Cloaking

Cloaking bezeichnet das Ausliefern unterschiedlicher Inhalte an Suchmaschinen-Crawler und menschliche Besucher unter derselben URL. Google stuft Cloaking in den Search Essentials als Spam-Verstoß ein. Die Konsequenzen reichen von algorithmischer Abwertung über manuelle Penalties bis zur vollständigen Deindexierung der Domain. Googles KI-gestütztes SpamBrain-System erkennt Cloaking-Muster mittlerweile innerhalb weniger Tage, bei Wiederholungstätern erfolgt die Entfernung aus dem Suchindex in unter zwei Wochen.

Was ist Cloaking und wie funktioniert es technisch?

Beim Cloaking erkennt der Server den Besucher anhand technischer Merkmale und liefert je nach Ergebnis unterschiedliche HTML-Dokumente aus. Google sieht eine keyword-optimierte, textlastige Version. Der Nutzer sieht eine andere Darstellung. Die Entscheidung, welche Version ausgeliefert wird, basiert auf IP-Adressen, User-Agent-Strings oder HTTP-Headern der eingehenden Anfrage.

Die vier technischen Hauptmethoden unterscheiden sich in ihrer Erkennbarkeit und der Geschwindigkeit, mit der Google sie identifiziert.

• User-Agent-Cloaking: Der Server prüft den User-Agent-String der HTTP-Anfrage. Enthält er “Googlebot” oder “Bingbot”, wird eine crawler-spezifische HTML-Version ausgeliefert. Menschliche Besucher mit einem regulären Browser-User-Agent erhalten eine andere Seite. Diese Methode ist am weitesten verbreitet und gleichzeitig am leichtesten erkennbar, Google identifiziert sie typischerweise innerhalb von 7 bis 14 Tagen.
• IP-basiertes Cloaking: Die IP-Adresse des Besuchers wird gegen bekannte Crawler-IP-Bereiche abgeglichen. Googles Crawler-IPs sind öffentlich dokumentiert. Bei einem Treffer wird eine crawler-optimierte Version geladen. Die Erkennung erfolgt oft sofort, weil Google die eigenen IP-Bereiche kennt und Abweichungen direkt feststellt.
• JavaScript-basiertes Cloaking: Der initiale HTML-Code enthält crawler-optimierte Inhalte. Per JavaScript werden nach dem Seitenaufbau andere Inhalte für Browser-Nutzer nachgeladen. Da Googles Web Rendering Service JavaScript vollständig ausführt, funktioniert diese Methode zunehmend schlechter. Die Erkennungsdauer liegt bei 14 bis 30 Tagen.
• HTTP-Header-Cloaking: Der Server entscheidet anhand von Accept-Language, Referer oder anderen HTTP-Headern, welche Seitenvariante ausgeliefert wird. Google erkennt diese Variante in 3 bis 10 Tagen.

Warum wird Cloaking eingesetzt?

Cloaking wird trotz der Risiken aus drei Hauptgründen eingesetzt, die alle gegen die Google Search Essentials verstoßen. Die Motivation reicht von kurzfristiger Ranking-Manipulation über Werbetarnung bis hin zur Verbreitung schädlicher Inhalte.

• Ranking-Manipulation: Dem Crawler wird eine text- und keywordreiche Version gezeigt, dem Nutzer eine visuell aufbereitete Seite mit wenig Text. Das erzeugt kurzfristig Ranking-Vorteile bei gleichzeitig anderer Nutzererfahrung.
• Tarnung kommerzieller Inhalte: Affiliate-Links, Banner und Tracking-Pixel werden vor dem Googlebot versteckt. Der Bot sieht eine informative Seite, der Nutzer sieht primär Werbeinhalte.
• Verbreitung schädlicher Inhalte: Malware-Seiten zeigen Google harmlosen Content, leiten Nutzer aber auf Phishing-Seiten oder zu Malware-Downloads weiter. Laut Googles Spam-Update vom Oktober 2025 betrifft diese Kategorie einen wachsenden Anteil der erkannten Cloaking-Fälle.

Welche Strafen drohen bei Cloaking?

Google setzt zwei Systeme zur Erkennung ein: manuelle Überprüfungen durch das Search-Quality-Team und das automatische SpamBrain-System, das seit 2022 Googles Hauptwerkzeug zur Spam-Erkennung ist. Die Spam-Updates vom August und Oktober 2025 haben die Erkennungsrate signifikant erhöht, betroffene Seiten verlieren durchschnittlich 65 % ihrer Sichtbarkeit innerhalb von 30 Tagen.

Konsequenz	Beschreibung	Erholungszeit
Manuelle Penalty	Eintrag unter “Manuelle Maßnahmen” in der Search Console, erfordert Reconsideration Request	Wochen bis Monate
Algorithmische Abwertung	SpamBrain erkennt Cloaking-Muster automatisch, kein Eintrag in der Search Console	Monate, abhängig vom nächsten Core Update
Vollständige Deindexierung	Google entfernt die gesamte Domain aus dem Index, keine Suchergebnisse mehr	Monate bis permanent

Cloaking-Domains hinterlassen häufig toxische Linkprofile, die auch verlinkte Seiten gefährden. Wer eingehende Verweise von solchen Domains erhält, sollte diese per Disavow-Tool in der Search Console entwerten.

Wie erkennt man Cloaking?

Es gibt mehrere Methoden, um Cloaking auf der eigenen oder einer fremden Website zu identifizieren. Regelmäßige Prüfungen sind besonders wichtig, weil fehlerhafte Server-Konfigurationen oder CDN-Einstellungen unbeabsichtigt Cloaking-Muster erzeugen können.

• Google Cache prüfen. Die gecachte Version einer Seite in der Google-Suche (via cache:url) zeigt, was Google gesehen hat. Weicht diese Version stark von der Live-Seite ab, liegt Cloaking vor.
• URL-Prüfung in der Search Console. Das Tool zeigt den gerenderten HTML-Code, den Google empfängt. Abweichungen zur Nutzerversion sind sofort erkennbar.
• User-Agent wechseln. Browser-Erweiterungen oder curl-Befehle mit verschiedenen User-Agent-Strings zeigen, ob der Server unterschiedliche Inhalte ausliefert.
• Screaming Frog mit Googlebot-UA. Ein Crawl mit Googlebot-User-Agent im Vergleich zu einem regulären Browser-Crawl deckt seitenweite Abweichungen auf.
• Server-Logs analysieren. Die Zugriffsprotokolle zeigen, welche Inhalte an welchen User-Agent ausgeliefert wurden. Auffällige Muster bei Crawler-Anfragen deuten auf Cloaking hin.

Wo liegt die Grenze zwischen Cloaking und legitimem Verhalten?

Nicht jede unterschiedliche Auslieferung von Inhalten ist Cloaking. Google unterscheidet klar zwischen Manipulation und legitimem Verhalten. Die zentrale Regel: Der Googlebot muss exakt dieselben Inhalte sehen wie ein menschlicher Besucher unter denselben Bedingungen (Standort, Sprache, Gerätetyp). Jede absichtliche Abweichung davon ist Cloaking.

• Responsive Design: Unterschiedliche Darstellungen für Desktop und Mobile sind kein Cloaking, solange der Inhalt identisch ist.
• Geo-Targeting: Standortbasierte Content-Anpassung (z.B. lokale Preise, Sprache per Hreflang) ist erlaubt, solange der Googlebot dieselbe Version sieht wie ein Nutzer am selben Standort.
• Personalisierung: Login-basierte Inhalte oder personalisierte Empfehlungen sind kein Cloaking, solange der nicht-eingeloggte Content für Google und Nutzer identisch ist.
• Paywalls und Flexible Sampling: Nachrichtenseiten, die nach dem ersten Klick aus der Google-Suche den vollen Artikel zeigen und danach eine Paywall aktivieren, nutzen ein von Google toleriertes Modell. Google hat Flexible Sampling 2017 als Ersatz für First-Click-Free eingeführt.
• A/B-Testing: Google erlaubt A/B-Tests ausdrücklich, solange der Googlebot nicht gezielt eine andere Variante erhält als reguläre Nutzer.

Wie unterscheidet sich Cloaking von Doorway Pages?

Cloaking und Doorway Pages sind beides Spam-Techniken, die in den Google Search Essentials verboten sind. Der Unterschied liegt in der Ebene der Manipulation: Cloaking manipuliert den Inhalt einer einzelnen URL, Doorway Pages manipulieren die Seitenstruktur einer gesamten Domain.

Beim Cloaking liefert eine URL zwei verschiedene Inhalte, einen für den Crawler und einen für den Nutzer. Bei Doorway Pages handelt es sich um eigenständige, keyword-optimierte Seiten, die nur als Einstiegspunkte dienen und per Redirect oder Klick zur eigentlichen Zielseite weiterleiten. Google erkennt Doorway Pages an dünnem Inhalt, fehlender interner Verlinkung und Redirect-Ketten. Beide Techniken führen zu denselben Konsequenzen: manuelle Penalties, algorithmische Abwertung oder Deindexierung.

Hat Cloaking rechtliche Konsequenzen in Deutschland?

Cloaking allein ist nicht strafbar. Rechtliche Relevanz entsteht durch die Kombination mit anderen Verstößen: Betrug nach 263 StGB (bei gezielter Täuschung mit Vermögensschaden), unlauterer Wettbewerb nach UWG (irreführende Werbung), Urheberrechtsverletzung nach 106 UrhG und DSGVO-Verstöße bei unrechtmäßiger Datenverarbeitung durch Cloaking-Skripte.

Was tun bei einer Cloaking-Penalty?

Bei einer manuellen Penalty erscheint ein Eintrag unter “Manuelle Maßnahmen” in der Google Search Console. Vier Schritte sind nötig: (1) Das Cloaking-Verhalten vollständig identifizieren und entfernen, alle Server-Konfigurationen, .htaccess-Regeln und JavaScript-Snippets prüfen. (2) Per URL-Prüfung verifizieren, dass Googlebot und Nutzer identische Inhalte sehen. (3) Einen Reconsideration Request einreichen, der konkret beschreibt, welches Cloaking vorlag und welche Maßnahmen ergriffen wurden. (4) Die Bearbeitungszeit von 2 bis 4 Wochen abwarten. Bei algorithmischer Abwertung durch SpamBrain gibt es keinen Reconsideration-Prozess, die Erholung tritt erst mit dem nächsten Core Update ein. Eine regelkonforme technische Optimierung der Website minimiert das Risiko versehentlicher Cloaking-Muster durch fehlerhafte Server- oder CDN-Konfigurationen.