Alex Rodionov Beratung Logo
Alex Rodionov Beratung Google Bewertung
Linkedin
Home / Blog / Cloaking erkennen: Warum Ihr auf Eure Ads klicken müsst

Cloaking: Warum Ihr heute auf Eure eigene Anzeige klicken müsst

Autor: Alex Rodionov

Der Moment, in dem die Fassade bröckelt

Es ist die goldene Regel für jeden Google Ads Experten: Klicke niemals auf die eigenen Anzeigen. Bei Klickpreisen von 8 € oder mehr ist das pures verbranntes Budget. Doch heute habe ich diese Regel bewusst gebrochen – und damit vermutlich die Existenz eines Kunden gerettet.

Eigentlich kümmere ich mich für diesen Kunden rein um das Performance Marketing. Weder SEO noch die technische Wartung der Website gehören zu meinem direkten Auftrag. Doch als ich heute routinemäßig die organischen Suchergebnisse meines Kunden über den Google-Befehl site:domain.de prüfte, traute ich meinen Augen nicht.

In den organischen Suchergebnissen standen plötzlich falsche Meta Titel. Irgendetwas mit holländischen Produkten, die absolut nichts mit dem Business meines Kunden zu tun haben. Ein Klick auf ein organisches Ergebnis bestätigte den Verdacht: Anstatt auf der gewohnten Startseite zu landen, wurde ich auf einen völlig fremden Scam-Shop weitergeleitet (auch wenn die URL sich in der Adresszeile nicht geändert hat):

Cloaking Google Suchergebnisse Spam

Screenshot 1: Das sieht man bei Google, wenn man nach den indexierten Seiten meines Kunden sucht.

Der Test-Klick: Wenn das Budget ins Leere läuft

Ich ging einen Schritt weiter: Was passiert, wenn ein Nutzer auf unsere Google Ads klickt? Ich opferte das Budget für einen Test-Klick. Das Ergebnis war dasselbe: Weiterleitung auf den Scam-Shop. Doch jetzt kommt der Clou: Als ich die Seite im Browser neu lud, erschien plötzlich wieder die ganz normale, originale Seite des Kunden.

Was ist Cloaking Scam Beispiel

Screenshot 2: Die Scam-Seite, auf der Nutzer landen, wenn sie über Google kommen. Mein Kunde verkauft Showtechnik, keine Ponchos.

Was ist Cloaking eigentlich?

Stellt Euch Cloaking (von engl. to cloak – tarnen) wie eine digitale Falltür vor. Die Website erkennt automatisch, wer sie gerade aufruft und entscheidet dann blitzschnell, welche Version der Seite gezeigt wird.

Die Hacker programmieren ein Skript auf Eurem Server, das den sogenannten User-Agent oder den Referrer prüft:

  • Der Google-Bot (User-Agent): Ihm wird die Scam-Seite gezeigt, damit Google diese Inhalte indexiert und für holländische Begriffe rankt.
  • Der Google-Nutzer (Referrer): Das Skript prüft, ob Ihr von „google.de“ kommt. Wenn ja, werdet Ihr sofort auf die Betrugsseite umgeleitet.
  • Der Webseiten-Betreiber: Wer die URL direkt eingibt oder die Seite neu lädt, sendet keinen Google-Referrer mehr. Die Tarnung greift dann nicht, und Ihr seht die normale Website.

Der Zweck ist simpel: Die Hacker wollen so lange wie möglich unentdeckt bleiben. Da Ihr als Inhaber Eure Seite meist direkt aufruft, merkt Ihr oft monatelang nicht, was im Hintergrund passiert.

Technischer Check: Wo versteckt sich der Schadcode?

Wenn Ihr so ein Verhalten feststellt, müsst Ihr tief ins System eintauchen. Meist handelt es sich um eine Manipulation auf Server-Ebene oder innerhalb des CMS. Hier solltet Ihr anfangen zu suchen:

1. Die .htaccess Datei (Apache Server)

Dies ist der häufigste Manipulationsort. Hacker nutzen mod_rewrite Regeln, um gezielt Besucher von Suchmaschinen abzufangen und umzuleiten.

2. Server-Side Scripts (index.php)

Oft wird direkt am Anfang der index.php im Root-Verzeichnis ein kleiner, meist verschlüsselter PHP-Code-Schnipsel eingefügt. Dieser analysiert die Browser-Identifikation und spielt die falsche Version der Seite aus.

3. CMS-Themes und Plugins (z.B. functions.php)

In WordPress ist die functions.php ein beliebter Ort für Schadcode. Aber auch manipulierte Header-Dateien oder scheinbar harmlose SEO-Plugins können für Cloaking missbraucht werden.

4. CSS und JavaScript

Manchmal wird Content auch nur für Menschen unsichtbar gemacht (z.B. weißer Text auf weißem Grund), während Crawler ihn lesen können. Bei einer kompletten Weiterleitung wie in meinem Fall liegt das Problem aber meist tiefer im PHP-Code.

Warum Ihr einen Experten an Eurer Seite braucht

Dieser Fall zeigt eines ganz deutlich: Online Marketing endet nicht beim Erstellen von Anzeigen. Ein guter Experte hat das gesamte Ökosystem im Blick.

Hätte ich heute nicht diesen „verbotenen“ Klick auf die Anzeige gemacht, wäre das Budget meines Kunden weiterhin in einen Scam-Shop geflossen. Die Folgen wären fatal:

  • Vertrauensverlust: Kunden halten Euren Shop für unseriös.
  • Budget-Verbrennung: Ihr zahlt für Klicks, die nie bei Euch ankommen.
  • Google-Sperre: Sobald Google das Cloaking bemerkt, wird die Domain komplett abgestraft oder deindexiert.

Sicherheit und Marketing gehen Hand in Hand. Es reicht nicht, nur Ads zu schalten – man muss auch die Technik dahinter verstehen, um im Ernstfall Eure Marke zu schützen.

Was Ihr jetzt tun könnt:

Geht einmal im Monat den Weg Eurer Kunden: Sucht Euch selbst bei Google, klickt auf Eure Ergebnisse (ja, auch mal auf eine Anzeige) und schaut genau hin. Wenn Ihr Unstimmigkeiten entdeckt: Wartet nicht. Jeder Tag kostet Geld und Euren Ruf.

Empfohlenes YouTube-Video von Google zum Thema (auch wenn uralt, genau so wie Cloaking selbst 🙂

< Zurück zum Blog

Die neusten Artikel im Blog lesen: