Künstliche Intelligenz
CAPTCHAs reichen nicht mehr: Cloudflare stellt neue Bot-Erkennung vor
Cloudflare führt mit Precursor ein neues Verfahren zur Bot-Erkennung ein, welches das Verhalten von Besuchern über eine gesamte Websitzung hinweg auswertet. Statt nur einzelne Aktionen wie Login oder Checkout zu prüfen, sammelt das System fortlaufend Signale aus dem Browser. So soll es automatisierte Zugriffe zuverlässiger von menschlichen Nutzern unterscheiden. Die Funktion ergänzt Cloudflares Bot-Management und den CAPTCHA-Ersatz Turnstile zunächst als optionales Enterprise-Feature.
Weiterlesen nach der Anzeige
Verhaltensanalyse über die gesamte Sitzung
Nach Angaben von Cloudflare schließt Precursor eine Lücke der klassischen Bot-Abwehr: Moderne Bots können JavaScript ausführen, echte Browser verwenden und einzelne CAPTCHA-Prüfungen bestehen. Schwieriger sei es hingegen, menschliches Verhalten über einen längeren Zeitraum konsistent nachzubilden.
Dafür bindet Cloudflare beim Ausliefern von HTML-Seiten automatisch ein kompaktes JavaScript-Skript ein. Es erfasst während der Sitzung unter anderem Mausbewegungen, Tastaturaktivität, Fokuswechsel und Sichtbarkeitsänderungen der Seite. Die Daten werden fortlaufend an Cloudflares Auswertungsplattform übertragen und fließen in den Bot-Score sowie bestehende Schutzmechanismen ein.
Zum Beispiel kann das System erkennen, wenn Tastatureingaben auftreten, obwohl kein Eingabefeld aktiv ist, oder wenn Mausbewegungen nicht zu der Zeit passen, in der eine Seite tatsächlich sichtbar war. Solche Inkonsistenzen sind zusätzliche Indikatoren für automatisierte Zugriffe.
Menschliche Bewegungsmuster als Erkennungsmerkmal
Cloudflare begründet den Ansatz damit, dass menschliche Mausbewegungen durch biomechanische und kognitive Faktoren geprägt sind – etwa die Drehbewegung des Handgelenks, messbare Verzögerungen durch kognitive Verarbeitung und das physiologische Handzittern. Automatisierte Werkzeuge erzeugen dagegen häufig mathematisch ideale Bewegungsbahnen oder wiederkehrende Muster.
Entscheidend sei dabei nicht ein einzelnes Ereignis, sondern die Gesamtheit der Interaktionen innerhalb einer Sitzung. Da Precursor sitzungsbasiert arbeitet, soll ein Bot seine Bewertung auch nicht durch einfaches Neuladen einer Seite zurücksetzen können.
Weiterlesen nach der Anzeige
Parallel führt Cloudflare neue sitzungsbezogene Ansichten in Security Analytics ein. Administratoren sollen damit komplette Nutzerpfade analysieren können, statt lediglich einzelne HTTP-Anfragen zu betrachten.
Datenschutz soll berücksichtigt werden
Der Ansatz ist datenschutzrechtlich zumindest fragwürdig. Cloudflare betont in der Ankündigung jedoch, dass Precursor unter Datenschutzgesichtspunkten entwickelt worden sei. So würden bei der Tastaturerfassung beispielsweise nur zeitliche Muster und Eingaberhythmen ausgewertet, nicht jedoch die tatsächlich gedrückten Tasten. Die gesammelten Verhaltensdaten würden zudem aggregiert verarbeitet und weder Benutzerkonten noch dauerhaften Identitäten zugeordnet.
Precursor wird nach Angaben des Unternehmens derzeit eingeführt und lässt sich über das Cloudflare-Dashboard aktivieren. Bis zur allgemeinen Verfügbarkeit im Laufe des Jahres soll die Funktion kostenlos nutzbar sein, anschließend wird sie Teil von Cloudflares Enterprise Bot Management sein.
Lesen Sie auch
(fo)
Künstliche Intelligenz
Pläne zur Altersverifikation: „Problem ist das Plattformdesign, nicht das Alter“
Die EU-Kommission will den Schutz von Kindern und Jugendlichen im Internet deutlich verschärfen. Eine Expertenkommission empfiehlt unter anderem ein europaweit harmonisiertes Mindestalter für soziale Netzwerke sowie verpflichtende Alterskontrollen. Parallel arbeitet die EU an einer digitalen Altersverifikation, eine Art Mini-Wallet, die auch unabhängig von der EUDI-Wallet genutzt werden kann.
Weiterlesen nach der Anzeige

Marielle Findorff ist Referentin für Daten- und IT-Sicherheit beim Verbracherzentrale Bundesverband.
(Bild: vzbv)
Über die Chancen und Risiken dieser Pläne sprach heise online mit Marielle Findorff, Referentin für Digitales und Medien beim Verbraucherzentrale Bundesverband (vzbv).
Die EU könnte beim Schutz von Minderjährigen künftig stärker auf Altersgrenzen und Altersverifikation setzen. Ist das aus Sicht des Verbraucherschutzes der richtige Ansatz?
Das eigentliche Problem ist das Plattformdesign und die oft unsicheren Grundeinstellungen. Altersgrenzen lösen dieses Grundproblem nicht. Minderjährige würden zwar ausgeschlossen, alle anderen Nutzerinnen und Nutzer wären den gleichen Risiken aber weiterhin ausgesetzt. Deshalb sollte der Schwerpunkt darauf liegen, Plattformen selbst sicherer zu gestalten, und zwar für alle.
Was müsste sich aus Ihrer Sicht stattdessen ändern?
Die Plattformen sollten nachweisen müssen, dass ihre Angebote tatsächlich sicher gestaltet sind. Das betrifft beispielsweise Voreinstellungen, Empfehlungsmechanismen oder andere Designentscheidungen, die Risiken für Nutzerinnen und Nutzer erhöhen können. Nur wenn die Ursachen auf den Plattformen selbst angegangen werden, lassen sich die Probleme nachhaltig lösen.
Es ist deshalb zu begrüßen, dass auch die Von-der-Leyen-Kommission in ihren Empfehlungen die Verantwortung und Beweislast bei den Anbietern sieht. Dabei darf es jedoch nicht bleiben. Digitale Dienste müssen standardmäßig für alle sicher gestaltet sein. Funktionen und Gestaltungsmuster, die exzessive Nutzung fördern, sollten wirksam begrenzt oder verboten werden.
Die EU-Empfehlungen der EU-Kommission sehen vor, dass Plattformen Zugangsbeschränkungen bis 13 Jahren durchführen sollen. Jugendliche zwischen 13 und 17 Jahren sollen digitale Dienste nutzen können, wenn die Anbieter ein altersgerechtes Design und entsprechende Schutzeinstellungen nachweisen. Plattformen könnten somit entweder ihre Dienste anpassen oder den Zugang für Minderjährige beschränken. Wie bewerten Sie das?
Weiterlesen nach der Anzeige
Grundsätzlich ist es positiv, wenn Plattformen nachweisen müssen, dass ihre Dienste für Kinder und Jugendliche sicher sind. Problematisch ist aber, dass Anbieter möglicherweise einfach den anderen Weg wählen: Sie behalten ihr bisheriges Design bei und schließen Minderjährige per Altersverifikation aus. Das wäre vermutlich in einigen Fällen günstiger, als grundlegende Änderungen am Produkt vorzunehmen. Ich glaube nicht, dass das das eigentliche Ziel der Empfehlungen ist, ausgeschlossen wird diese Möglichkeit aber nicht ausdrücklich.
Diskutiert wurde in der Vergangenheit auch eine Alterskontrolle direkt auf Betriebssystemebene. Wäre das sinnvoller?
Das wäre eine mögliche Alternative. Eltern könnten beispielsweise beim Einrichten eines Geräts das Alter ihres Kindes hinterlegen. Die Information könnte anschließend mit App-Stores oder Diensten kommuniziert werden. Allerdings stellt sich auch dort die Frage, wie diese Altersangabe überprüft wird oder ob sie auf einer Selbstauskunft, etwa von den Eltern, basiert. Die EU-Kommission setzt derzeit allerdings erkennbar auf die EUDI-Wallet beziehungsweise auf eine eigenständige Altersverifikationslösung, die in die EUDI-Wallet integriert werden könnte.
Dann würde aber erneut viel Verantwortung bei den Eltern liegen.
Genau. Das ist problematisch. Viele Eltern fühlen sich bereits heute mit der Vielzahl digitaler Angebote überfordert. Hinzu kommt, dass Plattformen ihre Einstellungen regelmäßig ändern. Selbst Erwachsene verlieren dabei schnell den Überblick. Wenn Eltern sämtliche Plattformen und Spiele ständig kontrollieren müssten, wäre das kaum leistbar. Besonders Familien mit weniger Zeit oder Ressourcen könnten dadurch benachteiligt werden.
Aktuell wird eine auf Open Source basierende Altersverifikationslösung entwickelt und getestet, die von der EUDI-Wallet losgelöst funktioniert. Wie schätzen Sie das ein?
Wenn tatsächlich ausschließlich ein datensparsamer Nachweis wie „über 18“ über einen Zero-Knowledge-Proof übertragen wird und keine weiteren personenbezogenen Daten fließen, wäre das aus Datenschutzsicht grundsätzlich positiv. Entscheidend ist aber, dass diese Beschränkung technisch verbindlich umgesetzt wird und Plattformen nicht zusätzliche Daten anfordern können.
Was halten Sie davon, das Alter über Nutzungsverhalten oder KI-Schätzungen zu bestimmen?
Das halte ich für problematisch. Zum einen sind solche Verfahren unzuverlässig, weil Interessen nichts Eindeutiges über das Alter aussagen. Zum anderen wäre eine Analyse des Surfverhaltens oder biometrischer Merkmale äußerst invasiv. Außerdem müssten Nutzer darauf vertrauen, dass Daten tatsächlich gelöscht werden und nicht doch weiterverarbeitet werden.
In Australien zeigt sich zum Beispiel, dass bisherige technische Umsetzungen leicht umgangen werden können. Es gibt inzwischen zahlreiche Möglichkeiten, Altersprüfungen mit KI-Werkzeugen, Browser-Erweiterungen oder über volljährige Personen zu umgehen. Deshalb bleibt der wirksamste Ansatz, Plattformen selbst sicherer zu gestalten, statt ausschließlich auf Zugangskontrollen zu setzen.
Welche langfristigen Risiken sehen Sie bei einer verpflichtenden digitalen Altersverifikation?
Selbst wenn ein System zunächst datensparsam aufgebaut wird, entsteht damit eine Infrastruktur, die später verändert werden kann. Datenschutzmechanismen lassen sich nachträglich abschwächen. Ist eine solche Infrastruktur einmal etabliert, wird es deutlich einfacher, weitergehende Identifizierungs- oder Überwachungsfunktionen einzuführen.
Wenn eine Altersverifikation kommt, wie sollte sie dann umgesetzt sein?
Altersverifikation kann nur dann einen Mehrwert bieten, wenn sie datensparsam, pseudonym und verpflichtend auf das notwendige Minimum beschränkt ist. Sie darf nicht dazu führen, dass neue Identifizierungs- oder Trackingmöglichkeiten entstehen. Entscheidend ist außerdem, dass sie nicht als Ersatz für notwendige Verbesserungen bei Sicherheit und Plattformdesign verstanden wird.
Welche Rolle spielt dabei die EUDI-Wallet?
In der Wallet werden besonders sensible Identitätsdaten gespeichert. Deshalb muss ausgeschlossen sein, dass Plattformen mehr Informationen erhalten als unbedingt erforderlich. Gerade wenn künftig auch Jugendliche die Wallet nutzen sollen, ist das besonders wichtig. Es darf nicht passieren, dass sich dadurch neue Geschäftsmodelle entwickeln, um noch mehr personenbezogene Daten zu sammeln.
Die Wallet soll freiwillig bleiben. Deshalb muss es ohnehin alternative Verfahren geben. Welche das konkret sein sollen und welche Datenschutzstandards dort gelten, ist bislang aber nicht ausreichend geklärt.
Welchen Nutzen sehen Sie insgesamt in der europäischen digitalen Brieftasche?
Genau das ist für mich derzeit eine zentrale, offene Frage. Welches Problem löst die Wallet eigentlich für Verbraucherinnen und Verbraucher? Ein möglicher Vorteil ist zwar, dass sie europaweit interoperabel sein und Identitätsnachweise grenzüberschreitend erleichtern soll. Einen überzeugenden Mehrwert für den Alltag der Nutzerinnen und Nutzer sehe ich bislang aber nicht. Aus Verbrauchersicht wären beispielsweise echte pseudonyme Nutzungen digitaler Dienste interessant. Diese Möglichkeiten sind in der aktuellen Ausgestaltung noch nicht vorgesehen.
Wer profitiert aus Ihrer Sicht am stärksten von der Wallet?
Wenn man die Frage umdreht und nicht aus Sicht der Nutzerinnen und Nutzer, sondern aus Sicht der Unternehmen stellt, wird die Antwort einfacher. Für Unternehmen eröffnen sich neue Möglichkeiten, Menschen eindeutig zu identifizieren. Deshalb dürften vor allem Diensteanbieter von der Infrastruktur profitieren. Für Verbraucherinnen und Verbraucher ist der Mehrwert bislang deutlich weniger klar erkennbar.
Die Debatte konzentriert sich derzeit stark auf Kinder und Jugendliche. Müsste der Blick nicht grundsätzlich weiter gefasst werden? Viele Menschen – unabhängig vom Alter – verfügen über unterschiedliche digitale Kompetenzen oder sind mit den Mechanismen moderner Plattformen wenig vertraut.
Ja. Bei Betrugsmaschen, Identitätsdiebstahl oder Scams gibt es Betroffene in allen Altersgruppen. Es handelt sich nicht um ein Problem ausschließlich von Kindern und Jugendlichen. Wer digitale Dienste sicher nutzen kann, hängt nicht allein vom Alter ab. Deshalb sollte der Schutz grundsätzlich allen Nutzerinnen und Nutzern zugutekommen, die besonderen Risiken ausgesetzt sind.
(mack)
Künstliche Intelligenz
Jugendmedienschutz: Warum Politik und Eltern mehr für Minderjährige tun müssen
Wer einen Spielplatz baut, muss Normen einhalten. Die Höhe von Klettergerüsten ist ebenso geregelt wie die Beschaffenheit von Fallschutzflächen. Steckdosen erhalten Kindersicherungen, an Grundschulen gilt Tempo 30. Über Jahrzehnte haben Gesetzgeber, Hersteller und Pädagogen ein dichtes Netz aus Sicherheitsvorkehrungen zum Schutz von Kindern und Jugendlichen geschaffen.
Im digitalen Raum manövrieren Kinder durch Umgebungen, die ursprünglich für Erwachsene entwickelt wurden. Empfehlungsalgorithmen bestimmen, welche Videos, Bilder oder Beiträge Kinder überhaupt zu sehen bekommen. Messenger ermöglichen den Kontakt zu Fremden. Viele der Dienste erklären zwar in ihren Nutzungsbedingungen, sie richten sich nur an Personen ab 13 Jahren oder älter. Tatsächlich gehören Kinder und Jugendliche aber zu ihren wichtigsten Nutzergruppen.
Während der Schutz von Kindern in der analogen Welt über Jahrzehnte zu einem selbstverständlichen Leitprinzip wurde, entwickelte sich das Internet zunächst weitgehend ohne vergleichbare Schutzmechanismen. Erst in den vergangenen Jahren hat sich die Debatte um den Jugendschutz im Netz spürbar verschoben. Auch aufgrund neuer Studienergebnisse denken die Politik und Medienpädagogik zurzeit um. Die Architektur digitaler Dienste rückt in den Mittelpunkt. Der Artikel zeigt anhand aktueller Studien, wo konkrete Risiken liegen, wie Plattformdesign sie verstärkt und warum politische Antworten bislang nur begrenzt greifen.
Das war die Leseprobe unseres heise-Plus-Artikels „Jugendmedienschutz: Warum Politik und Eltern mehr für Minderjährige tun müssen“.
Mit einem heise-Plus-Abo können Sie den ganzen Artikel lesen.
Künstliche Intelligenz
Elektroautos: Was die GEIG-Novelle in der Ladeinfrastruktur verändert
Kurz vor der Sommerpause des Bundestages hat die Regierung eine Neufassung des Gebäudeenergiegesetzes und des Gebäude-Elektromobilitätsinfrastruktur-Gesetzes (GEIG) durch Bundestag und Bundesrat gebracht. Teil der Neuregelung sind Vorgaben für den Ausbau der Ladeinfrastruktur. Es unterscheidet dabei zwischen Wohn- und Nichtwohn-Gebäuden, Bestand, Neubau und Sanierung.
Weiterlesen nach der Anzeige
Neue Nichtwohn-Gebäude
In einem Neubau mit mehr als fünf Stellplätzen, beispielsweise einem Parkhaus, sollen künftig mindestens 50 Prozent vorverkabelt und die restlichen Stellplätze mit Leitungsinfrastruktur versehen werden. Außerdem soll es wenigstens einen Ladepunkt je fünf Stellplätze geben. Für neue Nichtwohn-Gebäude, in denen vor allem Verwaltungs-, Kommunikations- und Organisationsaufgaben erledigt werden, gelten strengere Vorgaben.
Wenn die Stellplätze in Neubauten öffentlich zugänglich sind, kann der Eigentümer auch öffentlich zugängliche Ladepunkte schaffen, deren Ladeleistung insgesamt mindestens dem Produkt aus der Anzahl der öffentlich zugänglichen Stellplätze und einer Ladeleistung von 2,2 kW entspricht. Bei zehn Parkplätzen wären das also ein 22-kW-Ladepunkt oder eben zwei 11-kW-Ladepunkte.
Nichtwohn-Gebäude im Bestand
Auch im Bestand ändert sich für die Besitzer etwas, und das sogar recht kurzfristig. Sofern mehr als 20 Stellplätze vorhanden sind, müssen ab dem 1. Januar 2027 mindestens 50 Prozent der Stellplätze mit Leitungsinfrastruktur für die Elektromobilität ausgestattet werden. Alternativ kann auch wenigstens jeder zehnte Stellplatz mit einem Ladepunkt versehen werden.
Ähnlich wie beim Neubau kann der Eigentümer auch im Bestand öffentliche Ladepunkte schaffen. Die Vorgaben an die Ladeleistung sind dann weniger streng: Anzahl der Ladepunkte mal 1,1 kW Ladeleistung. Bei zehn Stellplätzen reicht also ein 11-kW-Ladepunkt, um die Pflichtvorgaben zu erfüllen.
Weiterlesen nach der Anzeige
Renovierung und Neubau
Wer in größerem Umfang renoviert, muss dabei künftig ebenfalls Lademöglichkeiten für Elektroautos berücksichtigen. Das betrifft Nichtwohn-Gebäude mit mehr als fünf Stellplätzen und Wohngebäude mit mehr als drei Parkplätzen. In beiden Fällen müssen wenigstens die Hälfte der Stellplätze mit Vorverkabelung und die übrigen mit Leitungsinfrastruktur ausgestattet werden. Außerdem muss ab dieser Anzahl von Stellplätzen mindestens ein Ladepunkt geschaffen werden.
Mehr zum Thema Elektromobilität
(mfz)
-
Künstliche Intelligenzvor 3 Monaten
xTool P3 im Test: CO₂-Laser mit 80 Watt schneidet und graviert auch Acryl
-
UX/UI & Webdesignvor 1 WocheRegional & mit Gefühl: Identity für Klimafonds Baden-Württemberg › PAGE online
-
Künstliche Intelligenzvor 3 MonatenWeitere Entlassungswelle bei Disney: Bis zu 1000 Mitarbeiter betroffen
-
Apps & Mobile Entwicklungvor 3 MonatenMega-GPUs für Nvidia, AMD & Co: TSMC zeigt CoWoS-Package mit >11.600 mm² & 24 × HBM5E
-
Social Mediavor 2 MonatenMetas neuer Creative Setup Workflow: Was sich wirklich ändert – und warum das nicht nur eine UI-Frage ist!
-
Künstliche Intelligenzvor 3 MonatenApple‑Geräte mit Microsoft Intune verwalten – zweiteiliges Live-Webinar
-
UX/UI & Webdesignvor 2 MonatenHornbach – und die anderen Gewinner der ADC Annual Awards New York! › PAGE online
-
Apps & Mobile Entwicklungvor 3 MonatenMutter Palit dementiert: Gerüchteküche beerdigt fälschlicherweise Galax/KFA²
