Der 20-Minuten-KI-Hack: Wie Betrüger Ihre Marke in Google Overviews kapern

Q: Kann ich verhindern, dass meine Website in AI Overviews erscheint?

Sie können nosnippet-Tags verwenden, aber der komplette Ausschluss aus KI-Suchfunktionen bedeutet in der Regel eine deutliche Verschlechterung Ihrer allgemeinen Suchsichtbarkeit. Die bessere Strategie ist, die Genauigkeit des Modells durch Entity SEO und proaktives GEO zu beeinflussen.

Q: Was ist der wichtigste Schritt zum Schutz meiner Marke?

Implementieren Sie umfassendes Schema.org-Markup (Organization, ContactPoint, Brand) auf Ihrer Homepage und Kontaktseiten und stellen Sie sicher, dass Ihre robots.txt KI-Crawlern den Zugang zu Ihren offiziellen Seiten erlaubt.

Q: Was ist das Vertrauensproblem bei der KI-Suche?

Studien zeigen, dass Nutzer 58% weniger wahrscheinlich auf einen Quellenlink klicken, wenn ein AI Overview vorhanden ist. KI liefert Informationen mit dem gleichen autoritativen Ton wie verifizierte Fakten, was KI-generierte Desinformation weitaus gefährlicher macht als ein verdächtiger Website-Link.

Letzte Aktualisierung: 20. February 2026

Thomas Germain brauchte genau 20 Minuten.

Der BBC-Technologiejournalist setzte sich hin, öffnete seinen persönlichen Blog und schrieb, was er später als „den dümmsten Artikel meiner Karriere" bezeichnete. Der Titel: „Die besten Tech-Journalisten im Hot-Dog-Essen." Jedes Wort war gelogen. Er behauptete — ohne jeglichen Beweis —, dass wettkampfmäßiges Hot-Dog-Essen ein beliebtes Hobby unter Tech-Reportern sei, verwies auf eine völlig erfundene Veranstaltung namens „2026 South Dakota International Hot Dog Championship" und setzte sich selbst auf Platz eins.

Weniger als 24 Stunden später wiederholten die einflussreichsten KI-Systeme der Welt seine Fiktion gegenüber jedem, der fragte.

Googles AI Overviews, Google Gemini und OpenAIs ChatGPT erklärten alle mit voller Überzeugung, Germain sei der weltbeste Hot-Dog-essende Tech-Journalist. Sie zitierten seinen gefälschten Artikel. Sie präsentierten den erfundenen Wettbewerb als real. Sie lieferten diese Lügen mit dem gleichen autoritativen, neutralen Ton, den sie für tatsächliche Fakten verwenden — wie wer den Zweiten Weltkrieg gewonnen hat oder wie die Hauptstadt von Frankreich heißt.

Wie Germain in seiner BBC-Untersuchung schrieb: „Eine wachsende Zahl von Menschen hat einen Trick entdeckt, wie man KI-Tools dazu bringen kann, fast alles zu sagen, was man will. Es ist so einfach, dass ein Kind es könnte."

Wenn Sie Markenmanager, CMO oder CISO sind, sollte Ihnen dieser Satz den Schlaf rauben. Denn derselbe Mechanismus, der die KI davon überzeugt hat, dass jemand Hot-Dog-Champion ist, kann sie davon überzeugen, dass Ihre Support-Nummer einem Betrugscallcenter gehört, dass Ihr Produkt gefährlich ist oder dass Ihr Wettbewerber die „offizielle" Empfehlung ist.

Inhaltsverzeichnis

Das Hot-Dog-Experiment: Anatomie eines 20-Minuten-Hacks
Es geht nicht nur um Hot Dogs: Echte Betrügereien, echte Opfer
Eine „Renaissance für Spammer"
Warum Nutzer darauf hereinfallen: Das Vertrauensproblem
Daten-Lücken: Der Motor der KI-Halluzinationen
Was Google und OpenAI sagen
Die Verteidigung: Entity SEO und GEO
Wie AICarma Markenübernahmen in Echtzeit erkennt
Fazit
FAQ

Das Hot-Dog-Experiment: Anatomie eines 20-Minuten-Hacks

Gehen wir genau durch, was passiert ist, denn die Einfachheit ist der springende Punkt.

Germain schrieb einen Beitrag auf seinem persönlichen Blog — keine High-Authority-Domain, kein Nachrichtenportal, einfach ein ganz normaler Blog. Er erfand ein Ranking von Tech-Journalisten nach ihrer Fähigkeit, Hot Dogs zu essen, schloss einige echte Journalisten ein, die ihm die Erlaubnis gegeben hatten (Drew Harwell von der Washington Post und Nicky Woolf, sein Podcast-Co-Moderator), und füllte den Rest mit fiktiven Namen auf.

Das war alles. Ein einziger Beitrag. Eine URL. Keine Backlinks. Keine SEO-Kampagne. Keine bezahlte Distribution.

Innerhalb von 24 Stunden:

Googles AI Overviews — die KI-generierte Antwortbox oben in der Google-Suche — gaben seine gefälschten Rankings wortgetreu wieder.
Google Gemini wiederholte die Behauptungen in der Gemini-App.
ChatGPT tat dasselbe mit Verlinkung auf seinen Artikel.
Nur Anthropics Claude ließ sich nicht täuschen.

Wenn die Chatbots gelegentlich anmerkten, die Behauptungen „könnten ein Witz sein", aktualisierte Germain seinen Artikel mit dem Hinweis „dies ist keine Satire." Danach nahmen die KIs es ernster.

Er hörte dort nicht auf. Er startete einen zweiten Test mit einer erfundenen Liste der „besten Hula-Hoop-Verkehrspolizisten", angeführt von der völlig fiktiven Beamtin Maria „Die Kreislerin" Rodriguez. Als er zuletzt nachschaute, lobten die Chatbots immer noch ihre Leistungen.

Gemini machte sich nicht einmal die Mühe zu zitieren, woher die Informationen stammten. Die anderen KIs verlinkten auf seinen Artikel, erwähnten aber selten, dass er die einzige Quelle im gesamten Internet für diese Behauptungen war.

„Jeder kann das machen. Es ist dumm, es fühlt sich an, als gäbe es dort überhaupt keine Leitplanken", sagt Harpreet Chatha, der die SEO-Beratung Harps Digital leitet. „Sie können einen Artikel auf Ihrer eigenen Website erstellen, ‚die besten wasserdichten Schuhe 2026'. Sie setzen einfach Ihre eigene Marke auf Platz eins und andere Marken auf die Plätze zwei bis sechs, und Ihre Seite wird wahrscheinlich in Google und in ChatGPT zitiert."

Es geht nicht nur um Hot Dogs: Echte Betrügereien, echte Opfer

Der Hot-Dog-Stunt sollte einen Punkt verdeutlichen. Aber dieselbe Technik wird bereits in großem Maßstab für weitaus gefährlichere Zwecke eingesetzt.

Cannabis-Gummibärchen „ohne Nebenwirkungen"

Chatha zeigte der BBC die KI-Ergebnisse, wenn man nach Bewertungen einer bestimmten Cannabis-Gummibärchen-Marke sucht. Googles AI Overviews zogen Informationen heran, die vom Unternehmen selbst verfasst wurden, voller falscher medizinischer Behauptungen, einschließlich dass das Produkt „frei von Nebenwirkungen und daher in jeder Hinsicht sicher" sei. In Wirklichkeit haben Cannabis-Produkte bekannte Nebenwirkungen, können mit Medikamenten interagieren, und Experten warnen vor Verunreinigungen in unregulierten Märkten.

Gefälschte Haartransplantationskliniken und Gold-IRA-Betrug

Für diejenigen, die bereit sind, etwas Geld auszugeben, wird der Hack noch effektiver. Die BBC fand heraus, dass Googles KI-Ergebnisse für „beste Haartransplantationskliniken in der Türkei" und „die besten Gold-IRA-Unternehmen" durch Pressemitteilungen gespeist wurden, die über bezahlte Distributionsdienste veröffentlicht wurden, sowie durch gesponserte Werbeinhalte auf Nachrichtenseiten. Diese bezahlten Platzierungen — gestaltet, um wie redaktionelle Inhalte auszusehen — wurden von der KI aufgenommen und den Nutzern als objektive Empfehlungen präsentiert.

Algorithmische Updates mit Pizza erfinden

Die SEO-Expertin Lily Ray ging noch weiter. Sie veröffentlichte einen Blogbeitrag über ein komplett erfundenes Update des Google-Such-Algorithmus, das angeblich „zwischen Scheiben übrig gebliebener Pizza" finalisiert wurde. Bald wiederholten sowohl ChatGPT als auch Google ihre Geschichte als Tatsache — inklusive des Pizza-Details. Ray nahm den Beitrag anschließend herunter und deindexierte ihn, um die Verbreitung von Desinformation zu stoppen.

Dieses Phänomen wird durch akademische Forschung bestätigt. In Studien zum „Data Poisoning" von LLMs haben Forscher gezeigt, dass selbst robuste Modelle durch relativ geringfügige, gezielte Einschleusung falscher Informationen während des Retrieval verzerrt werden können, was zu Halluzinationen mit hoher Konfidenz führt (Carlini et al., „Poisoning Web-Scale Training Datasets is Practical", 2023).

Eine „Renaissance für Spammer"

Zwei Jahrzehnte lang war Googles traditioneller Suchindex gegen Manipulation gefestigt. Die Manipulation klassischer Blue-Link-Rankings für wettbewerbsfähige Keywords erforderte High-Authority-Domains, massive Backlink-Kampagnen und erhebliche Budgets.

Die KI-Suche hat einen Großteil dieses Fortschritts zunichtegemacht.

„Es ist einfach, KI-Chatbots zu täuschen, viel einfacher, als Google vor zwei oder drei Jahren zu täuschen", sagt Lily Ray, Vice President für SEO-Strategie und -Forschung bei Amsive. „Die KI-Unternehmen bewegen sich schneller, als sie die Genauigkeit der Antworten regulieren können. Ich halte das für gefährlich."

Ray sagt, diese KI-Manipulationstricks seien so grundlegend, dass sie an die frühen 2000er Jahre erinnern, bevor Google überhaupt ein Web-Spam-Team gegründet hatte. „Wir befinden uns in einer Art Renaissance für Spammer."

Der Angriffsvektor ist erschreckend einfach:

Identifizieren Sie eine „Daten-Lücke": Finden Sie eine Long-Tail-Suchanfrage, bei der autoritative Informationen rar sind.
Pflanzen Sie den Samen: Veröffentlichen Sie gefälschten, aber überzeugend klingenden Content auf Plattformen, die KIs scrapen — persönliche Blogs, Reddit, Pressemitteilungs-Aggregatoren, Quora, LinkedIn Pulse.
KI-Aufnahme: Die Modelle, hungrig nach frischen Antworten, nehmen die vergifteten Daten auf. Ohne starke Gegensignale akzeptieren sie die Fälschung als Tatsache.
Das Ergebnis: Die KI präsentiert die Lüge mit vollständiger, autoritativer Zuversicht an Nutzer weltweit.

„Es gibt unzählige Möglichkeiten, dies zu missbrauchen — Menschen betrügen, jemandes Ruf zerstören, man könnte sogar Menschen dazu verleiten, sich körperlich zu schaden", sagt Cooper Quintin, Senior Staff Technologist bei der Electronic Frontier Foundation.

Warum Nutzer darauf hereinfallen: Das Vertrauensproblem

Es geht nicht nur darum, dass KI leichtgläubig ist. Es geht darum, dass Menschen leichtgläubig sind, wenn KI spricht.

Bei traditionellen Suchergebnissen musste man eine Website besuchen, um Informationen zu erhalten. Das schuf einen natürlichen Moment der Bewertung. „Wenn man tatsächlich einen Link besuchen muss, üben die Menschen etwas mehr kritisches Denken aus", sagt Quintin. „Wenn ich auf Ihre Website gehe und dort steht, Sie seien der beste Journalist der Welt, könnte ich denken, ‚na ja, er ist voreingenommen'."

Aber KI verändert die Gleichung vollständig. Die Information sieht aus, als käme sie direkt vom Technologieunternehmen — Google, OpenAI oder wem auch immer — nicht von einem zufälligen Blogger oder Betrüger.

Die Daten bestätigen dies. Eine aktuelle Studie hat ergeben, dass Nutzer 58 % weniger wahrscheinlich auf einen Link klicken, wenn ein AI Overview erscheint. Das bedeutet, dass Nutzer der synthetisierten KI-Antwort vertrauen, ohne die Quelle zu überprüfen.

Selbst wenn KI-Tools Quellenlinks bereitstellen, überprüfen Nutzer sie selten. Die KI präsentiert Informationen mit so klarer, autoritativer Zuversicht, dass sie den Reflex des kritischen Denkens vollständig umgeht.

„KI-Tools liefern Lügen mit dem gleichen autoritativen Ton wie Fakten", stellte die BBC-Untersuchung fest. „Früher zwangen Suchmaschinen die Nutzer, Informationen selbst zu bewerten. Jetzt will die KI das für Sie tun."

Wenn ein Nutzer über eine KI-generierte falsche Support-Nummer betrogen wird, gibt er nicht Google die Schuld. Er gibt Ihrer Marke die Schuld.

Daten-Lücken: Der Motor der KI-Halluzinationen

Google selbst hat den Kern des Problems eingestanden. Ein Google-Sprecher sagte der BBC, dass es für ungewöhnliche oder unsinnige Suchanfragen möglicherweise nicht viele gute Informationen gebe und diese „Daten-Lücken" zu qualitativ schlechten Ergebnissen führen können.

Aber hier liegt der Haken. Google sagt auch, dass 15 % der täglichen Suchanfragen völlig neu sind. Das sind hunderte Millionen Anfragen pro Tag, für die autoritative Informationen möglicherweise noch nicht existieren. Und da KI die Nutzer ermutigt, spezifischere, konversationelle Fragen zu stellen, explodiert die Zahl der Daten-Lücken.

Dies schafft den perfekten Sturm für Markenkapern:

Faktor	Warum es wichtig ist
Komplexe offizielle Websites	Wenn Ihre „Kontakt"-Seite eine JavaScript-App hinter CAPTCHAs ist, kann die KI sie nicht lesen
Restriktive `robots.txt`	Das Blockieren von `GPTBot` oder `Google-Extended` verhindert, dass KI Ihre Wahrheit lernt
PDFs und gesperrte Inhalte	Offizielle Dokumentation in Formaten vergraben, die KI nicht leicht parsen kann
Keine strukturierten Daten	Ohne Schema.org-Markup kann KI Ihre offiziellen Daten nicht vom Forumsrauschen unterscheiden

Wenn die offiziellen Daten Ihrer Marke für die KI unsichtbar sind, haben Sie ein Vakuum geschaffen. Und wie Germain bewies, braucht man nur 20 Minuten und einen Blogbeitrag, um dieses Vakuum mit Lügen zu füllen.

Wir haben ausführlich über diese Dynamik in unserer Analyse des Syndrom der unsichtbaren Marke geschrieben — den Zustand, in dem KI-Modelle schlicht nicht wissen, dass Ihre Marke existiert, oder schlimmer, selbstbewusst falsche Fakten über Sie behaupten. Was Germains Experiment demonstriert, ist die waffenfähige Version: Angreifer füllen das Vakuum gezielt mit Betrug.

Was Google und OpenAI sagen

Beide Unternehmen haben auf die BBC-Untersuchung reagiert.

Ein Google-Sprecher sagte, die in die Google-Suche integrierte KI verwende Ranking-Systeme, die „die Ergebnisse zu 99 % spamfrei halten." Google gibt an, sich bewusst zu sein, dass Personen versuchen, seine Systeme zu manipulieren, und arbeite aktiv daran. Das Unternehmen wies auch darauf hin, dass viele der Hack-Beispiele „extrem seltene Suchanfragen betreffen, die nicht die normale Nutzererfahrung widerspiegeln."

Aber diese Verteidigung geht völlig am Punkt vorbei. Wie Lily Ray anmerkt, zeigen Googles eigene Daten, dass 15 % der täglichen Suchen völlig neu sind. KI ist buchstäblich darauf ausgelegt, spezifischere Nischenfragen zu fördern — genau die Art, die am anfälligsten für Datenvergiftung ist.

OpenAI gibt an, Maßnahmen zu ergreifen, um Versuche der verdeckten Beeinflussung ihrer Tools zu unterbinden. Beide Unternehmen sagen, sie informieren die Nutzer, dass ihre Tools „Fehler machen können."

„Sie geben Vollgas, um herauszufinden, wie sie Profit daraus schlagen können", sagt Cooper Quintin von der EFF. „Im Wettlauf um Vorsprung, dem Wettlauf um Gewinne und dem Wettlauf um Umsatz wird unsere Sicherheit, und die Sicherheit der Menschen im Allgemeinen, kompromittiert."

Die Verteidigung: Entity SEO und GEO

Man kann Google nicht „patchen". Man kann sich nicht aus den AI Overviews ausklinken, ohne die gesamte digitale Präsenz zu begraben. Die einzige tragfähige Strategie ist proaktive Generative Engine Optimization (GEO) und robustes Entity SEO.

Entity SEO ist der Prozess, die Daten Ihrer Marke so klar, zugänglich und autoritativ zu machen, dass kein probabilistisches LLM jemals einen zufälligen Blogbeitrag über Ihr verifiziertes Signal stellen könnte.

1. Daten-Lücken mit Schema.org schließen

Verlassen Sie sich nicht darauf, dass die KI Ihre Kontaktinformationen „herausfindet". Deklarieren Sie sie explizit mit robustem, maschinenlesbarem JSON-LD-Schema-Markup — Organization, ContactPoint, Brand und Product.

2. Öffnen Sie die Türen für KI-Crawler

Überprüfen Sie Ihre robots.txt-Strategie. Wenn Sie Google-Extended, GPTBot oder ClaudeBot daran hindern, Ihre „Über uns"-, „Kontakt"- und Richtlinienseiten zu crawlen, verhindern Sie ausdrücklich, dass die KI Ihre Wahrheit lernt.

3. Implementieren Sie `llms.txt`

Übernehmen Sie den aufkommenden llms.txt-Standard — eine Klartextdatei im Root Ihrer Domain, die als direkter Datenfeed für RAG-Systeme dient.

4. Dominieren Sie den Informationsraum Ihrer eigenen Entität

Lassen Sie keine Daten-Lücken, die Betrüger füllen könnten. Veröffentlichen Sie klare, crawlbare, strukturierte Inhalte über Ihre Marke auf mehreren autoritativen Plattformen. Wie Germains Experiment bewies, kann ein einziger Blogbeitrag ausreichen, um Sie in den Augen der KI zu definieren. Stellen Sie sicher, dass die definierenden Beiträge Ihre eigenen sind.

Wie AICarma Markenübernahmen in Echtzeit erkennt

Traditionelle Monitoring-Tools — Brand24, Mention, Google Alerts — scrapen das Surface Web. Sie suchen nach Keywords in Foren, Nachrichtenseiten und sozialen Medien.

Sie können KI nicht scrapen.

AI Overviews werden dynamisch generiert, oft nicht-deterministisch, für jeden Nutzer. Es gibt keine statische URL zum Crawlen. Eine Betrugs-Supportnummer könnte für 20 % der Nutzer in Berlin zwischen 14–16 Uhr erscheinen und dann verschwinden. Ihre Standard-Dashboards zeigen grüne Lichter, während Ihre Marke im Schatten gekapert wird.

Genau deshalb haben wir den KI-Sichtbarkeits-Score entwickelt.

Unsere Plattform führt Adversarial Brand Testing durch — aktives Befragen von Google Gemini, ChatGPT, Claude und Perplexity mit tausenden Variationen von Kundenabsicht-Anfragen:

„Wie kontaktiere ich den [Ihre Marke]-Support?"
„Was ist die Rückgaberichtlinie von [Ihre Marke]?"
„Ist [Ihre Marke] seriös?"

Wir überwachen Ihren Share of Model — den Prozentsatz der Zeit, in der die KI die korrekte, verifizierte Antwort liefert gegenüber einer Halluzination oder Konkurrenz-Daten. Wenn unser System erkennt, dass ein KI-Modell falsche Informationen über Ihre Marke liefert, lösen wir einen sofortigen Alarm mit forensischen Beweisen aus.

Fazit

Thomas Germains 20-Minuten-Experiment mit Hot Dogs und Hula-Hoop-Verkehrspolizisten war nicht nur ein cleverer Stunt. Es war ein Proof of Concept für eine neue Klasse von Angriffen auf die Markenintegrität.

Die Ära der zehn blauen Links und des Keyword-Stuffings ist vorbei. Ihre Marke ist jetzt ein mathematisches Objekt im latenten Raum eines globalen neuronalen Netzwerks. Wenn dieses Objekt undefiniert ist, kann jeder mit einem Blog und 20 freien Minuten es für Sie definieren.

„Man muss immer noch ein guter Bürger des Internets sein und Dinge überprüfen", sagte Ray der BBC.

Stimmt. Aber als Marke können Sie nicht Millionen von Kunden bitten, jede KI-Antwort über Sie zu überprüfen. Sie müssen Ihre Entität sichern — und Sie brauchen Tools, die sehen können, was die KI sieht.

Lassen Sie keinen Betrüger die Geschichte Ihrer Marke schreiben. Holen Sie sich Ihren KI-Sichtbarkeits-Score heute.

FAQ

Kann ich verhindern, dass meine Website in AI Overviews erscheint? Sie können nosnippet-Tags verwenden, aber der komplette Ausschluss aus KI-Suchfunktionen bedeutet in der Regel eine deutliche Verschlechterung Ihrer allgemeinen Suchsichtbarkeit. Die bessere Strategie ist, die Genauigkeit des Modells durch Entity SEO und proaktives GEO zu beeinflussen.

Wie einfach ist es wirklich, KI-Suchergebnisse zu hacken? Wie BBC-Journalist Thomas Germain demonstrierte, reichte ein einziger Blogbeitrag auf einer persönlichen Website ohne Backlinks oder SEO-Kampagne aus, um das zu ändern, was ChatGPT und Googles AI Overviews den Nutzern innerhalb von 24 Stunden sagten. Bei seltenen Suchanfragen (Daten-Lücken) ist die Manipulationshürde extrem niedrig.

Warum erkennen traditionelle SEO- oder Markenüberwachungstools das nicht? Traditionelle Tools verfolgen statische URLs und Rankings im Surface Web. AI Overviews generieren einzigartige, dynamische Antworten für jeden Nutzer. Ein Betrugs-Ergebnis könnte 20 % der Zeit und nur in bestimmten Regionen erscheinen. Sie benötigen generative Monitoring-Tools, die KI-Modelle direkt befragen.

Was ist der wichtigste Schritt zum Schutz meiner Marke? Implementieren Sie umfassendes Schema.org-Markup (Organization, ContactPoint, Brand) auf Ihrer Homepage und Kontaktseiten. Stellen Sie sicher, dass Ihre robots.txt KI-Crawlern den Zugang zu Ihren offiziellen Seiten erlaubt.

Was ist das „Vertrauensproblem" bei der KI-Suche? Studien zeigen, dass Nutzer 58 % weniger wahrscheinlich auf einen Quellenlink klicken, wenn ein AI Overview vorhanden ist. KI liefert Informationen — einschließlich Fehlern — mit dem gleichen autoritativen Ton wie verifizierte Fakten. Nutzer vertrauen der Synthese, ohne Quellen zu überprüfen, was KI-generierte Desinformation weitaus gefährlicher macht als ein verdächtiger Website-Link.