Was ist ein CAPTCHA? (Definition und Erklärung)

CAPTCHA ist eine Abkürzung für „completely automated public Turing test to tell computers and humans apart“ (auf deutsch: vollständig automatisierter öffentlicher Turing-Test zur Unterscheidung von Computern und Menschen). Informatiker entwickelten die einfachen Tests in den 1990er Jahren. Sie sind so konzipiert, dass sie für Menschen leicht zu lösen, für Computer jedoch schwierig sind. Auch heute werden sie noch häufig eingesetzt, um Bots daran zu hindern, Websites zu spammen.

Ob es darum geht, alle Quadrate mit Kätzchen auszuwählen, ein Puzzleteil an die richtige Stelle zu bewegen oder verzerrte Buchstaben einzugeben – wir alle haben uns schon mit solchen Aufgaben auseinandergesetzt. Auch wenn sie manchmal nervig sein können, sind CAPTCHAs notwendig, um Websites vor Ausnutzung durch Hacker und andere bösartige Dritte zu schützen.

Wie funktioniert CAPTCHA?

Websites präsentieren dem Nutzer in der Regel mehrere Bilder, eine Textzeile, Zahlen oder eine Audiodatei. Nutzer müssen den Anweisungen des CAPTCHAs folgen und eine Antwort eingeben, um zu beweisen, dass sie Menschen sind.
Obwohl CAPTCHAs hilfreich sind, verhindern sie nicht vollständig, dass Bots oder Spammer aktiv werden. Dank Technologien wie neuronalen Netzwerken können Cyberkriminelle Computer mit KI entwickeln, die CAPTCHAs mit hoher Erfolgsquote lösen. Daher sollten CAPTCHAs nie die einzige Verteidigung gegen Spam oder Bots darstellen.

Was löst einen CAPTCHA-Test aus?

CAPTCHA-Tests werden in der Regel ausgelöst, wenn eine Website verdächtige Aktivitäten oder ein automatisiertes Verhalten erkennt. Hier sind einige der häufigsten Auslöser:

IP-Adresswechsel

Wenn Sie ein VPN verwenden, stoßen Sie wahrscheinlich häufiger auf CAPTCHAs, da ein VPN Ihnen eine alternative IP-Adresse zuweist. Da IP-Adressen den allgemeinen Standort eines Nutzers preisgeben, könnte ein plötzlicher Wechsel die Website glauben lassen, dass Sie ein Bot oder automatisiertes Skript sind.

Große Ladeanfragen

Websites und Onlinedienste setzen CAPTCHAs ein, um Bots und andere bösartige Akteure daran zu hindern, ihre Server zu überlasten und die Erfahrung für echte Nutzer zu beeinträchtigen. Wenn Sie plötzlich große Mengen an Bildern, Videos oder anderen Medien anfordern, könnte Ihre Aktivität als verdächtig eingestuft werden und CAPTCHAs zwischen den Anfragen auslösen.

Einloggen in ein Konto

In diesem Fall werden CAPTCHAs als zusätzliche Sicherheitsmaßnahme eingesetzt, um zu überprüfen, ob Sie tatsächlich ein Mensch sind und versuchen, sich in Ihr Konto einzuloggen.

Bot-ähnliches Verhalten

Das schnelle Ausfüllen von Formularen, ungewöhnliche Klickmuster und eine hohe Anzahl an Serveranfragen gelten als bot-ähnliches Verhalten.

Keine Browser-Historie

CAPTCHAs können zwar nicht Ihre Browser-Historie einsehen. Doch da reCAPTCHA von Google betrieben wird, glauben viele Internetnutzer, dass das Unternehmen CAPTCHA-Tests auslöst, wenn keine Browser-Historie erkannt wird.

Arten von CAPTCHAs

Hier sehen wir uns die verschiedenen CAPTCHA-Typen an, die häufig auf Websites verwendet werden, sowie Tipps zu deren Lösung und ihre Wirksamkeit.

Textbasierte CAPTCHAs

Textbasierte CAPTCHAs (siehe oben) erfordern, dass Nutzer einen Code eingeben, der aus Buchstaben, Zahlen oder einer Kombination aus beidem besteht, um zu beweisen, dass sie Menschen sind.

Wirksamkeit: Im Laufe der Jahre gab es widersprüchliche Berichte darüber, ob textbasierte CAPTCHAs so effektiv sind, wie zunächst angenommen wurde. Viele große E-Commerce-Marken und Technologieunternehmen setzen sie jedoch weiterhin ein, um sich vor bösartigen Bots zu schützen.

Tipps zur Lösung: Keine besonderen Tipps – sie sind in der Regel leicht zu lösen.

Arten textbasierter CAPTCHAs:

Gimpy

Gimpy verwendet verzerrte Wörter aus einem Wörterbuch mit 850 Einträgen, um Bots zu verwirren.

EZ-Gimpy

EZ-Gimpy ist eine vereinfachte Version von Gimpy mit einem einzelnen Wort oder einer Phrase.

Gimpy-r

Gimpy-r mischt Buchstaben zufällig und fügt Hintergrundfarben hinzu, um Bots zusätzlich zu verwirren.

Simard’s HIP

Simard’s HIP geht einen Schritt weiter und fügt Zahlen sowie Muster in den Hintergrund ein.

Audio-CAPTCHAs

Audio-CAPTCHAs (siehe Beispiel oben) bieten eine Alternative für Menschen mit Sehbehinderungen oder motorischen Einschränkungen. Nutzer müssen eine Aufnahme anhören und den Code eingeben.

Wirksamkeit: Obwohl sie etwas unangenehm und schwer zu hören sind, gelten Audio-CAPTCHAs als besonders effektiv gegen Bots, da diese meist nicht auf Spracherkennung oder das Unterscheiden von Buchstaben in Hintergrundgeräuschen trainiert sind.

Tipps zur Lösung: Volle Konzentration! Hören Sie sich die Audioaufnahme genau an und geben Sie Ihr Bestes.

Bildbasierte CAPTCHAs (z. B. Confident reCAPTCHA)

Die beliebteste Form von CAPTCHA – und das Thema tausender Memes – besteht darin, Fotos anhand vorgegebener Anweisungen auszuwählen. Um es auf Anhieb richtig zu machen, müssen Sie wie die Masse denken und auf Fotos klicken, von denen Sie glauben, dass alle anderen darauf klicken werden. Keine Zeit zum Nachdenken!

Wirksamkeit: Mit einer angeblichen Erfolgsquote von 96 % ist die Wirksamkeit hoch. Die Bilder sind so subjektiv gestaltet, dass Bots sie derzeit nicht zuverlässig erkennen können.

Tipps zur Lösung: Nicht zu viel nachdenken. Wenn Sie scheitern, erhalten Sie einen neuen Test, der möglicherweise einfacher ist.

No CAPTCHA reCAPTCHA (oder reCAPTCHA V2)

Dieses 2014 von Google eingeführte CAPTCHA ist einfach: Ein Klick auf ein Kästchen mit der Aufschrift „Ich bin kein Roboter“ reicht aus. Das CAPTCHA bestimmt dann anhand des Klickverhaltens, ob der Nutzer ein Mensch oder ein Bot ist. Bots neigen dazu, das Kästchen genau in der Mitte anzuklicken. Sollte ein Mensch aus Zufall ebenfalls die Mitte anklicken, wird eine zusätzliche Überprüfung ausgelöst, bei der Zahlen oder Buchstaben eingegeben werden müssen.
Wirksamkeit: Hoch

Tipps zur Lösung: Klicken Sie nicht genau in die Mitte des Kästchens. Für Menschen ist es schwer, hierbei einen Fehler zu machen.

Mathe-Aufgaben oder Wortaufgaben

Diese CAPTCHAs fordern einfache Rechenaufgaben oder das Eingeben eines bestimmten Wortes. Obwohl sie für Menschen einfach erscheinen, stellen sie für Bots überraschend schwierige Herausforderungen dar.

Wirksamkeit: Mäßig. Insbesondere bei klassischen Herausforderungen wie dem Eingeben verzerrten Textes haben Bots Fortschritte gemacht.

Tipps zur Lösung: Stellen Sie sich vor, Ihr Lieblingslehrer feuert Sie an. Sie schaffen das!

Honeypot-CAPTCHAs

Honeypots sind unsichtbare CAPTCHAs, die nur Bots sehen können. Sie erscheinen oft als leere Felder in einem Formular. Bots versuchen automatisch, diese Felder auszufüllen, wodurch die Website die Einsendung ablehnen kann.
Wirksamkeit: Mäßig. Einige Bots erkennen diese Mechanik jedoch inzwischen.

Tipps zur Lösung: Keine – Menschen müssen nichts tun.

Zeitbasierte Formulare

Diese Art von CAPTCHA misst, wie lange es dauert, ein Formular auszufüllen. Bots füllen Formulare in Sekundenschnelle aus. Wenn Sie sich Zeit lassen, beweisen Sie, dass Sie ein Mensch sind.
Wirksamkeit: Hoch

Tipps zur Lösung: Füllen Sie Formulare in menschlicher Geschwindigkeit aus (also langsam) und vermeiden Sie Automatisierung.

Social-Media-Login

Diese CAPTCHA-Art gilt als besonders sicher, da Nutzer sich über Konten bei Facebook, Instagram oder Google anmelden müssen. Bots, die keine Social-Media-Konten besitzen, können diese Tests nicht bestehen. Ein Nachteil ist, dass Nutzer es möglicherweise als lästig empfinden, ein separates Konto zu nutzen, und ungern persönliche Daten verknüpfen.
Wirksamkeit: Hoch

Tipps zur Lösung: Nutzen Sie ein Social-Media-Konto, auch ein speziell für solche Zwecke eingerichtetes, um schnell durchzukommen, ohne Ihre Privatsphäre zu gefährden.

Unsichtbare CAPTCHAs (oder reCAPTCHA V3)

Laut Google funktioniert diese Methode im Hintergrund und ermittelt anhand des Nutzerverhaltens, ob es sich um einen Menschen oder einen Bot handelt. Dabei wird ein Score zwischen 0 und 1 vergeben: 0 bis 0,3 deutet auf einen Bot hin, 0,4 bis 1,0 auf einen Menschen. Wie genau dies funktioniert, hat Google nicht offengelegt – wahrscheinlich, um bösartige Akteure im Unklaren zu lassen.
Wirksamkeit: Unbekannt

Tipps zur Lösung: Menschlich sein. Es wurde festgestellt, dass das Besuchen von Websites mit einem Google-Cookie die Wahrscheinlichkeit erhöht, als Mensch wahrgenommen zu werden.

Wie werden CAPTCHAs sonst noch auf Websites eingesetzt?

Neben dem Schutz vor Spam und Bot-Betrug werden CAPTCHAs für verschiedene weitere Zwecke eingesetzt.

Zur Sicherstellung der Umfrage-Genauigkeit

CAPTCHAs verhindern, dass Umfrage- oder Abstimmungsergebnisse verfälscht werden, indem sie authentifizieren, dass jeder Wähler tatsächlich ein Mensch ist. Da CAPTCHAs zudem Zeit kosten, haben Bots es schwerer, Plattformen für Umfragen oder Abstimmungen zu spammen.

Begrenzung der Registrierung für Dienstleistungen

CAPTCHAs begrenzen die Erstellung von Bot-Konten auf Social-Media-Plattformen, bei Veranstaltungsanmeldungen oder bei kostenlosen Diensten. Dadurch werden die Ressourcen von Unternehmen für legitime Konten freigehalten.
Im Jahr 2020 gab Instagram bekannt, dass es versucht, Bot-Konten auf seiner Plattform zu bekämpfen, indem von Profilen mit verdächtigem Verhalten zusätzliche Identifikationsinformationen verlangt werden. Es wird geschätzt, dass Instagram über 95 Millionen Fake-Konten hat.

Verhinderung von Preissteigerungen bei Tickets

Einige Ticketing-Plattformen, wie Ticketmaster, passen Ticketpreise an die Nachfrage an. Das Unternehmen behauptet, dass dies verhindert, dass Ticket-Händler die Preise in die Höhe treiben. Allerdings können Bots dennoch die Ticketkosten erhöhen und weitere Probleme verursachen.
Durch die Integration von CAPTCHAs in den Kaufprozess können Ticketing-Plattformen Bots verlangsamen und Wiederverkäufer abschrecken.

Vermeidung falscher Kommentare, Spam oder Belästigung

CAPTCHAs sind besonders nützlich für Websites oder Blogs, die Kommentare zulassen, da sie Bots (oder Personen) verlangsamen. Dies kann Spam, falsche Kommentare und sogar Belästigungen verhindern.

Schutz vor Wiederverkäufern bei limitierten Produkten

CAPTCHAs können verhindern, dass Wiederverkäufer mit Bots einen unfairen Vorteil gegenüber menschlichen Käufern haben, wenn sie limitierte Produkte kaufen. Bots wurden berüchtigt dafür eingesetzt, limitierte Sneakers, Taschen und Elektronik aufzukaufen.
Im Jahr 2022 aktualisierte Nike seine Verkaufsbedingungen, um härter gegen Wiederverkäufer und Bots vorzugehen. Der Sportartikelhersteller stornierte Bestellungen, bei denen der Verdacht bestand, dass sie von Bots getätigt wurden.

Nachteile der Verwendung von CAPTCHAs

Wenn Sie CAPTCHAs begegnet sind, haben Sie wahrscheinlich auch einmal daran gescheitert. Nicht beweisen zu können, dass man ein Mensch ist, ist frustrierend – aber vielleicht häufiger, als Sie denken.

CAPTCHAs können frustrierend und störend sein

Im Jahr 2014 testete Google seine Machine-Learning-Algorithmen gegen Menschen bei der Lösung der komplexesten CAPTCHAs, die das Unternehmen erdenken konnte. Menschen bestanden die Tests mit einer lächerlichen Erfolgsquote von 33 %, während Googles Maschinen eine Erfolgsrate von 99,8 % erreichten.

Können schwer verständlich oder nutzbar sein

CAPTCHAs sind mittlerweile in mancher Hinsicht schwieriger für Menschen als für Computer, was Fragen zu ihrer Relevanz aufwirft. Gleichzeitig ist das Lösen von CAPTCHAs zu einem Nebenjob geworden – ja, Sie können jemanden bezahlen, um herauszufinden, welche Bilder Markisen enthalten.

Einige CAPTCHA-Typen sind nicht barrierefrei

Nutzer mit Seh-, Hör- oder motorischen Einschränkungen könnten Schwierigkeiten haben, CAPTCHAs zu lösen. Dies kann zu Frustration und Unzufriedenheit führen, wenn sie bestimmte Websites besuchen.

Einige Websites könnten weniger Seitenaufrufe erleben

Da CAPTCHAs für Besucher abschreckend sein können, könnten Websites, die diese neu implementieren, einen vorübergehenden Rückgang des Traffics bemerken.