Mit menschlicher Hilfe

Sie sind ein notwendiges Übel: Mit Hilfe so genannter CAPTCHAs versuchen Internet-Unternehmen, sich vor automatisierten Anmeldungen bei Webmail-Angeboten, sozialen Netzwerken oder Online-Finanzdiensten zu schützen. Die merkwürdig aussehenden Bilderfelder, in denen verzerrte Buchstaben und Nummern zu sehen sind, die man vor Abschluss eines Web-Formulars eingeben muss, wurden im Jahr 2000 von Forschern an Carnegie Mellon University sowie bei IBM entwickelt und fehlen inzwischen auf fast keiner Seite.

Würden die verschiedenen Varianten jenes "Completely Automated Public Turing test to tell Computers and Humans Apart" (zu Deutsch: "vollständig automatisierter öffentlicher Turingtest, um Computer und Menschen zu unterscheiden") nicht eingesetzt, wäre es noch leichter, Spam zu verschicken, Daten von Social-Networking-Süchtigen abzusaugen oder Paypal-Accounts zu schröpfen. Also setzt man sie ein, auch wenn beispielsweise sehbehinderte Menschen ihre Probleme damit haben und so mancher Nutzer mehrfach "Refresh" klicken muss, bis der angezeigte Text wirklich lesbar wird.

Implementiert man CAPTCHAs richtig, setzt also beispielsweise auf Schriftverzerrungen und Hintergrundmuster, die sich mit fortschrittlicher Texterkennungssoftware nicht brechen lassen, ist alles in Butter: Automatisiert sind sie dann nicht zu knacken, was das massenhafte Anlegen von Zugängen auf einer Website für böswillige Parteien zu teuer macht.

Aber Spammer und andere Online-Kriminelle sind ja kreativ. 2007 setzten sie einen Porno-Trojaner ein, der Nutzern versprach, Bilder nackter Frauen anzuzeigen, wenn diese (natürlich frisch aus dem Web zugespielte) CAPTCHAs knackten.

Auch wenn der Schädling inzwischen von jeder einschlägigen Anti-Virus-Lösung gekillt wird – die Idee hat offenbar andere kreative Geschäftsleute inspiriert: Laut einem Bericht der "New York Times" hat Googles informeller Spam-Zar Brad Taylor herausgefunden, dass entsprechende Prozesse bereits automatisiert laufen. Dabei schnappt sich die Software ein CAPTCHA, verpackt es und schickt es dann zur Puzzle-Lösung an einen Menschen. Die richtige Antwort wird dann automatisiert eingegeben.

Laut Daten der Sicherheitsfirma Websense funktioniert das bereits recht gut. Russische Spammer gäben entsprechende Aufträge heraus – sammelt der fleißige Arbeiter mindestens Lösungen im Wert von drei Dollar, wird ausgezahlt. Eine Idee, wie man CAPTCHAs dagegen absichern könnte, existiert leider nicht. Schließlich prüft der Turingtest nur, ob ein Mensch vor der Kiste sitzt. Und das tut er ja! Es gehört zur Ironie der Geschichte, dass Turing den nach ihm benannten Test als Kriterium für das Vorhandensein von Intelligenz erdacht haben soll. Von Vernunft war in diesem Zusammenhang nicht die Rede.

Eigentlich braucht niemand sich zu wundern. Bekanntermaßen dient das Internet inzwischen auch in Ländern der Dritten Welt als Erwerbsinstrument. Die chinesischen "Goldfarming"-Fabriken, in denen Jugendliche ihre Zeit in Online-Spielen verbringen, um genügend verkaufbare Werte für reiche Westler anzuhäufigen, sind da noch die harmloseste Variante. In Nigeria leben noch immer Tausende von Menschen vom "419 Fraud", bei dem (wie hoffentlich allgemein bekannt) versucht wird, Menschen mit dem Versprechen großer Reichtümer zur Überweisung mittelgroßer Summen zu bewegen.

Helfen könnte hier zwar der Alptraum für jeden Datenschützer: Die Einzelidentifikation jedes Internet-Benutzers per Smartcard oder, schärfer noch, Biometrie. Doch auch hier ergäben sich sicherlich schnell Hacks, die dem Rechner einen menschlichen Benutzer vorgaukeln – mit Software ist schließlich vieles möglich. Letztendlich müsste man aber in den Schwellenländern bessere Arbeitsmöglichkeiten anbieten, Aufklärung betreiben und die Online-Betrüger, die die niedrigen Löhne ausbeuten, in ihrer Heimat scharf verfolgen.

Bei Google bleibt man derweil vorerst locker – noch sind gefälschte CAPTCHAs eine statistische Anomalie. Wenn man nicht aufpasst, ist das bald anders. Wenn die Dinger wegen Wirkungslosigkeit abgeschafft werden, hat das nur ein Gutes: Dann existiert eine Online-Nerverei weniger. (wst)