Onlineschulung

CAPTCHA: Starkes Testsystem zur Spam-Bot-Erkennung!

20.03.2023 - Ob verzerrte Buchstaben oder Zahlenkombinationen, unlösbare Fotorätsel oder das Drücken auf Ampeln, Fußgängerüberwege oder lachende Hunde: CAPTCHAs sind ein weit verbreiteter Sicherheitsmechanismus im Internet, um interaktive Webseiten und Webdienste vor bösartigen Internet-Bots zu beschützen. Im nachfolgenden Blogbeitrag zeigen wir Ihnen einen Überblick über die Einsatzbereiche der CAPTCHA-Technologie. Dabei stellen wir Ihnen die verschiedenen CAPTCHA-Typen vor und zeigen auf, welche alternativen Sicherheitsmechanismen es zur Spam-Prävention gibt.

Sehr geehrte LeserInnen,

das Internet ist voller Bots - im Besonderen bösartiger Bots, deren Ziel es ist, gezielt interaktive Internetseiten oder Webdienste anzugreifen, um etwa Daten oder Dokumente von Webseiten-Besuchern abzugreifen und diese für schadende Tätigkeiten zu nutzen, etwa Fake-Accounts und Fake-Profile zu betreiben und gezielt Spam sowie rufschädigende und politische Parolen zu propagieren. Es vergeht inzwischen kein Tag, an welchem Internetnutzer nicht mit automatisiert generierten Spam-Nachrichten konfrontiert werden: sei es in Internetforen, Chat-Portalen, in Blogs, im E-Mail-Postfach bzw. in Online-Formularen oder aber Kommentarfeldern eines Webshops.
Aus dem gegenwärtigen Bot-Report geht hervor, dass allein im Jahr 2021 42,2 % des Internetverkehrs von Internet-Bots erzeugt wurde. Hierbei waren allgemein so benannte „Bad Bots“ für 27,7 Prozent aller weltweiten Webseitenaufrufe verantwortlich. Dabei hat jede Branche Imperva zufolge ihre individuellen Problematiken mit Bad Bots. Selbige reichen von Account-Takeover (ATO)-Angriffen über Credential Stuffing bis hin zu Content- oder Price-Scraping.

Eine bewährte und weitverbreitete Vorkehrung gegen Internet-Bots, unerwünschte Nachrichten und das automatische Herausfiltern von Daten auf Webseiten stellt nach wie vor die CAPTCHA-Technologie dar.

Was bedeutet CAPTCHA?

Die Bezeichnung CAPTCHA wurde von Forschern der Carnegie Mellon University in Pittsburgh geprägt und steht für „Completely Automated Public Turing test to tell Computers and Humans Apart”. Hierbei dreht es sich meist um eine einfache, automatisierte Sicherheitsabfrage, mit dieser verifiziert werden soll, dass eine Person auf der Website oder dem Webdienst handelt und nicht ein Bot. Das vorrangige Ziel des Verifizierungsverfahren ist es, einer unerwünschten Nutzung durch automatisierte Bots einen Riegel vorzuschieben und Menschen klar von Bots zu unterscheiden.
CAPTCHAS findet man heutzutage nahezu in allen Bereichen, in welchen es menschliche Internetnutzer von Bots zu unterscheiden gilt. Dies betrifft zum Beispiel Online-Umfragen, Suchmaschinen-Services oder Registrierungsformulare für soziale Netzwerke, E-Mail-Dienste, Blogs sowie Newsletter. Auch Banken oder Online-Bezahldienste wie Paypal und die Webseiten von Kreditkartenunternehmen verwenden CAPTCHAs, um den Zugriff zu Kundenkonten zu sichern.

Wie funktioniert die CAPTCHA-Technologie?

Um herauszufinden, ob es sich bei dem Internetseiten-Nutzer um einen Menschen oder einen Internet-Bot handelt, werden häufig sogenannte Challenge-Response-Tests eingesetzt, bei denen die Webseitenbesucher eine Aufgabe lösen müssen, um Einlass zu einem entsprechenden Web-Dienst zu erhalten. Die Aufgaben sind in diesem Fall so entworfen, dass sie für einen menschlichen Webseiten-Besucher in der Regel leicht zu lösen sind, während sie automatisierte Internet-Bots im Idealfall vor eine nahezu nicht lösbare Aufgabe setzen. In den häufigsten Fällen sollen Webseiten-Besucher durch Zufall generierte, verzerrte Ziffernreihen oder Buchstabenreihen wiedergeben oder zum Beispiel Bilderrätsel oder Rechenaufgaben bewältigen. Es gibt jedoch ebenso Aufgaben, welche Audio- oder Videoaufzeichnungen enthalten.

Verschiedene Arten von CAPTCHAs

Im Generellen lassen sich CAPTCHAs in textbasierte oder bildbasierte Captchas, Logik- oder Frage-Captchas plus Audio Captchas und Gamification Captchas aufgliedern.

  • Textbasierte CAPTCHA-Verfahren: Textbasierte CAPTCHAs sind die traditionsreichsten sowie am meisten verbreiteten Hits der menschlichen Verifizierung. Bei jenem Verifizierungsverfahren werden dem Webseiten-Besucher mehrere durch Zufall generierte Wörter, Buchstaben und Zahlen in enorm verzerrter Form sowie extra grafischen Bauteilen wie Linien, Bögen, Punkten oder auch Farbverläufen angezeigt. Der Webseiten-Nutzer muss jene entziffern und ins Eingabefeld eintragen, um Eintritt zum gewollten Webdienst zu bekommen. Eine prominente Variante des klassischen Text-Captchas ist reCAPTCHA.
  • reCAPTCHA: Bei der von Google entwickelten CAPTCHA-Technik werden dem Webseiten-Nutzer anstelle von zufällig generierten Buchstaben-Zahlen-Kombinationen, Straßennamen, Hausnummern, Verkehrs- oder Ortsschilder wie auch Fragmente eingescannter Textabschnitte aus Google Books und Google Street View angezeigt, die sie entziffern und über die Tastatur in ein Feld eingeben müssen.
  • Bildbasierte CAPTCHA-Verfahren: Außer textbasierten CAPTCHAs stoßen Webseiten-Besucher immer häufiger auf bildbasierte Sicherheitsabfragen. Hierbei werden die Internetseiten-Besucher gebeten, auf der Bildoberfläche mit in aller Regel neun beliebig generierten Fotos, ähnliche Motive zu identifizieren oder einen semantischen Kontext darzulegen, um damit „menschliche Intelligenz“ zu belegen.
  • Rechenbasierte CAPTCHA-Verfahren: Bei der rechenbasierten Verifizierung sollen Internetseiten-Nutzer leichte Mathematik-Aufgaben lösen und das Ergebnis eintragen, um ihre menschliche Intelligenz zu beweisen.
  • Logikbasierte CAPTCHA-Verfahren: Bei einem logikbasierten CAPTCHA bekommen die Webseiten-Nutzer vier durch Zufall generierte Zeichen gezeigt. An dieser Stelle besteht die Fragestellung darin, das gefragte Symbol, beispielsweise “Haus” anzuklicken.
  • Audiobasierte CAPTCHA-Verfahren: Audiobasierte CAPTCHA-Authentifizierungen wurden entwickelt, um auch sehbehinderten Personen einen Eintritt zu captcha-geschützten Segmenten einer Internetseite zu geben. In der Regel werden textbasierte oder bildbasierte Prüfverfahren mit so bezeichneten Audio-Captchas kombiniert. Häufig wird hierbei eine Schaltfläche integriert, mit jener der Internetseiten-Nutzer bei Bedarf ersatzweise eine Audio-Aufnahme abfragen kann.
  • Spielbasierte CAPTCHAS: Bei spielbasierten CAPTCHAs dreht es sich häufig um unterhaltsame Minispiele, etwa Puzzlespiele, bei denen die Puzzleteile an die korrekte Stelle gerückt werden müssen.

Gibt es alternative Lösungen zu CAPTCHAsS?

Die Gefährdung durch böswillige Netzwerk-Bots steigt konstant. Auch wenn der Einsatz von CAPTCHA-Verfahren einen bestimmten Grundschutz liefert, stellen sie für Internetkriminelle und deren Bot-Armeen keinerlei unüberwindbare Hürde dar. Auf diese Weise können diese anhand von neuartigen Machine-Learning Algorithmen oder künstlicher Intelligenz sogar schwierige Sicherheitsabfragen solide bewältigen. Außerdem werden inzwischen sogenannte „Captcha Solving Services“ zu Spottpreisen sowie Schnittstellen für die weitere Verwendung der erbeuteten Daten angeboten.

Da sich Internet-Bots konstant weiterentwickeln und andauernd schlauer werden, sind auch die Entwickler bisheriger CAPTCHA-Lösungen gezwungen, mit dieser Reifung Schritt zu halten, um auch in Zukunft einen ordentlichen Webseiten-Schutz zu bieten. Weil dies allerdings mit Verlusten in der Benutzerfreundlichkeit einhergeht und hauptsächlich Menschen mit Behinderungen oder Einschränkungen eine erweiterte Barriere präsentiert, gibt es immer mehr Anbieter von weiteren Sicherheitslösungen wie Bots-Management, Content-Filter, Honeypots, serverseitige Filterung oder Whitelisting.

CAPTCHAS brauchen ergänzenden Schutz!

Grundsätzlich lässt sich sagen, dass CAPTCHA-Lösungen nach wie vor wirksam vor böswilligen Internet-Bots, Spam-Nachrichten oder anderen Sorten von Webseiten-Missbrauch absichern können. Dennoch bieten sie lediglich einen Grundschutz und sollten im Idealfall mit weiteren Sicherheitsmaßnahmen zum Bot-Schutz kombiniert werden.

Wollen auch Sie Ihre Webseiten, Webanwendungen und Webdienste vor ausgeklügelten und zunehmend intelligenter werdenden Internet-Bots absichern? Oder haben Sie noch Fragen zum Thema? Sprechen Sie uns an!

Sie wollen immer auf dem Laufenden bleiben?
Jetzt Newsletter abonnieren.

Kundenhotline & Kontakt

Unsere Kundenhotline ist Ihre zentrale Anlaufstelle für Ihre Anfragen oder Bestellungen.
Sie können uns zu den aufgeführten Zeiten unter folgender Rufnummer erreichen:

02302-2896999Montag bis Donnerstag von 08:00 bis 17:00 Uhr,
Freitag von 08:00 bis 15:00 Uhr

Kontaktformular Adresse & Öffnungszeiten

Maria Forsch Kundenbetreuerin

Unsere Partner & Programme

Onlinetermin buchen