Der richtige Umgang mit CAPTCHAS
Dass im World Wide Web Gefahren und Kriminelle lauern, sollte inzwischen jedem bekannt sein. Dennoch ist Information, Aufklärung und Präventionsarbeit unerlässlich. Der 7. Februar ist ein Tag, der sich besonders für Aktionen und Initiativen rund um mehr Internetsicherheit eignet. Warum? Der 7. Februar ist „Safer Internet Day“ (Tag für mehr Internetsicherheit) und findet in Deutschland seit 2008 (in Österreich bereits seit 2003) statt. Behörden, Verbände und Institutionen nutzen ihn, um eine langfristige Sensibilisierung für die Gefahren im Internet zu schaffen. Beispiel 1: Die Polizei in NRW nutzt den Tag landesweit gemeinsam mit der Verbraucherschutzzentrale für Aktionen rund um das Thema „Sicher im Internet unterwegs“. Beispiel 2: Der Kreis Wesel stellt den Tag unter das Motto „Dein Netz, Dein Leben, Deine Grenzen“. Auch die UIMC nimmt diesen Tag zum Anlass, um auf Neuigkeiten rund um die Informationssicherheit, aber auch den Datenschutz aufmerksam zu machen. „Das Thema CAPTCHA ist ein ideales Beispiel dafür, wie Fragen zur Informationssicherheit und zum Datenschutz ineinandergreifen. Sich rechtzeitig damit zu befassen schafft Sicherheit auf beiden Ebenen. Der 7. Februar ist ideal, um sich mit den Gegebenheiten genau zu beschäftigen“, erklärt UIMC-Geschäftsführer Dr. Jörn Voßbein anlässlich des Safer Internet Day 2023.
Was sind CAPTCHA?
Ein reCaptcha wird auf Websites verwendet, um festzustellen, ob ein Mensch oder eine Maschine einbezogen ist. In der Regel dient dies zur Prüfung, von wem Eingaben in Internetformulare erfolgt sind, weil Roboter hier oft missbräuchlich eingesetzt werden. Viele kennen die Mosaikkacheln auf dem Bildschirm und die entsprechenden Aufgaben: Alle Bilder anklicken auf denen ein Bus oder eine Ampel zu sehen ist. Alternativ gibt es die verzerrten Buchstaben-Kombination. Die Fortschritte bei der Entwicklung Künstlicher Intelligenz (KI) erfordern allerdings eine Weiterentwicklung der CAPTCHAS.
Was gilt es zu beachten?
Das vielfach verwandte Tool reCaptcha des US-Riesen Google wurde bereits einer Fortentwicklung unterzogen. Es läuft inzwischen entweder komplett unsichtbar im Hintergrund oder der Nutzende muss lediglich ein Häkchen setzen, um zu bestätigen, dass man kein Roboter ist. Die reCaptcha V3 Simulation von Google überprüft die Menschlichkeit anhand einer verhaltensbasierten Analyse. Eine Information darüber, dass das eigene Surf- und Klickverhalten beobachtet und ausgewertet wird, fehlt in der Regel. Gleichfalls problematisch ist aus Sicht von Datenschützern, dass bei reCaptcha ein Datentransfer in die USA stattfindet. Die USA werden als unsicheres Drittland nach den Vorgaben der DSGVO eingestuft, was mindestens eine Einwilligungsabfrage erforderlich macht.
Was ist zu tun?
Die Nutzung von CAPTCHAS ist sinnvoll, um Risiken durch den Angriff von Bots zu verhindern, doch sollten hierbei verschiedene Aspekte beachtet werden. So ist vor dem Einsatz die Qualität des Dienstes zu prüfen. Hierzu zählt auch die Rechtssicherheit, so dass durchaus auch Dienste in Erwägung zu ziehen sind, die vielleicht nicht kostenfrei wie der Google-Dienst sind, aber dafür datenschutzrechtlich besser zu bewerten sind. Es gibt datenschutzrechtlich empfehlenswerte Dienste.
Fazit:
„Der Internet Safer Day ist ein guter Zeitpunkt, um den CAPTCHA-Dienst der eigenen Website einem Stresstest zu unterziehen und gegebenenfalls nachzuschärfen. Dabei sollte man wissen, dass der DSGVO-konforme Umgang mit Daten möglich ist und nutzerfreundlich ausgestaltet werden kann“, betont Dr. Jörn Voßbein und hat dabei andere CAPTCHA-Dienstleister im Blick als den US-Giganten Google.