Captchas und IT-Sicherheit: Kannst Du mich lesen?

"Bitte geben Sie hier das Wort ein, das im Bild angezeigt wird": Viele Leserkommentatoren sind von Captchas genervt. Dabei dienen sie der Sicherheit. Meistens zumindest.

Ein taz-Captcha, und was für ein Schönes! Bild: screenshot taz

Sie sind allgegenwärtig: Egal ob man ein neues E-Mail-Konto anlegen, eine Freundschaftsanfrage auf StudiVZ stellen oder einen Leserkommentar auf taz.de hinterlassen will – immer wieder stößt man auf die Aufforderung "Bitte geben Sie hier das Wort ein, das im Bild angezeigt wird".

"Captchas" heißen diese kleinen Zugangsschranken, die in den letzten Jahren ihren Siegeszug im Web angetreten haben. Mittlerweile gehört es zu den Grundqualifikationen der Websurfer bis fast zur Unkenntlichkeit verzerrte Buchstabenfolgen abzutippen, Worte mehr zu erahnen als zu lesen oder sogar kleine Rechenaufgaben zu lösen. Mit den Mini-Denkaufgaben soll der Surfer beweisen, dass er aus Fleisch und Blut ist.

Dieser Nachweis ist wichtig: denn schon heute bevölkern Millionen von Zombie-Rechnern das Netz, die – unbemerkt von ihren Besitzern – ein Eigenleben entwickeln. Mit Hilfe von Schadprogrammen öffnen kriminelle Banden eine Hintertür zum heimischen PC, um ihn für sich arbeiten zu lassen. Sie versenden Spam-Nachrichten, klauen Passwörter oder versenden Freundschaftsanfragen in sozialen Netzwerken, um neue Nutzer mit Schadprogrammen zu infizieren.

Selbst die Politik hat die Gefahr bereits erkannt: "Botnetze stellen aktuell die virulenteste Gefährdung für das Internet sowie die angeschlossenen Infrastrukturen dar“, erklärte Bundesinnenminister Thomas de Maizière anlässlich der Eröffnung einer Anti-Botnet-Initiative, in die die Bundesregierung zwei Millionen Euro investierte.

Mensch oder Maschine?

Ein Mittel Botnetze zu bekämpfen ist es, die Rechner von den Schadprogrammen zu befreien. Der andere Ansatz besteht darin, die besonderen schadensträchtigen Bereiche gegen die Botnetze abzusichern. Wenn ein Zombie-Rechner zum Beispiel einen neuen Mail-Account anlegen kann, versendet er Hunderte oder gar Tausende von Spam-Nachrichten, bevor er abgeschaltet werden kann. Also sichert heute fast jeder kostenlose E-Mail-Service oder Foren-Betreiber seine Dienste über Captchas ab. Bots sind nicht willkommen.

Der Trick dabei: Bisher ist das menschliche Gehirn bei der Mustererkennung unerreicht. Verzerrte und durchgestrichene Buchstaben erkennt der menschliche Surfer in der Regel schnell – für Computerprogramme ist es jedoch kaum möglich, hinter den Pixelhaufen einen lesbaren Text zu erkennen. Selbst modernste Texterkennungs-Programme scheitern an trivial erscheinenden Hindernissen wie umgedrehten Buchstaben oder unterschiedlichen Schriftarten.

Einer der bekanntesten Captcha-Dienste wurde von der Carnegie Mellon University in Pittsburgh entwickelt und 2009 von Google übernommen. http://recaptcha.net/ReCaptcha kombiniert gleich zwei Anwendungen: auf der einen Seite dient der Dienst als Abwehr gegen Spammer und Schadprogramme – auf der anderen Seite nutzt er die Erkennungsleistung des menschlichen Gehirns zu einem guten Zweck. Die Textschnipsel, die ReCaptcha den Websurfern vorsetzt, stammen aus verschiedenen Digitalisierungsprojekten. Wenn zum Beispiel die Google-Algorithmen Schwierigkeiten haben, einen Artikel der New York Times von 1890 korrekt zu erkennen, landen die entsprechenden Textstellen bei ReCaptcha, um von Nutzern identifiziert zu werden. Dabei kombiniert ReCaptcha ein bereits erkanntes Wort mit einem noch nicht entzifferten Text. Stimmt der bekannte Teil überein, gewährt das System dem Nutzer Zugang.

"Die Annahme basiert natürlich darauf, dass die Angreifer kein besseres Texterkennungs-System als Google haben", erklärt der IT-Sicherheitsforscher Manuel Egele vom //www.iseclab.org/%E2%80%9C:International Secure Systems Lab gegenüber taz.de. Doch mittlerweile haben sich die Spammer auf dieses Hindernis eingeschossen. Obwohl ReCaptcha die Textfragmente künstlich verzerrt und zuweilen auch menschlichen Lesern Probleme bereitet, scheint das Mittel nicht mehr vollständig gegen Botnetze zu helfen.

So schafften es Forscher in einer Sicherheitsanalyse von sozialen Netzwerken vier bis sieben Prozent der Captchas automatisiert zu erkennen. Die geringe Quote reicht Spammern aus. Selbst mit einem relativ kleinen Botnetz von 10.000 Rechnern hätten die Forscher so 70.000 Freundschaftsanfragen pro Tag generieren können.

Auch in der freien Wildbahn werden die Captchas immer wieder von kombinierten Attacken überrannt. "Als es Berichte gab, dass Googles Captcha System, das sie für Gmail verwendeten, geknackt wurde, gab es einen spürbaren Anstieg an Spam-E-Mails von Gmail-Addressen", erklärt Egele. Auch Forenbetreiber beklagten Ende Dezember regelrechte Spam-Wellen trotz aktiviertem ReCaptcha-Schutz. Für Google jedoch war das kein Grund am System insgesamt zu zweifeln: stattdessen legte ReCaptcha die Latte etwas höher: So sind die Captchas heute noch schwerer zu lesen. Wann auch die Mustererkennung des menschlichen Hirns versagt, scheint nur noch eine Frage der Zeit.