Google Cloud Fraud Defense – Auf einen Blick

QR-Codes sind keine Evolution.

Googles neuer Challenge-Mechanismus verpackt Geräteverifizierung neu – ein Konzept, das vermutlich 2023 bereits unter dem Namen Web Environment Integrity abgelehnt wurde.

Google Cloud Fraud Defense sperrt echte Nutzer aus.

Viele Menschen scheitern automatisch an der Verifizierung – nicht weil sie Bots sind, sondern weil sie nicht Googles Software verwenden.

Sicherheit auf Kosten des Datenschutzes.

Jede Fraud-Defense-Challenge leitet die Verifizierung durch die Googles Infrastruktur – mit offenen Fragen zur Datenerhebung und DSGVO-Konformität.

Friendly Captcha braucht keine QR-Codes.

Die Proof-of-Work-Verifizierung läuft vollständig im Browser – ohne Geräteattestierung, ohne Google-Abhängigkeit, ohne ausgesperrte Nutzer. Jetzt ausprobieren ›

Was ist Google Cloud Fraud Defense?

Am 22. April 2026 stellte Google auf der Google Cloud Next Konferenz Google Cloud Fraud Defense vor – die nächste Generation der reCAPTCHA-Technologie.

Das erklärte Ziel ist bekannt: Menschen von Bots unterscheiden. Cloud Fraud Defense soll Websites und Apps vor automatisierten Angriffen schützen und verschiedene Formen von Missbrauch reduzieren – darunter Identitätsbetrug, Ad-Fraud und Kontoübernahmen. Google bezeichnet das Ziel als “the safe agentic web”: eine Umgebung, in der autonome KI-Agenten zunehmend neben menschlichen Nutzern mit digitalen Diensten interagieren.

Die sichtbarste Änderung betrifft den CAPTCHA Challenge-Mechanismus. Google verabschiedet sich von den klassischen Bilderkennungs-Rätseln von reCAPTCHA v2 und v3. Statt Nutzer aufzufordern, Zebrastreifen oder Hydranten zu identifizieren, setzt Google Cloud Fraud Defense auf eine QR-Code-Challenge. Der Nutzer scannt den QR-Code mit dem Smartphone. Das Gerät bestätigt menschliche Anwesenheit. Der Zugriff wird gewährt.

Das klingt zunächst nach einer klaren Verbesserung gegenüber Bilderrätseln. Doch der eigentliche Mechanismus ist nicht der QR-Code – sondern das, was passiert, wenn das Smartphone ihn scannt. Und die Kritiker haben bereits reagiert.

Wie Google Cloud Fraud Defense funktioniert – die technische Realität

Wenn ein Nutzer den Google Cloud Fraud Defense QR-Code scannt, kommuniziert sein Gerät mit Googles Infrastruktur, um menschliche Anwesenheit zu bestätigen. Laut Googles eigenen Anforderungen funktioniert das System auf:

 

  • Aktuellen Android-Geräten mit installierten Google Play Services

  • Aktuellen iPhones oder iPads mit iOS 16.4 oder höher

 

Unter iOS ist keine zusätzliche Software erforderlich. Unter Android hingegen sind Google Play Services erforderlich. Die Google Play Services sind Googles proprietäre Software-Schicht, die auf zertifizierten Android-Geräten läuft.

Genau diese eine Anforderung ist der Ausgangspunkt der Probleme mit Google Cloud Fraud Defense.

Wer ausgesperrt wird

Jedes Android-Gerät ohne Google Play Services scheitert an der Fraud-Defense-Verifizierung. Das betrifft unter anderem:

 

  • GrapheneOS: das Android-Fork, das von der Electronic Frontier Foundation empfohlen wird und von Journalisten, Anwälten und Aktivisten in risikoreichen Umgebungen genutzt wird

  • CalyxOS und LineageOS: datenschutzorientierte Android-Distributionen mit Millionen von Nutzern weltweit

  • Firefox für Android: der in Googles offizieller Browser-Unterstützungsliste für Fraud Defense nicht aufgeführt ist

 

Das sind keine Randgruppen. Es handelt sich um Nutzer, die besonders sensibel mit ihren Daten umgehen und die am wenigsten ein tatsächliches Betrugsrisiko darstellen. Wie PrivacySavvy berichtete und in den XDA-Foren ausführlich dokumentiert wurde, hat der Rollout in datenschutzbewussten Android-Communities bereits erhebliche Bedenken ausgelöst.

Für Website-Betreiber ist die geschäftliche Konsequenz klar: Jeder Nutzer, der sich bewusst aus Googles Ökosystem zurückgezogen hat, wird automatisch als verdächtig eingestuft. Das ist kein rein sicherheitsbezogenes Ergebnis. Es ist auch ein Ökosystem-Ergebnis.

Kritiker ziehen Parallelen zu Web Environment Integrity

Datenschützer und Sicherheitsforscher ziehen direkte Parallelen zwischen Google Cloud Fraud Defense und einem Vorschlag, den Google drei Jahre zuvor eingebracht – und wieder zurückgezogen – hatte.

Im Juni 2023 schlug Google dem Chromium-Projekt Web Environment Integrity (WEI) vor: einen Mechanismus, der es Websites ermöglicht hätte, zu prüfen, ob Browser und Gerät eines Nutzers Google-zertifiziert sind. Standardisierungsgremien, Mozilla und die Electronic Frontier Foundation lehnten den Vorschlag umgehend ab. Mozilla erklärte, er „arbeite gegen die Interessen der Nutzer” und schaffe „ein abgeschlossenes Internet, das von Betriebssystem- und Geräteherstellern kontrolliert wird.” Die EFF bezeichnete ihn als „Chromes Plan, das Web mit DRM zu versehen.” Google zog den Vorschlag innerhalb weniger Wochen zurück.

Kritiker argumentieren nun, dass Google Cloud Fraud Defense strukturell ähnliche Ergebnisse erzielt: den Web-Zugang an die Geräteverifizierung zu knüpfen – diesmal jedoch als kommerzielles Produkt statt als öffentlicher Standardisierungsvorschlag. Dass große Tech-Unternehmen diesen Weg über kommerzielle Produkte beschreiten, anstatt ihn durch offene Standards zu legitimieren, ist für viele Beobachter das eigentliche Problem. Google selbst hat keinen Zusammenhang zwischen Fraud Defense und WEI anerkannt und positioniert das Produkt ausschließlich als Betrugsschutzplattform.

Offene Fragen zu Datenerhebung und Datenschutz

Google gibt an, dass Google Cloud Fraud Defense „datenschutzwahrende Datenverarbeitung” verwendet, und beschreibt den Wechsel zum Datenverarbeiter-Modell ab dem 2. April 2026. Damit erhalten Website-Betreiber laut Google „direkte Kontrolle über Nutzerdaten.” Außerdem benennt Google die Erhebung „anonymisierter Telemetriedaten” aus Milliarden von Internet-Aktivitäten zur Verbesserung seiner Erkennungsmodelle.

Datenschützer stellen jedoch Fragen, die Googles öffentliche Dokumentation nicht vollständig beantwortet: Welche gerätebezogenen Signale werden während einer Fraud-Defense-Challenge erfasst? Wie berechnet die interne Policy Engine Risk Scores auf Basis dieser Signale? Wie lange werden die Daten gespeichert? Und könnten sie zur Erstellung dauerhafter, websiteübergreifender Identifikatoren genutzt werden?

Da die Verifizierung an zertifizierte Gerätehardware statt an ein Session-Cookie gebunden ist, sehen Kritiker in dieser Architektur das Potenzial für dauerhafte Nutzerzuordnung – auch wenn das nicht Googles erklärtes Ziel ist.

Für DSGVO-pflichtige Website-Betreiber entsteht daraus eine praktische Compliance-Frage: Was genau fließt durch Google Cloud Fraud Defense, auf welcher Rechtsgrundlage – und wie lässt sich das in einer Datenschutzerklärung dokumentieren?

Schützt Google Cloud Fraud Defense wirklich vor Bots?

Die Sicherheitslogik des QR-Challenge-Mechanismus von Google Cloud Fraud Defense verdient auf zwei Ebenen kritische Betrachtung.

Automatisierte Umgehung: Sicherheitsforscher weisen darauf hin, dass ein auf einem Bildschirm angezeigter QR-Code von einer darauf gerichteten Kamera gescannt werden kann – eine einfache Automatisierung mit handelsüblicher Hardware. In einer Hacker-News-Diskussion nach dem Launch schätzte ein Kommentator, dass ein regelkonformes Android-Gerät, das die Verifizierung besteht, für rund 30 US-Dollar erhältlich ist. Hardwarebasierte Attestierung wird damit zu einem überschaubaren Fixkostenfaktor für professionelle Bot-Betreiber.

Verhaltensrisiko bei Nutzern: Ein Incident-Response-Experte im selben Thread wies auf ein weiteres Problem hin: Fraud Defense trainiert Nutzer darin, QR-Codes zu scannen, um auf Websites und Apps zuzugreifen. Phishing-Kampagnen nutzen genau solche eintrainierten Verhaltensweisen gezielt aus. Die gleiche Gewohnheit, die einem Nutzer hilft, eine legitime Fraud-Defense-Challenge zu bestehen, könnte ihn anfälliger für einen bösartigen QR-Code machen, der im gleichen Kontext erscheint.

Was Google Cloud für Website-Betreiber bedeutet

Website-Betreiber, die Fraud Defense in Betracht ziehen, stehen vor einer Reihe praktischer Fragen:

Compliance-Pflichten

Die Integration von Fraud Defense bedeutet, die Nutzerverifizierung über Googles Infrastruktur zu leiten. Die Rechtsgrundlage für diese Datenverarbeitung zu verstehen, sie korrekt in der Datenschutzerklärung zu dokumentieren und die DSGVO-Anforderungen zu erfüllen – das bleibt Ihre Verantwortung. Googles Wechsel zum Datenverarbeiter-Modell ist ein Schritt in die richtige Richtung, aber der Compliance-Rahmen erfordert weiterhin aktives Handeln der Betreiber.

Konversionsrisiko

Jeder Nutzer, der die Verifizierung nicht abschließen kann, ist eine verlorene Interaktion – im E-Commerce summiert sich das schnell. Datenschutzbewusste Nutzer, Nutzer mit Custom-Android-ROMs und Firefox-für-Android-Nutzer scheitern lautlos – nicht weil sie Bots sind, sondern weil sie Software verwenden, die nicht an Googles Zertifizierungsarchitektur teilnimmt.

Anbieterabhängigkeit

Fraud Defense bindet Ihren Bot-Schutz direkt an Googles Infrastruktur und Zertifizierungsanforderungen. Updates an Preisgestaltung, der Liste unterstützter Geräte oder den Nutzungsbedingungen wirken sich auf Ihre Schutzschicht aus – ohne Ihr Zutun.

Kostenstruktur

Fraud Defense ist bis zu 10.000 Assessments kostenlos (Essentials), kostet im Premium-Tarif 8,00 US-Dollar pro 1.000 Assessments und erfordert auf Enterprise-Ebene eine 12-monatige Laufzeitbindung. Wie verhält sich das im Vergleich zum reCAPTCHA-Pricing?

Ein anderer Ansatz: Proof-of-Work ohne Geräteattestierung

Die Alternative zur gerätebasierten Verifizierung bedeutet keine schwächere Sicherheit. Es ist ein grundlegend anderes Sicherheitsmodell.

Proof-of-Work-Systeme wie Friendly Captcha nutzen Hintergrundverifizierung: Kryptografische Challenges laufen direkt im Browser des Nutzers – vollständig automatisch, ohne Nutzerinteraktion. Für einen einzelnen menschlichen Nutzer ist dieser Aufwand vernachlässigbar. Eine Bot-Farm mit gleichzeitig laufenden Sessions hingegen sieht sich mit exponentiell steigenden Rechenkosten konfrontiert. KI-Agenten, die GPU-Ressourcen benötigen, stehen vor derselben Kostenstruktur – unabhängig von ihrer Sophistiziertheit.

Weder Hardware-Identifikatoren noch QR-Code-Scans sind erforderlich. Keine Zertifizierungsschicht entscheidet darüber, wer teilnehmen darf. Nutzer von GrapheneOS, Firefox oder jedem anderen Browser und Gerät schließen die Verifizierung reibungslos ab – weil der Mechanismus nie fragt, welches Gerät sie verwenden.

Friendly Captcha verarbeitet ausschließlich die für die Bot-Erkennung notwendigen Daten, anonymisiert und löscht sie automatisch innerhalb von 30 Tagen und hält alle Daten innerhalb der EU-Infrastruktur. DSGVO-Konformität ist in die Architektur eingebaut – und nicht etwas, das Betreiber im Nachhinein zusammenstückeln müssen.

Fazit

Google Cloud Fraud Defense präsentiert sich als bedeutende Evolution von reCAPTCHA – konzipiert für ein Web, das zunehmend von Menschen und autonomen KI-Agenten gemeinsam genutzt wird. Die Betrugserkennungs-Intelligenz im Google-Maßstab und der einheitliche Schutz gegen Identitätsbetrug, Ad-Fraud und Bot-Missbrauch sind echte Stärken.

Gleichzeitig wirft das Produkt berechtigte Fragen auf, die Website-Betreiber vor der Integration abwägen sollten: Welche Nutzer werden strukturell ausgeschlossen? Welche Daten fließen bei der Verifizierung zu Google? Und wie werden Compliance-Pflichten dokumentiert?

Kritiker ziehen eine Linie von Fraud Defense zurück zu Web Environment Integrity – eine Einordnung, die Google ablehnt, die aber eine tiefere Debatte widerspiegelt: Wer kontrolliert den Zugang zum offenen Web?

Bot-Schutz erfordert kein Wissen darüber, welche Hardware Ihre Nutzer besitzen. Friendly Captcha beweist das täglich – ohne Nutzer auszusperren, ohne Abhängigkeit von der Zertifizierungsinfrastruktur eines einzelnen Anbieters und mit klaren, nachvollziehbaren Datenpraktiken, die Compliance zur Selbstverständlichkeit machen.

Jetzt kostenlos testen.

FAQ

Ja. Bestehende reCAPTCHA-Kunden werden automatisch zu Fraud-Defense-Kunden – ohne Migration. Ihre bestehenden Site Keys und Integrationen bleiben exakt so, wie sie sind. Es besteht kein Handlungsbedarf und keine Änderung an der Preisgestaltung.

Nein. Wenn das System eine Session challengt, ist ein Android-Smartphone mit Google Play Services Version 25.41.30 oder höher erforderlich. Das bedeutet: Nutzer von „de-gegoogelten” Geräten – wie GrapheneOS, CalyxOS oder LineageOS – scheitern automatisch an der Verifizierung, auch wenn sie legitime Nutzer sind.

Google positioniert Fraud Defense als nächste Evolutionsstufe von reCAPTCHA – über reine Bot-Erkennung hinaus zu einer umfassenderen Trust-Plattform. Zusätzlich zum Bot-Schutz bietet Fraud Defense Erkennung von Account-Übernahmen, Identitätsbetrug und Ad-Fraud sowie Schutz vor SMS-Toll-Fraud, Transaktionsschutz und Tools speziell für das agentische Web. reCAPTCHA bleibt der Bot-Defense-Pillar innerhalb der übergeordneten Fraud-Defense-Plattform.

Google hat zum 2. April 2026 ein Datenverarbeiter-Modell für Fraud Defense eingeführt, das Website-Betreibern mehr direkte Kontrolle über Nutzerdaten gibt. Compliance ist jedoch nicht automatisch gegeben: Betreiber bleiben verantwortlich für die Dokumentation der Datenflüsse, die Festlegung einer Rechtsgrundlage und die Aktualisierung ihrer Datenschutzerklärungen. Die offenen Fragen zur Erfassung gerätebezogener Signale und zur Datenspeicherung bedeuten: Die Compliance-Last liegt bei den Betreibern – nicht bei Google.

Schützen Sie Ihr Unternehmen vor Bot-Angriffen.
Kontaktieren Sie das Friendly Captcha Enterprise Team, um zu erfahren, wie Sie Ihre Websites und Apps vor Bots und Cyberangriffen schützen können.
Kontakt aufnehmen ›