Vermutlich werden wir Menschen irgendwann mal von Maschinen kontrolliert. Vielleicht auch nicht. Fakt ist: Vorläufer der Maschinendominanz beeinflussen heute schon unser Webvergnügen: CAPTCHAs. Das sind diese kleinen Tests, denen man auf diversen Webseiten begegnet. Sie entscheiden, ob wir Mensch oder Maschine sind. Bestehen wir den Test, dürfen wir unsere Surfaktivitäten fortführen. Aber was ist ein CAPTCHA, wozu sind sie eigentlich gut und was haben sie mit Sicherheit zu tun? Eine Aufklärung.
Was ist ein CAPTCHA?
CAPTCHA steht für Completely Automated Public Turing Test to tell Computers and Humans Apart. Sie erscheinen im Web als Abfragefenster meistens dann, wenn man ein Formular ausfüllen und abschicken will, z.B. ein Kontaktformular. CAPTCHAs fordern dich auf, eine Aufgabe zu lösen – einen Test. Getestet wird, ob du ein Mensch bist. Jep, ob du ein Mensch bist! Von einer Maschine. Paradox genug. Wie auch immer, besteht man den Test – glaubt die Maschine dir also, dass du ein Mensch bist – darfst du dein Formular abschicken. Am Rande: Beim ursprünglichen Turing Test (benannt nach dem Informatik-Pionier Alan Turing) ist die Situation umgekehrt. Hier testet der Mensch die künstliche Intelligenz. So wie es sich gehört.
Wozu ist ein CAPTCHA gut?
CAPTCHAs dienen primär dem Zweck, Webseiten-Formulare vor Spamming zu schützen. Diese kann man nämlich mit einem entsprechenden Programmcode automatisiert ausfüllen lassen. Solche Spambots (Spamming-Roboter) sind schnell geschrieben und können auf Millionen von Websites losgelassen werden, um Spam zu verbreiten. Keine reine Theorie. Passiert wirklich. Als Webseitenbetreiber will man so etwas verhindern. Und hier kommen CAPTCHAs ins Spiel. Sie dienen als zusätzliche Hürde, bevor man ein ausgefülltes Formular abschicken kann. So will man Spambots (die Maschinen) ausgrenzen. Wir halten fest: CAPTCHAs dienen der Sicherheit des Webseitenbetreibers, nicht des Nutzers.
Welche CAPTCHA-Varianten gibt es?
Die erste CAPTCHA-Generation testet auf bestimmte sensorische und kognitive Fähigkeiten, von denen man ausgeht, dass sie nur Menschen besitzen. Zum Beispiel das Erkennen von verzerrt dargestellten Wörtern, das Lösen einer kleinen Mathematikaufgabe, das Identifizieren von bestimmten Objekten auf Bildern oder das Raushören von Wörtern aus einem Audio-Sample. Die große Herausforderung bei der Gestaltung solcher CAPTCHAs ist es, die beiden Anforderungen Lösbarkeit für den Menschen und Nicht-Lösbarkeit für die Maschine zu erfüllen. Insbesondere unter dem Aspekt der Barrierefreiheit. Ein Mensch, der Gekrakel nicht lesen kann, ist schließlich immernoch ein Mensch.
Textbasiertes CAPTCHA
Somit ist die Geschichte von CAPTCHAs die eines klassischen Wettrüstens zwischen “Gut” und “Böse”. Es dauerte nicht lange, bis Programme (=Maschinen) geschrieben wurden, die textbasierte CAPTCHAs mit sehr hoher Treffsicherheit lösen konnten. Dann wurde eben die Darstellung von Texten noch weiter und noch weiter entfremdet, bis letztendlich auch Menschen ohne Einschränkungen sie nur sehr schwierig entziffern konnten. Ist aber ja auch nicht Sinn der Sache. CAPTCHAs entwickelten sich immer mehr zum Hassobjekt des World Wide Web-Vergnügens. Eine bessere Lösung musste her. Denn das Spambot-Problem bestand weiterhin.
Dies erkannte auch Google und entwickelte ein neues CAPTCHA-Verfahren, das eigentlich keines mehr ist. Zumindest nicht so eins wie bisher. Die sogenannten No CAPTCHA reCAPTCHAs konfrontieren den Menschen nicht mehr mit einer Aufgabe. Stattdessen reicht eine Bestätigung per Klick, dass man kein Roboter ist und voilà – die Maschine glaubt einem, dass man Mensch ist. Hammer, oder? Ein einziger Klick! Naheliegende Frage: Ist das nicht auch für einen Bot einfach lösbar? Antwort: Ja, aber hinter diesen CAPTCHAs steckt mehr als der reine Klick. Im Hintergrund sammelt das CAPTCHA nämlich fleißig Informationen. Wie wurde die Maus bewegt? Wie wurde vor dem Klick das Fenster gescrollt? Wie lange hat dies gedauert? Welche Cookies enthält der Browser? Usw. Was genau alles abgefragt wird, ist ein geheimes Rezept von Google. Im Kern sucht das No CAPTCHA reCAPTCHA nach Hinweisen, die auf ein Nutzungsverhaltensmuster eines Menschen hindeuten. Wenn die Hinweise nicht ausreichen, wird auf ein “klassisches” CAPTCHA zurückgegriffen, in der Regel ein bildbasiertes. Verhaltensbasierte CAPTCHAs stellen somit nach den fähigkeitsbasierten CAPTCHAs die zweite Generation der CAPTCHAs dar.
No CAPTCHA reCAPTCHAs lösen das Problem der Benutzerfreundlichkeit, machen aber die Büchse der Pandora unter einem anderen Aspekt auf: Die Datenschutzfreundlichkeit. Wir geben Google viel über unser Surf- und Nutzungsverhalten preis, nur damit der Webseitenbetreiber vor Spammern geschützt ist? Und was haben wir davon? Ok, Google geben wir solche Informationen auch ohne Nutzung von CAPTCHAs preis. Geschenkt. Aber das Ökosystem der personenbezogenen Daten funktioniert normalerweise so, dass ich auch etwas davon habe. Wurden bei fähigkeitsbasierten CAPTCHAs noch Menschen mit eingeschränkten sensorischen und kognitiven Fähigkeiten diskriminiert, sind es jetzt solche Menschen, die Wert auf ihre Privatsphäre legen. Jemand, der Cookies regelmäßig löscht und oft im privaten Modus surft, wird sicherlich wenige Hinweise darauf bieten, dass er sich im Web wie ein Mensch verhält. Das regt zum Nachdenken an.
CAPTCHAs als Fließband der Digitalisierung
Ich habe bisher unterschlagen, dass CAPTCHAs zwischendurch auch einen weiteren Zweck erfüllten. Dies betrifft textbasierte CAPTCHAs, die nach zwei Wörtern fragen (wie im ersten Bild ganz oben). Es ging hier nicht einfach um “doppelt hält besser”. Nein, interessanter. Hierzu muss ich kurz ausholen. Google hat ja dieses Projekt, in dem sie “alle Bücher der Welt” digitalisieren wollen (ein Ergebnis davon ist Google Books). Das klappt mit guter Texterkennungssoftware auch ziemlich gut. Nur ein Bruchteil der gescannten Wörter kann auch von der besten Texterkennungssoftware nicht erkannt werden. Hier ist man auf menschliche Unterstützung angewiesen.
Zurück zu den textbasierten CAPTCHAs mit zwei Wörtern. Das eine Wort ist wie bisher das Wort, mit dem unsere Menschlichkeit gestetet wird. Geben wir es richtig ein, gehen wir als Mensch durch. Das zweite Wort dagegen ist auch der Maschine unbekannt, bzw. für sie nicht lesbar. Also fragt uns die Maschine, welches Wort denn da steht. Und wir geben es ein. Wie will die Maschine aber sicher sein, dass wir das richtige Wort eingeben? Auch einfach: Das selbe Wort wird – sagen wir mal – zehn weiteren Personen gezeigt. Wenn neun von zehn das selbe Wort eingeben, muss es wohl das richtige sein. So einfach. Somit bringen wir durch CAPTCHAs Maschinen besseres Lesen bei und unterstützen das größte Digitalisierungsprojekt der Geschichte. Fühlt man sich nun missbraucht oder ist man Stolz, seinen Beitrag hierzu geleistet zu haben? Muss jeder für sich beurteilen. Ist aus meiner Sicht aber sehr intelligent gelöst.
