--- title: "Folge 3- GEO-Tracking, Secrets Storage, Spam-Backlinks & MCP Release - Zwischen zwei Stacks" description: "GEO-Erfolgstracking mit Mentions und Citations, Secrets-Management jenseits der .env-Datei, warum Spam-Backlinks Google kalt lassen und das größte MCP-Update seit dem Launch." --- episode 03 / 58:16 # GEO-Tracking, Secrets Storage, Spam-Backlinks & MCP Release Vier Themen aus der Praxis: GEO-Erfolgstracking und die neuen KPIs Mentions und Citations, IT-Sicherheit in der KI-Ära mit Secrets-Management jenseits der .env-Datei, warum die Flut an Spam-Backlinks Google kalt lässt und das größte MCP-Update seit dem Launch — das Protokoll wird stateless. mit [Jens Becker](/hosts/jens-becker) & [Christoph Paterok](/hosts/christoph-paterok) 3\. Juni 2026 jetzt anhören auf - [Auf YouTube anhören](https://www.youtube.com/watch?v=fXtWMZ6nJxY) - [Auf Spotify anhören](https://open.spotify.com/episode/4zXCRxzBomEyU5vtkjhCUS) - [Auf Apple Podcasts anhören](https://podcasts.apple.com/us/podcast/folge-3-geo-tracking-secrets-storage-spam-backlinks/id1896309882?i=1000770949470) - [Auf Deezer anhören](https://www.deezer.com/de/episode/887427701) ## Intro & eine Korrektur Dritte Folge — und bevor es losgeht, eine Richtigstellung aus Folge zwei: Christoph hatte gesagt, Hanns Kronenberg, der hinter [groundingpage.com](https://groundingpage.com/) steckt, sei der Gründer von Sistrix. Das stimmt so nicht — er hat lange dort gearbeitet, ist aber nicht der Gründer. Ansonsten wie immer: zwei Stacks, vier Themen aus der echten Arbeit. Jens bringt IT-Sicherheit und das große MCP-Update mit, Christoph GEO-Erfolgstracking und ein paar Sätze zu Spam-Backlinks. ## SEO-Tracking vs. GEO-Tracking [![Vergleichstabelle zwischen klassischem SEO-Tracking und neuem GEO-Tracking zeigt Kennzahlen wie Besucher, Klicks, Impressionen, Position (SEO) und zusätzlich Citations sowie Mentions (GEO).](https://www.zwischenzweistacks.de/media/seo-vs-geo-1024x640.png)](https://www.zwischenzweistacks.de/media/seo-vs-geo-2560x1600.png) Das klassische SEO-Tracking ist schnell erzählt: Im Web-Analyse-Tool sieht man die Besuche aus der organischen Suche — Google, Bing und Co. Dazu kommen Google Search Console bzw. Bing Webmaster Tools, die zeigen, wie oft man in den Suchergebnissen erschienen ist, welche durchschnittliche Position man hat und wie viele Klicks dabei herauskommen. Das ist der Standard-Stack, sehr basic, aber er deckt gut 80 Prozent von dem ab, was man wirklich braucht. Welches Analyse-Tool dahintersteckt, ist dabei zweitrangig. Viele nutzen weiterhin Google Analytics, was völlig in Ordnung ist. Christoph setzt seit Jahren auf Plausible — deutlich weniger Zahlen als Google Analytics, dafür einfacher und datenschutzfreundlicher. Bei GEO kommen zwei wirklich neue Kennzahlen dazu: Mentions (wie oft werde ich erwähnt?) und Citations (wie oft werde ich als Quelle zitiert, also mit einem Link?). Die sind nicht so bequem zu tracken wie Impressions in der Search Console, weil ChatGPT, Perplexity und Co. (noch) keine vergleichbaren Tools anbieten. Bei den Bing Webmaster Tools gibt es immerhin schon eine erste AI-Performance-Ansicht. ## LLM-Traffic in Plausible messen Als Beispiel dient [autoauctionatlas.com](https://www.autoauctionatlas.com/) — ein B2B-Directory für Autoauktionsseiten weltweit. Das Spannende: Die Seite bekommt deutlich mehr Traffic aus LLMs als aus Google. In Plausible, vom Jahresanfang bis heute, kommen rund 53 Prozent des Traffics allein von ChatGPT, dazu Perplexity. Ein Teil des LLM-Traffics landet allerdings noch als Direct Traffic in der Statistik — im Beispiel werden 210 Besuche als ChatGPT-Referrer erkannt, während 662 als Direct gezählt werden. Der entscheidende Kniff: ChatGPT, Perplexity und sogar Copilot hängen UTM-Parameter an. Filtert man in Plausible nach UTM-Source, sieht man ziemlich genau, wie viel Traffic von welchem LLM kommt. Claude macht das aktuell nicht, aber für einen guten Überblick reicht es allemal. ## Gute Rankings heißen nicht gleich Sichtbarkeit in LLMs Auf der Beispielseite kommen nur rund 12 Prozent des Traffics von Google und gerade mal 2 Prozent von Bing — der Rest aus LLMs. Dazu passt eine Studie von Ahrefs aus dem August 2025: Sie haben 15.000 Longtail-Queries bei Google und Bing gesucht und dieselben Fragen bei ChatGPT, Gemini, Copilot und Perplexity eingegeben, um den Overlap zu finden. Das Ergebnis: Nur etwa 12 Prozent der URLs, die in KI-Assistenten auftauchen, ranken für dieselbe Frage auch in den Google Top 10. Anders gesagt — rund 90 Prozent der in KI zitierten URLs stehen bei Google nicht auf der ersten Seite, sondern weit hinten oder gar nicht. Christoph war lange der Meinung, gutes SEO bedeute automatisch gutes GEO. Von dieser Aussage rückt er langsam ab: GEO wird eine eigene Disziplin. Das passt zum Thema Grounding Pages aus der letzten Folge — einen eigenen Faktenlayer aufzubauen, einmal für die User und einmal für die KI. Das muss nicht zwingend eine komplett eigene Seite sein; oft lässt sich das auch auf einer bestehenden User-Seite mit abdecken. ## Mentions und Citations verstehen Mentions und Citations sind die beiden zentralen KPIs im GEO-Bereich. Christoph hat das in Claude durchgespielt: Prompt war „Was sind die besten Eismaschinen für zu Hause und worauf sollte man beim Kauf achten, um cremiges Eis ohne Vorgefrieren zu bekommen?“ — danach die Bitte, alle Mentions und Citations aufzulisten und zu prüfen, ob Stiftung Warentest bzw. test.de dabei ist. Nach Web-Recherche und Grounding nennt das Modell konkrete Kaufempfehlungen — Medion, Springlane, WMF und Co. Das sind die Mentions: erwähnte Marken und Produkte. Die Citations sind aber etwas ganz anderes — hier waren es test.de, t-online.de, stern.tv.de, wunderweib.de und wunschkindcommunity.de. Erwähnt zu werden heißt eben nicht, auch verlinkt zu werden. Je nach Projekt hat man unterschiedliche Ziele. Für den Auto-Auction-Atlas geht es Christoph eher darum, die Citation, also die zitierte Quelle, zu sein — die Seite listet ja all diese Marken und Plattformen auf und wird dadurch oft als Quelle genannt. Bei anderen Projekten will man eher die Mention sein. ## Marktanteile der LLMs [![Diagramm zeigt die Marktanteile von KI-Sprachmodellen im Januar 2026 mit ChatGPT führend bei 79,5 %, gefolgt von Perplexity, Gemini und Copilot, mit Anmerkungen zu Wachstum und Stabilität.](https://www.zwischenzweistacks.de/media/llm-marktanteile-1024x640.png)](https://www.zwischenzweistacks.de/media/llm-marktanteile-2560x1600.png) Ein kurzer Blick auf die Marktanteile im DACH-Raum — die aktuellsten Zahlen, die Christoph finden konnte: ChatGPT liegt bei rund 79,5 Prozent, Perplexity bei etwa 10 Prozent, Gemini bei rund 5,3 Prozent, dann folgt Copilot. Spannender als die Momentaufnahme ist der Trend: ChatGPT verliert pro Monat rund 8 Prozent Marktanteil, während Gemini um rund 47 bis 50 Prozent pro Monat zulegt und am schnellsten wächst. Geht das so weiter, könnte Gemini ChatGPT bis Ende 2026 überholen. ## Prompts fürs GEO-Tracking definieren [![Dunkles digitales Interface eines Tools namens zzs mit drei hervorgehobenen Kategorien für das Tracken von Prompts, inklusive Beschreibungen und Beispielsätzen in Deutsch, strukturiert in Kästchen mit grünem und weißem Text.](https://www.zwischenzweistacks.de/media/prompts-definieren-1024x640.png)](https://www.zwischenzweistacks.de/media/prompts-definieren-2560x1600.png) Um Mentions und Citations zu tracken, definiert man eine Liste an Prompts, bei denen man erwähnt oder zitiert werden möchte. Das ist kniffliger als im SEO, wo sich das Bild über Impressions und Klicks in der Search Console fast von selbst ergibt. Christoph hat drei Punkte aufgeschrieben, auf die es ankommt. Erstens: ungebrandete Prompts. „Was ist Auto-Auction Atlas?“ wird einen natürlich zitieren — das hat aber keinen Wert. Interessant ist die organische, ungebrandete Reichweite. Zweitens: den Intent-Mix abdecken — problembewusst, lösungsbewusst und vergleichend („nenne mir Alternativen zu …“, „vergleiche X mit Y“). Drittens: fragen wie echte Menschen — ganze Sätze, natürliche Sprache, ruhig auch so, wie man es per Voice einsprechen würde. In der nächsten Folge zeigt Christoph, wie man sich daraus ein kleines DIY-Prompt-Tracking in einem Google Sheet baut — keine 50 Prompts, aber 5 bis 10 als guter Anfang, um ein Gefühl dafür zu bekommen. ## API-Nutzung vs. UI-Scraping [![Vergleich zwischen API und UI-Scraping mit Flussdiagrammen, die den Prozess von Eingabe über Modell bis zur Antwort zeigen, hervorgehoben in grün und grau auf dunklem Hintergrund.](https://www.zwischenzweistacks.de/media/api-vs-scraping-1024x640.png)](https://www.zwischenzweistacks.de/media/api-vs-scraping-2560x1600.png) Zum Tracken könnte man einfach die APIs von ChatGPT, Perplexity und Co. ansprechen, einen Prompt senden und die Antwort auf Mentions und Citations prüfen. Das ist die einfache, sehr stabile Methode — und liefert durchaus Ergebnisse. Die Profis setzen aber auf UI-Scraping: Ein Tool steuert eine echte Browser-Session von ChatGPT und liest die Antwort dort aus. Der Grund ist, dass der echte User im gesamten Environment des Browsers bzw. der App unterwegs ist, und das fließt in die Antworten mit ein. UI-Scraping ist damit näher an der Realität. Beide Wege zeigt Christoph in der nächsten Folge. Noch ein Hinweis zu Tooling: Es gibt fertige Tools (auch Ahrefs hat den Bereich als Feature aufgenommen), die sind aber ziemlich teuer — da muss jede Firma fürs eigene Budget abwägen. Ein eigenes Provider-Dashboard à la Search Console gibt es bislang nicht; einzig die Bing Webmaster Tools haben mit der AI-Performance-Ansicht einen Anfang gemacht. ## IT-Sicherheit in der KI-Ära: CVEs explodieren [![Vergleich von Fehlern und Sicherheitslücken in AI-generierten Code-Commits, wobei 484.000+ Fehler und 23.000+ potenzielle Sicherheitslücken in weniger als zwei Monaten dargestellt werden.](https://www.zwischenzweistacks.de/media/01-cves-1024x576.webp)](https://www.zwischenzweistacks.de/media/01-cves-2560x1440.webp) In letzter Zeit werden deutlich mehr CVEs gemeldet — Common Vulnerabilities and Exposures, also gemeldete Sicherheitslücken in Libraries und Software. Dahinter stehen zwei gegenläufige Entwicklungen. Einerseits schleusen KI- bzw. AI-Commits mehr Probleme in Codebases ein — vieles davon sind Code Smells, also schlicht mangelnde Softwarequalität, teils aber eben auch echte Sicherheitslücken. Andererseits sind LLMs sehr stark darin, Sicherheitslücken zu finden, und große Player wie Anthropic trainieren eigene Modelle genau darauf. Für ein solches Modell — Jens nennt es nach seiner Erinnerung „Mythos“ — wird geschätzt, dass es in weniger als zwei Monaten rund 23.000 potenzielle Vulnerabilities gefunden hat. ## Secrets gehören nicht in Klartext [![Vergleich von Code-Beispielen vor und nach der Umwandlung von Klartext-Geheimnissen in verschlüsselte Formate mit verschiedenen Methoden und Dateien.](https://www.zwischenzweistacks.de/media/02-plaintext-secrets-1024x576.webp)](https://www.zwischenzweistacks.de/media/02-plaintext-secrets-2560x1440.webp) Jedes Projekt hat Secrets — API-Keys für Services, Datenbankzugänge und so weiter. Der über Jahre gewachsene Standard ist, diese lokal in einer `.env`\-Datei abzulegen. Genauso liegen Secrets aber in weiteren Dateien im Klartext: in der `.claude.json` speichert Claude die Zugänge zu den MCPs, und auch die [payload-content-CLI](https://github.com/jhb-software/payload-content-cli) legt ihre Profile standardmäßig als Plain-Text-JSON ab. Die meisten Entwickler machen das nach wie vor so — Jens eingeschlossen — aber er will davon wegkommen. Das Problem: Agents mit Zugriff auf deinen Rechner können diese Dateien sehr einfach auslesen, und gerade die letzten Monate gab es immer wieder Supply-Chain-Attacks, die genau solche Dateien stehlen und die Secrets an fremde Server schicken. Der Ansatz: Secrets nicht mehr inline in den Dateien halten, sondern nur noch referenzieren. Unter macOS bietet sich der Keychain (Schlüsselbund) an — Agents können dort schwerer lesen, und ein Skript, das `.env`\-Dateien abgreift, bekommt nur noch Referenzen statt echter Secrets. Konkret: MCPs lassen sich oft nicht nur per API-Key, sondern auch per OAuth anbinden — und Claude Code speichert diese Tokens standardmäßig im Keychain, sodass sie gar nicht erst in der .claude.json landen. Für die payload-content-CLI hat Jens vor vier Tagen einen [Pull Request](https://github.com/jhb-software/payload-content-cli/pull/1) geöffnet, der einen Credentials-Helper einbaut: Beim Registrieren eines Profils kann man das Secret über den Keychain (oder ein anderes Tool wie 1Password oder LastPass) ablegen lassen statt im Klartext. Für die `.env`\-Dateien selbst migriert Jens schrittweise auf [envsec](https://github.com/davidnussio/envsec) — ein Open-Source-Secret-Manager mit CLI, der Secrets im nativen OS-Credential-Store ablegt. Man registriert ein Secret unter einem Scope (z. B. „zzs-cms“), und beim nächsten Dev-Command werden die Secrets nicht mehr aus der .env, sondern automatisch aus dem envsec-Storage bezogen. Echte Nicht-Secrets wie eine Frontend-URL können ruhig weiter in der .env stehen. ## GitHub-Security-Features aktivieren Bei öffentlichen Repositories sind GitHubs Security-Features kostenlos. Am Beispiel seines [Payload-Plugins-Repos](https://github.com/jhb-software/payload-plugins) zeigt Jens, was sich aktivieren lässt. Dependabot Vulnerabilities erkennt automatisch verwundbare direkte und transitive Dependencies — allein dadurch konnte Jens in den letzten Wochen rund 739 Meldungen schließen, indem er Dependencies aktualisiert oder Versionen transitiver Dependencies überschrieben hat. Dazu kommt Code Scanning, das bei jedem Commit prüft, ob im Code potenzielle Vulnerabilities stecken — dabei sind unter anderem mehrere Prototype-Pollution-Stellen aufgefallen, die sich direkt fixen ließen. Plus eine Code-Quality-Auswertung, die mit Security zwar nichts zu tun hat, aber interessant ist. Klare Empfehlung für alle mit öffentlichem Repo — oder mit Budget dafür in privaten Repos. ## Alte Secrets in der Git-Historie Christoph dachte lange, es reiche, die `.env` in die .gitignore zu packen, damit sie nicht in der Versionierung landet. Diese Zeiten sind vorbei: Er hatte zuletzt selbst mit einer Supply-Chain-Attack zu tun, die sich über alle Beteiligten eines Repositories verteilt hat. Solche Tools könnten theoretisch auch einfach lokal deinen Claude Code bedienen — man muss wirklich vorsichtig sein. Ein wichtiger Punkt ist außerdem die Git-Historie. Gerade in alten Projekten wurde früher gern mal ein API-Key hart in den Code geschrieben. Ein Tool mit Zugriff aufs Repository könnte die Historie nach genau solchen vergessenen, nie rotierten Secrets durchsuchen. Man sollte die Historie also prüfen und im Zweifel so bereinigen, dass die Secrets dort nicht mehr auftauchen — GitHub bietet dafür auch ein Secret Scanning an. Ob Firmen die Wichtigkeit von selbst erkennen? Jens’ Einschätzung: Gerade kleinere Firmen werden nicht von allein alles absichern — dafür braucht es Budget und Zeit. Er hofft, dass die Vorfälle der letzten Zeit alle wachrütteln; spätestens wenn es im Unternehmen einmal kracht, ist klar, dass Dinge geändert und sicherer gemacht werden müssen. ## Spam-Backlinks nehmen zu — und warum das egal ist Quer durch eigene und Kundenprojekte fällt Christoph auf, dass die Zahl der Backlinks enorm zunimmt. In Ahrefs — er nutzt die kostenlose Version, die man über die Google Search Console verbindet und die für kleinere Seiten samt wöchentlichem Tech-Check völlig ausreicht — sieht man beim Auto-Auction-Atlas viele neue Backlinks, und das ist wirklich nur Schrott: highseo.shop, seoexpress.store und Konsorten, die mit billigen SEO-Dienstleistungen oder Backlink-Verkauf auf sich aufmerksam machen wollen. Jedes Mal kommt kurz die Sorge auf, ob man von Google abgestraft wird. Die Entwarnung: Google ignoriert diesen Spam schlicht. John Müller, Google Search Advocate und in der SEO-Szene bestens bekannt, sagt auf Bluesky sinngemäß, dass dieser Spam erkannt und weder positiv noch negativ gewertet wird — kein Problem. Wer sichergehen will, geht in der Google Search Console auf Security & Manual Actions → Manual Actions. Steht dort „No issues detected“, ist alles in Ordnung — Google würde hier eine Abstrafung anzeigen, etwa wenn erkannt wird, dass man Backlinks kauft. Und selbst dann gibt es noch das Disavow-Tool, um Links zu entwerten: über die Search Console erreichbar, Property auswählen und gezielt die Domains eintragen, die für ungültig erklärt werden sollen. Das Tool stammt allerdings aus einer anderen Zeit und dürfte 2026 kaum noch ein Thema sein. Jens ergänzt den wunden Punkt: Gegen das Verlinktwerden auf solchen Seiten kann man selbst nichts tun — da ist man machtlos. Umso besser, dass Google den Spam mittlerweile zuverlässig erkennt und sich in der Konsole meldet, wenn es wirklich ein Problem gibt. ## MCP: das größte Update seit dem Launch [![Vergleich zwischen zustandsbehafteter und zustandsloser Sitzung bei MCP, zeigt die Reduktion von Pflicht-Calls beim Verbindungsaufbau von zwei auf null durch Verwendung von round-robin Load Balancer und skalierbaren Sessions.](https://www.zwischenzweistacks.de/media/03-mcp-stateless-1024x576.webp)](https://www.zwischenzweistacks.de/media/03-mcp-stateless-2560x1440.webp) Christoph nutzt MCPs eher selten — anfangs spannend, aber der Kontextverbrauch war ihm schnell zu hoch, also hat er sich früh eigene CLIs gebaut, die genau das tun, was er braucht. Mit den heute viel größeren Kontextfenstern ist das Problem kleiner, trotzdem will man Kontext und Tokens nicht verschwenden. Jens ging es ähnlich (Payload, Playwright und Co. haben anfangs viele Tokens gefressen), aber es ist deutlich besser geworden. Früher wurden beim Start einer Konversation alle Tools eines MCP-Servers ins Kontextfenster geladen; heute laden smarte Lösungen die Tools nur noch on-demand und stellen dem Agent eine Tool-Suche bereit, sodass er nur die gerade relevanten Tools findet. Zusammen mit den größeren Kontextfenstern ist das Kontextproblem damit kaum noch eines. Jens ist trotzdem großer CLI-Fan — er hat die payload-content-CLI gebaut und veröffentlicht. Eine CLI ergibt aber nur Sinn, wenn man in einer Command Line arbeitet, etwa mit Claude Code im Terminal. Bei Web- oder Desktop-Apps wie Claude oder Gemini, wo die Agents auf den Servern des Anbieters laufen und gar nicht an den eigenen Rechner gekoppelt sind, ist MCP dagegen eine der wenigen Möglichkeiten, überhaupt externe Tools anzubinden. Kurz zur Einordnung: MCP steht für Model Context Protocol, ein offener Standard von Anthropic, erstmals Ende 2024 vorgestellt. Es geht um Integration und Datenaustausch zwischen einem LLM und externen Tools. Am 21. Mai 2026 wurde ein [Release Candidate für die nächste Version der Spezifikation](https://blog.modelcontextprotocol.io/posts/2026-07-28-release-candidate/) veröffentlicht; die finale Veröffentlichung ist für Juli 2026 geplant. Die größte Neuerung: Der Kern des Protokolls wird stateless — von den Autoren selbst als größte Revision seit dem Launch beschrieben. Vorher war es stateful: Bei jedem Start gab es einen Handshake, der Server teilte dem Client eine Session-ID mit, die dieser fortan nutzen sollte — zwei Pflichtcalls beim Verbindungsaufbau. Künftig fällt das weg, der Client kann seine Anfrage direkt an den MCP-Server senden, ohne initialen Handshake. Das vereinfacht vor allem die horizontale Skalierung und passt gut zu Serverless-Plattformen wie Vercel, wo Jens die meisten seiner MCPs betreibt — weniger Komplexität, weniger State. Daneben gibt es jetzt vorgefertigte Extensions, die MCP-Apps heißen: Zwei offizielle wurden vorgestellt, eine davon zum Rendern von interaktivem HTML. Das Extension-Framework wurde formalisiert — mit eigenen Repositories, eigenen Maintainern und einer vom Spec unabhängigen Versionierung. Außerdem wurde die Autorisierung gehärtet und ist jetzt näher an OAuth 2.0 und OpenID Connect. Jens findet es stark, dass sich der Standard so weiterentwickelt — einheitliche Schnittstellen sind wichtig, damit man externe Tools zwischen beliebigen LLMs nutzen kann. Christoph hatte das Gefühl, MCP sei schon auf dem absteigenden Ast, sieht aber ein, dass es gerade bei Chat-UIs der Weg ist, sich mit anderen Tools zu verbinden — zuletzt hat er den Whimsical-MCP für Flowcharts genutzt und war überrascht, wie gut das funktioniert. Jens wiederum hat kürzlich für eine Firma, die auf Claude (als Team-Lizenz, nicht Claude Code) setzt, diverse interne Systeme — CRM, Trackings und mehr — per MCP angebunden, weil es schlicht keinen anderen Weg gibt. Die Hoffnung: dass sich MCP als Lösung für die Zukunft durchsetzt.