Traffic-Diebstahl aufdecken mit Search Console und Google Analytics | Analytics-Blog von Michael Janssen

Wenn Search Console und Google Analytics sehr unterschiedliche Traffic-Daten auswerfen, kann das auf ein übles Problem hinweisen. Wie ich in Detektivarbeit das Rätsel löste und was du daraus lernen kannst.

Es fing alles damit an, dass ich in einer Facebook-Gruppe rund um Themen der Web-Analyse über einen Post gestolpert bin. In diesem Post ging es um die Daten der Search Console in Google Analytics. Wer mich kennt oder auch den Podcast Beyond Pageviews hört, weiß, dass ich kein Freund vom Import der Daten aus der Seach Console in Google Analytics bin. Die Daten beziehungsweise die Datenerfassung ist zu unterschiedlich, als dass man diese beiden Systeme mixen könnte.

Wann der Vergleich zwischen Search Console und Analytics doch sinnvoll ist

Aber in diesem Fall war der Vergleich der Daten von Search Console und Analytics wirklich sinnvoll! Dem Fragesteller war im Bericht auf URL-Ebene aufgefallen, dass die Anzahl der Sitzungen viel niedriger war als die Anzahl der Klicks. Sofern du die Search Console und Google Analytics verknüpft hast, findest du diesen Bericht in Google Analytics unter Akquisition => Search Console => Landingpages. Prinzipiell ist es nichts besonderes, dass die Werte unterschiedlich sind. Denn diese Werte müssen durch die unterschiedlichen Messverfahren verschieden sein! Aber normalerweise liegt die Differenz zwischen diesen beiden Messwerten bei 10 bis 40%, in speziellen Fällen auch höher. Aber dann kann es sich schon lohnen genauer hinzuschauen.

Hinweis: Wichtig zu wissen ist für dich, dass der Bericht in Google Analytics die Daten aus der Search Console mit denen von Google Analytics erhobenen Daten mischt. Impressionen, Klicks, CTR und durchschnittliche Position stammt aus der Search Console. Sitzungen und alle anderen Werte aus Google Analytics.

Das Rätsel der verschwundenen Klicks …

In diesem Fall ging es aber darum, dass die Zugriffe, die die Search Console verzeichnete, teilweise das dreifache von den in Google Analytics erfassten Zugriffe gemessen hatte! Konkret zählte die am stärksten besuchte URL im Beobachtungszeitraum 1.749 Klicks in der Search Console, aber bei den von Google Analytics erfassten Zahlen kamen nur 743 Sitzungen an. Das bedeutet in diesem Fall eine Differenz von über 1.000 Klicks – oder anders ausgedrückt: fast 60% (!) der Klicks wurden in Google Analytics nicht erfasst!

Der Landingpagesbericht in Google Analytics im Bereich Search Console

Die Detektivarbeit beginnt!

Diese Diskrepanz hatte meinen Forschergeist geweckt und nach kurzer Kommunikation mit dem Fragesteller erhielt ich Zugriff auf die Website und Google Analytics. Nun konnte ich direkt in die Zahlen schauen: Der erste Verdacht, dass eventuell der Google-Analytics-Code auf den Landingpages falsch eingebunden war, erhärtete sich nicht. Der Code war augenscheinlich korrekt eingebunden.

Analytics Code falsch eingebunden? Bots?

Ich testete weiter und überprüfte auch, ob es sich bei den Klicks gegebenenfalls um Bots handeln konnte. Auch hier konnte ich keine Auffälligkeiten entdecken. Ich war mir meinem Latein erstmal am Ende. Ich konnte mir keinen Reim auf diese Zahlen machen.

Mein nächster Verdacht war, dass es eventuell an einem blockierenden JavaScript lag, dass unter bestimmten Umständen das Google-Analytics-Skript an der Ausführung hinderte. Wir deaktivierten das betroffene Skript, ich prüfte – aber es gab keine Änderungen.

Schwerer als gedacht …

Aber ich hatte mich festgebissen. Unter anderem liebe ich meinen Job als Digital-Analyst so sehr, weil es immer wieder Rätsel gibt, die mich herausfordern. So wie dieses. Es musste eine Lösung für dieses Phänomen geben.

Ganz von vorne beginnen – am Anfang der Customer Journey

Um mit den Recherchen weiterzumachen, testete ich die Customer Journey und fing weiter vorne an und zwar bei der Suche in Google. Ich gab einen entsprechenden Suchbegriff bei Google ein, für den die Website rankte, rief dann die Seite auf und überprüfte die Google Analytics-Einbindung und Übertragung an den Google-Server. Doch auch hier: keine Auffälligkeiten.

Der Zufall führte mich auf die Spur

Ich startete ganz normal eine weitere Sitzung in Chrome, nur diesmal im Inkognito-Modus. Ich gab das Suchwort in die Google-Suchmaske ein, drückte auf Suchen, klickte den Link des Kunden in den SERPs und – landete plötzlich auf einer völlig anderen Domain! WTF!
Ich hatte tatsächlich auf den Link des Kunden geklickt und wo landete ich? Auf einer Domain mit einem Gewinnspiel! Die Seite sah ungefähr so aus:

Die Website auf der anderen Domain

Ein falscher Link in den SERPs?!

Also nochmal langsam: Ich klicke auf der Google-Suchergebnisseite einen Link einer bestimmten Website und werde direkt auf eine Gewinnspielseite weitergeleitet. Das musste die Ursache für die Diskrepanz sein! Sofort testete ich den Weg ein weiteres Mal. Aber dieses Mal wurde ich enttäuscht: Es gab keine Umleitung, sondern ich landete wieder auf der normalen Landingpage.

Die Jagd beginnt – doch die Schurken sind nicht zu fassen

Als nächstes löschte ich meine Cookies, doch: keine Änderung. Es war wieder alles normal. Ich öffnete eine neue Browsersitzung und testete wieder: auch keine Auffälligkeit und keine Umleitung. Ich konnte es also nicht nachstellen.
Ich informierte den Besitzer der Website, aber er glaubte mir nicht richtig, da er es auch nicht nachstellen konnte. Scheinbar wurde eine Logik in der Ausspielung genutzt, die es schwieriger aufzudecken macht. Auch ein Wechsel der IP-Adresse half nicht. Es blieb dabei: Ich konnte das Phänomen nicht nachstellen, geschweige denn erklären.

Die Spur der Traffic-Diebe

Am nächsten Tag probierte ich es wieder und zack: Da war es wieder. Leider hatte ich das nicht erwartet und hatte den Bildschirm nicht aufgezeichnet. Nun versuchte ich mit unterschiedlichen Rechnern, Internetprovidern, IP-Adressen und Ländern das Phänomen nachzustellen. Schlussendlich gelang es mir und ich konnte es für Analysezwecke reproduzieren.

Die Lösung des Geheimnisses der Traffic-Diebe

Und nun lag das Rätsel offen wie ein Buch vor mir: Auf dem Webserver der betroffenen Website hatte sich eine Malware, ein boshaftes Skript, eingeschlichen. Dieses Skript leitete einen Teil der Besucher auf die merkwürdigen Domains mit den Gewinnspielen um.
Aber das Skript arbeitete so unauffällig, dass es nur schwer aufzudecken war und selbst der Google-Safer-Browsing über einen Zeitraum von mehreren Monaten nicht angeschlagen hatte. Inzwischen hat der Websitebesitzer die Malware im Programmcode identifiziert und durch eine Neu-Installation des CMS entfernt.

Kostspielige Folgen

So eine Malware kann durchaus sehr viel Gewinn kosten. Bei einer Website, die rund 100.000 Besuche über die Google-Suche im Monat macht, können das schnell 40-60.000 Besucher sein, die fehlen! Je größer die Website ist, desto größer ist natürlich auch der entgangene Umsatz. Und das Perfide: Die Malware startet ganz langsam und unauffällig.

Zusammenfassung & Lösung

Es kann passieren, dass sich in von dir betreuten Web-Projekten Malware einschleicht. Der einfachste Weg, eine Infizierung zu erkenne, ist aktuell die Daten der Google Search Console mit den Daten in Google Analytics zu vergleichen. Dafür gehst du in den Bereich Akquisition => Search Console => Landingpages und vergleichst die Klicks mit den Sitzungen.

Wenn die Klicks und Sitzungen eine Differenz von max. 40% (in beide Richtungen) aufweisen, liegt wahrscheinlich keine Infizierung mit Malware vor. Ein Wert über 40% ist auch erstmal nur ein Anhaltspunkt und muss noch nichts heißen. Dann liegt es an dir zu überprüfen, warum der Unterschied so groß ist. Und ein Ansatz, den du unbedingt überprüfen musst, ist der Verdacht auf eine Infizierung.

0 Kommentare

Dein Kommentar

An Diskussion beteiligen?
Hinterlasse uns Deinen Kommentar!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.