IT-Sicherheit

Wie Sie sich mit CAPTCHAs schützen

Was Unternehmen beim Implementieren bedenken sollten

von 08.02.2019
CAPTCHA
Die ersten CAPTCHAs verzerrten die Buchstaben von einfachen Zeichenfolgen (hier „IpSC5“) durch Bildfilter, um die Schrift für Maschinen unlesbar zu machen. Textbasierte CAPTCHAs sind nicht mehr aktuell und bieten keine Sicherheit mehr. (Bild: pixabay.com/annemazo; Montage: Robin Laufenburg)

Die Aufgabe von CAPTCHAs besteht darin, zu erkennen, ob der Zugriff auf eine Website von einem menschlichen Benutzer ausgeht. Automatisierte Prozesse ahmen menschliches Verhalten aber mittlerweile so gut nach, dass sie nahezu alle textbasierten CAPTCHAs lösen können.
Wie können sich Unternehmen mit Sicherheitsabfragen effektiv schützen und was sollten Sie hierbei bedenken?

textbasiertes CAPTCHA

Die ersten CAPTCHAs verzerrten die Buchstaben von einfachen Zeichenfolgen (hier „IpSC5“). Bild: pixabay.com/annemazo; Montage: Robin Laufenburg

Was sind CAPTCHAs?

Der Begriff CAPTCHA steht für „Completely Automated Public Turing test to Tell Computers and Humans Apart“. Dabei handelt es sich um vollautomatische, öffentliche Testverfahren zur Unterscheidung von Mensch und Computer.
Der Begriff wurde zwar erst im Jahr 2000 von Lehrenden der Carnegie Mellon University entwickelt, das erste CAPTCHA wurde als Bild mit verzerrter Schrift jedoch bereits 1997 nachgewiesen. CAPTCHAs unterscheiden sich vom klassischen Turing-Test dadurch, dass nicht Menschen, sondern Maschinen zwischen Mensch und Computer unterscheiden.

Was sind CAPTCHAs? – Eine Antwort bekommen Sie in unserem IT-Lexikon.

Der Anwendungsbereich von CAPTCHAs

CAPTCHAs dienen der IT-Sicherheit und werden üblicherweise als Kontrollinstanz eingesetzt. Sie sollen prüfen, ob Eingaben in Internetformularen von einem Menschen oder von einem Bot getätigt werden. Bots sind Computerprogramme, die in der Regel automatisierte Prozesse ausführen. Hiermit werden vor allem Kontaktdaten wie E-Mail-Adressen systematisch gesammelt. Sicherheitsabfragen schützen solche sensiblen Daten vor Bots.
Gespeicherte Informationen werden von Cyberkriminellen legal oder illegal verkauft oder für eigenes Spamming missbraucht. Durch das Auslesen der mit einer E-Mail-Adresse verknüpften Daten wie dem Vollnamen und der Zuständigkeit in einem Unternehmen werden gezielte und individualisierte Spam-Attacken wie Emotet gestützt.
Auch die Überflutung von Foren, digitalen Gästebüchern oder Kommentarspalten mit maschinell erstellten Werbetexten soll mithilfe von CAPTCHAs unterbunden werden. Ebenso werden sie dafür eingesetzt, die Teilnahme an Umfragen sowie die automatisierte Erstellung von E-Mail-Adressen oder anderen Accounts zu verhindern.

Wie funktionieren CAPTCHAs?

In der Regel handelt es sich bei CAPTCHAs um Challenge-Response-Tests, bei denen eine Aufgabe (Challenge) gelöst und ein entsprechendes Ergebnis (Response) zurückgeschickt werden muss. Das Erstellen der Aufgaben erfolgt vollautomatisiert nach bestimmten Regeln via Zufallsgenerator. Ein CAPTCHA darf sich nicht an einem vorgefertigten Fragenkatalog bedienen, da es sonst zu einer schneller Wiederholung kommen würde.
Oft ist die Abfrage von einem Benutzer nur einmalig zu lösen. Wenn dies erfolgreich ist, werden seine Zugriffsdaten auf eine Whitelist gesetzt. Traditionell handelt es sich bei solchen Aufgaben um das Abschreiben von grafisch verzerrten und skalierten alphanumerischen Zeichenfolgen oder das Lösen von bildlich dargestellten Rechenaufgaben oder Rätseln. Neben den textbasierten CAPTCHAs kommen aber auch immer häufiger bildliche, auditive oder audiovisuelle (also Bild-, Ton- oder Video-CAPTCHAs) zum Einsatz. Die verwendeten Algorithmen sind zu veröffentlichen, damit ihre Sicherheit nach Kerckhoffs‘ Prinzip beurteilbar ist und das Prinzip der Sicherheit durch Unklarheit vermieden wird.

Rechen-CAPTCHA als Weiterentwicklung des traditionellen CAPTCHAs

Mit Rechen-CAPTCHAs müssen Zeichen auch ausgewertet werden. (Bild: wikipedia.de/asdil12)

Das Problem mit der Barrierefreiheit

Im Hinblick auf die Verordnung zur Schaffung barrierefreier Informationstechnik nach dem Behindertengleichstellungsgesetz (kurz: BITV) werden herkömmliche CAPTCHAs vom Bundesministerium für Arbeit und Soziales wegen fehlender Barrierefreiheit kritisiert. Das Ministerium fordert nach der BITV, dass eine Auswahl an mehreren Möglichkeiten zum Lösen eines CAPTCHAs angeboten werden sollte. Auch muss einem CAPTCHA gemäß der minimalen Anforderungen der BITV ein Alternativtext mit einer Beschreibung zuzuweisen sein.
Mittlerweile sind neben den textlich-grafischen häufig auch auditive Sicherheitsmechanismen im Einsatz. Solche bestehen zumeist aus Lauten, die Buchstaben oder zusammenhanglose Wörter bilden. Bemängelt wird dennoch, dass die meisten CAPTCHAs nicht gänzlich barrierefrei seien. Unter anderem könnten Taubblinde und Benutzer von rein textlichen Browsern, aber auch intellektuell benachteiligte Menschen die gängigen CAPTCHAs unmöglich lösen.

Sind CAPTCHAs sicher?

Optimal sind Challenge-Response-Tests für Menschen möglichst einfach zu bewältigen, von Bots aber nur durch bestimmte Algorithmen und mit hohem Rechenaufwand lösbar. Das ist in der Praxis jedoch schwierig umzusetzen, da Computer stets im Hinblick auf das Lösen der neuesten CAPTCHAs weiterentwickelt werden.
Das maschinelle Lösen von textbasierten CAPTCHAs wird durch immer professioneller werdende und z.T. offen zugängliche Muster- und Texterkennungsmechanismen zunehmend einfacher. Während Programme stetig weiterentwickelt werden, um Sicherheitsmechanismen zu umgehen, versuchen solche Mechanismen, maschinelles Verhalten genau zu erfassen. Hierbei ist vor allem problematisch, dass viele textbasierte CAPTCHAs mittlerweile nicht nur maschinell zu bewältigen, sondern gleichzeitig aufgrund ihrer Komplexität für die meisten Menschen äußerst schwierig zu lösen sind.

Der Einsatz von Menschen zum Lösen von CAPTCHAs

Heute setzen Cyberkriminelle vermehrt auf Menschen zum Lösen von CAPTCHAs. Vor allem Personen in Drittweltländern arbeiten mit einem extrem niedrigen Lohnniveau als Billigkräfte zum Lösen von Challenge-Response-Tests. Von speziellen Automatisierungsprozessen werden die Sicherheitsabfragen an Unternehmen weitergeleitet, die sie von Arbeitern lösen lassen. Die Lösungen gehen binnen Sekunden zurück und werden automatisch eingesetzt bzw. an entsprechende Bots weitergegeben. Das Lösen von Sicherheitsabfragen durch Arbeiter aus dem asiatischen Raum ist höchst effizient, weil es sich um echte Menschen handelt.
Vor mehr als zehn Jahren wurden bereits das erste Mal Menschen zum Lösen von CAPTCHAs eingesetzt. Zum Teil werden sie heute noch auf Websites mit pornographischen oder illegalen Inhalten weitergeleitet. Nutzer lösen sie auf diesen Plattformen freiwillig, da die CAPTCHAs als eigene Sicherheitsabfrage oder als Spiel getarnt sind.

Algorithmen zum Lösen von CAPTCHAs

Wie leicht die gängigen CAPTCHAs rein automatisiert zu umgehen sind, zeigen schon ältere Projekte wie PWNtcha oder aiCaptcha. Auf den Websites der Projekte sind die Entschlüsselungsquoten durch eigens entwickelte Bots aufgelistet. Mithilfe von algorithmischen Scripts sind viele herkömmliche CAPTCHAs mit Computerprogrammen leicht zu entschlüsseln, denn sie bieten bei ihrer Erstellung de facto kaum Variation.
Spezialisierte Tools finden auch immer neue Wege, die Verifikationsmechanismen von Sicherheitsabfragen zu brechen. Unter anderem entwickelt sich die Texterkennung (kurz OCR für „Optical Character Recognition“) immer weiter und bleibt daher ein beliebtes Hilfsmittel für das automatisierte Lösen von textbasierten CAPTCHAs.

Neue Tendenz: Machine-Learning-Algorithmen

Ende Dezember 2018 ist eine Forschergruppe aus Großbritannien und China mit einer Studie zu einem eigens entwickelten Machine-Learning-Algorithmus an die Öffentlichkeit gegangen, der sämtliche textbasierte CAPTCHAs mit einer Erfolgsrate von nahezu 100 Prozent knacken kann. Der Algorithmus wurde an textbasierten CAPTCHAs von Seiten wie Wikipedia, PayPal, Microsoft, eBay oder Google getestet. Er kann CAPTCHAs innerhalb von 50 Millisekunden erfolgreich entschlüsseln und ist somit präziser und schneller als alle bisher bekannten Algorithmen.
Er ist zwar im akademischen Umfeld entstanden, doch legen die Entwickler nahe, dass Bots bereits in kurzer Zeit vergleichbare Algorithmen nutzen werden. Das Fazit des Wissenschaftlerteams: Websites, die auf textbasierte CAPTCHAs als primären Sicherheitsmechanismus setzen, sollten spätestens jetzt umsatteln.

Alternativen zum textbasierten CAPTCHA

Eine Alternative zu den klassischen, textbasierten CAPTCHAs bieten umfassendere CAPTCHA-Dienste wie zum Beispiel reCAPTCHA oder FunCaptcha. Solche Dienste kann man nur mit größerem Mehraufwand knacken. Sie sind in ihrer Anwendung deutlich komplexer als rein textbasierte CAPTCHA-Abfragen.

reCAPTCHA lässt Benutzer Ampeln zuordnen

Google LLC setzt mit reCAPTCHA auf die menschliche Fähigkeit der Bilderkennung. (Bild: Screenshot/reCAPTCHA)

reCAPTCHA

Der marktführende und mittlerweile größte CAPTCHA-Dienst ist reCAPTCHA. Google LLC hat den Dienst 2009 übernommen. Ursprünglich half er beim Digitalisieren von Büchern und Zeitschriften, indem maschinell nicht auswertbare Zeichenfolgen angezeigt werden. Jetzt wird der Dienst vor allem genutzt, um Verkehrshinweise, Hausnummern und Straßennamen entsprechenden Bildern aus Google Street View zuzuordnen.
Seit 2013 agiert reCAPTCHA verhaltensorientiert, d.h. es betrachtet zum Beispiel die Browser-Interaktion des Benutzers und errechnet so die Wahrscheinlichkeit, mit der es sich bei dem Anwender um einen Menschen handelt. Wird die Wahrscheinlichkeit als hoch eingeschätzt, muss der Anwender in einem Auswahlfeld „I am not a robot“ ankreuzen.
Wird der Benutzer aber als potentielles Programm identifiziert, so muss er zur Sicherheitsabfrage Straßenschilder, Ampeln oder andere Objekte, die meistens aus Google Street View stammen, identifizieren oder alternativ eine kurze Tonnachricht transkribieren. Während reCAPTCHA als sicherster und fortschrittlichster CAPTCHA-Dienst gilt, gab es dennoch bereits Anwendungen, die den Mechanismus erfolgreich umgangen haben. Mehr dazu erfahren Sie in einem Artikel von Ralph Dombach.

FunCaptcha

FunCaptcha ist ein CAPTCHA-Dienst, der durch kleine Spiele menschliche und maschinelle Anwender auseinander hält. Bei Sicherheitstests müssen Objekte mit der Maus gedreht und verschoben werden.
Während mit FunCaptcha zwar Menschen erst einmal klarer identifiziert werden dürften, ist davon auszugehen, dass das Lösen eines CAPTCHAs zeitaufwendiger wird und die spielerische Sicherheitsabfrage auch nicht unbedingt in den Rahmen einer jeden Website passt.

Alternative Lösungen zu CAPTCHAs

CAPTCHAs sind zwar die weitverbreitesten Sicherheitsabfragen zur Erkennung von maschinellem Zugriff, doch gibt es auch alternative Sicherheitsmechanismen. Laut des Bundesministerium für Arbeit und Soziales sind diese z.T. sicherer und benutzerfreundlicher. Zu bekannten Alternativen gehören unter anderem die folgenden Lösungen:

Serverseitige Filter

Einfache Spambots weisen traditionell bestimmte Eigenschaften auf, anhand derer sie leicht identifizierbar sind. Dazu gehören nicht nur Informationen wie die IP-Adresse oder User-Agent-Kennzeichnung, sondern auch Auffälligkeiten beim Ausfüllen von Formularen. Mithilfe von schwarzen Listen, die von Projekten wie Bot-Trap erstellt werden, können solche Filter aufgebaut werden.

Zeitstempel

Da Bots Internetformulare normalerweise mit enormer Geschwindigkeit ausfüllen, sind sie auch mithilfe von Zeitstempeln identifizierbar. Momentan bieten Zeitstempel eine effektive Möglichkeit, Bots zu erkennen. Es ist jedoch davon auszugehen, dass sich Bots anpassen werden, sollten sich Zeitstempel als Kontrollmechanismus durchsetzen.

Spam-Fallen/Honeypots

Mithilfe von CSS-Eigenschaften oder JavaScript-Anwendungen können Sie Eingabefelder erstellen, die für menschliche Benutzer nicht sichtbar sind. Bots füllen sie standardisiert aus, da sie sie als legitime Eingabefelder erkennen.

Der Markenführer reCAPTCHA

Der marktführende CAPTCHA-Dienst ist reCAPTCHA von Google. (Bild: Screenshot/reCAPTCHA)

Was sollten Unternehmen beachten?

Welche Sicherheitsabfrage für Ihre Unternehmenswebsite geeignet ist, lässt sich nicht pauschal sagen. Sie sollten jedoch ein CAPTCHA oder eine vergleichbare Sicherheitsabfrage in Ihre Website implementieren, wenn Sie mindestens ein Formular oder sensible Daten wie E-Mails eingebunden haben.

Tipps für die Auswahl und Einbindung von CAPTCHAs

  • Stellen Sie sicher, dass Sie nur zuverlässige und benutzerfreundliche Sicherheitsabfragen verwenden. Ohne Frage sollten Sie stets textbasierte den nicht textbasierten CAPTCHAs vorziehen.
  • Stellen Sie sicher, dass Ihr CAPTCHA BITV-konform ist. Sorgen Sie dafür, dass es mindestens zwei Möglichkeiten gibt, ein CAPTCHA zu lösen (zum Beispiel grafisch und auditiv).
  • CAPTCHAs sind nicht selbsterklärend. Schreiben Sie eine kurze Beschreibung zu der von Ihnen eingebundenen Sicherheitsabfrage.
  • Binden Sie Sticky Forms ein, damit bei einer fehlerhaften Lösung des CAPTCHAs nicht das gesamte Formular neu ausgefüllt werden muss.
  • Kontaktieren Sie einen regionalen IT-Dienstleister. Lassen Sie sich beraten, welches CAPTCHA für Sie am geeignetsten ist und wie sie es am besten einbinden. Geben Sie auf Wunsch auch die lästige Aufgabe der Beschaffung und Einbindung ab.

Sorgen Sie dafür, dass Ihre Sicherheitslösungen auch wirklich sicher und benutzerfreundlich sind.

Geschrieben von

Robin Laufenburg unterstützt bereits seit 2018 den Blog des IT-SERVICE.NETWORK. Während er anfangs noch als Werkstudent Artikel schrieb, blieb er dem Blog auch nach seinem Masterabschluss in Germanistik erhalten. Mit privatem Interesse an der IT versteht er es, sich in komplexe Themen einzuarbeiten und sie in verständlicher Sprache darzustellen. Weiterlesen

Fragen zum Artikel? Frag den Autor
4 Kommentare

Hans S., 10. Oktober 2020 um 14:50

Hallo, ein sehr informativer und schön geschriebene Artikel. Ich bin gerade dabei eine Alternative zu recaptcha zu entwickeln das nicht die gesammelten Daten weiter verwendet und auch diese nicht zum tracken missbraucht. Meine Frage an Sie lautet wie folgt: Warum muss ein CAPTCHA denn unbedingt barrierefrei sein? Mir ist schon klar das für Personen mit eingeschränkter Sicht es schwierig werden kann aber für taubblinde ist ja dann in dem Fall das Internet nicht so geeignet. Bitte jetzt nicht falsch verstehen ich versuche das genauer zu ergründen warum ein Captcha nicht ganz bei ihre frei ist obwohl die Grafiken die angeklickt werden müssen im Verhältnis zur Checkbox doch relativ groß ausfallen. Das Captcha Verfahren bei mir, blendet bei nicht ganz eindeutigen User verhalten fünf unterschiedliche Grafiken ein von denen ein einziges angeklickt werden muss was aus der genannten Kategorie stammt. Wie müsste ein Captcha Verfahren optisch und akustisch gestaltet sein damit dieses als barrierefrei gilt. Mit freundlichen Grüßen

Antworten

    IT-SERVICE.NETWORK-Team, 12. Oktober 2020 um 9:54

    Hallo Herr S.,
    vielen Dank für Ihr nettes Feedback und die interessante Rückfrage!
    Für Menschen, die sowohl taub als auch blind sind, ist es tatsächlich schwierig, das Internet überhaupt nutzen zu können. Inzwischen haben Forscher bereits Tablets für Taubblinde entwickelt, die auf Blindenschrift basieren, allerdings ist die Produktion in Serie aktuell noch zu teuer. Aber wer weiß, wie es hier in der Forschung weitergehen wird.
    Für Blinde gibt es aber schon jetzt über spezielle Software, Screenreader genannt, die Möglichkeit, das Internet zu nutzen. Und genau hier bedeuten CAPTCHAs dann eben eine unüberwindbare Barriere, denn der Screenreader kann den Inhalt von Grafiken nicht erkennen. Es wird daher empfohlen, den Inhalt jeder CAPTCHA-Grafik zusätzlich hörbar in einer Audiodatei bereitzustellen. Wie genau man hierbei vorgeht, ist auf einer Webseite zu barrierefreier Gestaltung gut erklärt.
    Zusätzlich empfiehlt sich die Verwendung von invisible reCAPTCHA – so halten wir es beim Kontaktformular auf unserer Webseite. Es schätzt ein, ob ein Seitenbesucher ein realer Nutzer oder ein Bot ist. Das CAPTCHA wird dann nur bei Verdacht auf einen Bot ausgespielt.
    Wir hoffen, wir konnten Ihnen auf die Schnelle weiterhelfen!
    Viele Grüße
    Ihr IT-SERVICE.NETWORK-Team

    Antworten

Hans S., 12. Oktober 2020 um 20:27

Danke für die schnelle Antwort auf mein Kommentar und die Frage bezüglich der Barrierefreiheit. Bei unserem robotcaptcha wird nach der Einbindung ebenfalls ein precheck durchgeführt. Nur wenn dieser fehlschlägt werden nachträglich fünf Grafiken von der eine angeklickt werden muss nachgeladen. Wie findet ein um noch mal auf das Thema Sehbehinderung zurückbekommen eine Person mit dieser Einschränkung oder Blindheit die Checkbox zum anklicken? Und woher weiß er selbst wenn dieser Person das Captcha vorgelesen bekommt wohin er hineinblicken muss um dort dann das Captcha zu lösen? Vorausgesetzt natürlich die erste Überprüfung beim captcha schlug fehl.Grüße

Antworten

    IT-SERVICE.NETWORK-Team, 13. Oktober 2020 um 9:49

    Hallo Herr S.,
    für unsere eigene Webseite sind wird nicht tiefer in das Thema eingestiegen. Wir gehen davon aus, dass die Wahrscheinlichkeit schwindend gering ist, dass eine Person mit Sehbehinderung auf unsere Webseite kommt und fälschlicherweise für einen Bot gehalten wird. Wir vermuten aber, dass Screenreader eigenständig in der Lage sind, eine für das CAPTCHA hinterlegte Audiodatei zu erkennen, da diese ja als Alternativtext hinterlegt ist. So müsste die Software nach unserer Einschätzung die Audiodatei eigenständig abspielen. Auf der in unserer ersten Antwort verlinkten Webseite ist dies gut beschrieben.
    Viele Grüße
    Ihr IT-SERVICE.NETWORK-Team

    Antworten

Schreiben Sie einen Kommentar

Ihre E-Mail Adresse wird nicht veröffentlicht.


* = Pflichtfelder
Bitte beachten Sie unsere Datenschutzerklärung

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.

Aktuelle Themen zum Thema IT-Sicherheit

IT-Sicherheit

DSGVO-Bußgelder

Verstoß gegen Datenschutz wird teuer

von • 18.11.2024

Die DSGVO-Bußgelder galten lange Zeit eher als möglich statt real. Inzwischen hat sich das aber geändert: Immer häufiger werden DSGVO-Verstöße geahndet. Wir erklären, wie real die Angst vor ...

Weiterlesen
IT-Sicherheit

BSI-Lagebericht 2024

Lage der IT-Sicherheit in Deutschland bietet Anlass zu Sorge

von • 13.11.2024

Die Cybersicherheitslage in Deutschland ist besorgniserregend. Laut dem BSI-Lagebericht 2024 sind vor allem Ransomware, Schwachstellen in IT-Systemen und gezielte Cyberangriffe für die kritische Lage...

Weiterlesen
IT-Sicherheit

Cyber Resilience Act

Damit Unternehmen auf sichere IT-Produkte vertrauen können

von • 30.10.2024

Der Cyber Resilience Act ist beschlossene Sache! Das Gesetz stellt neue Sicherheitsanforderungen für digitale Produkte aus und soll Unternehmen und Privatnutzer vor „unsicheren“ IT-Produkten sch...

Weiterlesen