Kürzlich testet Google eine neue Funktion zur Stärkung der reCAPTCHA-Verifizierung – „Hand Gesture Verification“ (HGV), die Videos von den Händen der Nutzer sammelt, um festzustellen, ob es sich um echte Menschen handelt. Allerdings sorgte diese Funktion schnell für Kontroversen in Bezug auf Datenschutz und Sicherheit.

Laut der offiziellen Dokumentation von Google verlangt HGV von Website-Besuchern, Zugriff auf die Kamera ihres Geräts zu gewähren, um „einen oder mehrere“ Handvideoclips aufzunehmen. Während des Verifizierungsprozesses muss der Benutzer winken oder eine bestimmte Geste in Richtung der Kamera machen, und das System extrahiert wichtige biometrische Merkmale, um festzustellen, ob es sich bei dem Bediener um einen Menschen und nicht um ein automatisiertes Skript oder einen Roboter handelt.
Google glaubt, dass diese auf Biometrie basierende Identifizierungsmethode die Sicherheit von reCAPTCHA verbessern kann, tatsächliche Testergebnisse zeigen jedoch, dass HGV nicht die erwarteten Ergebnisse erzielt hat. Sicherheitsforscher und normale Benutzer haben erfolgreich Stockfotos und virtuelle Kamerafunktionen verwendet, um dieses System zu umgehen: Der Angreifer muss lediglich ein „Winken“ oder Handfoto vorbereiten, das der Bewegung entspricht, und die Überprüfung kann über die virtuelle Kameraausgabe von Software wie OBS Studio abgeschlossen werden, ohne dass eine echte Kamera und eine reale Person zur Zusammenarbeit erforderlich sind.
Mit der Weiterentwicklung des maschinellen Lernens und der Automatisierungstechnologie wurden bestehende Verifizierungscodesysteme häufig durch KI-Roboter „kaputt gemacht“. Mehrere Studien haben gezeigt, dass herkömmliche grafische Verifizierungscodes wie die komplexe Ampelerkennung in den meisten Fällen durch automatisierte Tools gelöst werden können. Die frühen Fehlerfälle von HGV verdeutlichen außerdem, dass selbst bei der Einführung biometrischer Daten, wenn der Interaktionsprozess und der Kanal selbst nicht fälschungssicher gestaltet sind, diese möglicherweise auch schubweise durch virtuelle Kameras, Archivbilder und einfache Skripte umgangen werden.
Neben der technischen Wirksamkeit sind auch Fragen des Datenschutzes in den Fokus der Kontroversen gerückt. Kritiker weisen darauf hin, dass solche auf Kameras und Biometrie basierenden Verifizierungssysteme die kontinuierliche Hintergrundüberwachung von Benutzern unsichtbar „normalisieren“ und es Benutzern ermöglichen würden, sensiblere Kameradaten an große Technologieunternehmen weiterzugeben, um auf gewöhnliche Websites zuzugreifen. In der aktuellen zunehmend sensiblen Umgebung für den Datenschutz wird es wahrscheinlich als übermäßige Datenerfassung angesehen, wenn Benutzer häufig aufgefordert werden, Live-Bilder oder Videos bereitzustellen.
Als Reaktion auf externe Zweifel gab Google an, dass HGV nur zur Gestenerkennung bei der Aufnahme von Videos dient und keine Audioinhalte erhebt oder verarbeitet und dass das Video nach Abschluss der Überprüfung „so schnell wie möglich gelöscht“ wird. In der offiziellen Mitteilung wurde außerdem betont, dass diese Videos „nicht“ direkt mit der Identität des Nutzers in Verbindung gebracht werden. Einige Sicherheits- und Datenschutzexperten glauben jedoch, dass diese Verpflichtung nur schwer auszuräumen ist. Einerseits können normale Benutzer die tatsächliche Datenaufbewahrungsrichtlinie des Back-End-Systems nicht überprüfen. Andererseits verfügt die Cloud-Infrastruktur großer Plattformen häufig über redundante Backup- und Disaster-Recovery-Mechanismen, und der tatsächliche Datenlebenszyklus kann weitaus komplizierter sein, als die Front-End-Schnittstelle anzeigt.
Diese Sorge ist nicht unbegründet. In einem früheren, aufsehenerregenden Fall wurden „gelöschte“ Videos von Googles Nest-Kamera aus dem Cloud-System wiederhergestellt und zur Unterstützung der Untersuchung eines hochriskanten Entführungsvorfalls verwendet. Dieser Fall wird als Beweis dafür gewertet, dass das Back-End-System unter bestimmten Bedingungen auch dann noch eine Kopie der entsprechenden Daten behalten kann, wenn die auf der Front-End-Oberfläche angezeigten Inhalte gelöscht wurden. Kritiker haben daher die Frage gestellt, ob von LKWs aufgezeichnete Videodaten in bestimmten Szenarien auch gespeichert oder zum Trainieren verschiedener Modelle, einschließlich Gemini, verwendet werden, wodurch potenzielle Datenschutzrisiken verstärkt werden.
Da automatisierter Datenverkehr und böswillige Bot-Aktivitäten weiter zunehmen, ist die Weiterentwicklung der CAPTCHA-Technologie eindeutig immer noch ein wichtiges Thema für große Plattformen. Allerdings kann die Einführung von Kameras und Biometrie allein, gemessen an der frühen Entwicklung des Lkw, keine höhere Sicherheit gewährleisten. Vielmehr kann es dazu führen, dass Benutzer schon im Vorfeld größeren Datenschutzrisiken ausgesetzt werden, wenn die Technologie noch nicht ausgereift ist. Während Branchenakteure, darunter Cloudflare und Browserhersteller, aktiv nach „De-Captcha“-Lösungen suchen, um die Benutzerreibung zu verringern, wird die Frage, wie man ein Gleichgewicht zwischen Sicherheit, Missbrauchsprävention und Datenschutz herstellt, zu einem Problem, mit dem sich die gesamte Branche auseinandersetzen muss.