ihr nur noch Zugriffe durchlasst, die über diese Benutzerdefinierte Dimension verfügen. Damit lasst ihr jetzt nur noch Zugriffe durch, die von eurem Google Tag Manager Container ausgehen.

Wenn der Spam schon in Google Analytics gelandet ist?

Mithilfe von Analytics Segmenten könnt ihr unliebsamen Traffic anhand von Verweisen, Kampagnen, Seiten/Ereignisse oder vielen anderen Kriterien ausschließen. Allerdings sind diese Filterungen immer nur temporär und somit keine wirklich dauerhafte Lösung.

Was ist mit neuen Google Analytics 4 Properties?

Laut Google werden in Google Analytics 4 Properties Bot und Spider Zugriffe direkt gefiltert:

In Google Analytics 4 properties, traffic from bots and spiders is automatically excluded. This ensures that your Analytics data, to the extent possible, does not include events from known bots. At this time, you cannot disable bot traffic exclusion or see how much bot traffic was excluded. Bot traffic is identified using a combination of Google research and the International Spiders and Bots List, maintained by the Interactive Advertising Bureau. Quelle: https://support.google.com/analytics/answer/9888366?hl=en

Darüber hinaus gibt es in den neuen GA4 Berichten bisher keine vergleichbaren Filtermöglichkeiten wie in den klassischen Properties.

Fazit

Unerwünschter Traffic in den Berichten von Google Analytics ist ärgerlich und kann die Arbeit mit euren Daten aufwendig bis unmöglich machen. Daher solltet ihr Vorkehrungen für eine gute Datenqualität treffen. Die beschriebenen Einstellungen und Filter helfen euch dabei, eine erste Schutzwand für Fake-Traffic aufzustellen. Weitere Tipps zur richtigen Einstellung eures Analytics Kontos findet ihr im Artikel Google Analytics Konto richtig einrichten.