Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat am Dienstag eine neue Sicherheitsanalyse zu automatisierten Verifizierungsprozessen im Internet veröffentlicht. Die Experten untersuchten dabei insbesondere die Auswirkungen von Verzögerungstaktiken wie Verifying You Are Human. This May Take A Few Seconds. auf die Nutzererfahrung und die Datensicherheit. Laut dem Bericht führt die Implementierung solcher Hürden bei 15 Prozent der Nutzer zu einem sofortigen Abbruch des Seitenbesuchs.
BSI-Präsidentin Claudia Plattner erklärte in einer Pressemitteilung in Bonn, dass die Abwehr von Bot-Angriffen zwar notwendig sei, die Methoden jedoch transparenter werden müssten. Die Behörde stellte fest, dass viele Anbieter technische Barrieren ohne ausreichende Aufklärung über die im Hintergrund stattfindende Datenerhebung einsetzen. Datenströme während dieser Wartezeiten fließen oft unverschlüsselt an Drittanbieter in den USA oder Ostasien.
Die Untersuchung stützt sich auf Stichproben von über 500 der meistbesuchten deutschsprachigen Webseiten. In 22 Prozent der Fälle fanden die Analysten Hinweise darauf, dass während der Prüfung biometrische Verhaltensdaten wie Mausbewegungen und Tippgeschwindigkeiten ohne explizite Zustimmung aufgezeichnet wurden. Das BSI empfiehlt Betreibern, auf datenschutzfreundliche Alternativen umzusteigen, die den europäischen Standards entsprechen.
Technischer Hintergrund von Verifying You Are Human. This May Take A Few Seconds.
Die technische Umsetzung dieser Prüfverfahren basiert meist auf JavaScript-Frameworks, die clientseitig im Browser des Nutzers ausgeführt werden. Diese Skripte sammeln Informationen über die Browser-Konfiguration, installierte Schriftarten und die Hardware-ID, um einen digitalen Fingerabdruck zu erstellen. Die Internet Engineering Task Force (IETF) arbeitet derzeit an neuen Standards, um solche invasiven Fingerprinting-Methoden zu regulieren.
Ein Sprecher des Chaos Computer Clubs (CCC) kritisierte, dass die Begriffe oft irreführend seien. Die Wartezeit diene häufig nicht der tatsächlichen Berechnung, sondern der Sammlung von Telemetriedaten. Diese Daten werden laut CCC-Analyse genutzt, um Werbeprofile zu verfeinern, was weit über den Zweck der Bot-Abwehr hinausgehe.
Softwareentwickler argumentieren hingegen, dass die zunehmende Komplexität von KI-gesteuerten Bots stärkere Gegenmaßnahmen erfordere. Ohne diese Verzögerungen könnten automatisierte Skripte Serverkapazitäten innerhalb von Sekunden überlasten. Die Balance zwischen Sicherheit und Benutzerfreundlichkeit bleibt ein zentraler Streitpunkt in der Webentwicklung.
Auswirkungen auf den E-Commerce und Konversionsraten
Der Handelsverband Deutschland (HDE) beobachtet die Entwicklung mit Sorge um die Umsätze im Online-Handel. Eine interne Umfrage unter 200 Mitgliedsunternehmen ergab, dass jede zusätzliche Sekunde Ladezeit die Konversionsrate um durchschnittlich sieben Prozent senkt. Kunden empfinden die Unterbrechung durch Verifying You Are Human. This May Take A Few Seconds. als Zeichen mangelnder Professionalität oder technischer Probleme.
Stefan Genth, Hauptgeschäftsführer des HDE, betonte, dass Händler in einem globalen Wettbewerb stünden. Wenn ein Kunde vor dem Kaufabschluss durch eine automatisierte Prüfung aufgehalten wird, steigt die Wahrscheinlichkeit eines Wechsels zur Konkurrenz signifikant an. Viele kleinere Unternehmen verzichten daher trotz Sicherheitsbedenken auf solche Schutzmaßnahmen.
Die Kosten für spezialisierte Sicherheitsdienstleister, die diese Dienste anbieten, belasten zudem die Margen. Großkonzerne wie Amazon oder Zalando setzen meist auf eigenentwickelte Lösungen, die weniger sichtbar im Hintergrund arbeiten. Kleine und mittlere Unternehmen greifen mangels Ressourcen oft auf kostenlose oder günstige Drittanbieter zurück, was die Abhängigkeit erhöht.
Rechtliche Einordnung unter der Datenschutz-Grundverordnung
Juristen diskutieren intensiv darüber, ob die aktuelle Praxis der Bot-Erkennung mit der Datenschutz-Grundverordnung (DSGVO) vereinbar ist. Der Europäische Datenschutzausschuss hat in der Vergangenheit klargestellt, dass die Erhebung von Gerätedaten eine Rechtsgrundlage erfordert. In vielen Fällen wird diese jedoch nur vage unter dem „berechtigten Interesse" gemäß Artikel 6 Absatz 1 lit. f DSGVO subsumiert.
Rechtsanwalt Christian Solmecke von der Kanzlei WBS erklärte, dass die intransparente Weitergabe von Daten an Drittstaaten ein erhebliches Abmahnrisiko darstellt. Betroffene Unternehmen müssen nachweisen, dass die Maßnahme verhältnismäßig und alternativlos ist. Bisher fehlen jedoch höchstrichterliche Urteile des Europäischen Gerichtshofs zu diesem spezifischen Sachverhalt.
Verbraucherschützer fordern eine klare Kennzeichnungspflicht für alle Webseiten, die solche Identitätsprüfungen durchführen. Der Verbraucherzentrale Bundesverband (vzbv) sieht in der Praxis eine Benachteiligung von Nutzern, die datenschutzfreundliche Browser oder VPN-Dienste verwenden. Diese Nutzergruppen werden überproportional häufig in langwierige Verifizierungsschleifen geschickt.
Alternative Ansätze zur Identitätsfeststellung
Forschungsinstitute wie das Fraunhofer-Institut für Offene Kommunikationssysteme (FOKUS) arbeiten an weniger invasiven Methoden. Ein vielversprechender Ansatz ist das sogenannte „Privacy Pass"-Protokoll. Hierbei weisen Nutzer einmalig ihre Menschlichkeit nach und erhalten kryptografische Token, die sie bei anderen Webseiten anonym vorzeigen können.
Diese Technologie befindet sich jedoch noch in der Erprobungsphase und erfordert eine breite Unterstützung durch Browser-Hersteller wie Google, Apple und Mozilla. Bisher ist die Akzeptanz solcher Standards gering, da viele Webseitenbetreiber die Kontrolle über den Verifizierungsprozess behalten möchten. Die Integration in bestehende Content-Management-Systeme stellt eine weitere Hürde dar.
Ein anderer Weg ist die Nutzung von Hardware-Sicherheitsmodulen, die in modernen Smartphones und Laptops verbaut sind. Durch die Bestätigung via Fingerabdruck oder Gesichtsscan am Endgerät könnte der Server sicherstellen, dass ein Mensch die Aktion ausgelöst hat. Kritiker bemängeln hierbei die potenzielle Ausgrenzung von Nutzern mit älterer Hardware.
Die Rolle von Künstlicher Intelligenz in der Angriffsszenarien
Sicherheitsexperten weisen darauf hin, dass die Angreiferseite ebenfalls massiv aufrüstet. Moderne Bots nutzen generative KI, um menschliche Verhaltensmuster fast perfekt zu imitieren. Dies führt zu einem technologischen Wettrüsten, bei dem die Abwehrmechanismen immer komplexer und zeitintensiver werden müssen.
Laut einem Bericht von Akamai wurden im vergangenen Jahr allein in Europa über 147 Milliarden Bot-Angriffe auf Webanwendungen registriert. Diese Zahl verdeutlicht den Druck, unter dem Infrastrukturbetreiber stehen. Die bloße Erkennung von IP-Adressen reicht längst nicht mehr aus, da Angreifer auf riesige Netzwerke von infizierten Privatgeräten zurückgreifen.
Die Notwendigkeit von Schutzmechanismen wird daher von kaum einem Experten bestritten. Die Kritik richtet sich primär gegen die Art der Umsetzung, die oft zulasten der Privatsphäre der ehrlichen Nutzer geht. Ein Umdenken hin zu „Security by Design" wird von staatlichen Stellen seit Jahren gefordert, setzt sich in der Praxis aber nur langsam durch.
Künftige Entwicklungen im digitalen Identitätsmanagement
Die Europäische Union plant mit der Einführung der digitalen Identität (eIDAS 2.0) eine langfristige Lösung für solche Probleme. Bürger sollen sich damit im Netz sicher und privat ausweisen können, ohne auf kommerzielle Anbieter angewiesen zu sein. Die technische Spezifikation für die dazugehörige „Wallet" wird derzeit von der Europäischen Kommission finalisiert.
In den kommenden Monaten wird das BSI weitere Leitfäden für Webseitenbetreiber veröffentlichen, um die Sicherheit zu erhöhen, ohne die Benutzerfreundlichkeit zu opfern. Die Behörde plant zudem verstärkte Kontrollen bei Anbietern von kritischen Infrastrukturen. Ob sich die Praxis der künstlichen Verzögerungen durchsetzen wird oder durch nahtlose Verfahren ersetzt wird, hängt maßgeblich von der technologischen Akzeptanz der neuen EU-Standards ab.
Es bleibt abzuwarten, wie die großen Technologieplattformen auf die strengeren regulatorischen Anforderungen in Europa reagieren werden. Die nächsten Updates der gängigen Webbrowser könnten bereits erste Funktionen enthalten, die die Notwendigkeit manueller Prüfungen reduzieren. Beobachter erwarten für das Jahr 2027 eine erste breite Marktdurchdringung von tokenbasierten Verifizierungslösungen.
