Grundlagen der CAPTCHA-Technologie: Arten und Funktionsweise von CAPTCHAs!

Ob deformierte Buchstaben und Zahlenkombinationen, nicht lösbare Bilderrätsel oder das Drücken auf Ampeln, Fußgängerüberwege oder lachende Hunde: CAPTCHAs sind ein weitaus verbreiteter Sicherheitsmechanismus im Internet, um multimediale Webseiten und Webdienste vor bösartigen Internet-Bots zu beschützen. Im nachfolgenden Blogbeitrag liefern wir Ihnen einen Überblick über die Anwendungsbereiche der CAPTCHA-Technologie. Dazu stellen wir Ihnen die verschiedenen CAPTCHA-Typen vor und zeigen auf, welche weiteren Sicherheitsmechanismen es zur Spam-Vorbeugung gibt.

Das Internet ist voller Bots – insbesondere bösartiger Bots, deren Ziel es ist, ganz gezielt interaktive Webseiten und Webdienste anzugreifen, um beispielsweise Daten und Dokumente von Webseiten-Besuchern abzugreifen sowie diese für schadende Tätigkeiten zu nutzen, etwa Fake-Konten oder Fake-Profile zu betreiben und ganz gezielt Spam sowie rufschädigende und politische Parolen zu propagieren. Es verstreicht inzwischen kein Kalendertag, an welchem Internetnutzer nicht mit automatisch generierten Spam-Nachrichten kontaktiert werden: sei es in Foren, Chat-Portalen, in Blogs, im E-Mail-Postfach bzw. in Online-Formularen oder Kommentarfeldern eines Webshops.

Aus dem aktuellen Bot-Bericht von Imperva geht hervor, dass lediglich im Jahr 2021 42,2 % des Internetverkehrs von Internet-Bots verursacht wurde. Dabei waren allgemein so benannte „Bad Bots“ für 27,7 Prozent aller globalen Webseitenaufrufe zuständig. Dabei hat jede Branche Imperva entsprechend ihre individuellen Problematiken mit Bad Bots. Selbige gehen von Account-Takeover (ATO)-Angriffen über Credential Stuffing bis hin zu Content- oder Price-Scraping.

Eine ausgereifte und weitverbreitete Vorkehrung gegen Internet-Bots, unerwünschte Nachrichten und das automatische Herausfiltern von Daten auf Webseiten stellt nach wie vor die CAPTCHA-Technologie dar.

Was bedeutet CAPTCHA?

Die Bezeichnung CAPTCHA wurde von Forschern der Carnegie Mellon University in Pittsburgh geprägt und steht für „Completely Automated Public Turing test to tell Computers and Humans Apart”. Hierbei dreht es sich meist um eine leichte, automatisierte Sicherheitsabfrage, mit welcher verifiziert werden soll, dass ein Mensch auf der Website oder dem Webdienst agiert und nicht ein Bot. Das vorrangige Ziel dieses Verifizierungsverfahren ist es, einer unerwünschten Nutzung durch automatisierte Bots ein Schloss vorzuschieben sowie Menschen deutlich von Bots zu differenzieren.
CAPTCHAS findet man inzwischen nahezu in allen Gebieten, in denen es menschliche Internetuser von Bots zu unterscheiden gilt. Das betrifft zum Beispiel Online-Umfragen, Suchmaschinen-Services oder Registrierungsformulare für soziale Netzwerke, E-Mail-Dienste, Blogs und Newsletter. Auch Banken oder Online-Bezahldienste wie Paypal sowie die Webseiten von Kreditkartenunternehmen nutzen CAPTCHAs, um den Zugriff zu Kundenkonten zu sichern.

CAPTCHA: Funktionsweise!

Um herauszufinden, ob es sich bei dem Internetseiten-Nutzer um einen Menschen oder einen Internet-Bot dreht, werden für gewöhnlich sogenannte Challenge-Response-Tests eingesetzt, bei welchen die Webseitenbesucher eine Aufgabe lösen müssen, um Zugang zu dem entsprechenden Web-Dienst zu bekommen. Die Aufgaben sind in diesem Fall so entworfen, dass sie für einen menschlichen Webseiten-Besucher in der Regel einfach zu lösen sind, währenddessen sie automatisierte Internet-Bots im besten Fall vor eine nahezu nicht lösbare Aufgabe stellen. In den häufigsten Fällen sollen Webseiten-Besucher zufällig generierte, verzogene Ziffernreihen oder Buchstabenreihen wiedergeben oder zum Beispiel Bilderrätsel oder Rechenaufgaben lösen. Es gibt jedoch auch Aufgaben, die Audio- oder Videoaufzeichnungen enthalten.

Verschiedene Arten von CAPTCHAs

Im Allgemeinen lassen sich CAPTCHAs in textbasierte oder bildbasierte Captchas, Logik- und Frage-Captchas plus Audio Captchas und Gamification Captchas aufgliedern.

• Textbasierte CAPTCHA-Verfahren: Textbasierte CAPTCHAs sind die ältesten sowie am häufigsten verbreiteten Hits der menschlichen Verifizierung. Bei diesem Verifizierungsverfahren werden dem Webseiten-Nutzer etliche zufällig generierte Wörter, Buchstaben wie auch Zahlen in enorm verzerrter Form sowie extra grafischen Elementen wie Linien, Bögen, Punkten oder Farbverläufen dargestellt. Der Webseiten-Besucher muss jene entziffern und ins Eingabefeld eingeben, um Zugang zum gewollten Webdienst zu erhalten. Eine prominente Ausführung des gewöhnlichen Text-Captchas ist reCAPTCHA.
• reCAPTCHA: Bei der von Google entwickelten CAPTCHA-Technik werden dem Webseiten-Nutzer anstelle von zufällig generierten Buchstaben-Zahlen-Kombinationen, Straßennamen, Hausnummern, Verkehrs- oder Ortsschilder sowie Fragmente eingescannter Textabschnitte aus Google Books und Google Street View angezeigt, welche sie entziffern und über die Tastatur in ein Textfeld eingeben sollen.
• Bildbasierte CAPTCHA-Verfahren: Außer textbasierten CAPTCHAs treffen Webseiten-Nutzer immer häufiger auf bildliche Sicherheitsabfragen. Hierbei werden die Internetseiten-Besucher gebeten, auf einer Bildoberfläche mit in aller Regel neun beliebig generierten Fotos, gleiche Motive zu erkennen oder einen semantischen Zusammenhang darzulegen, um damit „menschliche Intelligenz“ zu belegen.
• Rechenbasierte CAPTCHA-Verfahren: Bei einer rechenbasierten Verifizierung müssen Webseiten-Nutzer leichte Mathematik-Aufgaben bewältigen wie auch das Ergebnis eingeben, um ihre menschliche Denkfähigkeit zu demonstrieren.
• Logikbasierte CAPTCHA-Verfahren: Bei einem logikbasierten CAPTCHA erhalten die Webseiten-Nutzer vier zufällig generierte Symbole präsentiert. An dieser Stelle besteht die Fragestellung darin, das gefragte Symbol etwa “Haus” anzuklicken.
• Audiobasierte CAPTCHA-Verfahren: Audiobasierte CAPTCHA-Authentifizierungen wurden erschaffen, um auch sehbehinderten Personen einen Zugang zu captcha-geschützten Segmenten einer Internetseite zu ermöglichen. In der Regel werden textbasierte oder bildbasierte Prüfverfahren mit sogenannten Audio-Captchas verbunden. Häufig wird dazu eine Schaltfläche integriert, mit jener der Webseiten-Nutzer bei Bedarf ersatzweise eine Audio-Datei abfragen kann.
• Spielbasierte CAPTCHAS: Bei spielbasierten CAPTCHAs handelt es sich für gewöhnlich um unterhaltsame Minispiele, etwa Puzzle, bei welchen die Puzzleteile an die richtige Stelle gerückt werden müssen.

Welche alternativen Sicherheitsmaßnahmen gibt es?

Die Gefährdung durch böswillige Netzwerk-Bots steigt kontinuierlich. Auch wenn der Einsatz von CAPTCHA-Verfahren einen gewissen Grundschutz bietet, stellen diese für Internetkriminelle und deren Bot-Armeen keinerlei unüberwindbare Barriere dar. So können diese mithilfe von modernen Machine-Learning Algorithmen oder künstlicher Intelligenz sogar komplexe Sicherheitsabfragen solide bewältigen. Zudem werden heutzutage sogenannte „Captcha Solving Services“ zu Spottpreisen sowie Schnittpunkten für die weitere Verarbeitung der erbeuteten Daten angeboten.
Da sich Internet-Bots stetig weiterentwickeln und andauernd schlauer werden, sind genauso die Entwickler bisheriger CAPTCHA-Lösungen angehalten, mit deren Entwicklung Schritt zu halten, um auch in der nahen Zukunft einen effektiven Webseiten-Schutz zu haben. Da das jedoch mit Verlusten in der Bedienerfreundlichkeit zusammenfällt und hauptsächlich Menschen mit Behinderungen oder Einschränkungen eine erweiterte Hürde präsentiert, gibt es zunehmend mehr Anbieter von alternativen Sicherheitslösungen wie Bots-Management, Content-Filter, Honeypots, serverseitige Filterung und Whitelisting.

CAPTCHAS brauchen ergänzende IT-Sicherheitsmaßnahmen!

Zusammenfassend lässt sich vermerken, dass CAPTCHA-Lösungen immer noch effektiv vor böswilligen Internet-Bots, Spam-Nachrichten oder anderen Sorten von Webseiten-Missbrauch absichern können. Dennoch bieten sie ausschließlich einen Grundschutz und sollten im Idealfall mit anderen Sicherheitsmaßnahmen zum Bot-Schutz kombiniert werden.

Du bist IT-Dienstleister: Du bist an unserem Blogartikel Plus Abo interessiert? Dann freuen wir uns auf Deine Kontaktaufnahme per Mail an ingo.luecker@itleague.de.