CAPTCHA: Sicherheitsabfrage zur Spam-Bot-Erkennung!
Ob deformierte Buchstaben und Zahlenkombinationen, unlösbare Fotorätsel oder das Drücken auf Ampeln, Fußgängerüberwege oder lachende Hunde: CAPTCHAs sind ein weit verbreiteter Sicherheitsmechanismus im Internet, um multimediale Webseiten und Webdienste vor bösartigen Internet-Bots zu beschützen. Im nachfolgenden Blogbeitrag zeigen wir Ihnen einen Gesamtüberblick über die Anwendungsbereiche der CAPTCHA-Technologie. Dazu stellen wir Ihnen die verschiedenen CAPTCHA-Typen vor und zeigen auf, welche alternativen Sicherheitsmechanismen es zur Spam-Prävention gibt.
Das Internet ist voller Bots – im Besonderen bösartiger Bots, deren Ziel es ist, gezielt interaktive Webseiten oder Webdienste anzugreifen, um beispielsweise Daten und Informationen von Webseiten-Besuchern abzugreifen und diese für schadende Tätigkeiten zu nutzen, etwa Fake-Konten und Fake-Profile zu nutzen und gezielt Spam sowie rufschädigende und politische Parolen zu propagieren. Es vergeht inzwischen kein Kalendertag, an dem Internetnutzer nicht mit automatisch generierten Spam-Nachrichten konfrontiert werden: sei es in Internetforen, Chat-Portalen, in Blogs, im E-Mail-Postfach oder in Online-Formularen oder Kommentarfeldern eines Webshops.
Aus dem aktuellen Bot-Report von Imperva geht hervor, dass lediglich 2021 42,2 Prozent des Internetverkehrs von Internet-Bots erzeugt wurde. Hierbei waren allgemein so benannte „Bad Bots“ für 27,7 Prozent aller weltweiten Webseitenaufrufe verantwortlich. Dabei hat jede Sparte Imperva entsprechend ihre jeweiligen Problematiken mit Bad Bots. Diese reichen von Account-Takeover (ATO)-Angriffen über Credential Stuffing bis hin zu Content- oder Price-Scraping.
Eine ausgereifte und weitverbreitete Schutzmaßnahme gegen Internet-Bots, ungewollte Nachrichten und das automatische Herausfiltern von Daten auf Webseiten stellt immer noch die CAPTCHA-Technologie dar.
Was ist ein CAPTCHA?
Der Begriff CAPTCHA wurde von Forschern der Carnegie Mellon University in Pittsburgh geprägt und steht für „Completely Automated Public Turing test to tell Computers and Humans Apart”. Hierbei handelt es sich in aller Regel um eine leichte, automatisierte Sicherheitsabfrage, mit welcher verifiziert werden soll, dass eine Person auf der Internetseite oder dem Webdienst agiert und nicht ein Bot. Das erste Ziel dieses Verifizierungsverfahren ist es, einer unerwünschten Benutzung durch automatisierte Bots ein Schloss vorzuschieben und Menschen deutlich von Bots zu unterscheiden.
CAPTCHAS findet man inzwischen fast in allen Bereichen, in denen es menschliche Internetnutzer von Bots zu differenzieren gilt. Dies betrifft unter anderem Online-Studien, Suchmaschinen-Dienste oder Registrierungsformulare für soziale Netzwerke, E-Mail-Dienste, Blogs und Newsletter. Auch Banken oder Online-Bezahldienste wie Paypal sowie die Webseiten von Kreditkartenunternehmen verwenden CAPTCHAs, um den Zugang zu Kundenkonten zu schützen.
CAPTCHA: Funktionsweise!
Um herauszufinden, ob es sich bei dem Webseiten-Nutzer um einen Menschen oder einen Internet-Bot handelt, werden für gewöhnlich sogenannte Challenge-Response-Tests verwendet, bei welchen die Webseitenbesucher eine Aufgabe lösen müssen, um Zugang zu dem gewissen Web-Dienst zu bekommen. Die Aufgaben sind dabei so entworfen, dass sie für einen menschlichen Webseiten-Nutzer meist einfach zu bewältigen sind, währenddessen sie automatisierte Internet-Bots im Idealfall vor eine nahezu nicht lösbare Aufgabe stellen. In den häufigsten Fällen müssen Webseiten-Besucher zufällig generierte, verzerrte Zahlenreihen oder Buchstabenreihen wiedergeben oder zum Beispiel Bilderrätsel oder Rechenaufgaben bewältigen. Es gibt aber auch Aufgaben, die Audio- oder Videoaufzeichnungen beinhalten.
Verschiedene Arten von CAPTCHAs
Im Generellen lassen sich CAPTCHAs in textbasierte oder bildbasierte Captchas, Logik- oder Frage-Captchas plus Audio Captchas und Gamification Captchas unterteilen.
- Textbasierte CAPTCHA-Verfahren: Textbasierte CAPTCHAs sind die ältesten und am häufigsten vertretenen Klassiker der menschlichen Verifizierung. Bei diesem Verifizierungsverfahren werden dem Internetseiten-Besucher mehrere durch Zufall generierte Wörter, Buchstaben wie auch Zahlen in enorm verzerrter Gestalt sowie extra grafischen Bauteilen wie Linien, Bögen, Punkten oder auch Farbverläufen angezeigt. Der Webseiten-Nutzer muss diese entziffern und ins Eingabefeld eingeben, um Zugang zum gewollten Webdienst zu erhalten. Eine prominente Ausführung des klassischen Text-Captchas ist reCAPTCHA.
- reCAPTCHA: Bei der von Google entwickelten CAPTCHA-Technik werden dem Internetseiten-Nutzer anstelle von durch Zufall generierten Buchstaben-Zahlen-Kombinationen, Straßennamen, Hausnummern, Verkehrs- und Ortsschilder wie auch Fragmente eingescannter Textabschnitte aus Google Books und Google Street View angezeigt, die sie entziffern und über die Tastatur in ein Textfeld eingeben müssen.
- Bildbasierte CAPTCHA-Verfahren: Neben textbasierten CAPTCHAs stoßen Webseiten-Nutzer immer häufiger auf bildbasierte Sicherheitsabfragen. Dabei werden die Webseiten-Besucher aufgefordert, auf einer Bildoberfläche mit in aller Regel neun beliebig generierten Fotos, ähnliche Motive zu erkennen oder einen semantischen Kontext darzustellen, um damit „menschliche Intelligenz“ zu belegen.
- Rechenbasierte CAPTCHA-Verfahren: Bei einer rechenbasierten Verifizierung sollen Internetseiten-Besucher leichte Mathematik-Aufgaben lösen wie auch das Resultat eintragen, um ihre menschliche Intelligenz zu demonstrieren.
- Logikbasierte CAPTCHA-Verfahren: Bei einem logikbasierten CAPTCHA bekommen die Webseiten-Nutzer vier zufällig generierte Zeichen präsentiert. Hier besteht die Fragestellung darin, das gefragte Symbol beispielsweise “Haus” anzuklicken.
- Audiobasierte CAPTCHA-Verfahren: Audiobasierte CAPTCHA-Authentifizierungen wurden entwickelt, um auch sehbehinderten Menschen einen Eintritt zu captcha-geschützten Bereichen einer Internetseite zu ermöglichen. In der Regel werden textbasierte oder bildbasierte Prüfverfahren mit so bezeichneten Audio-Captchas verbunden. Häufig wird dazu eine Schaltfläche integriert, mit welcher der Internetseiten-Besucher bei Bedarf zum Ersatz eine Audio-Aufnahme abfragen kann.
- Spielbasierte CAPTCHAS: Bei spielbasierten CAPTCHAs dreht es sich für gewöhnlich um unterhaltsame Minispiele, etwa Puzzlespiele, bei welchen die Puzzleteile an die korrekte Fläche gerückt werden sollen.
Welche alternativen Sicherheitsmaßnahmen gibt es?
Die Gefahr durch böswillige Netzwerk-Bots wächst kontinuierlich. Auch wenn der Einsatz von CAPTCHA-Verfahren einen gewissen Grundschutz bietet, stellen sie für Internetkriminelle sowie deren Bot-Armeen keine unüberwindbare Barriere dar. So können diese anhand von neuartigen Machine-Learning Algorithmen oder künstlicher Intelligenz sogar schwierige Sicherheitsabfragen zuverlässig lösen. Außerdem werden inzwischen sogenannte „Captcha Solving Services“ zu Spottpreisen und Schnittstellen für die weitere Verwendung der erbeuteten Daten angeboten.
Weil sich Internet-Bots stetig entwickeln und immer intelligenter werden, sind genauso die Entwickler bisheriger CAPTCHA-Lösungen angehalten, mit dieser Reifung Schritt zu halten, um auch in Zukunft einen effektiven Webseiten-Schutz zu bieten. Weil dies allerdings mit Einbußen in der Benutzerfreundlichkeit einhergeht und insbesondere Menschen mit Behinderungen oder Einschränkungen eine zusätzliche Hürde darstellt, gibt es zunehmend mehr Anbieter von alternativen Sicherheitslösungen wie Bots-Management, Content-Filter, Honeypots, serverseitige Filterung oder Whitelisting.
CAPTCHAS brauchen ergänzende IT-Sicherheitsmaßnahmen!
Zusammenfassend lässt sich vermerken, dass CAPTCHA-Lösungen immer noch wirksam vor böswilligen Internet-Bots, Spam-Nachrichten oder anderen Sorten von Webseiten-Missbrauch absichern können. Dennoch bieten sie lediglich einen Grundschutz und sollten im Optimalfall mit anderen Sicherheitsmaßnahmen zum Bot-Schutz verbunden werden.
Möchten auch Sie Ihre Webseiten, Webanwendungen und Webdienste vor raffinierten und zunehmend smarter werdenden Internet-Bots schützen? Oder haben Sie noch Fragen zum Thema? Kontaktieren Sie uns!