Jusletter IT

Webseiten stellen Informationen bereit und erlauben einem Benutzer Interaktionen durchzuführen. Webseitenbetreiber haben ein Interesse daran, dass manche dieser Interaktionen nicht automatisiert, durch so genannte Bots, durchgeführt werden können.¹ Aus der Perspektive der Webseitenbetreiber stellen Bots eine Bedrohung dar, da sie in der Lage sind, Daten automatisiert zu verarbeiten und somit die Verfügbarkeit ihrer Dienste einzuschränken.² Auch spezielle Arten von Bots, bekannt als Crawler, können komplette Datenbestände abrufen. In Krisenzeiten können Bots auch dazu dienen, Falschinformationen und Propaganda zu verbreiten.

Um derartigen Problemstellungen zu begegnen, wurden, beginnend in den 1990er Jahren³, CAPTCHA Systeme⁴ entwickelt, um reale Personen von Computeralgorithmen zu unterscheiden.⁵ CAPTCHAs sollten für Menschen mit geringem Aufwand lösbar sein, für Computeralgorithmen schwer oder gar nicht.⁶ Infolgedessen erhöhen die Betreiber von Botnetzwerken die Zuverlässigkeit der eigenen Systeme immer weiter.⁷ CAPTCHAs lassen sich in Video-, Audio-, Bild-, Text- oder verhaltensbasiert einteilen.^{8, 9} Verhaltensbasierte CAPTCHAs versuchen anhand des Surfverhaltens zu entscheiden, ob sich ein Mensch vor dem Computer befindet, ohne dass Nutzerinnen und Nutzer aktiv daran beteiligt sind.

Das grundsätzliche Problem besteht darin, dass große Mengen an Daten gesammelt, berechnet und übertragen werden, um derartige Entscheidungen zu treffen – rund 20 % des Internetverkehrs stammen laut Studien von automatisierten Systemen.¹⁰

Der Marktführer im Bereich CAPTCHAs ist der Konzern Alphabet, dessen Tochter Google reCAPTCHA einsetzt.¹¹ Damit ergibt sich die Problemstellung, dass personenbezogene Daten zwangsläufig an diesen internationalen Konzern, mit Hauptsitz in den USA, übermittelt werden müssen. Im Falle eines Benutzers in der Europäischen Union, bildet die Datenschutzgrundverordnung (DSGVO) den rechtlichen Rahmen für diese Verarbeitung. Hier entsteht ein Spannungsfeld, denn Benutzerinnen und Benutzer sind de facto gezwungen, derartige CAPTCHAs zu akzeptieren, um eine Webseite nutzen zu können. Aktuelle Gerichtsverfahren beschäftigen sich bereits mit der Problematik des Datentransfers außerhalb der Europäischen Union und die sich damit ergebenden Ansprüche und Rechte.¹² Während der Corona Pandemie wurden Vormerkungen und Anmeldungen zu Impfungen über unterschiedliche Plattformen abgewickelt, unter anderem wurde Google reCAPTCHA einsetzt, wie aus einer Anfragebeantwortung der Justizministerin hervorgeht.¹³ In Frankreich wurde 2023 einem Betreiber von Mietscootern eine Geldstrafe auferlegt, weil dieser reCAPTCHA einsetzte, das die Geolokation verfolgte.¹⁴

Wenn es sich beispielsweise um eine Webseite mit erhöhtem Interesse (Medienkonsum, Behörde etc.) handelt, verschärft sich das Problem. Wo man bei privaten Firmen noch argumentieren könnte, dass diese freiwillig benutzt werden, wird diese Argumentation im Behördenbereich oder beim Medienkonsum schwieriger.

Eine statistische Auswertung österreichischer Webseiten (siehe Abbildung 1) hat ergeben, dass CAPTCHAs von unterschiedlichen Anbietern zum Einsatz kommen.¹⁵ Es gilt anzumerken, dass seitens der Europäischen Kommission ein EU CAPTCHA System entwickelt wurde und Interessierten zur Verfügung gestellt wird.¹⁶ Die Marktdurchdringung in Österreich ist jedoch praktisch nicht gegeben.

Abbildung 1

Google reCAPTCHA v3 verzichtet auf Puzzles, stattdessen werden die Nutzerinnen und Nutzer über ein Punktesystem ohne deren aktive Beteiligung bewertet. Die Interaktionen und Daten werden an die Google API übermittelt¹⁷, die Risikoanalyse selbst erfolgt intransparent.¹⁸ Allgemein kann festgestellt werden, dass die Privatsphäre der Benutzerinnen und Benutzer verletzt wird.¹⁹

Hinzu kommt, dass gerade in Europa die Strategie „Digitale Souveränität“ seitens der Europäischen Kommission vorgestellt wurde.²⁰ Datenschutz und Privatsphäre sollen gestärkt und die Abhängigkeit von Drittstaaten minimiert werden. Das Thema der Abhängigkeit steht grundsätzlich im Widerspruch zu nicht europäischen Lösungen, die wiederum Abhängigkeiten schaffen.

Es haben sich Geschäftsmodelle entwickelt, wie CAPTCHA-as-a-Service (CaaS). Als Gegenpol beschäftigen sich Firmen und Forscher mit der automatisierten Lösung von CAPTCHAs.²¹ Für Summen bis zu drei US-Dollar pro 1000 Anfragen bieten Dienstleister an, CAPTCHAs zu lösen.²² Interessant ist, dass bei manchen Anbietern auf menschliche Kräfte, anstatt Machine Learning oder algorithmische Lösungen gesetzt wird.²³

Aus einem geopolitischen Standpunkt heraus besteht eine Abhängigkeit von anderen Staaten dahingehend, dass der ordnungsgemäße Betrieb von Webseiten von Drittanbietern abhängt. Diese Drittanbieter wiederum stehen unter dem Einfluss von Staaten, die nicht notwendigerweise europäische Interessen vertreten.

Die Autoren beschäftigten sich daher mit der Fragestellung, ob Webseiten von österreichischen Institutionen CAPTCHA Systeme einsetzen, die sich nicht durch Datenschutzfreundlichkeit auszeichnen. In der Folge stellte sich die Frage, ob nicht Systeme existieren, die als datenschutzfreundlicher eingestuft werden könnten und welche Maßnahmen ergriffen werden sollten.

Um eine Datenschutzfreundlichkeit bewerten zu können, wurde das Standard-Datenschutzmodell (SDM) als Messlatte herangezogen.²⁴

• Datenminimierung: Datenbeschränkung auf ein angemessenes Maß
• Verfügbarkeit: Zugriff muss unverzüglich möglich sein
• Integrität: Schutz vor Verlust, Beschädigung etc.
• Vertraulichkeit: Zugriff nur für befugte Personen
• Nichtverkettung: Daten für verschiedene Zwecke nicht zusammenführen
• Transparenz: Verarbeitungsdetails (Zweck, Übertragung etc.) offenlegen
• Intervenierbarkeit: Betroffenenrechte müssen wahrgenommen werden können

Nach Schrems II war akuter Handlungsbedarf gegeben.²⁵ Der Datenschutzrahmen bzw. das Data Privacy Framework (DPF) regelt die Nutzung von Tracking und Marketingtools aus den USA unter bestimmten Voraussetzungen.²⁶ Sowohl Google als auch Intuition Machines erfüllen die nötigen Bedingungen.²⁷

Die am häufigsten in Österreich verwendeten CAPTCHA-Systeme wurden von den Autoren gemäß dem Standard-Datenschutzmodell (SDM) untersucht. Es wurden ausschließlich öffentlich zugängliche Informationen bewertet. In einem ersten Schritt wurde untersucht, ob CAPTCHAs überhaupt relevant für Bürgerinnen und Bürger sind. Im zweiten Schritt wurde eine Bewertung durchgeführt.

Es wurden Technologiescanner benutzt, um die meistgenutzten Webseiten in Österreich zu analysieren, dabei wurde der Fokus auf Behörden und Verwaltung gelegt.^{28, 29, 30} Zusätzlich wurden die Datenschutzerklärungen von allen in der Tabelle 1 genannten Websites analysiert. Es wurde ausschließlich auf CAPTCHAs abgestellt, Tools wie Google Analytics³¹ oder Matamo³² wurden nicht angeführt.

Tabelle 1

Die Top 3 Behördenwebseiten³³ sind frei von CAPTCHA Systemen. Der IT-Dienstleister des Bundes, das Bundesrechenzentrum (BRZ), setzt reCAPTCHA ein. Als einziges Ministerium setzt das Bundesministerium für Land- und Forstwirtschaft reCAPTCHA ein. Die Landeshauptstädte Bregenz und St. Pölten setzen ebenfalls reCAPTCHA ein. Die Landesregierungen Salzburg und Oberösterreich setzen auf CAPTCHAs, Oberösterreich setzt Friendly Captcha ein, während Salzburg auf reCAPTCHA setzt.

Als Vergleich wurden vier weitere Websites zufällig aus einer Liste³⁴ ausgewählt – auch dort kommt reCAPTCHA zum Einsatz. Anzumerken gilt, dass nicht nur bei Behördenkontakten seitens der Bürgerinnen und Bürger ein Umschiffen von CAPTCHAs praxisfern ist, sondern auch bei akut hilfesuchenden Personen.

Daher kann die Frage, ob CAPTCHA-Systeme für die durchschnittliche Internetnutzerin bzw. den durchschnittlichen Internetnutzer in Österreich relevant sind, bejaht werden. Diese sind praktisch nicht zu umgehen, außer wenn Top Internetseiten nicht genutzt würden oder bestimmte Behördenkontakte vermieden werden könnten.

Basierend auf einem 2014 entschlüsselten reCAPTCHA Code³⁵ konnte festgehalten werden:

„Google servers will receive and process, at least, the following information:

– Plug-ins

– User-agent

– Screen resolution

– Execution time, timezone

– Number of click/keyboard/touch actions in the iframe of the captcha

– It tests the behavior of many browser-specific functions and CSS rules

– It checks the rendering of canvas elements

– Likely cookies server-side (it‘s executed on the www.google.com domain)” ³⁶

Das heißt, dass auch Informationen zum verwendeten Gerät, Bildschirmauflösung, Zeitzone, Anzahl von Klicks oder Tastaturanschläge und weitere Informationen an Google übertragen wurden. Die Einbindung der aktuellen Version erfolgt über Javascript. Die API wird geladen, somit auch eine Verbindung zu Google hergestellt. Es werden umfangreiche Analysen der Verhaltensweise auf der Webseite durchgeführt, dabei wird auch unterschieden, ob ein Google Account besteht und die Benutzerin oder Benutzer dort auch eingeloggt ist.³⁷ In weiterer Folge kann Tracking über Geräte hinweg stattfinden. reCAPTCHA lädt weitere Domains, wie beispielsweise Schriftarten. In einer Studie wurde festgestellt, dass reCAPTCHA in der Wahrnehmung von Benutzerinnen und Benutzer oft als das sicherste Verfahren wahrgenommen wird.³⁸ Das hat zur Folge, dass ein „normierter Nutzertyp“ von Google etabliert wird – der ideale Nutzertyp ist der, der von reCAPTCHA dazu gemacht wird.³⁹ Google reCAPTCHA wird in der Literatur als problematisch eingestuft, was Privatheit angeht, weil der Status einer Session bzw. der Useraktivität langfristig gespeichert wird, beispielsweise der schon angesprochene Check, ob ein Useraccount bei Google besteht.⁴⁰

SI CAPTCHA wurde ursprünglich für das Content-Management- System (CMS) Wordpress⁴¹ entwickelt und ist ein Open Source Projekt. 2017 wurde das Projekt an einen anderen Entwickler übergeben.⁴² Es werden nur technisch notwendige Daten übermittelt. Allerdings wurde das System kompromittiert und somit ging Vertrauen dauerhaft verloren. Trotz Korrektur durch die Community scheint der Imageschade nachzuwirken. Die Entwicklung wurde 2018 eingestellt.⁴³

hCaptcha wird vom amerikanischen Unternehmen Intuition Machines entwickelt. Das Geschäftsmodell ist vielschichtig: beispielsweise wurden Webseitenbetreiber in der Vergangenheit entlohnt,⁴⁴ die von den Benutzerinnen und Benutzern gelösten CAPTCHAs wurden an Dritte verkauft.⁴⁵ Ein Verkauf von Benutzerdaten ist kritisch zu sehen. Es müssen zwangsläufig Daten übertragen werden.

Presser analysierte, dass es Probleme bei der Barrierefreiheit gibt.⁴⁶ Es ist davon auszugehen, dass im Zuge einer aktiven Wartung aufgeworfene Probleme bereinigt werden. Mögliche Angriffsvektoren auf hCaptcha wurden in der Vergangenheit immer wieder wissenschaftlich aufgezeigt.⁴⁷

Die Kommunikation vom Hersteller in Richtung Kunden gestaltet sich verhältnismäßig transparent.⁴⁸

Friendly Captcha ist ein Produkt aus Deutschland und somit der Europäischen Union. Während bei reCAPTCHA Namen oder Profile und bei hCaptcha Cookies gespeichert werden können, gibt Friendly Captcha an, keine persönlichen Daten zu speichern.⁴⁹ Die Interaktion erfolgt ähnlich dem reCAPTCHA, seitens einer Benutzerin oder Benutzers ist keine Aktion nötig, die Lösung eines kryptographischen Puzzles erfolgt durch das Endgerät im Hintergrund.⁵⁰

Tabelle 2

Zwei der vier Anbieter sind in den USA ansässig. Ihr Betrieb befindet sich in den USA und ist zur Ausfallssicherheit international verteilt. SI CAPTCHA wird selbst betrieben; Friendly Captcha kann wahlweise ausschließlich in der EU betrieben werden oder international. Die Verfügbarkeit ist dementsprechend garantiert hoch bei jenen mit hochverfügbarem Hosting und eigenverantwortlich bei dem selbst gehosteten CAPTCHA.

SI CAPTCHA wird nicht mehr aktiv gewartet. Daher ist davon auszugehen, dass Sicherheitslücken bestehen, die nicht mehr geschlossen werden. Somit wurde die Integrität mit „Wahrscheinlich nicht gegeben“ bewertet. Bei „Vertraulichkeit“ und „Nichtverkettung“ wurden hCaptcha und Friendly Captcha mit „Wahrscheinlich gegeben“ bewertet, wobei es anzumerken gilt, dass hier auf die Aussagen des Herstellers zurückgegriffen wird. In der Literatur findet sich nach Kenntnisstand der Autoren keine gegenteilige Annahme. Interessant ist, dass die Intervenierbarkeit nicht gegeben zu sein scheint, da sich die Anbieter von CAPTCHAs als Auftragsverarbeiter sehen. Die Dimension Datenminimierung wurde bei allen vier CAPTCHAs bewusst nicht in den Vergleich in Tabelle 2 aufgenommen, da eine tiefgreifende technische Analyse mangels uneingeschränkten Zugriffs auf den Sourcecode und Systeminterna nicht möglich ist.

Benutzerinnen und Benutzer werden mit CAPTCHAs konfrontiert, wobei neuere Varianten verstärkt darauf setzen, ohne Benutzerinteraktion auszukommen. Eine Vermeidung von CAPTCHAs ist kaum möglich, vor allem, wenn es sich dabei um Webseiten von Behörden handelt. Laut statistischer Daten wird der Markt hauptsächlich von einem System dominiert, das zum amerikanischen Alphabet-Konzern gehört. Angesichts der aktuellen Bestrebungen Europas, unabhängiger und stärker im digitalen Sektor aufzutreten, müssen Geschäftsmodelle und Praktiken überdacht werden. Um die Souveränität der EU zu stärken, wäre es sinnvoll, vorhandene Systeme in Bezug auf Datenschutz zu hinterfragen.

Beispielsweise hat ein Betreiber eines der führenden Content Delivery Networks (CDN) sich auf Grund von starken Privacy Bedenken von reCAPTCHA getrennt und wechselte zu hCaptcha.^{55, 56} Es stellt sich die Frage, warum es weiterhin Behördenwebseiten gibt, die noch auf den Einsatz einer europäischen und gleichzeitig eindeutig datenschutzkonformen Lösung verzichten. Die Europäische Kommission hat die Problematik längst erkannt und mit dem EU CAPTCHA erste Schritte gesetzt.

Die Autoren empfehlen, aufgrund der dargelegten Problematiken in Zukunft vermehrt auf innerhalb der EU ansässige CAPTCHA Anbieter zu setzen und weitere Forschungen auf diesem Gebiet voranzutreiben. Auffällig dabei ist, dass sich kein Open-Source Produkt am Markt etabliert zu haben scheint.

Die Herausforderung ist zweifelsfrei, dass eine Balance zwischen Resilienz gegenüber Attacken, Benutzbarkeit, Privatheit und Kompatibilität gefunden werden muss.⁵⁷ Wenn Europa sich in Zukunft unabhängig von Drittstaaten machen will, so kann dies nur gelingen, wenn langfristig eine ausgewogene Lösung geschaffen wird.

Akhtar, Tanzeel, Human Protocol Is Bringing ‘CAPTCHA to Earn’ to Ethereum, https://finance.yahoo.com/news/human-protocol-bringing-captcha-earn-160110374.html (aufgerufen am 09.10.2023), 2021.

Akrout, Ismail / Feriani, Amal / Akrout, Mohamed. Hacking google recaptcha v3 using reinforcement learning, 2019.

Atri, Aditya / Bansal, Ankita/ Khari , Manju / Vimal, S., De-CAPTCHA: A novel DFS based approach to solve CAPTCHA schemes, Computers & Electrical Engineering, Volume 97, 2022.

Bayerisches Landesamt für Datenschutzaufsicht, FAQ, https://www.lda.bayern.de/de/faq.html (aufgerufen am 29.08.2023), 2023.

BfDI, Das Standard-Datenschutzmodell, https://www.bfdi.bund.de/DE/Fachthemen/Inhalte/Technik/SDM.html#:~:text=Das%20Standard%2DDatenschutzmodell%20(%20SDM%20),der%20Datenschutzkonferenz%20(%20DSK%20)%20entwickelt (aufgerufen am 18.08.2023), 2023.

Böhm, Benjamin, Definition und Evaluation von datenschutzfreundlichen CAPTCHAs, Bachelorarbeit TU-Wien, Wien, 2023.

BuiltWith, Captchas in Österreich, https://trends.builtwith.com/widgets/captcha/country/Austria (aufgerufen am 20.10.2023), 2023.

Challis, Mike, Where did the plugin go?, https://wordpress.org/support/topic/where- did-the-plugin-go-2, (aufgerufen am 27.09.2023), 2023.

CNIL, Geolocation of rental scooters: CITYSCOOT fined €125,000, https://www.cnil.fr/en/geolocation-rental-scooters-cityscoot-fined-eu125000 (aufgerufen am 04.09.2023), 2023.

Data Privacy Framework Program, https://www.dataprivacyframework.gov (aufgerufen am 01.10.2023), 2023.

Dinh, Nghia Trong / Hoang, Vinh Truong, Recent advances of Captcha security analysis: a short literature review, Procedia Computer Science, Volume 218, 2023.

Europäische Kommission, Datenschutzrahmen EU-USA, https://ec.europa.eu/commission/presscorner/detail/de/qanda_23_3752 (aufgerufen am 26.09.2023), 2023.

Europäische Kommission, Europas digitale Dekade: digitale Ziele für 2030, https://commission.europa.eu/strategy-and-policy/priorities-2019-2024/europe-fit-digital-age/europes-digital-decade-digital-targets-2030_de (aufgerufen am 03.10.2023), 2023.

Europäische Kommission, EU CAPTCHA, an Open Source solution for all Web services, https://joinup.ec.europa.eu/collection/eupl/news/eu-captcha-under-eupl-12 (aufgerufen am 21.09.2023), 2023.

Fidas, Christos A. / Voyiatzis, Artemios G. / Avouris, Nikolaos M., On the necessity of user-friendly CAPTCHA, In: Proceedings of the SIGCHI Conference on Human Factors in Computing Systems (CHI ‚11), Association for Computing Machinery, New York, 2011, S. 2623–2626.

Friendly Captcha, Datenschutzbestimmungen für Endnutzer, https://friendlycaptcha.com/de/ legal/privacy-end-users (aufgerufen am 2.10.2023), 2023.

Friendly Captcha, Documentation, https://docs.friendlycaptcha.com (aufgerufen am 16.09.2023), 2023.

Guerar, Meriem / Verderame, Luca / Migliardi, Mauro / Palmieri, Francesco / Merlo, Alessio, Gotta CAPTCHA ’Em All: A Survey of 20 Years of the Human-or-computer Dilemma. In: ACM Comput. Surv. 54, 9, Article 192 (December 2022), 2021.

Hossen, M. I. / Hei, X., A Low-Cost Attack against the hCaptcha System, IEEE Security and Privacy Workshops (SPW), San Francisco, 2021, S. 422-43.

Intuition Machines, Privacy, https://www.hcaptcha.com/privacy (aufgerufen am 28.09.2023), 2023.

Intuition Machines, Zahlungspläne, https://www.hcaptcha.com/payment-schedules (aufgerufen am 28.09.2023), 2023.

Jin, Rui / Huang, Lin / Duan, Jikang / Zhao, Wei / Lia, Yong / Zhou, Pengyuan, How Secure is Your Website? A Comprehensive Investigation on CAPTCHA Providers and Solving Services, arXiv, 2023.

Justie, Brian, Little history of CAPTCHA, Internet Histories, Routledge, 2021, S. 30–47.

Nakatsuka, Yoshimichi / Ozturk, Ercan / Paverd, Andrew / Tsudik, Gene, CACTI: Captcha Avoidance via Client-side TEE Integration, Proceedings of the 30th USENIX Security Symposium, 2021.

neuroradiology, InsideReCAPTCHA, https://github.com/neuroradiology/InsidereCAPTCHA (aufgerufen am 02.08.2023), 2023.

Pettis, Ben T., reCAPTCHA challenges and the production of the ideal web user. Convergence, 29(4), 2023, S. 886–900.

Presser, Steven, Broken CAPTCHAs and fractured equity: Privacy and security in hCaptcha’s accessibility workflow. Santa Clara, 2022.

Querejeta-Azurmendi, Iñigo / Papadopoulos, Panagiotis / Varvello, Matteo / Nappa, Antonio / Zhang, Jiexin / Livshits, Benjamin, ZKSENSE: A Friction-less Privacy-Preserving Human Attestation Mechanism for Mobile Devices, Proceedings on Privacy Enhancing Technologies, 2021.

reCaptcha, reCAPTCHA protects your website from fraud and abuse without creating friction, https://www.google.com/recaptcha/about/ (aufgerufen am 09.08.2023), 2023.

Schild, Hans-Hermann, Unterlassungsanspruch nach der DS-GVO?, Datenschutz und Datensicherheit 47, 2023, S. 513–518.

SI-Captcha, SI Captcha, https://wordpress.org/plugins/si-captcha-for-wordpress/advanced/ (aufgerufen am 24.09.2023), 2023.

SimilarTech, SimilarTech, https://www.similartech.com (aufgerufen am 19.09.2023), 2023.

SimilarWeb, Law and Government, https://www.similarweb.com/de/top-websites/austria/law-and-government/government/ (aufgerufen am 23.09.2023), 2023.

Tanthavech, Nitirat / Nimkoompai, Apichaya, CAPTCHA: Impact of Website Security on User Experience, In: Proceedings of the 2019 4th International Conference on Intelligent Information Technology (ICIIT ‚19), Association for Computing Machinery, New York, 2019, S. 37–41.

Urteil des Gerichtshofs, Rechtssache C311/18, https://curia.europa.eu/juris/document/document.jsf?text=&docid=228677&pageIndex=0&dclang=DE&mode=lst&dir=&occ=first&part=1&cid=20397915, 16. Juli 2020.

Villares-Jimenez, J. / Quinatoa-Medina, J. / Rodríguez-Galán, G. / Nuñez-Agurto, D. / Santillán-Tituaña, B., Vulnerability of CAPTCHA Systems Using Bots with Computer Vision Abilities. In: Applied Technologies. ICAT 2022. Communications in Computer and Information Science, vol 1755. Springer, 2023.

von Ahn, Luis / Blum, Manuel / Hopper, Nicholas J. / Langford, John, Captcha: Using hard AI Problems for Security. In: EUROCRYPT 2003, Berlin, Heidelberg, Springer, 2003, S. 294–311.

Wappalyzer, Identify technologies on websites, https://www.wappalyzer.com (aufgerufen am 22.09.2023), 2023.

Zadić, Alma, Anfragebeantwortung Datenschutzkonforme Vormerkung/Anmeldung bei den Corona-Impfplattformen der Länder (5542/AB), 2021-0.146.703, https://www.parlament.gv.at/dokument/XXVII/AB/5542/imfname_948727.pdf (aufgerufen am 06.09.2023), 2021.

Zhang, Y. / Gao, H. / Pei, G. / Luo, S. / Chang, G. / Cheng, N., A Survey of Research on CAPTCHA Designing and Breaking Techniques, 18th IEEE International Conference On Trust, Security And Privacy, In: Computing And Communications/13th IEEE International Conference On Big Data Science And Engineering (TrustCom/BigDataSE), Rotorua, New Zealand, 2019, S. 75–84.