Ein Gastbeitrag von Jochen Schlosser, Chief Strategy Officer bei Adform
Betrügerische Bots und ähnliche Attacken sind nach wie vor eine große Herausforderung. Einer der Gründe ist die Tatsache, dass sich fast alle Ad Tech-Anbieter beim Thema Ad Fraud auf externe Spezialanbieter verlassen. Und dies, obwohl eine klassische Outsourcing-Regel besagt, dass geschäftskritische Prozesse nicht ausgelagert werden sollten, wenn sie nicht weitestgehend standardisiert sind. Ist Betrugserkennung ein hoch standardisierter Service? Ganz sicher nicht. Dies birgt immense Risiken.
Ein Spiel ohne Standards
Vor allem die fehlende oder wenig verbreitete Echtzeiterkennung von betrügerischen Mustern ist heute noch weit von einer Standardisierung entfernt. Selbst wenn eine Echtzeiterkennung aufgebaut wurde, ist es immer noch riskant, sich ausschließlich auf den Service eines Drittanbieters zu verlassen. Denn spezialisierte Betrugserkennungsansätze sind attraktive Ziele für Betrüger. Wenn Betrüger einen solchen Anbieter angreifen und überlisten, schlagen sie viele Fliegen mit einer Klappe. Häufig nutzen viele Unternehmen den Service dieses Anbieters. Ist dieser eine Service erst überlistet, werden alle Kunden gleichermaßen und mit einem Schlag verwundbar. Der Angriff selber ist „relativ“ simpel, da ein Betrüger sich als Kunde eines solchen Anbieters ausgeben und seine Bots gegen dessen Erkennungs-Service jagen kann, bis diese nach diversen Iterationen und Anpassungen nicht mehr als Bots erkannt werden. Erst dann werden sie in vollem Umfang in die freie Wildbahn entlassen, um dort betrügerischen Aktivitäten nachzugehen.
Der Angriff auf eine proprietäre Lösung ist viel aufwendiger und skaliert eindeutig schlechter. Im Business-Attack-Plan eines Betrügers sind diese daher häufig sehr niedrig priorisiert. Da die Fraud-Detection-Lösung nur innerhalb eines geschlossenen Systems, zum Beispiel einer Demand Side Platform (DSP), läuft und nicht als Service zur Verfügung steht, muss der Betrüger das System tatsächlich nutzen und zum Beispiel Werbung einkaufen, um zu sehen, ob seine Bots durch die Fraud-Filter gelangen. Dies ist sehr viel teurer und mit größerem Aufwand verbunden, als einen spezialisierten und per API zugänglichen Anbieter zu attackieren.
Am Ende gilt, je mehr Informationen, Dienste und APIs zur Betrugsprävention öffentlich zugänglich sind, desto einfacher und kosteneffizienter ist es für Betrüger, das System zu überlisten. Ad Tech-Plattformen müssen daher vermehrt in eigene Tools zur Betrugserkennung investieren und dürfen sich nicht vollständig auf Dritte verlassen.
Verantwortung übernehmen
Entscheidend ist am Ende die Verfügbarkeit von reichhaltigen Daten aus verschiedenen Quellen, wie Ad Servern, DSPs und Webseiten, welche entsprechende Algorithmen füttern. Natürlich können auch spezialisierte Drittlösungen mitlaufen, aber sie sollten nicht die einzige Barriere für Betrüger sein. Darüber hinaus bringen neben der Technik smarte Mitarbeiter das nötige Business-Know-How ein, um den Betrügern das Handwerk zu legen. Nicht alles, was auffällig ist, ist auch Betrug. Entsprechend ist in vielen Fällen nochmal eine Prüfung durch Analysten notwendig. Im Ergebnis sollte jeder Anbieter über eigene Algorithmen und Experten verfügen, die den Datenverkehr ständig überwachen. Dies sollten Publisher und Advertiser von ihren Ad Tech-Partnern einfordern.
Über den Autor: Dr. Jochen Schlosser ist Chief Strategy Officer bei Adform, einer der weltweit größten Plattformen für Advertising Technologie, und treibt in dieser Rolle die globale Ausrichtung des Unternehmens voran. Seit über zehn Jahren ist er einer der führenden Köpfe für Datenthemen und -strategien am Markt und hatte führende Positionen in unterschiedlichen Branchen (Pharma, Finanzen und natürlich Marketing) inne. Bevor er zu Adform ging war Jochen Mitglied der Geschäftsleitung bei uniquedigital (SYZYGY Gruppe) und hat in dieser Position innerhalb der Gruppe das Thema Data-Driven Marketing vorangetrieben.