Stopp. Denken Sie an das letzte Mal zurück, als Sie versucht haben, sich auf einer Website anzumelden.
Haben Sie dieses Kontrollkästchen angeklickt? Der, der sagt Ich bin kein Roboter? Haben Sie sich tatsächlich wie ein Roboter gefühlt, als Sie darauf geklickt haben?
Möglicherweise mussten Sie überhaupt nichts anklicken. Vielleicht hat sich der Code nur Ihr Mausjitter, Ihren IP-Verlauf, Ihre Cookies angesehen und Sie hineingeschlüpft, weil er vermutet hat, dass Sie echt sind. Aber manchmal erscheint das Gitter. Körnige Quadrate. Ampel. Zebrastreifen. Motorräder.
Identifizieren Sie sie. Mach es jetzt. Oder du bist gesperrt.
CAPTCHA steht für Completely Automated Public Turing Test to Tell Computers and Humans Apart. Ein Bissen. Der Name impliziert ein einfaches Versprechen. Diese Aufgaben fallen dem Menschen leicht. Schwer für Bots. Daher wird Spam gestoppt. Kontoübernahmen werden gestoppt. Die Website bleibt sicher.
Es hat einmal funktioniert. Ende der 90er Jahre. Damals, als das Lesen von verzerrtem Text ein Rätsel war, das Maschinen nicht lösen konnten.
Andreas Plesner von der ETH Zürich nannte es ein einfaches Problem, verpackt in einer schwierigen Hülle. Wenn ich dich nicht berühren kann. Wenn ich keine physische Interaktion mit der anderen Partei habe. Ist es eine Person? Oder Code?
Frühe Versionen beruhten auf verzerrten Wörtern. Damals war Texterkennungssoftware schwerfällig. Es stolperte über Krümmung und Lärm. Also haben wir mehr Krümmung hinzugefügt. Wir haben es noch schlimmer gemacht.
Dann kaufte Google die Technologie. Ungefähr 2009 oder so. Der Test hat sich verschoben. Vom Text bis zum Bild. reCAPTCHA hat Street View-Kacheln gelöscht. Identifizieren Sie die Stoppschilder. Identifizieren Sie die Fahrräder.
Ng Chong, IT-Leiter an der Universität der Vereinten Nationen in Tokio, brachte es auf den Punkt.
„Die Wette war, dass das Erkennen von Objekten in unordentlichen Fotos aus der realen Welt eine einzigartige menschliche Fähigkeit ist.“
Es war eine gute Wette. Zu der Zeit. Menschen sind gut darin, Dinge im Lärm zu erkennen. Bots waren es nicht.
Doch dann kam reCAPTCHA v2. Die Checkbox-Ära. Dem Bildrätsel liegt eine Ebene der Verhaltensanalyse zugrunde. Es beobachtet, wie Sie sich bewegen. Die Geschwindigkeit. Die Schwebezeit. Die Klickgeschwindigkeit. Es beurteilt Ihre Menschlichkeit, bevor es Sie auffordert, eine Ampel zu erkennen. Wenn Sie misstrauisch aussehen. Das Raster erscheint.
Der Verdacht ist subjektiv. Also haben sie es automatisiert.
Dann wachte die KI auf.
Kostengünstige Deep-Learning-Modelle haben bereits 2016 die Erfolgsquote von 70 Prozent geknackt. Das ist gerade einmal sechs Jahre her. Ein Laptop könnte tun, was ein Mensch könnte.
Bis 2024 baute Plesners Team ein KI-Modell. Es hat reCAPTCHA-Rätsel korrekt gelöst. Jedes Mal. Hundertprozentige Genauigkeit.
Und Chong? Anfang 2026 entwickelte er ein Tool, das menschliche Surfmuster so gut nachahmte, dass das Bildraster vollständig umgangen wurde. Manchmal blieb die Checkbox leer. Kein Rätsel nötig. Nur falsches Verhalten. Als das Gitter erschien, löschte seine KI es in ein paar Versuchen.
Was nun?
Wenn sowohl die Verhaltensebene als auch das Bildrätsel versagen. Wenn ein Standard-Laptop auf Ihrem Schreibtisch den Code bricht. Die Prämisse verflüchtigt sich. Die Annahme, dass Menschen tun können, was Maschinen nicht können, gilt nicht mehr.
Sind sie dann veraltet?
Nicht ganz.
Plesner stellte eine Lücke fest. Das Modell hat das Rätsel gelöst. Es hat die Backend-Verteidigung nicht geschlagen. Sein Team musste VPNs verwenden. Bei jedem Test ändern sich die IP-Adressen. Weil eine IP, die wiederholt auf eine CAPTCHA-Engine trifft, Blöcke mit höherem Schwierigkeitsgrad auslöst. Totalverbote.
Im modernen Spiel geht es nicht mehr um das Bild. Es geht um die Schatten. Die Metadaten.
reCAPTCHA v3 Friendly CAPTCHA hCAPTCHA Cloudflare Turnstile. Sie stellen keine Fragen. Sie schauen einfach zu. Nutzen Sie ein zertifiziertes Gerät? Ein echtes Stück Hardware. Oder ein Headless-Skript? Hat Ihre IP den Server schon einmal beschädigt? Wie ist Ihr Cookie-Verlauf?
Es handelt sich um eine stille Prüfung. Keine Benutzerreibung. Wenn Sie gut punkten. Sie treten ein.
Aber die Gitter bleiben.
Sie sind billig. Einfach zu implementieren. Ein Erbe von Jahrzehnten. Der Status quo bleibt bestehen, weil es schwierig ist, Dinge zu ändern. Chong sagt, dass es für viele immer noch kostengünstig ist.
Es gibt einen Nachteil. Abgesehen von den Bots.
Menschen hassen sie. Und das nicht nur, weil es lästig ist, Zebrastreifen auszumachen. Es ist ausschließend. Menschen mit Sehbehinderungen tun sich mit bildbasierten Tests schwer. Es schafft Barrieren, wo keine existieren sollten.
Darauf hat ein Forscher im Jahr 2022 hingewiesen. Wir haben einen Gatekeeper gebaut, der den Menschen schadet, die er zu schützen versucht.
Neal Agarwal verspottete diesen Frust mit einem Freispiel. „Ich bin kein Roboter.“ Es parodiert die Eskalation. Stufe eins. Einfach. Stufe zehn. Absurd. Sie verdienen Punkte, indem Sie die Logik verfehlen. Durch das Lösen von Rätseln, die mehr Mathematik auf PhD-Niveau erfordern, als Web-Sicherheit erfordert.
Wenn das CAPTCHA das Bestehen einer Doktorarbeit verlangt. Wer nutzt das Internet?
Wir wollen nicht, dass das Web exklusiv ist. Wir wollen nicht jeden Dienstag um 16 Uhr unsere Artzugehörigkeit beweisen.
Die Lösung besteht also nicht in schwierigeren Rätseln.
Vielleicht liegt die Lösung darin, loszulassen. Oder eine andere Art von Test erstellen. Eines, bei dem Sie nicht beweisen müssen, dass Sie keine Maschine sind. Eines, das davon ausgeht, dass Sie real sind. Sofern nicht das Gegenteil bewiesen wird.
Die Maschinen holen auf. Schnell. Die Schildkröten und Falken verschwimmen in dem körnigen Quadrat.
Kannst du sie unterscheiden?





















