Plötzlich tauchen Tausende Seitenaufrufe für /trafficbot.live in Google Analytics auf - obwohl diese URL auf der eigenen Website gar nicht existiert. In den Access-Logs des Servers findet sich kein einziger Zugriff. Der Grund: Ghost Spam über das Measurement Protocol. Die Besucher waren nie auf der Website.
So funktioniert Ghost Spam
Alle paar Monate findet jemand eine neue Möglichkeit, Google Analytics mit Fake-Traffic zu füttern. Das Prinzip ist immer dasselbe: Über das Measurement Protocol von Google Analytics lassen sich Seitenaufrufe direkt an die GA-Server schicken - ohne dass ein echter Besucher die Website jemals aufruft. Die Spammer brauchen dafür nur die Tracking-ID (UA-XXXXXXX oder G-XXXXXXX), die im Quellcode jeder Website öffentlich sichtbar ist.
Das Ergebnis: In den Analytics-Berichten erscheinen plötzlich Hunderte oder Tausende Aufrufe für URLs wie /trafficbot.live, /bot-traffic.icu oder ähnliche Adressen. Die Zahlen sehen in der Auswertung wie echte Besucher aus, verfälschen aber sämtliche Metriken.
Warum machen die das?
Hinter Trafficbot.live steckt der Dienst Gammatraffic. Die Strategie ist simpel: Webmaster sehen den seltsamen Traffic, rufen die Domain auf und landen auf einer Seite, die kostenpflichtigen Bot-Traffic verkauft. Viele probieren den Dienst aus Neugier aus.
Für wen ist das interessant? Leider gibt es Kunden, die gern steigende Besucherzahlen sehen möchten - und Agenturen, die ihnen diesen Gefallen tun. Ein paar Tausend zusätzliche Hits pro Monat in Google Analytics kosten wenig und suggerieren, dass SEO-Maßnahmen oder Werbekampagnen gewirkt haben. Echte Besucher, Kunden oder Umsatz bringt dieser Fake-Traffic natürlich nicht.
Ghost Spam in Google Analytics filtern
Antispam-Filter mit benutzerdefinierter Dimension
Der wirksamste Schutz gegen Ghost Spam in Universal Analytics (GA3) war eine benutzerdefinierte Dimension. Dabei wird der Analytics-Code auf der eigenen Website um ein "Passwort" erweitert, das die Spammer über das Measurement Protocol nicht mitsenden können:
ga('set', 'dimension1', 'ANTISPAM');
In der Analytics-Verwaltung wird dann ein Filter erstellt, der nur Hits mit dem Wert "ANTISPAM" in dieser Dimension zulässt. Alle Ghost-Spam-Zugriffe, die das Passwort nicht mitsenden, werden damit automatisch ausgeschlossen. Die Besucherzahlen fallen danach etwas, kommen aber deutlich näher an die realen Werte heran.
Bekannte Bots automatisch ausschließen
In den Einstellungen der Datenansicht lässt sich die Option "Alle Treffer von bekannten Bots und Spidern ausschließen" aktivieren. Google filtert damit bekannte Bot-Signaturen automatisch heraus.
Und in GA4?
Seit Juli 2023 ist Universal Analytics durch Google Analytics 4 (GA4) abgelöst. GA4 ist weniger anfällig für Ghost Spam, da das Measurement Protocol hier einen API-Secret als Authentifizierung verlangt. Komplett immun ist GA4 aber nicht - auch hier kann es zu Bot-Traffic kommen. Google filtert bekannte Bots in GA4 automatisch, zusätzlich lassen sich in den Dateneinstellungen interne und Bot-Traffic-Muster ausschließen.