SPAM (in der Webanalyse)

SPAM in der Webanalyse ist schon sehr alt, am bekanntesten natürlich durch verschiedene Spam-Wellen in Google Analytics. Dadurch, dass es bisher keine 100%ig wirksamen Sicherheitsmaßnahmen für das Google Analytics Tracking gab, konnte prinzipiell jeder (Spammer) beliebige Zugriffe an eine beliebige Google Analytics Property senden, solang er die entsprechende Property ID kennt (welche im Quelltext einer Website öffentlich ersichtlich ist). Erst mit Google Analytics 4 gibt es ein besseres Sicherheitskonzept, um SPAM zu vermeiden - zumindest für das Measurement Protocol, welches in den meisten Analytics SPAM Attacken verwendet wird.

Das Ziel von Webanalyse SPAM ist das gleiche wie bei jeder anderen Art von (Internet-)SPAM - nämlich auf eine bestimmte Website aufmerksam zu machen. In der Webanalyse geschieht dies, in dem die Website-Domains dann in den verschiedenen Analyse-Berichten auftauchen. Klassiker sind hier z.B. der Referrer(Verweis) SPAM:

Oder auch der Event-SPAM:

Aber auch in einigen anderen Google Analytics Berichten konnte man SPAM finden, sogar Sprachen wurden zeitweise verwendet, um SPAM nach Analytics zu senden.

Als Traffic-Versand werden hier zum Teil “normale” Tracking-Pixel verwendet, wie sie auch in den Websites eingebaut sind. Nur eben, dass sie hier auf SPAM-Servern mit Headless (Fake-)Browsern ausgespielt werden, in seltenen Fällen auch mittels Malware auf Privat- bzw. Firmen-Computern. Im Fall von Google Analytics wird in den meisten Fällen jedoch das sogenannte Google Analytics Measurement Protocol verwendet, eine Art Schnittstelle (API) für das Tracken von Google Analytics Hits. Mit dem Hit-Builder von Google kann man sich ein Bild verschaffen, wie das technisch funktioniert.

Mit Universal Analytics führte Google dann zumindest einen Filter für Bot-Traffic ein (Details dazu finden sich in unserer Wissensdatenbank: SPAM Filter in Universal Analytics). Einige Zeit später wurde dieser sogar sehr zuverlässig und SPAM in den Analytics-Properties wurde deutlich weniger. In Google Analytics 4 ermöglicht Google jetzt API-Secrets für das Measurement Protocol, eine (endlich) wirkliche wirksame Maßnahme, Analytics SPAM zu bekämpfen - zumindest für SPAM Attacken über das Measurement Protocol. Details dazu finden sich in unserer Wissensdatenbank: SPAM-Filter in Google Analytics 4.

Arten von SPAM

Technisch gesehen gibt es folgende Mittel, um in Google Analytics zu spammen:

• Ghost Traffic SPAM über das Measurement Protocol
  SPAM über das Google Analytics Measurement Protocol (auch als Ghost Traffic bezeichnet)
• Ghost Traffic SPAM über Headless Browser
  SPAM über soganannte Headless Browser, die eine preparierte Seite mit einem Google Analytics Tracking Code aufrufen (eine andere Form von Ghost-Traffic, wenn man so will)
• Bot Traffic SPAM
  Bot-SPAM, bei dem Headless-Browser die echte Website besuchen

Was kann man gegen Analytics SPAM tun?

Es gibt viele Blog-Artikel und Hilfeseiten im Internet, die beschreiben, wie man Google Analytics SPAM bekämpfen kann. Die meisten davon richten sich jedoch nur an eine der SPAM-Arten. Wie die aktuelle SPAM-Welle zeigt, bringt dies also wenig.

Da die meisten SPAM-Attacken das bereits angesprochene Measurement Protocol verwenden, gibt es zumindest in Google Analytics 4 eine wirksame Methode gegen SPAM. Details dazu und auch zu einem SPAM Filter für GA4 finden sich in unserer Wissensdatenbank: SPAM Filter in Google Analytics 4

Für Universal Analytics steht diese Methode nicht zur Verfügung, es gibt aber einen alten Trick, der ebenfalls wirksam gegen SPAM sein sollte. Details dazu gibt es ebenfalls in unserer Wissensdatenbank: SPAM Filter in Universal Analytics

Bekannte Spam-Attacken

Vom 31.1. bis 2.2.2021 gab es eine größere Spam-Welle, die weltweit ca. 10% des Google Analytics Traffics betroffen hat. Details dazu finden sich in unserem Blog-Artikel vom 4.2.2021: Neue Google Analytics Spam (Welle) unterwegs