Was ist CAPTCHA – Auf einen Blick

Filter für Mensch vs. Bot

CAPTCHAs blockieren automatisierte Bots durch Herausforderungen, die nur Menschen lösen können - von Bild-Puzzles bis zu unsichtbarer Verhaltensanalyse.

CAPTCHAs stoppen Spam & Betrug

CAPTCHAs schützten Websites vor Fake-Accounts, Credential Stuffing, Formular-Spam und bot-gesteuerter Serverüberlastung.

Kompromiss durch Nutzerreibung

Effektiv, aber nervig - traditionelle CAPTCHAs frustrieren Nutzer und werfen Datenschutzfragen auf, was die Nachfrage nach reibungslosen Alternativen antreibt.

Friendly Captcha: Über verzerrten Text hinaus entwickelt

Moderne CAPTCHAs wie Friendly Captcha nutzen Risikobewertung und Proof-of-Work-Berechnungen, um ausgefeilte Bots auszutricksen.
Jetzt ausprobieren ›

So funktionieren CAPTCHAs zur Abwehr von Bots

Ein CAPTCHA ist eine Sicherheitsmaßnahme, die von Websites eingesetzt wird, um menschliche Nutzer von automatisierten Bots zu unterscheiden. Sie sind solchen Tests bereits begegnet, als Sie sich für einen Dienst angemeldet, ein Kontaktformular abgeschickt, Online-Umfragen ausgefüllt oder auf geschützte Inhalte auf Webseiten zugegriffen haben.

CAPTCHA ist eine Abkürzung für „Completely Automated Public Turing test to Tell Computers and Humans Apart“ (vollständig automatisierter öffentlicher Turing-Test zur Unterscheidung von Computern und Menschen). Viele echte Nutzer begegnen online regelmäßig CAPTCHA- und reCAPTCHA-Tests. Diese Tests helfen Unternehmen, böswillige Bot-Aktivitäten zu verhindern.

Diese Aufgaben – wie das Anklicken von Bildern, das Lösen von Rätseln oder das Abtippen von verzerrtem Text – sind so konzipiert, dass Menschen sie leicht bewältigen können, automatisierte Skripte hingegen nicht.

Wie funktioniert ein CAPTCHA?

Ein CAPTCHA funktioniert, indem es Aufgaben präsentiert, die Unterschiede zwischen menschlichem Verhalten und maschineller Automatisierung ausnutzen. CAPTCHA-Tests können von legitimen Nutzern, die auf Webinhalte zugreifen möchten, leicht gelöst werden. Gleichzeitig sind sie für Bots oder Computerprogramme schwierig oder sogar unmöglich.

Während klassische CAPTCHAs (textbasierte CAPTCHAs, bildbasierte CAPTCHAs) stark auf verzerrten Text setzten, verwenden moderne CAPTCHA-Alternativen ausgefeiltere Erkennungstechniken. Um den CAPTCHA-Test zu bestehen, müssen Nutzer den verzerrten Text interpretieren, die richtigen Buchstaben in ein Formularfeld eingeben und das Formular absenden. Stimmen die Buchstaben nicht überein, werden die Nutzer aufgefordert, es erneut zu versuchen.

Was ist reCAPTCHA?

reCAPTCHA ist eines der ältesten CAPTCHAs. Forscher der Carnegie Mellon University entwickelten die CAPTCHA-Technologie. Im Jahr 2009 wurde reCAPTCHA von Google übernommen.

Zu dieser Zeit war reCAPTCHA fortschrittlicher als typische CAPTCHA-Tests. Wie bei anderen CAPTCHAs mussten Nutzer bei reCAPTCHA Text aus Bildern eingeben. Computerprogramme hatten Schwierigkeiten, diesen Text zu entschlüsseln.

Im Laufe der Jahre hat Google die Funktionalität von reCAPTCHA und die angebotenen CAPTCHA-Arten erweitert. reCAPTCHA führte komplexere Tests ein:

 

  • reCAPTCHA v2 aus dem Jahr 2014 ersetzte traditionelle Bilderkennungsaufgaben durch das No CAPTCHA reCAPTCHA – ein einfaches Kontrollkästchen
  • reCAPTCHA v3 ist die Weiterentwicklung von v2, die keine Benutzerinteraktion erfordert, sondern das Nutzerverhalten kontinuierlich überwacht, um eine Risikobewertung zu erstellen. Die Verhaltensanalyse dient dazu, bösartige Bots zu identifizieren, ohne die Benutzererfahrung zu beeinträchtigen.
  • Datenschutzorientierte CAPTCHAs wie Proof-of-Work-CAPTCHAs reduzieren die Datenerfassung und das Tracking.

 

Die CAPTCHA-Technologie hat sich von einfachen textbasierten Aufgaben zu komplexeren Systemen wie reCAPTCHA entwickelt, die Verhaltensanalysen und Risikobewertungen nutzen. Der nächste Schritt hin zu einer benutzerfreundlicheren CAPTCHA-Erfahrung waren datenschutzorientierte CAPTCHAs wie Proof-of-Work-CAPTCHAs. Sie reduzieren die Datenerfassung und Tracking-Praktiken durch Google und andere.

Heute ist CAPTCHA nicht mehr nur ein Rätsel – es ist Teil einer umfassenderen Bot-Management-Strategie, die maschinelles Lernen zur Erkennung, Fingerprinting und adaptive Herausforderungen umfasst.

Übliche reCAPTCHA- und CAPTCHA-Typen

Bildbasierter reCAPTCHA-Test

Bei bildbasierten CAPTCHAs werden den Nutzern 9 oder 16 quadratische Bilder angezeigt, und sie müssen Objekte identifizieren. Die Nutzer wählen aus visuellen Rätseln Bild-CAPTCHAs aus, die ein bestimmtes Objekt enthalten – wie z. B. Fußgängerüberwege, Busse oder Ampeln. Viele reCAPTCHA-Herausforderungen funktionieren auf diese Weise.

Wenn ihre Antwort mit den Antworten der meisten anderen Nutzer übereinstimmt, die denselben Test absolviert haben, gilt die Antwort als richtig. Das Identifizieren von Objekten in Bild-CAPTCHAs mit verzerrten Bildern ist für einfache Bots rechnerisch schwierig – selbst fortschrittliche Programme mit künstlicher Intelligenz haben Schwierigkeiten mit der kontextabhängigen Erkennung alltäglicher Objekte.

reCAPTCHA-Test mit Kontrollkästchen

Bei CAPTCHAs mit Kontrollkästchen fordert reCAPTCHA die Nutzer auf, ein Kästchen neben der Aussage „Ich bin kein Roboter“ anzuklicken. Der CAPTCHA-Test besteht nicht aus dem Anklicken des Kästchens, sondern aus den Aktionen, die dem Anklicken des Kontrollkästchens vorausgehen.

Google reCAPTCHA überprüft unter anderem die Bewegungen des Cursors, während er sich dem Kontrollkästchen nähert. Selbst die direkten Mausbewegungen einer echten Person weisen bei genauerer Betrachtung ein gewisses Maß an Zufälligkeit auf. Dabei handelt es sich um winzige, unbewusste Bewegungen, die Bots auf diese Weise nicht nachahmen können. Sobald reCAPTCHA hier etwas Unvorhersehbares feststellt, wird der Nutzer als Mensch identifiziert. Darüber hinaus liest Google reCAPTCHA die vom Browser auf dem Gerät gespeicherten Cookies sowie den Verlauf des Geräts aus.

Wenn das Verhalten und die Nutzerdaten nicht eindeutig menschlich oder künstlich erscheinen, präsentiert reCAPTCHA zusätzliche CAPTCHA-Aufgaben, wie beispielsweise einen Bilderkennungstest.

reCAPTCHA ohne Nutzerinteraktion

In der neuesten Version von reCAPTCHA (reCAPTCHA v3) kann Google das Nutzerverhalten und die Interaktionshistorie mit Webinhalten ganzheitlich analysieren. Dadurch kann reCAPTCHA feststellen, ob ein Nutzer ein Bot oder ein Mensch ist, ohne dem Nutzer eine Aufgabe zu präsentieren. Reicht diese Nachverfolgung nicht aus, wird dem Nutzer eine typische reCAPTCHA-Aufgabe präsentiert.

Mit reCAPTCHA Enterprise bietet Google einen kostenpflichtigen Dienst an, der ein punktebasiertes Erkennungssystem nutzt. reCAPTCHA Enterprise interagiert mit dem Backend des Kunden. Auf dessen Websites werden Abfolgen von JavaScript-, HTML- und Token-Authentifizierungsereignissen ausgelöst. Daraus berechnet reCAPTCHA einen Risikowert für den Nutzer, der zwischen 0,0 und 1,0 liegt. Website-Betreiber nutzen diesen reCAPTCHA-Wert, um zu entscheiden, welche Maßnahmen ergriffen werden sollen.

Je niedriger der Wert, desto wahrscheinlicher ist es, dass es sich bei einem Besucher um einen Bot handelt. Ein Wert von 1,0 deutet darauf hin, dass die Interaktion sehr wahrscheinlich legitim ist und mit einem geringen Risiko verbunden ist.

Textbasierte CAPTCHAs

Bei textbasierten CAPTCHA-Aufgaben müssen Nutzer verzerrte Buchstaben oder Zahlen erneut eingeben. Diese gehörten zu den ersten CAPTCHA-Methoden.

Klassische, textbasierte CAPTCHAs fordern Nutzer auf, verzerrten Text und Buchstaben in einem Textfeld zu identifizieren. Einfache Bots sind kaum in der Lage, textbasierte CAPTCHA-Tests zu lösen. Menschliche Nutzer müssen den verzerrten Text interpretieren, die richtigen Buchstaben in das Formularfeld eingeben und das Formular absenden.

Mathematische oder logische CAPTCHA-Tests

Mathematische oder logische CAPTCHA-Tests enthalten einfache mathematische Gleichungen (z. B. „Was ist 3 + 4?“), um die Interaktion durch einen Menschen zu überprüfen. Manchmal werden sie mit textbasierten CAPTCHAs und deren verzerrtem Text kombiniert. Nutzer müssen die Lösung eingeben, um ihre Identität zu bestätigen.

Audio-CAPTCHAs

Audio-CAPTCHAs bieten eine Alternative zu bild- oder textbasierten CAPTCHAs für sehbehinderte Nutzer. Sie enthalten eine Schaltfläche für Personen mit stark eingeschränkter Sehkraft, über die Nutzer eine Audioversion eines Codes oder einer Folge von Buchstaben und Zahlen anhören können.

Proof-of-Work-CAPTCHAs

Ein Proof-of-Work-CAPTCHA ist eine moderne Alternative zu herkömmlichen CAPTCHAs. Anstatt visuelle Rätsel zu lösen, führt der Browser eine kleine Rechenaufgabe durch, um die Legitimität nachzuweisen – ein Ansatz, der von datenschutzfreundlichen Alternativen wie Friendly Captcha verwendet wird.

what-is-captcha

Sind reCAPTCHA und CAPTCHA ausreichend für den Schutz vor Bots?

Einige Bots können herkömmliche CAPTCHAs, wie textbasierte CAPTCHAs und Bilderkennungs-CAPTCHAs, eigenständig umgehen. Da Bots immer ausgefeilter werden, verlassen sich Websites auf CAPTCHA-Systeme, um sich vor automatisiertem Missbrauch zu schützen.

Forscher haben gezeigt, wie man ein Programm schreibt, das auch Bilderkennungs-CAPTCHAs umgehen kann. Darüber hinaus können Angreifer Klickfarmen nutzen, um die Tests zu umgehen: Tausende von schlecht bezahlten Arbeitern lösen CAPTCHAs im Auftrag von Bots.

CAPTCHAs tragen zur Aufrechterhaltung der Integrität von Online-Diensten bei

Verhinderung von Spam und Missbrauch

CAPTCHAs verhindern, dass Bots Formulare, Kommentarbereiche oder Kontaktseiten mit Junk-Eingaben überfluten.

Blockieren der Erstellung von Fake Accounts

Die automatisierte Erstellung gefälschter Konten trägt maßgeblich zu Betrug und Plattformmanipulation bei.

Schutz von Serverressourcen

CAPTCHAs tragen dazu bei, dass begrenzte Ressourcen – wie rate-begrenzte APIs oder Anmeldeformulare – nicht durch skriptgesteuerten Traffic überlastet werden.

Verbesserung von Sicherheit und Datenschutz

Durch das frühzeitige Herausfiltern von Bots reduzieren CAPTCHA-Systeme die Angriffsfläche für Brute-Force-Versuche, Scraping und Credential-Stuffing-Tools.

Kurz gesagt: CAPTCHAs existieren, weil Bots andere Nutzungsmuster aufweisen als Menschen – und diese Muster lassen sich erkennen.

Was sind die Nachteile von CAPTCHAs und reCAPTCHAs bei der Abwehr von Bots?

  • Benutzerfriktion: CAPTCHA-Tests können das Nutzererlebnis stören und einen negativen Eindruck hinterlassen. Dies kann dazu führen, dass Nutzer die Webseite ganz verlassen.
  • Hindernisse für Sehbehinderte: Herkömmliche CAPTCHAs stützen sich allzu oft auf visuelle Wahrnehmung, was die üblichen Herausforderungen bei der Barrierefreiheit mit sich bringt, die auch bei reCAPTCHA auftreten.
  • reCAPTCHAs können von Bots ausgetrickst werden: Herkömmliches reCAPTCHA ist nicht vollständig bot-sicher und sollte nicht als alleinige Lösung herangezogen werden. Fortgeschrittene Bots und KI-Modelle können diese traditionelle CAPTCHA-Technologie umgehen.

Was sind die Vorteile von CAPTCHA-Codes?

  • Starke Bot-Abwehr für Formulare, Anmeldungen und Anmeldeseiten
  • Reduzierung von Betrug und Missbrauch, wie z. B. Scalping oder Brute-Force-Angriffe
  • Leichtgewichtig und einfach zu integrieren in die meisten Plattformen

 

Moderne CAPTCHA-Lösungen versuchen, Reibungsverluste zu reduzieren, doch viele stützen sich nach wie vor auf Verhaltensverfolgung oder Datenerfassung, was Datenschutzbedenken aufwerfen kann.

Alternativen zu CAPTCHA und reCAPTCHA

Während CAPTCHA nach wie vor weit verbreitet ist, gibt es mehrere datenschutzfreundliche oder barrierefreiere Alternativen:

  • Proof-of-Work-SystemeDer Browser führt eine kleine Berechnung durch, anstatt ein Bildrätsel zu lösen.
  • Token-basierte VerifizierungVersenden Sie Verifizierungslinks oder -codes per E-Mail oder SMS.
  • Biometrische oder gerätebasierte ÜberprüfungenFingerabdrucksensoren oder integrierte Geräteverifizierung (vor allem in mobilen Apps verwendet).
  • Tools zur Ratenbegrenzung und Bot-VerwaltungDiese Tools filtern verdächtigen Datenverkehr, bevor ein CAPTCHA erforderlich wird. Friendly Captcha ist ein gutes, datenschutzorientiertes Beispiel für eine solche Technologie.

Wenn Sie eine datenschutzkonforme, barrierefreie und datenschutzorientierte Alternative zum herkömmlichen CAPTCHA benötigen, probieren Sie Friendly Captcha und dessen Open-Source-CAPTCHA.

FAQ

CAPTCHA steht für “Completely Automated Public Turing test to tell Computers and Humans Apart” (Vollautomatischer öffentlicher Turing-Test zur Unterscheidung von Computern und Menschen).

Ja, fortgeschrittene Bots und KI-Modelle können mittlerweile viele traditionelle CAPTCHAs lösen, weshalb Systeme sich weiterentwickelt haben und Verhaltensanalyse sowie ausgefeiltere Erkennungsmethoden nutzen.

Traditionelle CAPTCHAs können eine Barriere für Nutzer mit Seh- oder kognitiven Beeinträchtigungen darstellen. Moderne unsichtbare CAPTCHAs helfen dabei, dieses Problem zu lösen. Friendly Captcha ist eine unsichtbare CAPTCHA-Alternative, die für WCAG (2.2 Level AA) zertifiziert ist, vollständig barrierefrei ist und keine Reibungsverluste verursacht. Testen Sie es jetzt 30 Tage lang kostenlos! 

Websites setzen CAPTCHAs ein, wenn sie verdächtige Verhaltensmuster, ungewöhnliche Traffic-Volumina oder den Zugriff auf sensible Aktionen wie Login- oder Anmeldeformulare erkennen. CAPTCHAs sind ein wichtiger Bestandteil von Sicherheitsmaßnahmen für Websites im Rahmen einer globalen Strategie zum Bot-Schutz

reCAPTCHA v2 zeigt sichtbare Herausforderungen (wie Bildauswahl), während v3 unsichtbar im Hintergrund läuft und basierend auf dem Nutzerverhalten einen Risiko-Score vergibt. Lesen Sie unseren detailierten Artikel über reCAPTCHA v2 vs. v3.

Alternativen umfassen Proof-of-Work-Systeme, E-Mail-/SMS-Verifizierung, biometrische Checks, Rate Limiting und datenschutzorientierte Lösungen wie Friendly Captcha.

Schützen Sie Ihr Unternehmen vor Bot-Angriffen.
Kontaktieren Sie das Friendly Captcha Enterprise Team, um zu erfahren, wie Sie Ihre Websites und Apps vor Bots und Cyberangriffen schützen können.