Was ist CAPTCHA und wie funktioniert es?

Krumme Buchstaben entziffern, jedes Bild mit einer Ampel antippen oder ein Puzzleteil an die richtige Stelle schieben ... Immer öfter müssen wir diese kleinen digitalen Herausforderungen, auch Captchas genannt, lösen, wenn wir uns für Konten anmelden, Kommentare posten oder Online-Formulare ausfüllen.

Doch was genau sind sie eigentlich? Und warum gibt es sie? Lies weiter, um zu erfahren, was ein CAPTCHA ist und welche wichtige Rolle es in der Cybersicherheit spielt.

Warum wurde CAPTCHA erfunden?

Die Geschichte von CAPTCHA, das für „Completely Automated Public Turing Test to Tell Computers and Humans Apart” steht, reicht bis zum Beginn des 21. Jahrhunderts zurück. Der Begriff wurde 2003 von einer Gruppe von Forschern der Carnegie Mellon University geprägt, um ein bestimmtes Problem zu lösen.

Zu dieser Zeit hatte der damals führende E-Mail-Dienst Yahoo mit Spammern zu kämpfen. Böswillige Nutzer setzten Computerprogramme ein, um eine große Anzahl von E-Mail-Konten zu erstellen und diese für den Versand von Spam-Nachrichten zu missbrauchen.

Die Forscher der Carnegie Mellon University wollten helfen und entwickelten einen Test, bei dem Nutzer eine Reihe von verschnörkelten Buchstaben und Zahlen interpretieren und eingeben mussten, um bei der Erstellung neuer Konten zu beweisen, dass sie Menschen und keine Computerprogramme waren. Yahoo implementierte diese neue Technologie schnell, um Spam-Anmeldungen zu bekämpfen, und andere Plattformen zogen bald nach.

Wann und warum Du CAPTCHA-Tests siehst

Obwohl CAPTCHA ursprünglich dazu entwickelt wurde, E-Mail-Spammer davon abzuhalten, Konten zu erstellen, hat es seitdem eine Vielzahl zusätzlicher Anwendungsbereiche gefunden. Die meisten von uns sehen CAPTCHA-Tests, wenn sie sich in ihre Konten einloggen oder Online-Formulare ausfüllen.

Login in Konten

Viele Plattformen, wie etwa Online-Banken, E-Mail-Konten oder Social-Media-Seiten, bitten ihre Nutzer regelmäßig, beim Einloggen in ihre Profile ein CAPTCHA auszufüllen. CAPTCHA bietet eine zusätzliche Schutzebene für die Anmeldung und stellt sicher, dass sich ein echter Nutzer und kein Roboter anmelden möchte.

Dadurch werden eine Reihe von automatisierten, botbasierten Anmeldeangriffen verhindert, wie beispielsweise Brute-Force-Angriffe, bei denen Bots schnell eine große Anzahl von Anmeldedaten ausprobieren, um die richtigen zu finden und so auf ein Konto zuzugreifen.

Formulare absenden

Ein CAPTCHA kann auch erscheinen, wenn Du auf die Schaltfläche „Absenden” in einem Online-Formular klickst, beispielsweise auf einer Seite zum Absenden von Kommentaren, in einem Kontaktformular oder in einer Umfrage.

Dadurch werden Bot-Aktivitäten unterbunden. Bots spammen Kommentarbereiche mit unerwünschten Nachrichten oder sogar Phishing-Links. Sie können auch dazu verwendet werden, Umfragen, Wettbewerbe oder Online-Befragungen zu verfälschen oder zu beeinflussen. CAPTCHAs verhindern genau das.

Wie funktioniert CAPTCHA?

Der Zweck eines CAPTCHA-Tests besteht darin, festzustellen, ob ein Benutzer eine echte Person oder ein Computerprogramm, wie z. B. ein Bot, ist. Es gibt zahlreiche Formen dieser Tests, aber sie alle verfolgen dasselbe Ziel. Wie das genau funktioniert, sehen wir uns im Folgenden näher an.

Benutzer vs. Bot: Wie der Test Dich identifiziert

CAPTCHAs funktionieren im Wesentlichen nach dem Prinzip, dass es bestimmte Probleme oder Rätsel gibt, die für Menschen einfach, für Bots jedoch sehr schwierig oder unlösbar sind. Diese Rätsel werden dem Benutzer präsentiert, indem er beispielsweise aufgefordert wird, eine Reihe von Symbolen einzugeben oder eine einfache mathematische Aufgabe zu lösen.

Ein bekanntes CAPTCHA-Beispiel ist eine Folge von Buchstaben und Zahlen, die auf irgendeine Weise verzerrt sind. Sie sehen vielleicht so aus, als wären sie in zufälligen Winkeln auf den Bildschirm gekritzelt worden oder durch Farben und visuelle Elemente verdeckt. Diese Zeichenfolgen können von Menschen ziemlich leicht gelesen und wiederholt werden, was für die meisten Bots nicht möglich ist.

Wenn der Nutzer den Test besteht, beweist er dem System damit, dass er höchstwahrscheinlich ein Mensch ist.

Hinter den Kulissen: Serverlogik und Auslöser

Glücklicherweise musst Du nicht jedes Mal CAPTCHAs ausfüllen, wenn Du Dich in Konten einloggst, Informationen in Formulare eingibst, oder Online-Einkäufe tätigst. Viele davon tauchen nur unter bestimmten Umständen auf, zum Beispiel, wenn Server Anzeichen für ungewöhnliches oder möglicherweise verdächtiges Verhalten bemerken. Dazu zählen beispielsweise:

Anomalien bei der IP-Adresse

Websites können Dich bitten, ein CAPTCHA auszufüllen, wenn sie feststellen, dass Du eine verdächtige, gemeinsam genutzte oder Proxy-IP-Adresse verwendest. Davon können auch VPN-Nutzer betroffen sein, da ein VPN die echte IP-Adresse mit einer eigenen maskiert.

Wenn eine Website eine plötzliche Änderung Deiner IP-Adresse bemerkt oder eine große Anzahl von Anfragen von Nutzern mit derselben IP-Adresse erhält, kann sie dies als verdächtig ansehen. Das liegt daran, dass sich Bots oft hinter Proxys oder VPNs verstecken, um ihre Aktivitäten diskret auszuführen.

Wenn dieses Problem bei Deinem VPN häufig auftritt, kann ein Wechsel des Servers Abhilfe schaffen. Du kannst auch versuchen, Deinen Browserverlauf oder Cache zu löschen, eine dedizierte IP-Adresse zu beantragen oder zu einem anderen Browser zu wechseln.

Verdächtiges Browserverhalten

CAPTCHAs können auch dann angezeigt werden, wenn eine Website feststellt, dass sich ein Nutzer verdächtig verhält oder Anzeichen für botähnliche Aktivitäten zeigt. Dazu zählt beispielsweise, wenn der Nutzer Formulare sehr schnell ausfüllt, sehr berechnend und präzise auf Schaltflächen klickt oder wenn er mehrere aufeinanderfolgende Anfragen an einen Server sendet.

All diese Verhaltensweisen können auf Bot-Verhalten hindeuten. CAPTCHAs können eingesetzt werden, um Bots zu verlangsamen oder zu stoppen. Dadurch können botbasierte Betrugsversuche in Bereichen wie dem E-Commerce verhindert werden. Ein Beispiel hierfür ist der Kauf großer Mengen an Veranstaltungstickets oder limitierten Produkten durch Bot-Netzwerke, die anschließend von Betrügern zu einem höheren Preis weiterverkauft werden.

Plötzliche Traffic-Spitzen

Bei bestimmten Cyberangriffen werden Botnets eingesetzt, um Websites mit vielen Anfragen gleichzeitig zu überfluten, wie zum Beispiel bei Distributed-Denial-of-Service-Angriffen (DDoS). CAPTCHAs können als DDoS-Abwehr-Tools dienen und automatisch eingesetzt werden, wenn eine Website einen plötzlichen, unerwarteten Anstieg des Datenverkehrs feststellt.

Arten von CAPTCHAs

CAPTCHAs waren anfangs einfache textbasierte Tests, haben sich im Laufe der Zeit jedoch zu vielfältigen Formen weiterentwickelt, die Audio, Bilder und andere Elemente beinhalten.

Textbasierte CAPTCHAs

Ursprünglich war der CAPTCHA-Test ein textbasiertes CAPTCHA, das Wörter, Phrasen oder zufällige Buchstaben- und Zahlenfolgen verwendete. Diese wurden auf irgendeine Weise verzerrt oder so dargestellt, dass sie für Bots schwer zu lesen waren.

Es gibt verschiedene Techniken, um textbasierte CAPTCHAs zu erstellen. Ein Beispiel ist die Gimpy-Technik, bei der Wörter aus einem Wörterbuch zufällig ausgewählt werden, oder Simards HIP, bei der zufällige Buchstaben und Zahlen ausgewählt und dann mit ungewöhnlichen Bögen und Farben verzerrt werden. Der Nutzer muss den Text lesen und in das dafür vorgesehene Feld eingeben, um den Test zu lösen.

Auch wenn gelegentlich noch CAPTCHAs verwendet werden, die auf Textverzerrungen basieren, hat eine Google-Untersuchung aus dem Jahr 2014 gezeigt, wie ineffektiv diese mittlerweile bei der Unterscheidung zwischen Menschen und Bots sind. Die KI-Forscher von Google wandten fortschrittliche Algorithmen des maschinellen Lernens auf die Arten von verzerrten Text-CAPTCHAs an, die üblicherweise online verwendet werden. Die Ergebnisse waren beeindruckend: Das System konnte selbst die am stärksten verzerrten CAPTCHAs mit einer Genauigkeit von über 99 % lösen. Im Vergleich dazu lag die Erfolgsquote bei Menschen bei nur etwa 33 %, was vor allem daran lag, dass die zunehmende Komplexität für echte Nutzer frustrierend war.

Bildbasierte CAPTCHAs (reCAPTCHA v2)

Bei diesen CAPTCHAs werden den Nutzern Bilder zu einem bestimmten Thema angezeigt und sie werden aufgefordert, diejenigen anzuklicken, die dazu passen, oder diejenigen auszuwählen, die nicht dazu passen. Bekannte Beispiele sind das Anklicken aller Bilder in einer Reihe, die Zebrastreifen oder Hydranten zeigen, oder das Anklicken bestimmter Quadrate in einem größeren Bild.

Bildbasierte CAPTCHAs wurden entwickelt, um textbasierte CAPTCHAs zu ersetzen. Auf vielen Plattformen ist ihnen das auch gelungen, da einige Nutzer sie als einfacher zu verstehen und zu lösen empfinden.

Außerdem sollen sie für Bots schwieriger zu lösen sein, da sie sowohl semantisches Verständnis als auch Bilderkennung erfordern.

Audio-CAPTCHA

Bei Audio-CAPTCHA-Tests wird eine kurze Audiodatei abgespielt, in der in der Regel eine Stimme eine Reihe von Buchstaben oder Zahlen vorliest. Der Nutzer muss das Gehörte anschließend in ein Textfeld eingeben. Oft sind in der Audiodatei auch Hintergrundgeräusche zu hören, was es für Bots schwierig macht, das Gesagte zu verstehen.

Audio-CAPTCHAs sind weniger verbreitet als text- und bildbasierte Varianten, bieten aber eine hilfreiche Alternative für Menschen mit Sehbehinderungen.

Mathematik- und Logikrätsel

Einige CAPTCHAs stellen dem Nutzer einfache mathematische oder logische Probleme. Sie können beispielsweise dazu auffordern, ein fehlendes Wort in einem Satz einzugeben, eine Additionsaufgabe zu lösen oder ein Puzzleteil an die richtige Position zu schieben.

Diese Rätsel sind für den Durchschnittsmenschen in der Regel sehr einfach, Computerprogramme können jedoch Schwierigkeiten haben, die Aufgabe zu verstehen. Anhand der Antwort des Benutzers kann das CAPTCHA genau zwischen Mensch und Bot unterscheiden.

No CAPTCHA reCAPTCHA

No CAPTCHA reCAPTCHA ist eine sehr einfache Form von CAPTCHA, die 2014 von Google eingeführt wurde. Der Benutzer muss lediglich das Kästchen neben der Meldung „Ich bin kein Roboter" anklicken.

Sowohl Bots als auch Menschen können auf das Kästchen klicken. Bots klicken jedoch fast immer genau in die Mitte, während Menschen eher unvorhersehbar sind und beim Klicken kleine Unterschiede in Position, Timing und Bewegung zeigen. Anhand dieser Faktoren (Mausbewegung, Timing, Klickverhalten, Scrollverhalten usw.) kann reCAPTCHA fundiert über die Natur des Benutzers urteilen.

Wenn die Interaktion auf irgendeine Weise verdächtig wirkt, wird ein weiterer CAPTCHA-Test durchgeführt.

Unsichtbares CAPTCHA (reCAPTCHA v3)

Wie der Name schon sagt, sind unsichtbare CAPTCHAs nicht sichtbar und es ist auch keine direkte Interaktion oder das Lösen eines bestimmten Rätsels erforderlich. Sie laufen im Hintergrund, verfolgen die Aktivitäten eines Benutzers und weisen ihm anhand seiner Handlungen eine Bewertung zu.

Diese Bewertung basiert auf den Interaktionen zwischen den Nutzern und der Website, wobei Google nicht viele Details darüber preisgegeben hat, wie genau jede Bewertung berechnet wird.

Mehrere Quellen berichten jedoch, dass das System verschiedene Nutzerdaten sammelt und verarbeitet, darunter die IP-Adresse des Besuchers, Mausbewegungen, Tastatureingaben sowie der verwendete Browser und das Betriebssystem.

So hat beispielsweise die französische Datenschutzbehörde CNIL im Jahr 2023 NS Cards France mit einer Geldstrafe von 105.000 € (etwa 114.000 $) belegt. Grund war, dass dieser Anbieter von Online-Zahlungslösungen die reCAPTCHA-Technologie von Google einsetzte, ohne die Nutzer darüber zu informieren, dass ihre Geräte- und Anwendungsdaten erfasst und zur Analyse an Google gesendet werden.

Honeypot-CAPTCHA

Ein Honeypot-CAPTCHA lässt sich am einfachsten als „Bot-Falle” beschreiben. Diese CAPTCHA-Tests sind für Menschen unsichtbar, für Bots jedoch sichtbar. Bots erkennen sie als leere Felder in Formularen und versuchen häufig, mit ihnen zu interagieren und sie auszufüllen, was echte Nutzer nicht tun würden, da sie die Felder gar nicht sehen können.

Zeitbasierte Formulare

Zeitbasierte CAPTCHAs versuchen, Menschen von Bots zu unterscheiden, indem sie die Zeit messen, die benötigt wird, um ein Formular auszufüllen oder Daten in ein Feld einzugeben. Bots führen diese Aktionen in der Regel viel schneller aus als menschliche Nutzer. Wenn das CAPTCHA also eine unnatürlich schnelle Reaktion feststellt, geht es davon aus, dass es sich bei dem Nutzer um einen Bot handelt.

CAPTCHA und KI: Was ist der Turing-Test?

Wie bereits erwähnt, steht CAPTCHA für „Completely Automated Public Turing Test to Tell Computers and Humans Apart”. Der Turing-Test, auch Imitationsspiel genannt, ist eine Methode, um zu überprüfen, ob eine Maschine sich wie ein Mensch verhalten kann. Er wurde 1949 von dem britischen Mathematiker, Informatiker und Philosophen Alan Turing erfunden.

Turing hatte sich den Test ursprünglich mit drei Terminals vorgestellt: einem, das von einem Computer, und zwei, die von Menschen bedient werden. Ein Mensch stellt Fragen, während der andere Mensch und der Computer Antworten geben. Anhand dieser Antworten muss der Fragesteller herausfinden, welche von der Maschine stammen.

CAPTCHA funktioniert nach einem ähnlichen Prinzip. Es stellt eine Aufgabe und bewertet die Antwort, um zu entscheiden, ob sie von einem Menschen oder einem Bot stammt. Der wesentliche Unterschied besteht darin, dass bei CAPTCHA die Rolle des Bewerters von einer Software und nicht von einer Person übernommen wird.

Reale KI-Anwendungen aus CAPTCHA-Daten

Unternehmen wie Google nutzen CAPTCHA-Tests seit Jahren, um KI-Modelle zu trainieren und das maschinelle Lernen zu verbessern. Sie sammeln Daten darüber, wie Nutzer auf verschiedene CAPTCHA-Rätsel und -Probleme reagieren, und speisen diese Daten dann in KI-Systeme ein, um deren semantisches Verständnis, Bilderkennung und andere Fähigkeiten zu verbessern.

Ein frühes, häufig genutztes Beispiel für einen CAPTCHA-Test war ein textbasiertes CAPTCHA, bei dem die Nutzer eine Folge von zwei Wörtern eingeben mussten. Dabei war eines der Wörter ein Bild eines Wortes aus einem echten, physischen Buch, ohne dass die Person, die das Rätsel löste, davon wusste. Jedes Mal, wenn ein Nutzer ein solches CAPTCHA löste, half er tatsächlich dabei, physische Bücher und Dokumente zu transkribieren und zu digitalisieren. So trug dieser Prozess dazu bei, das gesamte Google-Books-Archiv sowie Millionen alter Artikel der „New York Times” zu digitalisieren.

Als maschinelles Lernen und KI-Technologie aufkamen und bildbasierte CAPTCHAs immer populärer wurden, hatte Google eine andere Idee.

Das Unternehmen sammelte Daten aus abgeschlossenen CAPTCHA-Tests, um die KI-Bilderkennung zu verbessern. Ein CAPTCHA konnte den Nutzern beispielsweise eine Reihe verschiedener Bilder zeigen und sie bitten, auf diejenigen zu klicken, die Autos enthielten. Google konnte diese Daten in seine Modelle für maschinelles Lernen einspeisen, um die KI dabei zu unterstützen, Autos auf Fotos besser zu erkennen.

Die gleiche Technologie wurde auch genutzt, um die Ergebnisse von Google Maps zu verbessern (beispielsweise durch die Optimierung der Fähigkeit des Algorithmus, Hausnummernschilder zu lesen), die Google-Bildersuche zu optimieren und Nutzern die Suche in ihren Google-Fotos-Bibliotheken nach Bildern zu ermöglichen, die bestimmte Objekte oder Elemente enthalten. Diese Technologie wird sogar in autonome Autos integriert, damit sie Straßenschilder erkennen und identifizieren können.

Vor- und Nachteile von CAPTCHA

CAPTCHA hat sowohl Vor- als auch Nachteile für normale Nutzer und Website-Betreiber.

Vorteile für Website-Betreiber

Website-Betreiber profitieren in hohem Maße von der Implementierung der CAPTCHA-Technologie, da diese ihnen dabei hilft, Bot-Aktivitäten zu blockieren, Spam und gefälschte Konten zu stoppen sowie Betrug zu verhindern. Zudem können CAPTCHAs als Vertrauenssignal wirken, da sie eine Website sicherer erscheinen lassen.

Probleme mit der Benutzerfreundlichkeit und Barrierefreiheit

Viele Menschen empfinden CAPTCHAs als lästig oder umständlich, da sie oft den Zugriff auf Websites oder Inhalte verzögern, die sie sehen möchten. Hinzu kommt, dass nicht immer klar ist, warum CAPTCHAs erforderlich sind, was die Frustration der Nutzer noch verstärken kann. Insbesondere Menschen mit Sehbehinderungen oder anderen Einschränkungen haben oft Probleme mit bestimmten Arten von CAPTCHA-Tests.

Negative Auswirkungen auf die Konversionsrate

Da die Bearbeitung von CAPTCHAs zeitaufwändig und mühsam ist, können sie sich negativ auf die Konversionsrate einer Website auswirken und es Website-Betreibern erschweren, Verkäufe zu tätigen, Leads zu generieren und Kunden zu gewinnen.

Eine Studie der Stanford University aus dem Jahr 2010 ergab, dass bestimmte Arten von CAPTCHAs (insbesondere Audio-CAPTCHAs) für die Testteilnehmer so frustrierend waren, dass sie in 50 % der Fälle einfach aufgaben.

Alternativen zu CAPTCHA

Angesichts der erheblichen Nachteile von CAPTCHAs sollten Website-Betreiber alternative Möglichkeiten zur Sicherung ihrer Websites und zum Blockieren von Bots in Betracht ziehen.

Social Login CAPTCHA

Eine zunehmend beliebte und sichere Form des Anti-Bot-Schutzes und der Website-Sicherheit sind Social-Login-Buttons. Diese Buttons werden häufig angezeigt, wenn Benutzer auf eine Plattform oder einen Inhalt zugreifen möchten, und fordern sie auf, sich mit einem Social-Media-Konto bei Plattformen wie Google oder Facebook anzumelden.

Da es sehr zeitaufwendig und mühsam ist, individuelle Social-Media-Profile für Bots zu erstellen, kann die Schaltfläche für die Anmeldung über soziale Netzwerke einen wertvollen Beitrag zur Verhinderung von Betrug, Spam und Scam-Aktivitäten leisten.

Der Nachteil ist jedoch, dass die Anmeldung über soziale Netzwerke als Verletzung der Privatsphäre angesehen werden kann. Einige Benutzer möchten sich nicht in ihre sozialen Profile einloggen, um auf bestimmte Websites oder Plattformen zugreifen zu können, da sie damit ihre Identität preisgeben.

Verhaltensanalyse

Mithilfe von Verhaltensanalyse-Tools können Muster im Nutzerverhalten verfolgt und verdächtige Anzeichen für Bot-Aktivitäten gesucht werden.

Sie können beispielsweise erkennen, wohin ein Nutzer den Mauszeiger bewegt, wie oft er auf eine Schaltfläche klickt oder eine Taste auf seiner Tastatur drückt. Zudem können sie die Bewegungen eines Nutzers auf einer Website nachvollziehen und die Zeit erfassen, die er für bestimmte Aktionen benötigt.

Bots führen all diese Aktionen in der Regel sehr schnell, berechnend und präzise aus, während Menschen möglicherweise mehr Zeit benötigen und in ihren Aktionen eher zufällig und unvorhersehbar erscheinen. Dies hilft den Analyse-Tools dabei, Bots und Menschen voneinander zu unterscheiden.

Multi-Faktor-Authentifizierung (MFA)

MFA und Zwei-Faktor-Authentifizierung (2FA) sind hilfreiche Tools, um zu verhindern, dass Bots Benutzerkonten erstellen und sich darin anmelden. Sie bieten eine zusätzliche Ebene der Anmeldesicherheit, indem sie den Benutzer auffordern, einen Passcode einzugeben oder biometrische Daten zu verwenden. Bots sind dazu nicht in der Lage.