Puzzel

Was sind Captchas?

Captchas schützen Webapplikationen vor schädlichen Zugriffen durch Bots und Spammer. Das Plus an Sicherheit wird jedoch mit Nachteilen bei Barrierefreiheit und Usability erkauft. Denn die kleinen Bild- und Audio-Rätsel stellen auch für manch menschliche Nutzer:innen eine Hürde dar. 

Myra Services zum Thema: Unerwünschte Zugriffe blockieren und schädlichen Traffic abwehren mit Myra Deep Bot Management

01

Captchas: eine Definition

Beim Surfen im Internet begegnen Nutzer:innen schon seit einigen Jahren diversen Captcha-Verfahren. Die kleinen Bild- und Worträtsel sollen auf Webseiten sicherstellen, dass ausschließlich menschliche Besucher:innen auf die dahinter verborgenen Dienste zugreifen können. Damit schützen die kleinen Tools vor Missbrauch auf Internet-Plattformen. Der Begriff Captcha ist ein Akronym und stammt aus dem Englischen: „Completely Automated Public Turing test to tell Computers and Humans Apart“. So dient das Wort Captcha als Sammelbegriff für sämtliche Formen automatisierter Turing-Tests, die Computern zur Unterscheidung von Mensch und Maschine dienen.

Finger zeigt auf Netzwerk

02

Wie funktionieren Captchas?

Das Konzept von Captcha-Verfahren sieht Aufgaben vor, die von Menschen leicht lösbar sind, Computer-Systemen jedoch große Probleme bereiten. In der Praxis werden daher meist Bild- oder Worträtsel in Verbindung mit Weichzeichnern und ähnlichen optischen Manipulationen verwendet. Um diese Aufgaben maschinell zu lösen, sind ausgefeilte Algorithmen für die Bilderkennung und leistungsstarke Hardware erforderlich. Diese Hürden dienen der Abwehr automatisierter Anfragen und Spammer.

Eingesetzt werden Captchas überall dort im Netz, wo Dienste durch Bot-Zugriffe gefährdet sind. Mit der Technologie schützen Webmaster mitunter Online-Umfragen, E-Mail-Dienste oder auch sensible Services wie das Online-Banking vor Missbrauch. 

03

Was sind die Nachteile von Captchas?

Der Einsatz von Captchas zum Schutz von Webdiensten ist nicht unumstritten. So schränken etwa die eingebundenen Bildrätsel die Barrierefreiheit der dahinterliegenden Webapplikation massiv ein. Speziell sehbehinderten Menschen bereiten solche Captcha-Aufgaben große Schwierigkeiten beim Log-in. Abhilfe versprechen akustische Captchas, die jedoch für ihren hohen Schwierigkeitsgrad in der Kritik stehen und Hörgeschädigten besonders große Probleme bereiten.

Im Hinblick auf die Nutzerfreundlichkeit gelten Captchas ebenfalls als problematisch, da sie einen weiteren Schritt zur Anmeldung auf Webshops und anderen Portalen darstellen. Der zusätzliche Aufwand für potenzielle Kund:innen wirkt sich negativ auf die Konversionsrate aus. Verstärkt wird der negative Effekt von zunehmend anspruchsvolleren Captcha-Aufgaben. Diese sind jedoch notwendig, um die Fortschritte in der Künstlichen Intelligenz auszugleichen, die automatisierten Systemen ermöglichen, simple Captchas ohne viel Aufwand zu lösen. Ein Forscherteam der Stanford University stellte daher schon 2010 die Zukunftstauglichkeit gängiger Captcha-Methoden infrage. Schon damals hatten auch viele menschliche Nutzer:innen Probleme bei der Beantwortung der kleinen Rätsel.

Person arbeitet an einem Laptop mit Code auf dem Bildschirm

Google reCAPTCHA: umstrittener Komfort-Service

Seit 2013 adressiert der Google-Dienst reCAPTCHA die Problematik um zu komplexe Anmeldevorgänge mit dem sogenannten No CAPTCHA. Dabei handelt es sich um eine Prüfmethode, die im Hintergrund Browsing-Daten wie beispielsweise IP-Adressen, Standort, Verweildauer und Mausbewegungen auswertet. Deuten die gesammelten Daten darauf hin, dass es sich um eine valide Nutzeranfrage handelt, genügt ein simpler Mausklick auf das Textfeld “Ich bin kein Roboter”, um das Captcha zu lösen. Fallen die Ergebnisse hingegen weniger eindeutig aus, kommen die bekannten visuellen oder akustischen Captchas zum Einsatz, um bösartige Bot-Zugriffe zu vereiteln. Die Weiterentwicklung reCAPTCHA v3 verzichtet sogar gänzlich auf zusätzliche Abfragen der Nutzer:innen. Hier werden automatische Zugriffe im Hintergrund identifiziert und verwaltet. Für Webseitenbesucher:innen mag reCAPTCHA ein willkommener Komfortgewinn sein, allerdings stören sich Datenschutzorganisationen zunehmend an der Weitergabe sensibler Anwenderinformationen an das US-Unternehmen.

04

Wie Cyberkriminelle Captchas umgehen

In der Praxis kommen Captcha-Abfragen primär zum Einsatz, um Missbrauch und Angriffe mittels Credential Stuffing oder Credential Cracking zu vereiteln. Zumeist haben es Cyberkriminelle bei ihren Attacken auf lukrative Konten für Online-Banking oder Payment abgesehen. Die Captchas dienen hier als zusätzliche Sicherheitsebene – als alleiniger Schutzwall sind die Abfragen hingegen weniger geeignet. Für Cyberkriminelle und deren Bot-Armeen stellen Captchas keine unüberwindbare Hürde dar, denn es gibt diverse Methoden, um die Schutzfunktion zu umgehen:

Moderne Algorithmen

Moderne Algorithmen sind dazu in der Lage, selbst komplexe Captchas zuverlässig zu lösen und schneiden dabei sogar meist besser ab als menschliche Nutzer:innen. Im technologischen Wettlauf sind daher beständig verbesserte Captcha-Verfahren erforderlich, um verlässlichen Schutz zu gewährleisten.

Trojaner

Trojaner können tausendfach Anwender:innen dazu verleiten, Captcha-Abfragen manuell auszufüllen – etwa getarnt als Minigames auf Webseiten oder lokalen Systemen.

Captcha Solving Services

Captcha Solving Services bieten die Auflösung von Captcha-Abfragen als Dienstleistung zu Spottpreisen an und stellen sogar Schnittstellen für die weitere Verarbeitung der Daten zur Verfügung. Die Beantwortung der Captchas übernehmen bei diesen Diensten Armeen von Billiglöhnern, die in Entwicklungsländern die digitalen Rätsel manuell lösen. Per API-Integration lassen sich Captcha Solving Services sogar direkt an die automatisierten Angriffstools der Cyberkriminellen anbinden.

05

Wie lässt sich der Schutz von Captchas erweitern?

Die dargelegten Beispiele zeigen, dass das Captcha-Verfahren allein für den Schutz von Konten und Log-ins nicht ausreicht. Zwar mögen zahlreiche böswillige Bot-Anfragen durch den gezielten Einsatz von Captchas zu verhindern sein, aber ambitionierte Kriminelle können Webmaster damit nicht beeindrucken.

Deutlich effektiver lässt sich schädlicher Traffic beispielsweise über Bot Management Services abwehren. Die Security-Lösung identifiziert Bot-Anfragen eindeutig und ermöglicht Seitenbetreibern granular zu steuern, welche Arten von maschinellem Traffic wann auf der Webseite erlaubt sind. Die präzise Verwaltung des Traffics erhöht nicht nur den Schutz von Log-ins, sondern erlaubt auch einen performanteren und günstigeren Betrieb der Webseite. So lassen sich etwa erwünschte Bot-Anfragen auf Traffic-arme Tageszeiten verlegen, um zu Stoßzeiten mehr Leistung für menschliche Zugriffe bereitstellen zu können.

06

Captchas: Das müssen Sie wissen

Bei Captchas handelt es sich um kleine Bild- und Worträtsel, die den automatisierten Zugriff von Bots auf Webseiten unterbinden sollen. Diese Turing-Tests sind darauf ausgelegt, dass lediglich menschliche Nutzer:innen sie erfolgreich meistern. Allerdings verfügen Cyberkriminelle über verschiedene Methoden, um ihre schädlichen Bots an Captcha-Sperren vorbeizuschleusen. Hierzu kommen etwa spezielle Algorithmen, Trojaner oder Captcha Solving Services zum Einsatz. Für eine holistische Kontrolle automatisierter Zugriffe sind Captchas daher ungeeignet. Hierfür sind umfangreichere Werkzeuge wie Bot Management Services erforderlich, die eine granulare Steuerung von Bots auf den eigenen Websites erlauben. 

Mit der Myra Web Application Security verwalten Sie dank Deep Bot Management präzise alle Requests auf Ihrer Webseite. Mittels Fingerprinting-Technologie identifiziert und verwaltet Myra eingehende Bot-Anfragen zuverlässig, während schädlicher Traffic automatisch blockiert oder umgeleitet wird. False Positives verhindert die Lösung dabei durch nachgelagerte Captcha-Aufforderungen. Auf diese Weise steht sowohl für herkömmliche User Requests als auch für maschinelle Bot-Anfragen stets die optimale Leistung zur Verfügung, ohne die Sicherheit von Online-Konten zu gefährden.

Mehr über Myra Deep Bot Management erfahren