Ob Tickets für ein Taylor-Swift-Konzert oder beim Einloggen ins Onlinebanking: Bevor man im Netz das anvisierte Ziel erreicht, wird man häufig mit einem Rätsel konfrontiert. Oft müssen passende Bilder zu einer Beschreibung gefunden werden, früher reichte es, verwordakelte Buchstaben zu erkennen oder Rechenaufgaben zu lösen. Das soll automatisierte Maschinen davon abhalten, beim Konzertkartenkauf gleich 1.000 Tickets auf einmal zu sichern, während Menschen keine faire Chance bekommen.
Diese CAPTCHA (für Completely Automated Public Turing test to tell Computers and Humans Apart) genannten Aufgaben sind für viele aber vor allem eines: nervig. Über die Jahre wurden die Rätsel je nach verwendetem Dienst immer absurder, so mussten etwa in einem CAPTCHA alle „Pferde aus Wolken“ gefunden werden. Das stellt nicht nur Maschinen, sondern auch unzählige Menschen vor große Hürden.
Schätzung: Täglich 500 Jahre für CAPTCHA-Lösungen
Und es kostet enorm viel Zeit, diese Rätsel zu lösen. Wie der IT-Dienstleister Cloudflare im Jahr 2021 vorrechnete, dauere es im Schnitt 32 Sekunden, ein einzelnes CAPTCHA zu lösen. Geht man davon aus, dass jeder Internetnutzer weltweit alle zehn Tage vor so eine Aufgabe gestellt werde, würden jeden einzelnen Tag umgerechnet 500 Jahre für die Lösung der CAPTCHAs aufgebracht werden.
Während verlorene Zeit in erster Linie eine Unannehmlichkeit ist, sind CAPTCHAs aber auch auf vielen Ebenen problematisch. Für Menschen mit Behinderungen sind die Rätsel oft eine doppelte Hürde, da gerade die Lösung von visuellen Aufgaben nicht immer möglich ist. Und der größte Anbieter für CAPTCHAs ist ausgerechnet Google – als Marktführer ist „reCAPTCHA“ auf unzähligen Websites vertreten. Google bekommt dadurch detaillierte Informationen über die Besucherinnen und Besucher, noch bevor sie überhaupt das berühmte Hakerl anklicken, mit dem bestätigt wird, dass man eben „kein Roboter“ ist.
Mensch als Maschine vs. Maschine, die Mensch sein will
Und Google profitiert von der Leistung der Rätsellöser zusätzlich. Straßenschilder, Ampeln und Co. dienen der Bilderkennung und -beschreibung, womit in der Folge künstliche Intelligenzen (KI) trainiert werden können. Das war schon immer so: So wurde einst das Buchstabenrätsel zur Digitalisierung von Büchern genutzt, die jetzt über Google durchsucht werden können. Damit wird das Rätsel zur Arbeit, die sich für Menschen nach Fließbandarbeit anfühlt.
Für ihren „offiziellen“ Zweck, zur Abwehr von Spam und Co., sind CAPTCHAs aber offenbar nur bedingt geeignet: Im Internet wurden schon bald Umgehungen der Sicherheitsabfragen veröffentlicht. Und auch das Thema KI ist relevant, denn damit können Rechner zunehmend besser für CAPTCHAs trainiert werden. Die Entwicklung der Rätsel und der Mechanismen dahinter ist ein dauernder Wettlauf mit den Maschinen, die sie knacken wollen – und der technische Fortschritt macht das Aufholen zunehmend schwieriger.
Alternative nimmt langsam Form an
Mittlerweile gibt es Alternativen zum Google-CAPTCHA – und alle Beteiligten betonen, dass man im Idealfall überhaupt keine Rätsel mehr lösen müsse, weil ohnehin im Hintergrund geprüft werden kann, ob ein Mensch vor dem Computer sitzt. Und tatsächlich poppt das Fenster zur Überprüfung zunehmend seltener auf – oft auf Kosten des Datenschutzes. In der Praxis tröstet das beim nächsten Puzzle dann aber auch nur bedingt. Das und das schwierige Katz-und-Maus-Spiel haben jedenfalls Rufe nach einer Alternative laut werden lassen.
Seit geraumer Zeit wird an einem gemeinsamen Standard dafür gearbeitet: „Privacy Pass“ soll das Problem mit der Echtheit im Netz dauerhaft lösen – und dabei auch die Privatsphäre der Nutzerinnen und Nutzer besser wahren. Beteiligt sind Netzriesen wie Apple, Google und Cloudflare.
Die Idee dahinter ist einfach: Während momentan die Websites und CAPTCHA-Anbieter intensiv und auf Kosten der Privatsphäre Daten sammeln, soll das künftig direkt auf dem eigenen Gerät passieren. Handyhersteller wie Apple wissen viel mehr über die Benutzer ihrer Geräte und bürgen vereinfacht gesagt dafür, dass es sich um einen echten Menschen handelt – die Website bekommt nur noch diese Bestätigung, ohne genaue Details über den Nutzer zu erhalten.
Technologie mit Ablaufdatum
Während Apple die neue Technologie bereits unter dem Namen „Private Access Tokens“ in seine aktuellen Betriebssysteme eingebaut hat, könnte es aber noch lange dauern, bis sich die Alternative wirklich durchsetzt und das CAPTCHA damit zunehmend aus dem Bewusstsein drängt. Und schon jetzt ist klar: Auch diese Hürde werden Maschinen wahrscheinlich irgendwie umgehen können.
„CAPTCHAs sind ein derartiger Alptraum für die Menschen, dass etwas Besseres daherkommen musste“, zitierte die „Washington Post“ zuletzt den Cloudflare-Technikchef John Graham-Cumming. Das ist auch ein finanzieller Faktor: Forter, ein Unternehmen, das Dienste gegen Betrug im Onlinehandel verkauft, rechnete laut der Zeitung vor, dass „für jeden Dollar, den ein Unternehmen durch betrügerische Transaktionen verliert, 30 Dollar verloren gehen, weil legitime Kunden fälschlicherweise blockiert oder abgeschreckt werden, auch durch den Einsatz von CAPTCHAs“, hieß es in der „Washington Post“.
Wenn es auch in ferner Zukunft liegt: Allein deshalb dürften die Rätselaufgaben ein Ablaufdatum haben. Bis dahin wird das menschliche Auge jedenfalls gut auf Zebrastreifen, Ampeln, Autos und Rauchfänge trainiert sein – die damit angefütterten KIs allerdings auch.