# taz.de -- Captchas und IT-Sicherheit: Kannst Du mich lesen?
> "Bitte geben Sie hier das Wort ein, das im Bild angezeigt wird": Viele
> Leserkommentatoren sind von Captchas genervt. Dabei dienen sie der
> Sicherheit. Meistens zumindest.
(IMG) Bild: Ein taz-Captcha, und was für ein Schönes!
Sie sind allgegenwärtig: Egal ob man ein neues E-Mail-Konto anlegen, eine
Freundschaftsanfrage auf StudiVZ stellen oder einen Leserkommentar auf
taz.de hinterlassen will – immer wieder stößt man auf die Aufforderung
"Bitte geben Sie hier das Wort ein, das im Bild angezeigt wird".
"Captchas" heißen diese kleinen Zugangsschranken, die in den letzten Jahren
ihren Siegeszug im Web angetreten haben. Mittlerweile gehört es zu den
Grundqualifikationen der Websurfer bis fast zur Unkenntlichkeit verzerrte
Buchstabenfolgen abzutippen, Worte mehr zu erahnen als zu lesen oder sogar
kleine Rechenaufgaben zu lösen. Mit den Mini-Denkaufgaben soll der Surfer
beweisen, dass er aus Fleisch und Blut ist.
Dieser Nachweis ist wichtig: denn schon heute bevölkern Millionen von
Zombie-Rechnern das Netz, die – unbemerkt von ihren Besitzern – ein
Eigenleben entwickeln. Mit Hilfe von Schadprogrammen öffnen [1][kriminelle
Banden] eine Hintertür zum heimischen PC, um ihn für sich arbeiten zu
lassen. Sie versenden Spam-Nachrichten, klauen Passwörter oder versenden
Freundschaftsanfragen in sozialen Netzwerken, um neue Nutzer mit
Schadprogrammen zu infizieren.
Selbst die Politik hat die Gefahr bereits erkannt: "Botnetze stellen
aktuell die virulenteste Gefährdung für das Internet sowie die
angeschlossenen Infrastrukturen dar“, erklärte Bundesinnenminister Thomas
de Maizière anlässlich der Eröffnung einer Anti-Botnet-Initiative, in die
die Bundesregierung zwei Millionen Euro investierte.
Mensch oder Maschine?
Ein Mittel Botnetze zu bekämpfen ist es, die Rechner von den
Schadprogrammen zu befreien. Der andere Ansatz besteht darin, die
besonderen schadensträchtigen Bereiche gegen die Botnetze abzusichern. Wenn
ein Zombie-Rechner zum Beispiel einen neuen Mail-Account anlegen kann,
versendet er Hunderte oder gar Tausende von Spam-Nachrichten, bevor er
abgeschaltet werden kann. Also sichert heute fast jeder kostenlose
E-Mail-Service oder Foren-Betreiber seine Dienste über Captchas ab. Bots
sind nicht willkommen.
Der Trick dabei: Bisher ist das menschliche Gehirn bei der Mustererkennung
unerreicht. Verzerrte und durchgestrichene Buchstaben erkennt der
menschliche Surfer in der Regel schnell – für Computerprogramme ist es
jedoch kaum möglich, hinter den Pixelhaufen einen lesbaren Text zu
erkennen. Selbst modernste Texterkennungs-Programme scheitern an trivial
erscheinenden Hindernissen wie umgedrehten Buchstaben oder
unterschiedlichen Schriftarten.
Einer der bekanntesten Captcha-Dienste wurde von der Carnegie Mellon
University in Pittsburgh entwickelt und 2009 von Google übernommen.
[2][http://recaptcha.net/][3][ReCaptcha] kombiniert gleich zwei
Anwendungen: auf der einen Seite dient der Dienst als Abwehr gegen Spammer
und Schadprogramme – auf der anderen Seite nutzt er die Erkennungsleistung
des menschlichen Gehirns zu einem guten Zweck. Die Textschnipsel, die
ReCaptcha den Websurfern vorsetzt, stammen aus verschiedenen
Digitalisierungsprojekten. Wenn zum Beispiel die Google-Algorithmen
Schwierigkeiten haben, einen Artikel der New York Times von 1890 korrekt zu
erkennen, landen die entsprechenden Textstellen bei ReCaptcha, um von
Nutzern identifiziert zu werden. Dabei kombiniert ReCaptcha ein bereits
erkanntes Wort mit einem noch nicht entzifferten Text. Stimmt der bekannte
Teil überein, gewährt das System dem Nutzer Zugang.
"Die Annahme basiert natürlich darauf, dass die Angreifer kein besseres
Texterkennungs-System als Google haben", erklärt der IT-Sicherheitsforscher
Manuel Egele vom [4][//www.iseclab.org/%E2%80%9C:International Secure
Systems Lab] gegenüber taz.de. Doch mittlerweile haben sich die Spammer auf
dieses Hindernis eingeschossen. Obwohl ReCaptcha die Textfragmente
künstlich verzerrt und zuweilen auch menschlichen Lesern Probleme bereitet,
scheint das Mittel nicht mehr vollständig gegen Botnetze zu helfen.
So schafften es Forscher [5][in einer Sicherheitsanalyse] von sozialen
Netzwerken vier bis sieben Prozent der Captchas automatisiert zu erkennen.
Die geringe Quote reicht Spammern aus. Selbst mit einem relativ kleinen
Botnetz von 10.000 Rechnern hätten die Forscher so 70.000
Freundschaftsanfragen pro Tag generieren können.
Auch in der freien Wildbahn werden die Captchas immer wieder von
kombinierten Attacken überrannt. "Als es Berichte gab, dass Googles Captcha
System, das sie für Gmail verwendeten, geknackt wurde, gab es einen
spürbaren Anstieg an Spam-E-Mails von Gmail-Addressen", erklärt Egele. Auch
Forenbetreiber beklagten Ende Dezember regelrechte Spam-Wellen trotz
aktiviertem ReCaptcha-Schutz. Für Google jedoch war das kein Grund am
System insgesamt zu zweifeln: stattdessen legte ReCaptcha die Latte etwas
höher: So sind die Captchas heute noch schwerer zu lesen. Wann auch die
Mustererkennung des menschlichen Hirns versagt, scheint nur noch eine Frage
der Zeit.
18 Feb 2011
## LINKS
(DIR) [1] /1/netz/netzgeraete/artikel/1/kannibalistische-botnetze/
(DIR) [2] http://recaptcha.net/
(DIR) [3] http://recaptcha.net/
(DIR) [4] http://typo3/%E2%80%9Chttp
(DIR) [5] http://iseclab.org/papers/www-socialnets.pdf
## AUTOREN
(DIR) Torsten Kleinz
## ARTIKEL ZUM THEMA