CAPTCHA-Lösungen einfach erklärt 

Wir stellen auf dieser Seite wichtige Grundinformationen zu CAPTCHAs inkl. Tipps, Vor- und Nachteile bereit.  Lesen Sie weiter, um mehr zu erfahren, und rufen Sie uns noch heute unter +43 1 9971466 an, um mit einem Experten zu sprechen.

Was ist ein CAPTCHA? 

Ein CAPTCHA ist eine Anti-Bot-Massnahme bzw. auch Anti-Roboter-Überprüfung. Hierbei wird einem Benutzer eine Aufgabe gestellt, die er lösen muss, um auf diese Art zu überprüfen, ob er ein Mensch ist. In diesem Sinne ist der Hauptzweck von CAPTCHA-Lösungen sicherzustellen, dass echte Menschen Internetformularen wie ein Kontakt-Formular, eine Web-Registrierung oder eine Login-Maske ausfüllen und keine Bots oder andere illegalen, schädliche automatisierte Anwendungen. In anderen Worten CAPTCHA-Anwendungen zielen darauf ab böswillige Attacken auf Webseiten, Applikationen und APIs abzuwehren bzw. zu erschweren. 

Wie funktioniert ein CAPTCHA? 

Im Zug einer Anti-Roboter-Verifizierung wird bei den meist genutzten CAPTCHAs der Nutzer aufgefordert, eine Aufgabe zu lösen bevor eine Webregistrierung oder eine Kontaktnachricht abgesendet werden kann. Hierbei kommen Validierungsverfahren zum Einsatz, die den Erfolg oder Misserfolg des Benutzers bei der Bewältigung der Aufgabe anzeigen. 

Am Beispiel von einem bilderbasierten CAPTCHA wird von einem Server ein Bildbeschriftung und mehrere Bilder bereitgestellt. Der User markiert alle Bilder, die der Bildbeschriftung entsprechen. Die ID der Bilder werden an den Server zurückgemeldet und der Prüfzyklus bestimmt, ob die CAPTCHA-Aufgabe gelöst worden ist. Bei einer positiven Prüfung erhält der User beispielsweise eine Meldung „Ich bin kein Roboter“ und die Daten der Kontaktnachricht werden an den Server geschickt. 

In einem anderen Bespiel werden statt einem Bild  Schriftzeichen in einer verzerrten Form oder sich teilweise überdeckend erzeugt, die so gestaltet sind, dass diese für Menschen leicht zu lesen, für Maschinen aber schwer zu entziffern sind. Die Verfremdung der Schriftzeichen kann hierbei sehr weit gehen.  Von unterschiedlicher Skalierung, Drehung, Verzerrung bis hin zur Überlagerung  mit grafischen Elementen wie Farbe, Hintergrundrauschen, Linien, Bögen oder Punkten sind viele Möglichkeiten gegeben. Beim Lösen der Aufgabe wird sich die menschliche Fähigkeit zu Nutze gemacht, dass Menschen aufgrund von früheren Erfahrungen in der Lage sind, neue Muster ohne weiters zu verallgemeinern und zu erkennen. Bots müssen dafür erst programmiert werden. 

Welche Arten von CAPTCHA gibt es? 

Heute werden vor allem zwei Hauptformen von CAPTCHAs unterschieden: 

• High-Friction CAPTCHA
• Low-Friction CAPTCHA

Wenn der Benutzer aktiv eine Aufgabe ausführen muss, wird aufgrund der reibungsstarken Verifizierungsmethoden von einem High-Friction CAPTCHA gesprochen.  

Läuft die Überprüfung im Hintergrund und der Nutzer ist nicht angehalten eine Aufgabe zu meistern, um zu beweisen, dass er ein Mensch ist, dann bezeichnet man dies als Low-Friction CAPTCHA.

Der Begriff reibungsstarke Verifizierungsmethoden zielt vor allem auf die Tatsache ab, dass die zu absolvierende Prüfung für den Nutzer direkt keinen Mehrwert darstellt. Sie ist eine Hürde, die vor allem Zeit kostet bis er sein eigentliches Ziel erreichen kann. 

Beispiele für High-Friction CAPTCHA

In welchen Bereichen bzw. für welche Zwecke werden CAPTCHAs eingesetzt? 

CAPTCHAs kommen in verschiedenen Bereichen zum Einsatz und dienen vor allem zur Erhöhung der Cybersecurity und des Datenschutzes. Die bekannteste Anwendung von CAPTCHAs ist die Blockade von automatisierten Formulareingaben durch Bots. Unter anderem werden CAPTCHAs beispielsweise in folgenden Anwendungsgebieten genutzt, um diese vor schädlichen Angriffen bzw. Missbrauch zu schützen. 

Datenmanipulation

• Reduktion von Kommentar-Spams
• Filterung von Email-Spams bei Kontaktformularen
• Verhinderung von Bot-basierter Manipulation von Online-Umfragen bzw. Aufrechterhaltung der Umfragegenauigkeit
• Verhindern von automatisierten Fake-Registrierungen (Web-Registrierung) bzw. Beschränkung der Registrierung für Dienstleistungen z.B. um gefälschte Leads zu generieren
• Verhinderung von gefälschten Klickzahlen
• Verhinderung von automatisierten Blog-Einträge

Datendiebstahl

• Verhindern von Sammeln von Nutzerdaten (Phishing)
• Schutz vertraulicher Informationen auf Webseiten
• Behinderung von Brute-Force-Attacken z.B. um Passwörter zu hacken
• Unterbinden von Verbreitung von Links zu Phishing-Websites, um Endgeräte mit bösartigen Viren und Bot-Würmer zu infizieren
• Verhinderung von Sybil-Attacken - Erstellung falscher Identitäten

Weitere

• Behinderung des illegalen Anmelden auf mehrere Konten auf eine Webseite
• Entschärfung von Wörterbuchangriffen
• Verhinderung von Ticket Scalping - illegale, massenhafte Sammlung von Eintrittskarten für den profitablen Weiterverkauf

Welche Nachteile kann der Einsatz von CAPTCHAs haben?

CAPTCHAs können sich negativ auf die Nutzererfahrung auf Ihrer Website auswirken. Mehr und mehr kommt es zur Kritik, dass Nutzer sinnlose, sich wiederholende Arbeiten verrichten oder Daten offenlegen müssen, um beispielsweise als Konsument eine Nachricht an eine Organisation abzusenden können. So werden auch folgende Nachteile im Zuge von Erhebungen angeführt: 

• Nutzer erleben CAPTCHAs als störend und frustrierend
• CAPTCHAs können für manche User schwer zu verstehen oder zu verwenden sein
• CAPTCHAs sind mit manchen Browsern nicht kompatible
• CAPTCHAs sind mit auf Mobilgeräten teilweise noch weniger bedienungsfreundlich

Das führt zu Verschlechterung des Benutzererlebnisses, womit wieder niedrige Conversion, geringe Online-Transaktionen, höhere Abbrüche etc. verbunden sind. Es wird davon ausgegangen, dass die erhöhten Reibungsverluste Kundeninteraktionen um durchschnittlich 10 Sekunden verzögern. Auch gelten reibungsstarke Verifizierungsmethoden als wenig zugänglich für Menschen mit Behinderungen, z. B. sehbehinderte Nutzer. 

Was ist ein Low-Friction CAPTCHA? 

In Anbetracht der steigenden Kritik an herkömmlichen CAPTCHAs werden zunehmend für Nutzer freundlichere CAPTCHA-Lösungen entwickelt und bereitgestellt. Zum Teil handelt es sich hierbei auch um Methoden, die schon länger bekannt sind, jedoch in Kombination zum Schutz gegen Bots beitragen. 

Beispiele für Low-Friction CAPTCHA - reibungslose Verifizierung

Reibungslose Verifizierungsverfahren sind im besten Fall für echte Menschen unsichtbar bzw. nicht wahrnehmbar, während es für Bots schwierig ist, diese Überprüfung zu bestehen.

• Nutzeraktivitäten
• Proof of Work
• Spam Honeypots
• Lockout Time / Zeitsperren
• IP White List / Blacklisting IPs

Wie werden CAPTCHAs heute ausgehebelt? 

Zum einen gibt es eine ganze Reihe von Anwendungen um CAPTCHAs zu lösen bzw. zu umgehen. Hierbei müssen nicht immer bösartige Interesse dahinter stehen. Manche Nutzer wollen so ihr eigenen Privatsphäre schützen, da sie mit VPN agieren oder Trackingversuche unterbinden. Auch gibt es Repositories, die die Schwächen von CAPTCHAs aufzeigen wollen. 

Zu anderem existieren CAPTCHA-Lösungsdienste, die ihre Service sehr gezielt anbieten. Hierbei werden zwei Hauptformen dieser auch CAPTCHA farms genannten Anbieter unterschieden: 

• Menschenbasierte CAPTCHA-Lösungsdienste - Hierbei lösen Menschen im Auftrag von Unternehmen die CAPTCHAs und senden die Lösung an den Auftraggeber zurück.
• Systembasierte CAPTCHA-Lösungsdienste  -  Bei dieser Methode wird das CAPTCHA automatisch mithilfe verschiedenen Technologien wie OCR (Optical Character Recognition) gelöst.

Mehr und mehr kommt Kritik auf, dass die populärsten CAPTCHAs-Lösungen, die vor allem silomäßig als erste Verteidigungslinie operieren, keinen ausreichenden Schutz gegen CAPTCHA-Farmen, gegenfortgeschrittene Bots bzw. Automatisierung vor bösartigen Akteuren bieten. Angesichts der Preistabellen der Captcha-Lösungsdienste ist anzunehmen, dass diese Kritik berechtigt ist. 

Wie niedrigschwellig bereits das Angebot ist, zeigen Browser-Erweiterung wie Buster. Diese Chrome-Extension unterstützt  mit Hilfe von Spracherkennung reCAPTCHA-Aufgaben zu lösen. Als Motivation für die Bereitstellung der Browser-Erweiterung geben die Entwickler folgendes an: 

Warum suchen Organisation Alternativen zu populären Captcha wie reCaptcha von Google? 

Aufgrund der DSGVO (GDPR) und der darauffolgenden Rechtsprechung sind immer mehr Organisation bemüht, Alternativen zu den gängigsten CAPTCHA-Anbietern zu finden.  ReCaptcha von Google und auch anderen Anbieter werden nicht als GDPR-Compliant betrachtet. Beispielsweise nutzt reCaptcha von Google bereits vorhandenes Wissen über die Identität des Nutzers, was nicht immer leicht in den Datenschutzinformationen abbildbar ist, da Google nicht alle Mechanismen vollständig offenlegt. Auch ist der Trend zu erkennen, dass die Suche nach Anbieter steigt, die nicht nur GDPR-konforme CAPTCHA-Dienstleistungen anbieten sondern auch ihren Sitz innerhalb der EU haben.