Skip to content
Vol. 1 · Ed. 2026
CyberGlossary
Entry № 165

CAPTCHA

Geprüft vonCybersecurity entrepreneur & security researcher

Was ist CAPTCHA?

CAPTCHAChallenge-Response-Test, der Menschen von automatisierten Bots unterscheiden soll – typischerweise bei Registrierung, Login und Formularübermittlung eingesetzt.


CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart) stellt eine Aufgabe, die für Menschen leicht, für Software aber schwer ist: verzerrter Text, Bildauswahl, Audio-Aufgaben oder unsichtbare Verhaltensanalyse. Der Begriff wurde 2003 in einem Paper von Luis von Ahn, Manuel Blum, Nicholas Hopper und John Langford an der Carnegie Mellon geprägt, das die Herausforderung als "schwieriges KI-Problem" formuliert – jedes Programm, das es löst, bringt die KI voran, sodass der Test in jedem Fall nützlich bleibt. reCAPTCHA, ein Spin-off desselben Teams, das die Buchdigitalisierung per Crowdsourcing über solche Aufgaben löste, wurde 2009 von Google übernommen.

flowchart TD
  U[Besucher sendet Formular ab] --> W{CAPTCHA / Risikoprüfung}
  W -->|Signale: Maus, IP, Browser| SC[Score-Anfrage]
  SC -->|hohe Zuversicht: Mensch| P[Erlauben]
  SC -->|niedriger Score| CH[Interaktive Challenge]
  CH -->|bestanden| P
  CH -->|fehlgeschlagen / Solver-Farm| B[Blockieren oder verschärfen]

Moderne Dienste wie Google reCAPTCHA v3, hCaptcha und Cloudflare Turnstile bewerten Anfragen anhand von Browser-Signalen, IP-Reputation und Interaktionsmustern, statt immer ein Rätsel anzuzeigen. CAPTCHAs reduzieren Credential Stuffing, Scraping, das Anlegen von Fake-Accounts und Kommentar-Spam, sind aber keine Authentifizierung: Bild- und Text-Challenges werden in großem Maßstab routinemäßig von modernen Computer-Vision-Modellen und von bezahlten menschlichen Solver-Farmen geknackt (Dienste wie 2Captcha verlangen für Tausende von Lösungen nur wenige Dollar). Sie werfen zudem Bedenken hinsichtlich Barrierefreiheit und Datenschutz auf. Behandle CAPTCHA als eine Schicht unter mehreren – neben Rate-Limiting, MFA, Bot-Management und Behavioural Analytics – und nicht als eigenständige Hürde.

Beispiele

  1. 01

    reCAPTCHA v3 liefert pro Request einen Risiko-Score zwischen 0.0 und 1.0.

  2. 02

    Cloudflare-Turnstile-Widget in einem Login-Formular.

Häufige Fragen

Was ist CAPTCHA?

Challenge-Response-Test, der Menschen von automatisierten Bots unterscheiden soll – typischerweise bei Registrierung, Login und Formularübermittlung eingesetzt. Es gehört zur Kategorie Anwendungssicherheit der Cybersicherheit.

Was bedeutet CAPTCHA?

Challenge-Response-Test, der Menschen von automatisierten Bots unterscheiden soll – typischerweise bei Registrierung, Login und Formularübermittlung eingesetzt.

Wie schützt man sich gegen CAPTCHA?

Schutzmaßnahmen gegen CAPTCHA kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.

Verwandte Begriffe