Kostenlos testen
  • Blog

Ads.txt – Was es ist und warum es Sie nicht vor Invalid Traffic und Klickbetrug schützen kann

Denis Kargl

Cybersecurity Content Specialist

Abstrakte eckige Formen

Werbebetrug ist allgegenwärtig. Jüngsten Reports zufolge werden allein im Jahr 2022 68 Milliarden Dollar durch digitalen Anzeigenbetrug verloren gehen.

Während einige Unternehmen noch immer nicht davon überzeugt sind, dass sie Betrügern große Summen in die Tasche stecken, arbeiten andere an einer Lösung, um das Betrugsproblem einzudämmen. Eine dieser Lösungen wurde bereits 2017 vom IAB vorgestellt: die ads.txt-Datei.

In diesem Artikel werden wir uns ansehen, was ads.txt ist, wie es funktioniert und warum es die größten Probleme des digitalen Anzeigenbetrugs nicht lösen kann.

Was ist ads.txt?

Das im Mai 2017 vom IAB Tech Lab gestartete Projekt Authorized Digital Sellers zielt darauf ab, verschiedene Arten von Anzeigenbetrug zu bekämpfen, vor allem Domain-Spoofing und illegale Inventar-Arbitrage.

Ads.txt ist eine einfache Textdatei, die Informationen darüber enthält, welche Unternehmen digitales Inventar auf einer bestimmten Domain verkaufen dürfen. Da sie nur vom Webmaster einer Domain erstellt und geändert werden kann, gelten die Informationen der Datei als gültig und authentisch.

Die Datei soll auch die Transparenz in dem zunehmend undurchsichtigen Ökosystem der programmatischen Werbung erhöhen. Dies geschieht, indem Publisher eine flexible Möglichkeit erhalten, die Unternehmen, denen sie erlauben, ihr digitales Inventar in ihrem Namen zu verkaufen, öffentlich zu deklarieren. Dies macht die Inventar-Lieferkette transparent und schützt Käufer vor Betrügern, die Inventar verkaufen, das ihnen nicht gehört.

Welches Problem wird mit ads.txt gelöst?

Ads.txt löst hauptsächlich zwei Probleme:

  1. Domain-Spoofing, d. h. das Fälschen von URLs im Anzeigentag, entweder durch eine auf dem Gerät des Opfers installierte Malware oder durch bösartige Skripte auf der Website. Das Ergebnis: Werbebörsen und anderen programmatischen Plattformen wird vorgegaukelt, dass ein User eine legitime URL aufgerufen hat, während die Anzeige auf einer anderen, nicht vertrauenswürdigen Website angezeigt wird und meist nur von Bots gesehen und angeklickt wird.
  2. Inventar-Arbitrage, bei der Impressionen von einem Publisher gekauft, neu verpackt und zu einem höheren Preis von einer dritten Partei weiterverkauft werden.

Betrüger richten gefälschte Websites ein, die entweder überhaupt keinen Inhalt haben oder deren Inhalt von großen, vertrauenswürdigen Publishern wie der New York Times kopiert wurde, und senden gefälschten Bot-Traffic an sie, um die Anzeigenaufrufe zu erhöhen und sogar auf die Anzeigen zu klicken. Anschließend ändern sie die URL im Anzeigentag so ab, dass es aussieht, als hätte die Anzeigenschaltung tatsächlich auf der Domain der New York Times stattgefunden. Die Betrüger werden von der Werbeplattform dafür bezahlt, dass sie Anzeigen auf ihrer gefälschten Website ausliefern, und den Werbekunden wird vorgegaukelt, dass ihre Anzeige auf der Website der New York Times geschaltet wurde.

Um es deutlich zu sagen: ads.txt ist kein Mittel gegen Bot-Betrug. Sie zielt in erster Linie darauf ab, Domain-Spoofing und gefälschte Anzeigenanfragen zu reduzieren.

Wie funktioniert ads.txt?

Publisher erstellen eine Datei namens „ads.txt“ und veröffentlichen sie unter ihrer Root Domain. Die Datei selbst enthält Informationen über alle autorisierten digitalen Verkäufer wie Supply-Side-Plattformen (SSPs), Anzeigenbörsen und Anzeigennetzwerke, mit denen die Publisher zusammenarbeiten und die das Anzeigeninventar verwalten können.

Um zu verdeutlichen, was dies genau bedeutet, werfen wir einen Blick auf die ads.txt von nytimes.com:

Screenshot der ads.txt Datei der Domain nytimes.com

Jede Zeile steht für einen Partner, der berechtigt ist, das Anzeigeninventar auf der Domain nytimes.com zu verwalten, und besteht aus bis zu 4 Feldern. In Zeile 20 steht zum Beispiel Folgendes:

google.com, pub-1793726897772453, DIRECT, f08c47fec0942fa0

google.com → Domain-Name des Werbesystems (erforderlich)
Dieses Feld gibt die Domain der Plattform an, die der Publisher für den Verkauf seines Inventars nutzt. Wir können sehen, dass die New York Times nur eine Handvoll Partner nutzt, darunter Google, Amazon, Yahoo und AppNexus.

pub-1793726897772453 → Publisher Account ID (erforderlich)
Die Publisher Account ID ist die Konto-ID des Publishers für den jeweiligen Partner – in diesem Fall Google – und wird verwendet, um die Authentizität des Inventars bei RTB-Geboten zu überprüfen.

DIRECT / RESELLER → Beziehungsart (erforderlich)
Dieses Feld kann entweder den Wert „DIRECT“ oder „RESELLER“ haben. Es gibt an, ob ein Publisher direkt mit dem Anbieter zusammenarbeitet, um sein Anzeigeninventar zu verkaufen, oder ob er ein anderes Unternehmen (z. B. ein Anzeigennetzwerk oder eine digitale Werbeagentur) mit der Verwaltung des Anzeigeninventars in seinem Namen beauftragt hat.

f08c47fec0942fa0 → TAG ID (optional)
In diesem optionalen Feld wird die TAG-ID aufgeführt, die den Partner innerhalb der Zertifizierungsstelle der Trustworthy Accountability Group (TAG) identifiziert. Die TAG-ID ist eine weltweit eindeutige 16-stellige hexadezimale Zeichenkette, die Sie von Ihrem Partner anfordern können, wobei Groß- und Kleinschreibung nicht berücksichtigt werden.

# comment → Kommentar (optional)
Einige Publisher fügen auch einen Hashtag gefolgt von einem Kommentar ein. Die Informationen nach dem Hashtag werden von keinem Crawler verwendet und sind nur für den Publisher und seinen Webmaster gedacht, um den Überblick zu behalten, wann die Datei zu groß wird. Ein Beispiel dafür finden Sie unter businessinsider.com/ads.txt. Sie haben die von den Partnern verwalteten Anzeigenformate als Kommentare zu einigen Zeilen hinzugefügt.

Nachdem ein Publisher die Liste der Partner veröffentlicht hat, die Anzeigeninventar auf seiner Domain verkaufen dürfen, durchsuchen Demand-Side-Plattformen (DSPs) die Domain und auch die ads.txt-Datei. Jedes Mal, wenn eine OpenRTB-Gebotsanforderung von einer Börse an den DSP gestellt wird, überprüft der DSP die Domain und die Publisher-ID mit den Informationen in der ads.txt-Datei. Wenn die Informationen übereinstimmen, wird das Gebot abgegeben. Wenn die Informationen nicht übereinstimmen, wird kein Gebot abgegeben.

Diagramm zur Funktionsweise von Ads.txt

Bildquelle

Weitere Informationen über die technische Spezifikation oder einige Beispiele und Anwendungsfälle finden Sie in der offiziellen ads.txt-Spezifikation des IAB TechLab oder in der Übersicht über alle ads.txt-bezogenen Ressourcen.

Wie erstellt man eine ads.txt-Datei?

Das Erstellen der Datei ads.txt ist einfach und unkompliziert. Alles, was Sie brauchen, ist ein Texteditor, der eine .txt-Datei erstellen kann, und Informationen über Ihre Partner und Netzwerke.

SCHRITT 1: SAMMELN SIE ALLE ERFORDERLICHEN INFORMATIONEN

Bevor Sie die eigentliche Datei erstellen, müssen Sie Informationen von all Ihren Verkäufern, Anzeigenbörsen und Werbenetzwerken sammeln. Dazu gehören der Domain-Name, Ihre Publisher-ID für diesen Partner und ob es sich um eine direkte oder eine Reseller-Partnerschaft mit diesem Partner handelt.

Wenn Sie es ganz genau wissen wollen, können Sie auch die TAG-ID von jedem Partner anfordern. Um Ihre Partner zu überprüfen, können Sie das TAG-Register verwenden, um die von ihnen bereitgestellten TAG-IDs nachzuschlagen. Das TAG-Register kann in Echtzeit bestätigen, ob eine angegebene TAG-ID mit einem Unternehmensnamen verbunden ist oder ob ein Unternehmen im TAG-Register enthalten ist.

SCHRITT 2: ERSTELLEN SIE EINE .TXT-DATEI UND NENNEN SIE SIE ADS.TXT

Nachdem Sie alle Informationen gesammelt haben, öffnen Sie einfach den Texteditor Ihrer Wahl und fügen Sie die Informationen im gewünschten Format ein. Denken Sie daran: Jedes Feld wird durch ein Komma getrennt und jeder Partner muss in einer eigenen Zeile stehen. Achten Sie darauf, die Datei als .txt-Dokument zu speichern und sie „ads.txt“ zu nennen.

Die Syntax der ads.txt Datei an einem Beispiel erklärt

Einige Tipps für kostenlose Texteditoren:

SCHRITT 3: ÜBERPRÜFEN SIE IHRE ADS.TXT

Bevor Sie Ihre Datei auf Ihren Webserver hochladen, sollten Sie zunächst den Inhalt, die Lesbarkeit und die Syntax der Datei überprüfen. Sie können dies manuell tun, aber es ist viel einfacher, wenn Sie eines der folgenden Tools verwenden:

Beide Tools überprüfen Ihre Datei auf verschiedene mögliche Fehler wie Rechtschreibfehler, ungültige Domain-Namen oder falsche kanonische Domain-Namen.

SCHRITT 4: LADEN SIE DIE DATEI ADS.TXT AUF IHRE ROOT DOMAIN HOCH

Der letzte Schritt beinhaltet das Hochladen der Datei auf Ihre Root Domain. Bitte beachten Sie: Die Datei ads.txt funktioniert nur auf der Root Domain, nicht auf einer Subdomain oder einem Ordner.

Sie können überprüfen, ob sich die Datei am richtigen Ort befindet, indem Sie einfach /ads.txt an Ihre Domain anhängen, und die richtigen Informationen aus der Datei werden angezeigt. Also zum Beispiel: ihredomain.com/ads.txt

Vorteile von ads.txt für Publisher und Werbetreibende

Der größte Vorteil für Publisher, die eine ads.txt auf ihrer Domain einbinden, besteht darin, dass illegale und betrügerische Inventarkäufe und gefälschte Anzeigenanfragen weitgehend vermieden werden.

Aber auch Werbetreibende profitieren von der ads.txt, da sie Händler überprüfen und die Verschwendung von Budget für gefälschte Anzeigenanfragen verhindern können.

Auch das gesamte Anzeigen-Ökosystem profitiert von der erhöhten Transparenz. Ads.txt macht die Informationen darüber öffentlich zugänglich, welche Unternehmen berechtigt sind, Anzeigeninventar auf welchen Domains zu verkaufen.

Einsatz von ads.txt durch Publisher

Die Ads.txt wurde bei ihrer Einführung im Jahr 2017 nur sehr langsam angenommen. Erst als Google ankündigte, dass es den neuen Standard unterstützen würde und dass DoubleClick Ad Exchange und AdSense nicht autorisiertes Inventar aus ihren Auktionen herausfiltern würden, gingen die meisten Publisher dazu über, eine ads.txt-Datei für ihre Domain zu erstellen.

Bislang haben etwas mehr als 45 % der 1.000 größten Domains den Standard übernommen.

Ads.txt für mobile Apps

Diagramm zur Funktionsweise von app-ads.txt

Bildquelle

Während die ursprüngliche Veröffentlichung von ads.txt im Jahr 2017 auf Anzeigen auf Websites abzielte, nahm der mobile Anzeigenbetrug weiter zu. Daher veröffentlichte das IAB TechLab 2019 app-ads.txt, eine Aktualisierung der bestehenden Spezifikation, die auch zur Bekämpfung von Anzeigenbetrug in mobilen Apps verwendet werden kann.

Der neue Standard wurde auch schnell von Google und AdMob aufgegriffen und hat nun eine noch höhere Akzeptanz als ads.txt für Websites. 68 % der 1.000 größten Google-Play-Apps verfügen über einen app-ads.txt, aber nur 42 % der 1.000 größten Apps im App Store von Apple.

Die app-ads.txt verdient einen eigenen ausführlichen Artikel auf unserer Website. Bis dahin finden Sie die aktuelle Spezifikation und Anweisungen für die Implementierung in Apps auf der offiziellen IAB-Website.

Schwachstellen von ads.txt

Nachdem wir uns nun mit den Absichten und Vorteilen der ads.txt-Datei befasst haben, müssen wir einen Blick auf mögliche Schwachstellen werfen. Zuallererst: Es gibt einige Lücken im System, die von Betrügern ausgenutzt werden könnten, und der größte Fehlerfaktor ist, wie so oft, menschliches Versagen.

MANGELNDE AUFMERKSAMKEIT UND WARTUNG SEITENS DER PUBLISHER

Die Datei ads.txt ist keine Lösung, die man einfach erstellt und dann vergisst. Publisher müssen die Einträge aktiv im Auge behalten, sie pflegen und auch regelmäßig überprüfen.

Wenn mehr und mehr Parteien autorisiert werden, Anzeigeninventar im Namen des Publishers zu verkaufen, wird die ads.txt-Datei immer größer. Dadurch wird sie nicht nur sehr schwer zu lesen und zu pflegen, sondern spiegelt auch nicht mehr genau wider, wer zum Verkauf des tatsächlichen Inventars berechtigt ist.

Jedes Mal, wenn ein neuer Partner aufgenommen wird, muss diese Information in die Datei aufgenommen werden. Umgekehrt gilt dasselbe: Jedes Mal, wenn eine Partnerschaft endet, müssen die Informationen aus der Datei entfernt werden. Andernfalls laufen Publisher Gefahr, dass längst abgelaufene Partnerschaften immer noch Zugriff auf ihr Werbeinventar haben – zumindest laut dem ads.txt-Eintrag. Diese Situation kann sehr schnell von böswilligen Partnern ausgenutzt werden, womit wir wieder bei der Frage der gefälschten Anzeigenanfragen wären.

Nehmen wir das obige Beispiel der New York Times. Sie hat derzeit 21 autorisierte Partner (Stand: Juni 2022), die das Anzeigeninventar verwalten dürfen. Mit allen Partnern wurde eine direkte Beziehung aufgebaut, so dass niemand das Inventar ohne weiteres weiterverkaufen kann.

Schaut man sich dagegen ESPN.com an, wird man fast erschlagen. Sage und schreibe 460 Partner sind dort aufgelistet, und mehr als die Hälfte von ihnen sind Reseller.

404BOT – BEHALTEN SIE IHRE RESELLER IM AUGE

Zu Beginn des Jahres 2019 machte ein neuer Betrug die Runde: 404Bot. Die Betrüger nutzten die Funktionalität der ads.txt aus, indem sie Konten bei Werbenetzwerken eröffneten, die bei großen Publishern als zugelassene Reseller gelistet waren.

Es wird geschätzt, dass die Betrüger aufgrund der oben erwähnten mangelnden Übersicht in einer großen ads.txt-Datei über einen Zeitraum von mehreren Monaten zwischen 15 und 80 Millionen US-Dollar stehlen konnten.

Der Plan war ziemlich einfach:

  1. Die Betrüger erstellten Konten bei Werbenetzwerken, die als Reseller bei großen Publikationen gelistet waren.
  2. Dann schickten sie Bot-Traffic an gefälschte, aber echt aussehende URLs auf der Website des Publishers, die nicht existierten und einen 404-Statuscode zurückgaben – daher der Name 404Bot. Der HTTP-Statuscode 404 bedeutet, dass der Browser zwar mit einem bestimmten Server kommunizieren konnte, dieser aber die angeforderte Datei nicht finden konnte.
  3. In diese gefälschten URLs war jedoch Werbecode eingebettet, der auf die übliche Weise ausgeführt wurde.
  4. Die Betrüger wurden dann von dem Werbenetzwerk für den erfolgreichen Verkauf von Werbeinventar von Premium-Publishern bezahlt.

Der große Vorteil dieses Ansatzes war auch, dass die URLs in allen Reports legitim erscheinen. Wenn jemand die URLs besuchen wollte, wurde ihm nur der Hinweis angezeigt, dass die Seite nicht gefunden wurde. Es hätte aber auch sein können, dass der Artikel in der Zwischenzeit vom Publisher wieder gelöscht worden war. Die perfekte Tarnung für den Betrug.

Als Publisher sollten Sie unbedingt den Inhalt Ihrer ads.txt-Datei im Auge behalten und Reseller so weit wie möglich meiden. Alle Domains, die vom 404Bot betroffen waren, hatten eines gemeinsam: Ihre ads.txt-Dateien waren riesig und enthielten eine Menge Reseller-Partner. Je mehr Reseller darin aufgeführt sind, desto höher ist die Wahrscheinlichkeit, dass Sie von Betrug betroffen sind.

SOCIAL ENGINEERING ZUR AUFNAHME IN DIE ADS.TXT

Mit der Einführung von ads.txt erhielten Publisher immer mehr Anfragen von Betrügern, die sich als digitale Marketingagenturen ausgaben und sich einen offiziellen Platz als Reseller in der Liste sichern wollten. Die Masche sah in etwa so aus:

Betrüger nahmen Kontakt zu großen Publishern auf, um in deren ads.txt aufgenommen zu werden. Dabei gaben sie vor, in der Vergangenheit als Reseller tätig gewesen zu sein und das Anzeigeninventar der Publisher bereits verkauft zu haben. Einer dieser Anbieter schaffte es in kurzer Zeit auf über 60 Listen, weil die Publisher die Anfragen nicht richtig überprüften, sondern aus Angst vor Umsatzeinbußen vor allem in der Anfangszeit viele Freikarten verteilten.

Sie können sich wahrscheinlich denken, wie die Geschichte ausgeht. Sobald die Betrüger auf der Liste standen, konnten sie Werbeplätze bei Premium-Publishern zu einem hohen Preis verkaufen und Bot-Traffic nutzen, um ihre Gewinne zu steigern.

In diesem Fall war es nicht direkt eine Schwachstelle in der ads.txt, sondern Social Engineering und damit der Mensch als schwächstes Glied.

Ads.txt kann Sie nicht vor Invalid Traffic und Klickbetrug schützen

In diesem Artikel haben wir alles Wissenswerte über ads.txt behandelt: Was es ist, wie es funktioniert und auch, was die Schwachstellen sind. Während der aktuelle Stand ein Schritt in die richtige Richtung ist, um Anzeigenbetrug – in diesem Fall vor allem Domain-Spoofing – einzudämmen, ist es wichtig, eine Sache im Hinterkopf zu behalten: Ads.txt schützt Ihre Werbeausgaben nicht vor Invalid Traffic und Klickbetrug!

Selbst wenn Ihre Anzeige auf einer Website auf legitime Weise angezeigt wird, ist dies keine Garantie dafür, dass echte Menschen sie sehen oder gar anklicken. Ads.txt stellt sicher, dass Ihre Anzeige nur von autorisierten Partnern angezeigt wird, nicht aber, dass echte Menschen mit ihr interagieren.

Als Werbetreibender werden Sie daher weiterhin ungültigen Bot-Traffic und gefälschte Klicks auf Ihre Anzeigen sehen, was Ihr Werbebudget verschlingt, selbst wenn Ihre Anzeigen direkt auf Publisher-Websites ausgeliefert werden.

Sehr besorgniserregend ist in diesem Zusammenhang ein Report von Ende 2019, der zu dem Ergebnis kommt, dass Websites, die ads.txt verwenden, etwa 10 % mehr Invalid Traffic (IVT) haben als Websites, die ads.txt nicht implementiert haben.

Um dieses Problem zu lösen, benötigen Sie eine Software zur Erkennung von Anzeigenbetrug, die Bots erkennen und verhindern kann, dass diese auf Ihre Anzeigen klicken und Ihr Werbebudget verschwenden.

Melden Sie sich noch heute für eine kostenlose 7-tägige Testversion von fraud0 an und überzeugen Sie sich selbst von den Ergebnissen – ohne jegliche Bedingungen und ohne Kreditkarte.

Artikel teilen
Autor
Denis Kargl
  • Veröffentlicht: Juni 9, 2022
  • Aktualisiert: November 28, 2023
Inhalt
Neustes Whitepaper
Cover of the report "Unmasking the Shadows: Invalid Traffic 2024"
Unmasking the Shadows: Invalid Traffic 2024

Erfahren Sie alles, was Sie über Invalid Traffic 2024 wissen müssen, basierend auf den Daten unserer Kunden. Einschließlich einer Aufschlüsselung nach Marketingkanälen, Branchen und vielem mehr.

Kostenloser Download
Newsletter abonnieren
Artikel teilen
Weitere Artikel
The picture shows the cover of the report "Unmasking the Shadows: Invalid Traffic 2024". At the bottom there is the Call-to-Action "Free Download"
Unmasking the Shadows: Invalid Traffic 2024
Whitepaper - BFCM 2023 EN Thumbnail
Der Einfluss von Bots auf das Jahresendgeschäft von E-Commerce-Unternehmen
Wie Fake Traffic Ihre Marketing- und Analysedaten infiltriert hat
Wie viel Werbe­budget verschwenden Sie an Fake Traffic?
1%, 4%, 36%?
Testen Sie fraud0 7 Tage lang kostenlos und finden Sie es heraus. Keine Kreditkarte erforderlich.
4.8/5
4,9 von 5 Sternen
Möchten Sie eine Tour von fraud0?
Demo anfordern
Abonnieren Sie unseren Newsletter
Produkt
Lösungen
Unternehmen
Ressourcen
Kontakt
TCF registered Vendor badge
BVDW Logo
Linkedin Youtube
7 Tage lang kostenlos testen
Keine Kreditkarte erforderlich.

Sie haben bereits einen Account? Log in

Try fraud0 for 7 days
No credit card required.

Already have an account? Log in

Kostenlos testen
  • Produkt
Insights & Alerts
Bot Intercept
Audience & Placement Protection
Über fraud0
Karriere
Demo beantragen
Glossar
FAQ
Linkedin Youtube