Der Internetriese verabschiedet sich von den bekannten Bilderrätseln und setzt auf eine Smartphone-basierte Sicherheitslösung.
Google hat sein reCAPTCHA-System grundlegend umgebaut. Statt verpixelter Verkehrsschilder oder Fahrräder müssen Nutzer künftig einen QR-Code mit dem Smartphone scannen. Die Umstellung ist Teil der neuen Cloud Fraud Defense-Plattform, die auf der Google Cloud Next 2026 im April vorgestellt wurde. Seit dem vergangenen Wochenende rollt das System weltweit aus.
Da Google die Sicherheitsprüfung künftig direkt auf das Mobilgerät verlagert, wird der Schutz Ihres Handys wichtiger denn je. Dieser kostenlose Ratgeber zeigt Ihnen 5 einfache Maßnahmen, um Ihr Android-Smartphone effektiv vor Zugriffen durch Hacker und Datenmissbrauch zu schützen. 5 sofort umsetzbare Schutzmaßnahmen entdecken
So funktioniert die neue Sicherheitsprüfung
Löst ein Nutzer auf einer Webseite den Sicherheitsalarm aus, erscheint ein QR-Code auf dem Bildschirm. Wer ihn mit dem Handy scannt, löst einen kryptografischen „Handschlag“ zwischen Browser und Mobilgerät aus. Dabei prüft das System, ob es sich um ein echtes, unverändertes Smartphone handelt – und nicht um eine automatisierte Bot-Farm oder einen Emulator.
Die technischen Voraussetzungen sind streng: Android-Geräte benötigen mindestens Play Services Version 25.41.30. Auf iPhones greift das System auf native Funktionen von iOS 16.4 und neuer zurück – ohne zusätzliche Softwareinstallation.
Kritik von Datenschützern und Open-Source-Community
Der Vorstoß stößt auf massiven Widerstand. Besonders betroffen: Nutzer von „entgoogelten“ Android-Varianten wie GrapheneOS. Diese Betriebssysteme verzichten bewusst auf Google Play Services, um Datenverfolgung zu verhindern – und können den erforderlichen Sicherheitscheck nicht absolvieren. Der Zugriff auf die geschützte Webseite bleibt ihnen verwehrt.
Kritiker sehen in dem System eine kommerzielle Umsetzung des früheren „Web Environment Integrity“-Vorschlags, der nach öffentlichen Protesten zurückgezogen wurde. „Google schafft eine digitale Mauer für alle, die sich der Datensammlung entziehen wollen“, warnen Beobachter.
Ein weiteres Problem: Der QR-Code verknüpft die Desktop-Aktivität eines Nutzers direkt mit seinem Smartphone. Da die meisten Android-Geräte dauerhaft mit einem Google-Konto verbunden sind, entsteht ein neues Profil für geräteübergreifendes Tracking.
Warum Google den Schritt für notwendig hält
Das Unternehmen verteidigt die Umstellung als notwendige Evolution im Kampf gegen automatisierte Angriffe. Moderne KI-Modelle lösen herkömmliche CAPTCHAs inzwischen schneller und genauer als Menschen. Indem die Prüfung auf Hardware-Ebene stattfindet, sollen automatisierte Attacken wirtschaftlich unattraktiv werden – Angreifer bräuchten physische, zertifizierte Mobilgeräte, um die Hürde zu überwinden.
Die Umstellung erfolgte automatisch für Millionen von Webseiten, die reCAPTCHA Enterprise nutzen. Bestandskunden wurden ohne Preisänderung oder manuelle Konfiguration auf die neue Plattform migriert – daher der überraschende Effekt für viele Nutzer.
Ein veraltetes Smartphone-System ist wie eine offene Haustür für Cyberkriminelle, gerade wenn es nun verstärkt als digitaler Türöffner dient. Erfahren Sie in diesem kostenlosen Report, wie Sie mit den richtigen Updates Sicherheitslücken schließen und Ihre privaten Daten dauerhaft sichern. Android-Updates installieren und anwenden – Gratis-Download
Marktauswirkungen und Alternativen
Über fünf Millionen Unternehmen weltweit verlassen sich auf Googles Sicherheitswerkzeuge. Die Umstellung stärkt die Position des Konzerns als zentraler Gatekeeper des Webverkehrs – könnte aber auch Konkurrenten Auftrieb geben.
Dienste wie hCaptcha oder das Open-Source-Projekt Altcha verzeichnen wachsendes Interesse von Entwicklern. Diese Alternativen setzen auf Verhaltensanalyse oder Rechenaufgaben, die ohne proprietäre Mobilplattformen auskommen.
Ausblick: Offenes Web oder zertifizierte Geräte?
Während die QR-basierte Prüfung weiter ausgerollt wird, zeichnet sich ein grundsätzlicher Konflikt ab: Google argumentiert mit der Sicherheit des gesamten Ökosystems – die Ausgrenzung kleiner, aber sicherheitsbewusster Nutzergruppen bleibt ein Problem für universelle Webstandards.
Regulierungsbehörden könnten bald prüfen, ob die Kopplung von Webzugang an bestimmte Betriebssysteme wettbewerbswidrig ist. Für Nutzer nicht unterstützter Geräte bleibt vorerst nur ein schwacher Trost: In Einzelfällen soll noch ein audio-basierter Ausweichmechanismus verfügbar sein. Der langfristige Trend aber ist klar: „Mensch sein“ wird künftig immer mehr bedeuten: „Ein zugelassenes Gerät besitzen“.
