CAPTCHA ist ein gern genutzter Schutz gegen Spam und Bots

Was ist CAPTCHA und wie funktioniert es?

IT-Sicherheit

Was ist CAPTCHA und wie funktioniert es?

CAPTCHA ist ein beliebter Sicherheitsmechanismus, der oft zum Schutz vor Spam auf Webseiten genutzt wird. Fast jeder hatte bereits mit einer solchen Verifizierung zu tun.

CAPTCHA-Codes gibt es in vielen verschiedenen Funktionen und Designs – das Fazit bleibt aber immer gleich: Ziel ist es, Spam möglichst draußen zu halten. Und das funktioniert auch nach wie vor gut. Wir erklären, was es mit der Technik auf sich hat.

Was bedeutet CAPTCHA?

CAPTCHA ist die Kurzform für den Begriff „Completely Automated Public Turing test to tell computers and humans apart“. Die Technik unterscheidet zuverlässig zwischen Mensch und Computer – und kann daher ideal zum Schutz von Spam eingesetzt werden.

Die Umsetzung der Technik erfolgt dabei denkbar einfach: Mit Bildern, Rechenaufgaben oder verzerrten Darstellungen werden beispielsweise Bots ausgesperrt, während normale Nutzer die logischen Aufgaben meist einfach lösen können.

Wofür wird CAPTCHA verwendet?

In den meisten Fällen wird solch ein Turing Test zur Unterscheidung immer dann verwendet, wenn Informationen bestätigt werden müssen. Ein klassisches Beispiel wären hier Online-Formulare für Kontaktanfragen. Eine solche Implementierung verhindert, dass etwa simpel gestrickte Spambots das gleiche Formular immer und immer wieder ausfüllen und absenden.

Egal ob bei der Anmeldung zu Newslettern, beim digitalen Einkauf (z.B. beim Ticketing), der Anfrage eines Angebots oder beim Absenden von Nachrichten in sozialen Netzwerken – die Verifizierung mittels CAPTCHA ist heute weit verbreitet.

Allerdings garantiert die Code-Nutzung nicht, den unerwünschten Spam zu einhundert Prozent zu filtern. Manche hinterlistigen Programme können selbst diese Hürde überwinden. Zudem genießt CAPTCHA den Ruf, die Nutzererfahrung für normale User zu verschlechtern und als störend empfunden zu werden.

Welche Arten von CAPTCHA gibt es?

CAPTCHA kann im Netz in vielen verschiedene Varianten eingesetzt werden. Am Ende erfüllen alle Versionen immer den gleichen Zweck: Bots oder Spam von Webseiten fernzuhalten. Auch wenn manche Varianten beliebter sind als andere, so werden Sie mit einem Großteil der verschiedenen Implementierungsmöglichkeiten bestimmt schon in Berührung gekommen sein.

CAPTCHAs auf Textbasis

Der berühmteste und am meisten verbreitete Klassiker unter den CAPTCHAs ist textbasiert und agiert genau so einfach, wie es klingt: Das System generiert eine zufällige Reihenfolge von Zahlen und Buchstaben, die leicht verzerrt angezeigt werden.

Die Verzerrung der Anzeige ist besonders wichtig, damit eine automatische Erkennung kein leichtes Spiel hat. Daher müssen sich auch normale Nutzer bei manchen Codes etwas anstrengen, um die richtige Antwort korrekt erkennen zu können.

CAPTCHAs auf Rechenbasis

Ein rechenbasierter Spamschutz ist oft in Formularen vorzufinden. Eine simple Matheaufgabe die Zahl A mit Zahl B addiert oder subtrahiert. Der große Vorteil hier ist, dass eine solche Aufgabe dank Vorlesefunktion (= Screenreader) laut vorgesprochen werden kann.

Mit Hilfe der Rechnung kann der menschliche Nutzer einfach die Lösung erhalten, während viele Spamprogramme daran scheitern.

CAPTCHAs auf Bildbasis

Immer häufiger trifft man auf bildbasierte CAPTCHA-Codes. Hier werden auf einer Bildoberfläche meist neun zufällig generierte Bilder angezeigt und der User muss beispielsweise alle dort angezeigte Autos oder Bäume anklicken.

Die anderen Bilder zeigen ein anderes Motiv an, das nicht mit der korrekten Lösung im Zusammenhang steht. Diese Art von CAPTCHA gilt als besonders sicher, da Bots große Probleme haben, die Aufgabe korrekt zu lösen.

CAPTCHAs auf Logikbasis

Logik-basierte CAPTCHAs werden eingesetzt, wenn es besonders unkompliziert vonstattengeht: Der Nutzer bekommt vier zufällig generierte Symbole präsentiert und muss das korrekt gefragte Icon anklicken (= Wählen Sie das Symbol „Haus“ aus).

Diese Version wird von Usern besonders gerne gesehen, da sie unkompliziert und einfach bei der Verwendung ist – allerdings liefert diese Technik dafür nicht den Schutz, den beispielsweise die Bildvariante bietet.

CAPTCHAs auf Audiobasis

Audiobasierter Spamschutz wird oft als unterstützende Variante für Menschen mit Sehbeeinträchtigungen genutzt. In vielen dieser Fälle kann das visuelle CAPTCHA per Tastenklick gegen die audiobasierte Version ausgetauscht werden.

Nach diesem Tausch wird eine Zahlenfolge verständlich vorgelesen, die der Nutzer in das passende Feld eintragen muss, um seine Aktion zu beenden und damit den Schutzmechanismus erfolgreich zu umgehen.

CAPTCHAs auf Spielbasis

Die neue Technik auf Basis eines Minispiels ist noch recht neu auf dem Markt und daher nicht allzu weit verbreitet – dennoch erfreut sich diese Option zunehmender Beliebtheit. Der User muss den Code mit Hilfe eines kleinen Spiels lösen, indem er beispielsweise Memory spielt oder einen Apfel per Drag & Drop in das angezeigte interaktive Messer zieht.

Googles reCAPTCHA

Selbst Google hat ein eigenes CAPTCHA-Tool ins Rennen geschickt, um Webseiten vor Spambots zu schützen. Der Clou ist hier, dass dieser Vorgang anders funktioniert als die zuvor genannten Alternativen.

Hier prüft das System den Nutzer im Hintergrund auf seine IP-Adressen, Cookies oder andere potenzielle Auffälligkeiten und entscheidet dann, ob dem Besucher ein CAPTCHA-Code angezeigt wird oder nicht. Ebenfalls anders: Entscheidet die Google-Lösung, dem Nutzer einen Code anzuzeigen, so muss dieser nur einen Haken in das Feld setzen. Weitere Aktionen werden vom User nicht verlangt.

Wichtige Zusatzinformation: Rund um das Thema reCAPTCHA gibt es in Kombination mit der europäischen Datenschutzverordnung viele Fragezeichen und die Nutzung des Service steht nicht unbedingt im Einklang mit der strengen DSGVO.

CAPTCHA-Alternative: Whitelisting/Bot-Management

Eine sogenanntes Bot-Management kann die Antwort sein, um Spam und Bots draußen zu halten. Hier sollte darauf geachtet werden, dass die Bot-Lösung nicht auf arbeitsintensives Blacklisting setzt, sondern mit der Hilfe von Whitelisting arbeitet.

Der Whitelisting-Ansatz kombiniert künstliche Intelligenz mit maschinellem Lernen, um Bots komplett automatisiert in Echtzeit zu entdecken und zu blockieren.

Der gewünschte Traffic kann die Schutzbarriere passieren und schafft ein ganz normales Nutzererlebnis. Solch eine eingesetzte Technologie macht den Einsatz von CAPTCHAs entweder ganz überflüssig oder ist zumindest die ideale Zusatzabsicherung, um keine Risiken einzugehen.

Fazit: CAPTCHAs sind noch immer sinnvoll – mit Abstrichen

Es gibt einen Grund, warum die Spamblocker mittlerweile auf so vielen Webseiten anzutreffen sind. Die Technik hat sich über all die Jahre bewährt und bietet nach wie vor einen gewissen Basisschutz vor Spam und Bots.

Da Schadprogramme allerdings immer intelligenter werden, muss sich die CAPTCHA-Technik stetig weiterentwickeln, um auch zukünftig eine sinnvolle Ergänzung zu den eigenen Webseitenangeboten zu bleiben. Gleichzeitig sollten Unternehmen ein effektives Bot-Management ebenfalls in die interne Strategie mit einbeziehen, um sich vollständig für schädlichen Bots zu schützen.

Eine reine CAPTCHA-Lösung bietet zwar einen gewissen Grundschutz, jedoch garantiert die Nutzung einer professionellen Sicherheitstechnologie einen deutlich größeren Schutz vor böswilligen Bots und überflüssigem Spam.

Link11 Bot-Management