Blog

Warum kommt mein Traffic plötzlich aus Singapur? – Diagnose und Lösungen für Bot-Spam und Geister-Traffic

10.2.2026
Sehen Ihre Analytics-Daten seltsam aus? Tausende Zugriffe aus Singapur, China oder den USA auf Seiten, die gar nicht existieren? Sie sind nicht allein. Wir erklären das Phänomen des "Vulnerability Scannings" und wie Sie verhindern, dass diese Bots Ihre Daten ruinieren.
Quelle: bchic.de

Der mysteriöse Anstieg: Wenn die Kurve nach oben zeigt, aber der Umsatz gleich bleibt

Jeder Webseitenbetreiber kennt das Gefühl: Ein Blick in das Analytics-Dashboard, und die Zahlen gehen durch die Decke. Doch bei genauerem Hinsehen folgt die Ernüchterung. Die Besucher bleiben 0 Sekunden, die Absprungrate liegt bei 100%, und der Standort ist fast ausschließlich Singapur (oder Ashburn, USA).

Noch kurioser wird es, wenn man sich die aufgerufenen URLs ansieht. Statt auf der Startseite oder im Shop landen diese "Besucher" auf Pfaden wie:

  • /wp-admin
  • /bak.zip
  • /config.php
  • /shell
  • /ads.txt
  • oder Zufälligen URLs die es noch nie gegeben hat

Was hier passiert, ist kein echtes Interesse an Ihren Inhalten. Ihre Seite wird gescannt.

Warum Singapur? (Und warum es nichts Persönliches ist)

Es ist ein weit verbreiteter Irrtum, dass diese Angriffe gezielt gegen Ihre Firma gerichtet sind. In 99% der Fälle handelt es sich um automatisierte Skripte, die das gesamte Internet nach Schwachstellen abgrasen.

Warum ausgerechnet Singapur? Das liegt an der Infrastruktur. In Singapur (ebenso wie in bestimmten Regionen der USA) stehen riesige Rechenzentren großer Cloud-Anbieter. Kriminelle Akteure mieten dort günstige Serverkapazitäten oder kapern schlecht geschützte IoT-Geräte, um riesige Bot-Netzwerke aufzubauen.

Diese Bots feuern Millionen von Anfragen ("Requests") auf zufällige Webseiten ab, in der Hoffnung, eine veraltete WordPress-Installation oder eine offene Konfigurationsdatei zu finden. Da Webseiten heute oft auf modernen Plattformen (wie Webflow, Shopify oder Headless-Systemen) laufen, laufen diese Anfragen ins Leere – aber sie hinterlassen Spuren.

Das technische Problem: Wenn der Fehler nicht als Fehler erkannt wird

Das Hauptproblem bei diesen Bot-Wellen ist oft nicht die Sicherheit (moderne Hoster blocken das meiste ab), sondern die Datenqualität und das SEO.

Wenn ein Bot eine URL wie ihreseite.de/gibt-es-nicht-123 aufruft, muss Ihr Server korrekt antworten: "Hier ist nichts". In der Fachsprache ist das der HTTP-Statuscode 404 (Not Found).

Leider sind viele Webserver falsch konfiguriert:

  1. Soft 404: Die Seite zeigt zwar "Seite nicht gefunden" an, sendet dem Bot aber technisch ein "Alles okay" (Status 200).
  2. Weiterleitungen: Die falsche URL wird automatisch auf die Startseite weitergeleitet (Status 301).

Warum ist das gefährlich?
Wenn Bots (auch Googlebot) ständig auf falsche URLs stoßen und dort scheinbar "gültige" Seiten finden, bläht sich der Index Ihrer Webseite mit Müll auf. Suchmaschinen verschwenden ihre Zeit damit, Fehlerseiten zu crawlen, statt Ihre echten Inhalte zu ranken. Zudem verfälscht es Ihre Analytics-Daten massiv.

Die Lösung: Was Sie tun können

Man kann das Internet nicht abschalten, aber man kann seine Haustür abschließen. Hier sind drei Strategien gegen den Bot-Spam.

1. Die Firewall (WAF) nutzen

Der effektivste Schutz passiert, bevor der Bot Ihre Webseite überhaupt erreicht. Dienste wie Cloudflare bieten eine sogenannte "Web Application Firewall".
Da die meisten lokalen Unternehmen keine echte Kundschaft in Singapur erwarten, kann man dort eine einfache Regel erstellen:

  • Wenn Besucher aus "Singapur" kommt -> Führe eine "Managed Challenge" durch.
    Echte Menschen lösen das Captcha in einer Sekunde. Bots scheitern und kommen gar nicht erst in Ihre Statistik.

2. Korrekte 404-Fehlerseiten erzwingen

Sprechen Sie mit Ihrer IT oder Ihrer Agentur. Es ist essenziell, dass nicht existierende Seiten einen harten 404 Statuscode zurückgeben und nicht auf die Startseite weiterleiten.
Nur so lernen Bots (und Google): "Hier gibt es nichts zu holen, hör auf, diese URL zu scannen."

3. Analytics bereinigen

Gute Analytics-Tools erlauben es, Bot-Traffic herauszufiltern. Wenn Sie keine serverseitige Blockierung (wie Punkt 1) nutzen können, sollten Sie Filter in Ihrem Dashboard einrichten:

  • Schließen Sie Traffic aus, bei dem die Sitzungsdauer 0 Sekunden beträgt und der User-Agent auf einen Bot hinweist.
  • Achten Sie auf den "Referrer". Echte Besucher kommen oft über Google oder Social Media. Bots haben oft keinen Referrer (Direct Traffic).

Traffic aus Singapur und seltsame URL-Aufrufe sind heute leider "Grundrauschen" im Internet. Sie sind meist nicht gefährlich, aber lästig für Marketing und Analyse. Mit der richtigen Server-Konfiguration und einer vorgeschalteten Firewall wie Cloudflare lässt sich das Problem jedoch in wenigen Minuten in den Griff bekommen – damit Ihre Daten wieder die echten Erfolge widerspiegeln.

Bereit, die nächsten Wachstumschancen zu entdecken?

30 Tage Kostenlos Testen