{"id":4865,"date":"2019-02-08T07:36:57","date_gmt":"2019-02-08T06:36:57","guid":{"rendered":"https:\/\/it-service.network\/blog\/?p=4865"},"modified":"2019-02-08T07:36:57","modified_gmt":"2019-02-08T06:36:57","slug":"captchas","status":"publish","type":"post","link":"https:\/\/it-service.network\/blog\/2019\/02\/08\/captchas\/","title":{"rendered":"Wie Sie sich mit CAPTCHAs sch\u00fctzen ## Was Unternehmen beim Implementieren bedenken sollten"},"content":{"rendered":"

Die Aufgabe von CAPTCHAs besteht darin, zu erkennen, ob der Zugriff auf eine Website von einem menschlichen Benutzer ausgeht. Automatisierte Prozesse ahmen menschliches Verhalten aber mittlerweile so gut nach, dass sie nahezu alle textbasierten CAPTCHAs l\u00f6sen k\u00f6nnen. <\/strong>
\nWie k\u00f6nnen sich Unternehmen mit Sicherheitsabfragen effektiv sch\u00fctzen und was sollten Sie hierbei bedenken?
\n
\n

\"textbasiertes

Die ersten CAPTCHAs verzerrten die Buchstaben von einfachen Zeichenfolgen (hier \u201eIpSC5\u201c). Bild: pixabay.com\/annemazo; Montage: Robin Laufenburg<\/p><\/div><\/p>\n

Was sind CAPTCHAs?<\/h3>\n

Der Begriff CAPTCHA steht f\u00fcr \u201eCompletely Automated Public Turing test to Tell Computers and Humans Apart\u201c. Dabei handelt es sich um vollautomatische, \u00f6ffentliche Testverfahren zur Unterscheidung von Mensch und Computer.
\nDer Begriff wurde zwar erst im Jahr 2000 von Lehrenden der Carnegie Mellon University entwickelt, das erste CAPTCHA wurde als Bild mit verzerrter Schrift jedoch bereits 1997 nachgewiesen<\/a>. CAPTCHAs unterscheiden sich vom klassischen Turing-Test<\/a> dadurch, dass nicht Menschen, sondern Maschinen zwischen Mensch und Computer unterscheiden.<\/p>\n

Was sind CAPTCHAs?<\/a> \u2013 Eine Antwort bekommen Sie in unserem IT-Lexikon.<\/em><\/p>\n

Der Anwendungsbereich von CAPTCHAs<\/h3>\n

CAPTCHAs dienen der IT-Sicherheit<\/a> und werden \u00fcblicherweise als Kontrollinstanz eingesetzt. Sie sollen pr\u00fcfen, ob Eingaben in Internetformularen von einem Menschen oder von einem Bot get\u00e4tigt werden. Bots sind Computerprogramme, die in der Regel automatisierte Prozesse<\/a> ausf\u00fchren. Hiermit werden vor allem Kontaktdaten wie E-Mail-Adressen systematisch gesammelt. Sicherheitsabfragen sch\u00fctzen solche sensiblen Daten vor Bots.
\nGespeicherte Informationen werden von Cyberkriminellen legal oder illegal verkauft oder f\u00fcr eigenes Spamming<\/a> missbraucht. Durch das Auslesen der mit einer E-Mail-Adresse verkn\u00fcpften Daten wie dem Vollnamen und der Zust\u00e4ndigkeit in einem Unternehmen werden gezielte und individualisierte Spam-Attacken wie Emotet<\/a> gest\u00fctzt.
\nAuch die \u00dcberflutung von Foren, digitalen G\u00e4steb\u00fcchern oder Kommentarspalten mit maschinell erstellten Werbetexten soll mithilfe von CAPTCHAs unterbunden werden. Ebenso werden sie daf\u00fcr eingesetzt, die Teilnahme an Umfragen sowie die automatisierte Erstellung von E-Mail-Adressen oder anderen Accounts zu verhindern.<\/p>\n

Wie funktionieren CAPTCHAs?<\/h3>\n

In der Regel handelt es sich bei CAPTCHAs um Challenge-Response-Tests<\/a>, bei denen eine Aufgabe (Challenge) gel\u00f6st und ein entsprechendes Ergebnis (Response) zur\u00fcckgeschickt werden muss. Das Erstellen der Aufgaben erfolgt vollautomatisiert nach bestimmten Regeln via Zufallsgenerator. Ein CAPTCHA darf sich nicht an einem vorgefertigten Fragenkatalog bedienen, da es sonst zu einer schneller Wiederholung kommen w\u00fcrde.
\nOft ist die Abfrage von einem Benutzer nur einmalig zu l\u00f6sen. Wenn dies erfolgreich ist, werden seine Zugriffsdaten auf eine Whitelist gesetzt. Traditionell handelt es sich bei solchen Aufgaben um das Abschreiben von grafisch verzerrten und skalierten alphanumerischen Zeichenfolgen oder das L\u00f6sen von bildlich dargestellten Rechenaufgaben oder R\u00e4tseln<\/a>. Neben den textbasierten CAPTCHAs kommen aber auch immer h\u00e4ufiger bildliche, auditive oder audiovisuelle (also Bild-, Ton- oder Video-CAPTCHAs) zum Einsatz. Die verwendeten Algorithmen sind zu ver\u00f6ffentlichen, damit ihre Sicherheit nach Kerckhoffs‘ Prinzip<\/a> beurteilbar ist und das Prinzip der Sicherheit durch Unklarheit<\/a> vermieden wird.
\n

\"Rechen-CAPTCHA

Mit Rechen-CAPTCHAs m\u00fcssen Zeichen auch ausgewertet werden. (Bild: wikipedia.de\/asdil12)<\/p><\/div><\/p>\n

Das Problem mit der Barrierefreiheit<\/h4>\n

Im Hinblick auf die Verordnung zur Schaffung barrierefreier Informationstechnik nach dem Behindertengleichstellungsgesetz (kurz: BITV<\/a>) werden herk\u00f6mmliche CAPTCHAs vom Bundesministerium f\u00fcr Arbeit und Soziales wegen fehlender Barrierefreiheit kritisiert. Das Ministerium fordert nach der BITV, dass eine Auswahl an mehreren M\u00f6glichkeiten zum L\u00f6sen eines CAPTCHAs angeboten werden sollte. Auch muss einem CAPTCHA gem\u00e4\u00df der minimalen Anforderungen der BITV ein Alternativtext mit einer Beschreibung zuzuweisen sein.
\nMittlerweile sind neben den textlich-grafischen h\u00e4ufig auch auditive Sicherheitsmechanismen im Einsatz. Solche bestehen zumeist aus Lauten, die Buchstaben oder zusammenhanglose W\u00f6rter bilden. Bem\u00e4ngelt wird dennoch, dass die meisten CAPTCHAs nicht g\u00e4nzlich barrierefrei seien. Unter anderem k\u00f6nnten Taubblinde und Benutzer von rein textlichen Browsern, aber auch intellektuell benachteiligte Menschen die g\u00e4ngigen CAPTCHAs unm\u00f6glich l\u00f6sen.<\/p>\n

Sind CAPTCHAs sicher?<\/h3>\n

Optimal sind Challenge-Response-Tests f\u00fcr Menschen m\u00f6glichst einfach zu bew\u00e4ltigen, von Bots aber nur durch bestimmte Algorithmen und mit hohem Rechenaufwand l\u00f6sbar. Das ist in der Praxis jedoch schwierig umzusetzen, da Computer stets im Hinblick auf das L\u00f6sen der neuesten CAPTCHAs weiterentwickelt werden.
\nDas maschinelle L\u00f6sen von textbasierten CAPTCHAs wird durch immer professioneller werdende und z.T. offen zug\u00e4ngliche Muster- und Texterkennungsmechanismen<\/a> zunehmend einfacher. W\u00e4hrend Programme stetig weiterentwickelt werden, um Sicherheitsmechanismen zu umgehen, versuchen solche Mechanismen, maschinelles Verhalten genau zu erfassen. Hierbei ist vor allem problematisch, dass viele textbasierte CAPTCHAs mittlerweile nicht nur maschinell zu bew\u00e4ltigen, sondern gleichzeitig aufgrund ihrer Komplexit\u00e4t f\u00fcr die meisten Menschen \u00e4u\u00dferst schwierig zu l\u00f6sen sind.<\/p>\n

Der Einsatz von Menschen zum L\u00f6sen von CAPTCHAs<\/h4>\n

Heute setzen Cyberkriminelle vermehrt auf Menschen zum L\u00f6sen von CAPTCHAs. Vor allem Personen in Drittweltl\u00e4ndern arbeiten mit einem extrem niedrigen Lohnniveau als Billigkr\u00e4fte zum L\u00f6sen von Challenge-Response-Tests<\/a>. Von speziellen Automatisierungsprozessen werden die Sicherheitsabfragen an Unternehmen weitergeleitet, die sie von Arbeitern l\u00f6sen lassen. Die L\u00f6sungen gehen binnen Sekunden zur\u00fcck und werden automatisch eingesetzt bzw. an entsprechende Bots weitergegeben. Das L\u00f6sen von Sicherheitsabfragen durch Arbeiter aus dem asiatischen Raum ist h\u00f6chst effizient, weil es sich um echte Menschen handelt.
\nVor mehr als zehn Jahren<\/a> wurden bereits das erste Mal Menschen zum L\u00f6sen von CAPTCHAs eingesetzt. Zum Teil werden sie heute noch auf Websites mit pornographischen oder illegalen Inhalten weitergeleitet. Nutzer l\u00f6sen sie auf diesen Plattformen freiwillig, da die CAPTCHAs als eigene Sicherheitsabfrage oder als Spiel getarnt sind.<\/p>\n

Algorithmen zum L\u00f6sen von CAPTCHAs<\/h4>\n

Wie leicht die g\u00e4ngigen CAPTCHAs rein automatisiert zu umgehen sind, zeigen schon \u00e4ltere Projekte wie PWNtcha<\/a> oder aiCaptcha<\/a>. Auf den Websites der Projekte sind die Entschl\u00fcsselungsquoten durch eigens entwickelte Bots aufgelistet. Mithilfe von algorithmischen Scripts sind viele herk\u00f6mmliche CAPTCHAs mit Computerprogrammen leicht zu entschl\u00fcsseln, denn sie bieten bei ihrer Erstellung de facto kaum Variation.
\nSpezialisierte Tools finden auch immer neue Wege<\/a>, die Verifikationsmechanismen von Sicherheitsabfragen zu brechen. Unter anderem entwickelt sich die Texterkennung (kurz OCR f\u00fcr \u201eOptical Character Recognition\u201c) immer weiter und bleibt daher ein beliebtes Hilfsmittel f\u00fcr das automatisierte L\u00f6sen von textbasierten CAPTCHAs.<\/p>\n

Neue Tendenz: Machine-Learning-Algorithmen<\/h4>\n

Ende Dezember 2018 ist eine Forschergruppe aus Gro\u00dfbritannien und China mit einer Studie zu einem eigens entwickelten Machine-Learning-Algorithmus<\/a> an die \u00d6ffentlichkeit gegangen, der s\u00e4mtliche textbasierte CAPTCHAs mit einer Erfolgsrate von nahezu 100 Prozent knacken kann. Der Algorithmus wurde an textbasierten CAPTCHAs von Seiten wie Wikipedia, PayPal, Microsoft, eBay oder Google getestet. Er kann CAPTCHAs innerhalb von 50 Millisekunden<\/a> erfolgreich entschl\u00fcsseln und ist somit pr\u00e4ziser und schneller als alle bisher bekannten Algorithmen.
\nEr ist zwar im akademischen Umfeld entstanden, doch legen die Entwickler nahe, dass Bots bereits in kurzer Zeit vergleichbare Algorithmen<\/a> nutzen werden. Das Fazit des Wissenschaftlerteams: Websites, die auf textbasierte CAPTCHAs als prim\u00e4ren Sicherheitsmechanismus setzen, sollten sp\u00e4testens jetzt umsatteln.<\/p>\n

Alternativen zum textbasierten CAPTCHA<\/h3>\n

Eine Alternative zu den klassischen, textbasierten CAPTCHAs bieten umfassendere CAPTCHA-Dienste wie zum Beispiel reCAPTCHA oder FunCaptcha. Solche Dienste kann man nur mit gr\u00f6\u00dferem Mehraufwand knacken. Sie sind in ihrer Anwendung deutlich komplexer als rein textbasierte CAPTCHA-Abfragen.
\n

\"reCAPTCHA

Google LLC setzt mit reCAPTCHA auf die menschliche F\u00e4higkeit der Bilderkennung. (Bild: Screenshot\/reCAPTCHA)<\/p><\/div><\/p>\n

reCAPTCHA<\/h4>\n

Der marktf\u00fchrende und mittlerweile gr\u00f6\u00dfte CAPTCHA-Dienst ist reCAPTCHA<\/a>. Google LLC hat den Dienst 2009 \u00fcbernommen. Urspr\u00fcnglich half er beim Digitalisieren von B\u00fcchern und Zeitschriften, indem maschinell nicht auswertbare Zeichenfolgen angezeigt werden. Jetzt wird der Dienst vor allem genutzt, um Verkehrshinweise, Hausnummern und Stra\u00dfennamen entsprechenden Bildern aus Google Street View zuzuordnen.
\nSeit 2013 agiert reCAPTCHA verhaltensorientiert, d.h. es betrachtet zum Beispiel die Browser-Interaktion des Benutzers und errechnet so die Wahrscheinlichkeit, mit der es sich bei dem Anwender um einen Menschen handelt. Wird die Wahrscheinlichkeit als hoch eingesch\u00e4tzt, muss der Anwender in einem Auswahlfeld \u201eI am not a robot\u201c ankreuzen.
\nWird der Benutzer aber als potentielles Programm identifiziert, so muss er zur Sicherheitsabfrage Stra\u00dfenschilder, Ampeln oder andere Objekte, die meistens aus Google Street View stammen, identifizieren oder alternativ eine kurze Tonnachricht transkribieren. W\u00e4hrend reCAPTCHA als sicherster und fortschrittlichster CAPTCHA-Dienst gilt, gab es dennoch bereits Anwendungen, die den Mechanismus erfolgreich umgangen haben. Mehr dazu erfahren Sie in einem Artikel von Ralph Dombach<\/a>.<\/p>\n

FunCaptcha<\/h4>\n

FunCaptcha ist ein CAPTCHA-Dienst, der durch kleine Spiele menschliche und maschinelle Anwender auseinander h\u00e4lt. Bei Sicherheitstests m\u00fcssen Objekte mit der Maus gedreht und verschoben werden.
\nW\u00e4hrend mit FunCaptcha zwar Menschen erst einmal klarer identifiziert werden d\u00fcrften<\/a>, ist davon auszugehen, dass das L\u00f6sen eines CAPTCHAs zeitaufwendiger wird und die spielerische Sicherheitsabfrage auch nicht unbedingt in den Rahmen einer jeden Website passt.<\/p>\n

Alternative L\u00f6sungen zu CAPTCHAs<\/h3>\n

CAPTCHAs sind zwar die weitverbreitesten Sicherheitsabfragen zur Erkennung von maschinellem Zugriff, doch gibt es auch alternative Sicherheitsmechanismen. Laut des Bundesministerium f\u00fcr Arbeit und Soziales sind diese z.T. sicherer und benutzerfreundlicher. Zu bekannten Alternativen geh\u00f6ren unter anderem die folgenden L\u00f6sungen:<\/p>\n

Serverseitige Filter<\/h4>\n

Einfache Spambots weisen traditionell bestimmte Eigenschaften auf, anhand derer sie leicht identifizierbar sind. Dazu geh\u00f6ren nicht nur Informationen wie die IP-Adresse oder User-Agent-Kennzeichnung, sondern auch Auff\u00e4lligkeiten beim Ausf\u00fcllen von Formularen. Mithilfe von schwarzen Listen, die von Projekten wie Bot-Trap<\/a> erstellt werden, k\u00f6nnen solche Filter aufgebaut werden.<\/p>\n

Zeitstempel<\/h4>\n

Da Bots Internetformulare normalerweise mit enormer Geschwindigkeit ausf\u00fcllen, sind sie auch mithilfe von Zeitstempeln<\/a> identifizierbar. Momentan bieten Zeitstempel eine effektive M\u00f6glichkeit, Bots zu erkennen. Es ist jedoch davon auszugehen, dass sich Bots anpassen werden, sollten sich Zeitstempel als Kontrollmechanismus durchsetzen.<\/p>\n

Spam-Fallen\/Honeypots<\/h4>\n

Mithilfe von CSS-Eigenschaften oder JavaScript-Anwendungen k\u00f6nnen Sie Eingabefelder erstellen, die f\u00fcr menschliche Benutzer nicht sichtbar sind. Bots f\u00fcllen sie standardisiert aus, da sie sie als legitime Eingabefelder erkennen.
\n

\"Der

Der marktf\u00fchrende CAPTCHA-Dienst ist reCAPTCHA von Google. (Bild: Screenshot\/reCAPTCHA)<\/p><\/div><\/p>\n

Was sollten Unternehmen beachten?<\/h3>\n

Welche Sicherheitsabfrage f\u00fcr Ihre Unternehmenswebsite geeignet ist, l\u00e4sst sich nicht pauschal sagen. Sie sollten jedoch ein CAPTCHA oder eine vergleichbare Sicherheitsabfrage in Ihre Website implementieren, wenn Sie mindestens ein Formular oder sensible Daten wie E-Mails eingebunden haben.<\/p>\n

Tipps f\u00fcr die Auswahl und Einbindung von CAPTCHAs<\/h4>\n