Google verklagt SerpAPI: Was SearchGuard über Bot-Erkennung verrät
Die Klage, die Googles Anti-Bot-Geheimnisse enthüllte
Am 19. Dezember 2025 reichte Google eine Klage gegen die in Texas ansässige SerpAPI LLC ein, mit der Behauptung, das Unternehmen habe SearchGuard umgangen, um täglich „Hunderte von Millionen" Anfragen von Google Search zu scrapen. Die rechtliche Grundlage ist DMCA Section 1201 - die Anti-Umgehungsvorschrift des Urheberrechts.
Sicherheitsforscher haben nun Version 41 des BotGuard-Skripts vollständig entschlüsselt und einen beispiellosen Einblick gegeben, wie Google Menschen von automatisierten Scrapern unterscheidet.
Was ist SearchGuard?
SearchGuard ist der interne Name für Googles BotGuard-System, wenn es auf Google Search angewendet wird. BotGuard (intern als „Web Application Attestation" bezeichnet) schützt Google-Dienste seit 2013 - YouTube, reCAPTCHA v3, Google Maps und mehr.
Im Gegensatz zu traditionellen CAPTCHAs arbeitet SearchGuard unsichtbar. Es sammelt kontinuierlich Verhaltenssignale und analysiert sie mit statistischen Algorithmen - alles ohne das Wissen des Nutzers.
Der Code läuft in einer Bytecode-Virtual-Machine mit 512 Registern, die speziell entwickelt wurde, um Reverse Engineering zu widerstehen.
Wie Google Bots erkennt
Das System verfolgt vier Kategorien von Verhalten in Echtzeit:
Mausbewegungen
Menschen bewegen Cursor nicht in geraden Linien. Wir folgen natürlichen Kurven mit Beschleunigung und Verzögerung.
Google verfolgt:
- Trajektorie (Pfadform)
- Geschwindigkeit
- Beschleunigung (Geschwindigkeitsänderungen)
- Jitter (Mikro-Zittern)
Erkennungsschwelle: Eine Mausgeschwindigkeitsvarianz unter 10 wird als Bot-Verhalten markiert. Normale menschliche Varianz liegt zwischen 50-500.
Tastaturrhythmus
Jeder hat eine einzigartige Tippsignatur. Google misst:
- Inter-Tasten-Intervalle
- Tastendruckdauer
- Fehlermuster
- Pausen nach Interpunktion
Erkennungsschwelle: Tastendruckdauervarianz unter 5ms zeigt Automatisierung an. Normales menschliches Tippen zeigt 20-50ms Varianz.
Scroll-Verhalten
Natürliches Scrollen hat variable Geschwindigkeit, Richtungswechsel und impulsbasierte Verzögerung. Programmatisches Scrollen ist oft zu glatt oder perfekt gleichmäßig.
Erkennungsschwelle: Scroll-Delta-Varianz unter 5px deutet auf Bot-Aktivität hin. Menschen zeigen typischerweise 20-100px Varianz.
Timing-Jitter
Dies ist das entscheidende Signal. Menschen sind inkonsistent.
Google verwendet Welfords Algorithmus, um die Varianz in Echtzeit mit konstantem Speicherverbrauch zu berechnen. Wenn Ihre Aktionsintervalle nahezu null Varianz haben, werden Sie markiert.
Erkennungsschwelle: Ereigniszahlen über 200 pro Sekunde zeigen Automatisierung an. Normale menschliche Interaktion erzeugt 10-50 Ereignisse pro Sekunde.
Die 100+ DOM-Elemente, die Google überwacht
Über das Verhalten hinaus erstellt SearchGuard einen Fingerabdruck Ihrer Browser-Umgebung durch Überwachung von über 100 HTML-Elementen:
- Hochprioritäts-Elemente: BUTTON, INPUT (Bots zielen oft auf interaktive Elemente)
- Struktur: ARTICLE, SECTION, NAV, ASIDE, HEADER, FOOTER, MAIN, DIV
- Interaktiv: DETAILS, SUMMARY, MENU, DIALOG
Es sammelt auch umfangreiche Browser- und Gerätedaten:
- Navigator-Eigenschaften (userAgent, platform, hardwareConcurrency, deviceMemory)
- Bildschirmeigenschaften (Dimensionen, colorDepth, devicePixelRatio)
- Performance-Timing-Präzision
- Sichtbarkeitsstatus (document.hidden, hasFocus())
WebDriver-Erkennung
Das Skript prüft speziell auf Automatisierungssignaturen:
navigator.webdriver(true wenn automatisiert)window.chrome.runtime(fehlt im Headless-Modus)- ChromeDriver-Signaturen (
$cdc_-Präfixe) - Puppeteer-Marker (
$chrome_asyncScriptInfo) - Selenium-Indikatoren (
__selenium_unwrapped)
Warum Umgehungen in Minuten obsolet werden
Das Skript generiert verschlüsselte Tokens mit einer ARX-Chiffre (Addition-Rotation-XOR) - ähnlich wie Speck, eine leichtgewichtige Blockchiffre, die 2013 von der NSA veröffentlicht wurde.
Die kritische Entdeckung: Die magische Konstante rotiert. Die kryptographische Konstante, die in die Chiffre eingebettet ist, ändert sich mit jeder Skript-Rotation.
Beobachtete Werte aus der Sicherheitsanalyse:
- Zeitstempel 16:04:21: Konstante = 1426
- Zeitstempel 16:24:06: Konstante = 3328
Das Skript wird von URLs mit Integritäts-Hashes bereitgestellt. Wenn sich der Hash ändert, lädt jeder Client eine neue Version mit neuen kryptographischen Parametern herunter.
Selbst wenn Sie das System vollständig reverse-engineeren, wird Ihre Implementierung mit dem nächsten Update ungültig.
Die OpenAI-Verbindung
SerpAPI ist nicht irgendein Scraping-Unternehmen. OpenAI verwendet teilweise Google-Suchergebnisse, die von SerpAPI gescrapt wurden, um ChatGPTs Echtzeit-Antworten zu betreiben. SerpAPI listete OpenAI noch im Mai 2024 als Kunden auf seiner Website.
Google lehnte OpenAIs direkte Anfrage zum Zugriff auf seinen Suchindex 2024 ab. Dennoch brauchte ChatGPT frische Suchdaten.
Google greift OpenAI nicht direkt an - es zielt auf ein wichtiges Glied in der Lieferkette, die seinen Haupt-KI-Konkurrenten versorgt.
Das große Bild für SERP-Scraping
Diese Klage folgt einem Muster der Zugangsverschärfung:
- Januar 2025: Google setzte SearchGuard ein und brach fast jeden SERP-Scraper über Nacht
- September 2025: Google entfernte den
num=100-Parameter und zwang Scraper, 10x mehr Anfragen zu stellen
Der kombinierte Effekt: Traditionelle Scraping-Ansätze werden zunehmend schwieriger und teurer zu warten.
Wenn SearchGuard als gültige „technologische Schutzmaßnahme" unter dem DMCA qualifiziert wird, könnte jede Plattform ähnliche Systeme mit rechtlicher Durchsetzungskraft einsetzen.
Was das für SEO-Tools bedeutet
Für alle, die Tools verwenden, die SERPs scrapen:
- Höhere Kosten: Mehr Anfragen nötig, anspruchsvollere Infrastruktur erforderlich
- Rechtliches Risiko: Drittanbieter-Scraper könnten ähnlichen Klagen gegenüberstehen
- Zuverlässigkeitsprobleme: Umgehungen können innerhalb von Minuten obsolet werden
Die Botschaft ist klar: Das alte Scraping-Playbook ist vorbei.
Offizielle APIs bleiben der stabile Weg
Googles Position ist effektiv: „Sie wollen unsere Daten? Gehen Sie durch offizielle Kanäle."
Für SEO-Profis und Entwickler, die zuverlässigen, konsistenten Zugang zu Suchdaten benötigen, bleibt die Nutzung offizieller APIs - oder API-Anbieter mit angemessener Infrastruktur - der nachhaltigste Ansatz.
Bei Autom überwachen wir diese Entwicklungen weiterhin und passen unsere Dienste entsprechend an. Die Landschaft ändert sich, aber der Bedarf an Suchdaten wird nicht verschwinden.