Die bei vielen Webseiten erforderlichen reCAPTCHA-Rätsel zur SPAM-Abwehr will Google durch ein neues System mit QR-Codes ablösten. Dieses System setzt aber ein Android mit Google Play Services oder iOS von Apple voraus. Dieser Ansatz könnte für Benutzer, die kein Mobilgerät mit Google Android oder iOS von Apple verwenden, zum Problem werden. Die Entwickler alternativer Android-Systeme wie GrapheneOS schlagen Alarm und warnen, dass Google zum "Türsteher" werden könnte.
reCAPTCHA und Google Cloud Fraud Defense
Bisher war es so, dass viele Webseiten zur Registrierung von neue Benutzern oder Zugängen ein reCAPTCHA-Bilderrätsel lösen mussten. Meine Erfahrung ist, dass das mehr schlecht als recht funktionierte.
Am 22. April 2026 hat Google sein Google Cloud Fraud Defense als reCAPTCHA-Weiterentwicklung vorgestellt. Der Konzern argumentiert, dass das "agentenbasierte Web" – in dem autonome KI-Agenten mithilfe des offenen Webs und branchenüblicher Protokolle komplexe Transaktionen durchdenken, planen und ausführen – zwar Online-Interaktionen erheblich verbessern könnten. Die KI-Agenten bringen jedoch auch neue Missbrauchs- und Betrugsrisiken mit sich, was Sicherheitsplattformen vor einzigartige Herausforderungen stellt.
Google Cloud Next "Google Cloud Fraud Defense" sei eine Vertrauensplattform für das agentische Web. Es sei als nächste Entwicklungsstufe von reCAPTCHA darauf ausgelegt ist, die Legitimität von Bots, Menschen und KI-Agenten zu überprüfen, und Unternehmen die erforderlichen Informationen zur Sicherung ihrer digitalen Interaktionen und ihres Handels bereitstellen.
Google Play Services oder iOS erforderlich
Obige Ankündigung durch Google ist an mir vorbei gegangen und beim Querlesen des Artikels Google Cloud Fraud Defense ist mir auch nichts aufgefallen. Aber von Google gibt es den Support-Beitrag Troubleshoot reCAPTCHA Mobile Verification, der die Alarmglocken bei einigen Leuten schrillen lässt.
Im Supportdokument heißt es, dass die Nutzer ein Mobilgerät mit iOS 15.0-16.4 oder ein Android-Gerät mit einer Google Play Services Version neuer als 25.41.30 benötigen. Wer ein Mobilgerät besitzt, welches diese Anforderungen nicht erfüllt, kann den QR-Code zum Nachweis, dass man ein Mensch sei, nicht erbringen.
Die Entwickler von GrapheneOS haben auf Mastodon auf die Implikationen hingewiesen und schreiben:
Apple und Google weiten den Einsatz hardwarebasierter Authentifizierung schrittweise aus. Sie überzeugen immer mehr Dienste davon, diese Technologie zu übernehmen. Googles „Play Integrity API" und Apples „App Attest API" sind sich sehr ähnlich. Apple hat diese Technologie über „Privacy Pass" ins Web gebracht, was auch Google vorhat.
Die Play Integrity API von Google verlangt für die hohe Integritätsstufe eine Hardware-Attestierung und führt diese Anforderung schrittweise auch für die häufiger genutzte Geräteintegritätsstufe ein. Bei Apple sei dies bereits eine Voraussetzung, schreiben die GrapheneOS-Entwickler. Langfristig werde dies den Wettbewerb bei Hardware und Betriebssystemen zunehmend einschränken, ist die geäußerte Befürchtung.
Bank- und Behördendienste verlangen zunehmend die Nutzung einer mobilen App, über die sie mittels einer Bescheinigung die Verwendung eines von Apple oder Google zugelassenen Geräts und Betriebssystems erzwingen können. Apples „Privacy Pass", Googles „eingestellte" „Web Environment Integrity" und nun die „reCAPTCHA Mobile Verification" bringen dies ins Web, schreiben die Entwickler von GrapheneOS auf BlueSky.
Die aktuelle Berichterstattung über die reCAPTCHA-Mobilverifizierung verkenne das System und seine Auswirkungen heißt es in Folgeposts. Google (und Apple) führe eine Anforderung zur Hardware-Authentifizierung für Windows, Desktop-Linux, OpenBSD usw. ein, indem sie in einigen Fällen einen QR-Scan von einem zertifizierten Smartphone verlangen, um reCAPTCHA zu bestehen. Google könnte dies noch weiter ausweiten.
Die Kontrolle über reCAPTCHA versetzt Google in die Lage, für die Nutzung eines Großteils des Internets entweder ein iOS- oder ein zertifiziertes Android-Gerät vorzuschreiben, heißt es. Google legt Zertifizierungsanforderungen für Android fest, zu denen unter anderem die obligatorische Vorinstallation von Google Chrome gehört. Das ist enorm wettbewerbsfeindlich.
Die GrapheneOS-Leute weisen darauf hin, dass Googles Play Integrity API die Nutzung von GrapheneOS verbietet, obwohl dieses Betriebssystem weitaus sicherer ist als alles, was Google zulässt. Googles Play Integrity API lasse Geräte zu, die seit 10 Jahren keine Sicherheitspatches mehr erhalten haben. Die Geräteintegritätsstufe kann durch Spoofing umgangen werden, was Google aber recht gut erkennen und blockieren könne, sobald dies in großem Umfang geschieht, heißt es.
Der neu Ansatz verbietet laut den GrapheneOS-Entwicklern auch die Nutzung jeder anderen Alternative. Dies sei nicht spezifisch für ein AOSP-basiertes Betriebssystem. Man könne dies nicht umgehen, indem man stattdessen ein auf FreeBSD basierendes mobiles Betriebssystem verwendet. Man werde nur noch stärker ausgesperrt. heise weist hier darauf hin, dass Google immer mehr Funktionen aus dem quelloffenen Android in seine proprietären Google Play Services und weitere Dienste verlagert habe, was nun zum Problem werde.
Es ist ein weiterer Schritt in eine Internet-Welt, in dem Altersverifikation und Zugangskontrollen durch Staaten (EU-Kommission, nationale Staaten) sowie große Techunternehmen wie Google zum "Standard" gehören werden. Ob es so kommt und wie aggressiv Google diese Missbrauchserkennung vorantreiben will, muss man abwarten. Aber für mein Gefühl wird da eine weitere Schlinge ausgelegt, dies ich bei entsprechender Verbreitung ganz schnell zuzieht und "nur noch Android-Geräte mit Google-Segen oder Apple iOS-Geräte" nutzbar sind.
MVP: 2013 – 2016
Viel schlimmer ist doch, dass ältere Menschen, die nicht so viel Ahnung vom Internet haben, darauf trainiert werden, jeden QR-Code zu scannen, den irgendeine Seite anzeigt. In Zeiten, in denen überall gefälschte QR-Codes im Umlauf sind, ist das eine ganz ganz unkluge Idee, soetwas einzuführen.
Das geht auch ohne Altersdiskriminierung! Betrifft durchaus auch Jüngere
"… dass Menschen, die nicht so viel Ahnung vom Internet haben…" wäre besser.
tja, kein google play-service auf dem android-smartphone. was tun? nichts. gar nichts. internet am smartphone ist eh ein graus. diese minibildschirme sind nicht mein ding. und erreiche ich dann "einiges" nicht mit dem smartphone, dann ist es so. dann hab ich das nicht sehen wollen.
Ich glaube du hast da was falsch verstanden.
Es geht nicht nur um Internet auf dem Smartphone.
Es geht um das normale Internet am PC, dass du mittels QR Code und Smartphone authentifizieren musst.
und wenn man kein Phone hat?!
Dann musst du draußen bleiben. Das ist ja gerade das Problem, das auch die Entwickler von GrapheneOS beschreiben, das "zertifizierte" Smartphone wird zum Torwächter fürs Internet.
Ganz einfach, dann hast Du keinen Internetzugang mehr.
ich habe das nicht falsch verstanden.
im gegenteil, ich überlege eine weile schon hin und her, ob man ins analoge zurückkehrt und auf online verzichtet. für meine restlaufzeit ginge das sicher…
smartphone ist in wenigen sekunden mechanisch zerstört.
Das Problem ist, dass das ja nicht nur für Smartphones gilt. Wenn eine Seite diesen Dienst einsetzt, dann spielt das keine Rolle, auf welchem Gerät du die Seite besuchst. Wenn du das von einem PC machst wirst du trotzdem genötigt, den QR Code mit einem kompatiblen Smartphone zu scannen. Empfinde ich persönlich als nicht wünschenswert.
Tritt das mit alles Browsern auf oder nur mit Chrome?
Ansonsten würde es ggf. helfen den Browser auf "Desktop Mode" zu stellen?
Es geht doch nicht nur um Seiten die du mobil öffnest??
https://discuss.grapheneos.org/d/35428-recaptcha-mobile-verification-is-bringing-the-play-integrity-api-to-desktops
Governments are increasingly mandating using Apple's App Attest and Google's Play Integrity for not only their own services but also commercial services. The EU is leading the charge of making these requirements for digital payments, ID, age verification, etc. Many EU government apps require them.
In dieser Diskussion geht es um viel mehr als nur das Öffnen von Mobilseiten. Es geht im Kern um eine grundsätzliche Veränderung der Machtverhältnisse im Internet und die Frage, wer kontrolliert, welche Hardware und Software du benutzen darfst.
Hier sind die wichtigsten Punkte der Diskussion zusammengefasst:
1. Das Handy als "Türsteher" für den PC
Google plant mit reCAPTCHA Mobile Verification, dass du in Zukunft am Desktop (Windows, Linux, Mac) eventuell einen QR-Code mit deinem Smartphone scannen musst, um eine Website zu besuchen. Das Smartphone muss dabei von Google oder Apple "zertifiziert" sein. Damit wird die Freiheit am PC von der Kontrolle am Smartphone abhängig gemacht.
2. "Hardware Attestation" (Hardware-Beglaubigung)
Die technische Hürde nennt sich Play Integrity API (bei Google) oder App Attest (bei Apple).
Das Problem: Diese Systeme prüfen, ob dein Betriebssystem "erlaubt" ist.
GrapheneOS ist zwar sicherer als das Standard-Android, wird aber von Google nicht zertifiziert, weil es die Google-Dienste nicht vorinstalliert und keine Lizenzverträge unterschreibt.
Die Folge: Banking-Apps, Behörden-Apps und bald vielleicht auch normale Websites könnten den Zugriff verweigern, weil du ein "unsicheres" (sprich: selbstbestimmtes) System nutzt.
3. Kampf gegen Monopole
GrapheneOS kritisiert, dass Google und Apple unter dem Deckmantel der "Sicherheit" eigentlich nur den Markt kontrollieren.
Sie lassen veraltete Geräte mit 10 Jahre alten Sicherheitslücken zu (weil sie zertifiziert sind), sperren aber ein hochsicheres System wie GrapheneOS aus.
Das Ziel der Diskussion im Forum ist es, aufzuzeigen, wie Google versucht, alternative Betriebssysteme und die Anonymität im Netz durch diese "Hardware-Checks" unmöglich zu machen.
Zusammenfassend: Es geht nicht darum, wie eine Seite auf dem Handy aussieht, sondern darum, dass Google eine Art "digitalen Ausweis" für deine Hardware erzwingen will. Wenn dein Gerät nicht "bescheinigt" ist, bleibst du draußen – egal ob am Handy oder am PC.
Schöne neue Welt. Ich begegne bei Kunden auch immer öfter Drittanbiter-Lösungen, die erst ganz stolz mit einer "Web-basierten" Lösung werben, dann aber auf Chrome als Browser bestehen. Im Grunde ist die Mono-Kulturisierung heute schon schlimmer als anno 2000 mit all den "Optimized for Internet Explorer"-Seiten.
Ich hoffe sehr, dass die Politik sich dieser Themen annimmt. In der Privatwirtschaft wird an zu vielen Stellen nur mit den Schultern gezuckt und darauf verwiesen, dass das "ja eh alle so machen". M365 fürs Office, Outlook+Exchange für Mails, und zum Browsen halt Chrome. Alles ohne Not, denn es gibt überall Alternativen.
Ist hier nicht schon das grundlegende Problem, dass Google quasi ein 2 Faktor Captcha für stink normale Webdienste, die im Zweifel nicht mal einen Login nutzen, fabriziert?
Als Kirsche obendrauf bekommt Google dadurch dann auch zugriff auf Daten seiner Nutzer, die der Konzern vorher nie zu sehen bekommen hätte.
Immerhin würden Aktivitäten auf dem PC auf einmal mit dem Android Gerät verknüpft und damit mit dem hinterlegten Google Account.
Und wie viele Daten bei Apple zu Google fließen würden steht ja auch nirgendwo geschrieben.
Besonders witzig stelle ich mir auch die Situation vor, wo ein solches Captcha, aus welchen Gründen auch immer, auf einem Smartphone ausgeliefert wird.
Funktioniert das mit einem QR Scanner, der mit dem Bildschirm arbeiten kann oder geht der Trend hier zum 2. Smartphone.
Es ist schon übel genug, dass sich Krankenkassen für ihre Apps, aus reiner Bequemlichkeit, auf die Integritätsprüfung von Apple und Google verlassen.
Meine Hausbank macht das (noch) nicht.
Falls die EU-Kommission diesem Treiben nicht zumindest für den EU-Binnenmarkt ein Ende setzt, bevor es beginnt, ist die Souveränität, die alle so gerne doch hätten, noch schneller in diesem Bereich passé als das man WERO als Ersatz für Paypal auch im Geschäftsbereich flächendeckend nutzen kann.
Die EU-Kommission ist ein grosser Antreiber des ganzen Treibens. Die nehmen mit Handkuss Google/Apple/Microsoft als alternativlose Gatekeeper für die digitale Zukunft in der EU. Das übersehen viele (leider noch).
Wie soll das denn gehen wenn ich mit dem Smartphone die Webseite aufrufe ? Wie soll ich denn meinen eigenen Bildschirm mit der Kamera scannen ?
Screenshot machen, ausdrucken, qr Code scannen. Geht doch, hi,hi.
Sofern du ein "erlaubtes" Smartphone dein eigen nennst wird das vermutlich nicht nötig sein. Google weiß ja dann schon, wer du bist, also keine Notwendigkeit für ein captcha. Ansonsten gilt dann: Pech gehabt, schaff dir gefälligst ein zweites Gerät an, mit dem du das erste scannen kannst.
Ne, mal im Ernst, das Ganze ist an so vielen Stellen furchtbar und die meisten bekommen das nicht mal mit.
Solange man das wegclicken kann unten in der Leiste und klassisch lösen kann ist das nur ein Testballon. Sich darüber jetzt aufregen (EU Regulatorien können das auch verhindern) ist albern.
Die Welt heute ist so mies, weil alle Schafe immer direkt losrennen und sich sowas gefallen lassen. Und wenn es irgendwann nicht mehr wegzuclicken ist: Konsumverzicht.
Wenn auf YouTube aufgrund der dank uBO geblockten Werbung der Bildschirm jetzt 30 Sekunden vor vielen Videos schwarz bleibt regt mich das weniger auf als 30 Sekunden Werbung real sehen zu müssen.
Wie es mir besser geht einfach Dinge nicht zu tun, die mich offenkundig aufregen. Dieses ganze "wir wehren Bots ab, bla bla" glaubt doch kein echter IT-ler mehr. Wer einen Server hat weiss wovon ich rede:
Der ganze echte Bot-Traffic kommt von ASNs die VPS-Servern gehören, da sind *beinahe* keine Otto-Normal-IPSs darunter. Wenn Google behauptet mein AS ist kein kommerzieller ISP sondern ein Bot, dann ist das nur eine Behauptung um mich zum einloggen zu bringen oder mit meiner Phone IP extra Daten zu spenden.
Wie heute jede Webseite ausrastet, wenn man Bspw. Mobil Reddit lesen will: "Warum nutzt du unsere App nicht?!" -> "Weiter ohne App." Firefox Mobile + uBO == alternativlos.
Wie prognostiziert wird GrapheneOS (und mit dem gleichen Ansatz dann auch sonstige Geräte und alte Versionen) aus dem Markt gekegelt.
Diese Dinge stehen der kommenden verpflichtend zu nutzenden digitalen Identität für alles im Weg.
Nur top aktuelles im Microsoft/Apple/Google Einflussbereich wird bleiben.
Ist eigentlich einfach nachvollziehbar wenn man das grosse Ganze sieht.
Das ist dann übrigens nicht nur ein simpler Türsteher sondern ein totales Tracking/Zusammenführung der Webseiten/App/Dienstleistungsnutzer mit einer Handy Identität.
Mal ne allgemeine Frage: Wie soll denn irgendjemand wissen welche Daten von meinen Handy mit jedem Scan an die Webseite XY gesendet werden?
Spontan würde ich zu einem Android Emulator auf dem PC tendieren… mit Burner Google Konto und VPN (oder eben ein 2. Gerät für solche Zwecke mit eben solchen Features).
Captcha lass´ ich mir ja noch einreden, denn die Webseiten die ich gerne und regelmäßig nutze sollen gerne Ihre Schutzmechanismen behalten.
Wenn ich mich bei jeder Webseite die kein Konto zwingend braucht (oder ich kein Konto dort haben will) mit meinen persönlichen Daten und Standort "einloggen" soll… Danke, aber nein danke!