Google bat 2023 um Erlaubnis, das offene Web abzuriegeln, wurde abgewiesen – und brachte exakt dasselbe nun einfach als Produkt-Update heraus, über das niemand abgestimmt hat.
Rick Findlay
2023 schlug Google etwas namens „Web Environment Integrity“ vor. Die Idee dahinter war, dass Webseiten prüfen könnten, ob dein Browser auf von Google zertifizierter Hardware läuft, bevor sie dich hereinlassen. Mozilla stellte sich dagegen.
Brave erklärte, die Funktion niemals auszuliefern. Vivaldi warnte: „Jeder Browser, der sich dagegen entscheidet, dies zu implementieren, würde nicht mehr als vertrauenswürdig gelten, und jede Webseite, die diese API nutzt, könnte Nutzer solcher Browser ablehnen.“
Google zog den Vorschlag innerhalb weniger Monate zurück. Die Öffentlichkeit hatte gewonnen.
Drei Jahre später jedoch kündigte Google auf der Cloud Next ’26 „Fraud Defense“ an – vermarktet als nächste Evolutionsstufe von reCAPTCHA. Es verwendet dieselbe Play Integrity API. Es verlangt dieselbe von Google zertifizierte Hardware und führt dieselbe Geräte-Attestierung durch. Der Unterschied ist: Google fragte diesmal niemanden mehr. Es gab keinen Standardisierungsprozess und keine öffentliche Prüfung. Die Anforderungsseite ging einfach online und Fraud Defense wurde über die bestehende reCAPTCHA-Installationsbasis von mehr als 14 Millionen Domains ausgerollt.
Der Standardisierungsprozess, der WEI damals stoppte, existierte aus einem ganz bestimmten Grund: um zu verhindern, dass ein einzelnes Unternehmen darüber entscheidet, wer das offene Web nutzen darf. Google fand einen Umweg. Es brachte denselben Mechanismus einfach als kommerzielles Produkt auf den Markt.
Wie reCAPTCHA dich bereits bestraft, wenn du kein Google-Kunde bist
Die Bewertung ist seit Jahren manipuliert. reCAPTCHA v3 weist jedem Besucher einen Risiko-Score zwischen 0,0 und 1,0 zu. Technologieberater, die das System testeten, stellten fest, dass Browser, die in ein Google-Konto eingeloggt waren, konstant niedrige Risikowerte erhielten, während dieselben Webseiten über Tor oder ein VPN als hohes Risiko eingestuft wurden.
Bei Google eingeloggt zu sein und damit deine Browserdaten an Googles Tracking-Apparat auszuliefern, wird als Beweis dafür gewertet, dass du ein Mensch bist. Deine Privatsphäre zu schützen wird dagegen als Hinweis behandelt, dass du möglicherweise ein Bot bist.
Jeder, der schon einmal ein VPN genutzt hat, kennt das aus eigener Erfahrung. Bleibst du in deinem Google-Konto eingeloggt, winkt dich reCAPTCHA mit einem einzigen Klick oder ganz ohne Prüfung durch. Loggst du dich aus, wechselst zu Firefox oder aktivierst einen Tracker-Blocker, beginnen die Rätsel. Sie wiederholen sich. Sie werden schwerer. Manchmal enden sie nie.
VPN-Nutzer erleben etwas noch Schlimmeres, weil VPN-Server-IP-Adressen von Tausenden Menschen gemeinsam genutzt werden. Das Verhalten einiger weniger Nutzer vergiftet den Ruf der gesamten Adresse. VPN-IPs mit schlechtem Ruf lösen CAPTCHA-Raten zwischen 80 und 100 Prozent aus – inklusive schwererer Rätsel obendrauf.
Privacy-Erweiterungen wie uBlock Origin oder Privacy Badger können reCAPTCHA-Skripte komplett stören. Das Ergebnis sind endlose Schleifen, in denen die Verifizierung unmöglich wird – egal, wie viele Zebrastreifen du korrekt identifizierst.
Die Schwierigkeit von reCAPTCHA steigt umgekehrt proportional dazu, wie viel Google über dich weiß. Genau so ist das System konzipiert.
Die Menschen, die das tatsächlich trifft
Forscher, die den gesamten IPv4-Adressraum scannten, fanden heraus, dass 1,3 Millionen Webseiten Verbindungen von bekannten Tor-Exit-Nodes verweigern. Rund 3,67 Prozent der Top-1000-Webseiten blockieren Tor-Nutzer direkt auf Anwendungsebene. Die Forscher kamen zu dem Schluss, dass Tor-Nutzer „faktisch zu Bürgern zweiter Klasse im Internet degradiert werden“.
Auch die Dokumentation von Tor selbst räumt das Problem ein. Webseiten interpretieren den gemeinsamen Traffic von Exit-Relays als verdächtig und reagieren mit CAPTCHAs, temporären Sperren oder Warnungen über angeblich infizierten Traffic. Nichts davon spiegelt wider, was der einzelne Nutzer tatsächlich getan hat.
Die Menschen, die am stärksten auf Tor angewiesen sind, sind Journalisten unter feindseligen Regierungen, Dissidenten und Opfer häuslicher Gewalt, die kommunizieren wollen, ohne verfolgt zu werden. Anonyme Kommunikation ist eine Lebensader für Menschen, deren Internetzugang von Staaten kontrolliert wird, die ihnen schaden würden, wenn sie ihn frei nutzen. CAPTCHA-Systeme behandeln sie jedoch identisch wie automatisierte Botnetze.
Fraud Defense verschärft das noch. Googles Anforderungsseite spezifiziert exakt, welche Hardware für die neuen QR-Code-Prüfungen qualifiziert ist. Android-Telefone benötigen Google Play Services ab Version 25.41.30.
Diese Voraussetzung schließt jedes de-googelte Android-Gerät aus. GrapheneOS, die sicherheitsgehärtete Android-Abspaltung, die von Datenschutz-Enthusiasten genutzt wird, kann die von Fraud Defense verlangten Play-Integrity-Prüfungen nicht erfüllen. Dasselbe gilt für LineageOS, CalyxOS und jede Custom-ROM, die Googles proprietäre Software-Schicht entfernt.
Firefox für Android erscheint nicht einmal auf Googles Liste unterstützter Browser. Mozillas Haltung zur Geräte-Attestierung wurde bereits 2023 klar formuliert und hat sich nicht geändert. Nutzer des datenschutzfreundlichsten großen mobilen Browsers werden standardmäßig vom verifizierten Zugang ausgeschlossen.
iOS-Nutzer hingegen bestehen die Prüfung problemlos, ohne irgendeine Google-Software installieren zu müssen. Wenn die Anforderung tatsächlich der Sicherheit dienen würde, beweist Apples Ansatz bereits, dass Geräte-Attestierung auch ohne Googles proprietären Stack funktioniert. Dass Android-Nutzer speziell Google Play Services benötigen, zeigt, worum es wirklich geht.
Die Hierarchie
Das System, das Google aufgebaut hat, erschafft eine Zugangshierarchie für das Web – und es lohnt sich, klar auszusprechen, wer wo steht.
Ganz oben stehen Nutzer, die in Google-Konten eingeloggt sind, Chrome verwenden und über eine private Wohn-IP surfen. Sie sehen fast nie CAPTCHAs. Darunter befinden sich gewöhnliche Nutzer, die gelegentlich Rätsel lösen müssen und normale Bildergitter sehen. Darunter wiederum stehen VPN-Nutzer, die permanenten Prüfungen ausgesetzt sind, weil ihre geteilten IP-Adressen dauerhaft markiert wurden.
Nutzer berichten, dass mehrere CAPTCHAs pro Sitzung mittlerweile Standard sind. Ganz unten stehen Menschen, die Tor verwenden, de-googelte Smartphones nutzen, Firefox mit Anti-Fingerprinting-Einstellungen betreiben oder Browser verwenden, die Tracking-Cookies ablehnen.
Für diese Nutzer reicht die Erfahrung von endlosen CAPTCHA-Schleifen bis hin zu vollständigen Sperren. Mit Fraud Defense wird daraus ein kompletter Ausschluss von Webseiten, die das System einsetzen.
Privatsphäre wird bestraft und die Preisgabe persönlicher Daten mit reibungslosem Zugang belohnt. Das alte System bestrafte datenschutzbewusste Nutzer mit schwierigeren Rätseln. Fraud Defense kann sie nun vollständig aussperren.
Der Überwachungsteil, über den Google nicht spricht
Die Fraud-Defense-Prüfungen, die erfolgreich abgeschlossen werden, senden ein Signal an Google: Dieses zertifizierte Gerät hat diese Webseite zu diesem Zeitpunkt besucht. Ein Gerät mit stabiler Hardware-Identität erzeugt einen persistenten Identifikator, der Sitzungsgrenzen, Browserwechsel und private Browsing-Modi überlebt. Das Unternehmen, das entscheidet, welche Hardware legitim ist, sammelt gleichzeitig ein fortlaufendes Protokoll darüber, welche Webseiten diese Hardware im offenen Web besucht.
Das kommt zusätzlich zu der Datensammlung hinzu, die reCAPTCHA ohnehin bereits betrieb. Die französische Datenschutzbehörde CNIL stellte fest, dass reCAPTCHA IP-Adressen, Cookies, die Google in den vergangenen sechs Monaten auf dem Gerät platziert hatte, sowie eine Liste der Browser-Plugins sammelt – und dass diese Daten über reine Sicherheitszwecke hinaus genutzt werden.
Googles eigene Nutzungsbedingungen weisen Unternehmen, die reCAPTCHA einsetzen, darauf hin, dass das System Hardware- und Softwareinformationen sammelt und zur Analyse an Google überträgt – und dass es in ihrer Verantwortung liegt, Nutzer darüber zu informieren und deren Zustimmung einzuholen.
reCAPTCHA setzt außerdem persistente Cookies, die Cross-Site-Tracking ermöglichen. Nach der ePrivacy-Richtlinie und der DSGVO erfordert dies eine ausdrückliche vorherige Zustimmung. Lehnt ein Nutzer Cookies ab, darf das reCAPTCHA-Skript eigentlich nicht geladen werden – was jedoch die Funktionalität von Formularen auf Webseiten zerstört, die es verwenden. Nutzer werden gezwungen, Privatsphäre gegen Zugang einzutauschen – ein Zustimmungsmechanismus, der die DSGVO-Anforderung einer freiwilligen Zustimmung nicht erfüllt.
Der QR-Code-Mechanismus fügt all dem nun auch noch eine hardwarebasierte Geräteidentifikation hinzu. Das System, das verifiziert, dass du ein Mensch bist, verifiziert gleichzeitig dein Gerät, deinen Standort und deine Identität – für ein Werbeunternehmen.
Das Bot-Problem, das Fraud Defense nicht löst
Bot-Betreiber können einfach eine Kamera auf den Bildschirm richten, um den QR-Code zu scannen. Das ist triviale Automatisierung mit handelsüblicher Hardware. Ein Android-Telefon, das den Play-Integrity-Anforderungen genügt, kostet etwa 30 Dollar. Für professionelle Botfarmen, die Geräte in großen Mengen kaufen, ist das vernachlässigbarer Aufwand.
Die Menschen, die Fraud Defense tatsächlich ausschließt, sind datenschutzbewusste Nutzer, Besitzer de-googelter Smartphones, Tor-Nutzer und Menschen in repressiven Staaten. Genau diese Gruppen sind am wenigsten wahrscheinlich Betreiber von Botnetzen. Die eigentlichen Bot-Betreiber tragen die Zusatzkosten einfach und machen weiter.
Hinzu kommt ein weiteres Problem, das nichts mit Bots zu tun hat. Sicherheitsexperten warnen davor, dass Nutzer kaum zwischen legitimen Google-CAPTCHA-QR-Codes und Phishing-QR-Codes unterscheiden können. Das System trainiert Menschen darauf, reflexartig Codes zu scannen, um Webseiten zu betreten. QR-Code-Phishing-Angriffe haben sich Anfang 2026 bereits mehr als verdoppelt. Google hat ein System geschaffen, das Phishing erleichtert, während es die Bots, die es angeblich bekämpfen soll, nicht stoppt.
Europa weiß das längst
Die CNIL entschied, dass reCAPTCHA Google Analysen ermöglicht, die über die reine Sicherung der Authentifizierung hinausgehen, und verhängte Bußgelder gegen Unternehmen, die es ohne angemessene Zustimmung einsetzten. Das Bayerische Landesamt für Datenschutzaufsicht stellte fest, dass Googles mangelnde Transparenz darüber, welche Daten reCAPTCHA tatsächlich sammelt, Datenschutzkonformität praktisch unmöglich macht, weil Webseitenbetreiber Nutzer nicht über Verarbeitungen informieren können, die sie selbst nicht vollständig verstehen.
Datenübertragungen an US-Server kollidieren mit dem Schrems-II-Urteil. Mehrere europäische Behörden in Frankreich, Österreich und Bayern gingen bereits gegen reCAPTCHA-Implementierungen vor.
Googles Antwort darauf, angekündigt im April 2026, bestand darin, sich selbst formal als Datenverarbeiter einzustufen, wodurch Organisationen nominell mehr Kontrolle über Nutzerdaten erhalten sollen. Doch die Daten fließen weiterhin durch Googles Infrastruktur. Webseitenbetreiber tragen nun das DSGVO-Risiko für ein System, dessen Datenpraktiken sie nicht vollständig prüfen können. Google verlagerte das rechtliche Risiko auf seine Kunden – und änderte nichts an der eigentlichen Datenpipeline.
Die Alternativen, die niemand nutzt
Cloudflare Turnstile bietet unsichtbare Verifizierung ohne Geräte-Attestierung und ohne Google-Abhängigkeit. Es nutzt Private Access Tokens und arbeitet mit Geräteherstellern zusammen, um Geräte zu validieren, ohne die Daten selbst zu sammeln oder zu speichern. Es ist kostenlos.
Proof-of-Work-Systeme wie Friendly Captcha oder ALTCHA stellen kryptografische Herausforderungen, bei denen die Rechenkosten mit dem Volumen skalieren. Ein einzelner Mensch zahlt einen vernachlässigbaren Preis. Botfarmen mit Tausenden parallelen Sitzungen sehen sich dagegen exponentiell steigenden Rechenkosten gegenüber. Es wird kein Hardware-Identifier übertragen und keine Zertifizierungsinstanz entscheidet darüber, wer Zugang erhält.
Diese Systeme beweisen, dass du ein Mensch bist, ohne dass du dich oder dein Gerät gegenüber einem Werbekonzern identifizieren musst. Der Unterschied zu Fraud Defense ist grundlegend.
Die Verbreitung solcher Alternativen bleibt langsam – aus offensichtlichen Gründen. reCAPTCHA kontrolliert rund 85 Prozent des CAPTCHA-Marktes und ist auf mehr als fünf Millionen Webseiten eingebettet. Webentwickler setzen weiterhin reCAPTCHA ein, weil es der Standard ist, weil es sich nahtlos in Googles Werbe-, Analyse- und Cloud-Ökosystem integriert und weil ein Wechsel riskant erscheint – selbst wenn Alternativen technisch und rechtlich überlegen sind.
Das Muster
AMP kontrollierte die Inhaltsverteilung, Privacy Sandbox kontrolliert Werbe-Targeting, Fraud Defense kontrolliert nun, wer überhaupt Zugang zum Web erhält. All diese Produkte erweitern Googles Rolle als Gatekeeper über immer größere Teile der grundlegenden Internet-Infrastruktur.
Vivaldis Warnung aus dem Jahr 2023 ist bemerkenswert gut gealtert. Sollte Attestierung zum Standard werden, dann würde „jeder Browser, der dies nicht implementiert, nicht mehr als vertrauenswürdig gelten, und jede Webseite, die diese API verwendet, könnte Nutzer solcher Browser ablehnen.“
Google könnte Webseiten, die Google Ads nutzen, verpflichten, Fraud Defense einzusetzen – und jeder Browser oder jedes Betriebssystem, das nicht konform ist, wäre faktisch erledigt.
Das Web spaltet sich in attestierte und nicht attestierte Geräte. Datenschutzbewusste Nutzer werden in eine zweite Klasse gedrängt, in der Dienste verschwinden, nur weil sie sich weigerten, proprietäre Software eines Werbekonzerns auszuführen.
Die eigentliche Frage war nie, ob das Web Bot-Schutz benötigt. Natürlich benötigt es ihn. Die Frage ist vielmehr, ob Bot-Schutz wirklich erfordert, einem einzigen Unternehmen einen persistenten Hardware-Identifier für jeden Internetnutzer der Welt auszuhändigen – obwohl bereits Alternativen existieren, die genau das nicht verlangen.
Source : Lire l’article original