Bild von Dominik Liss - WordPress Dev
Die Dominik Liss Show WordPress & Business Talks

#008: Captcha & DSGVO … was solltest du wissen? | m. Helmut Januschka

Episode anhören

Überblick

In dieser Episode reden wir mit Helmut Januschka von captcha.eu. Helmut ist Leiter der Entwicklung bei krone.at und er hat gemeinsam mit dem krone.at Dev Team ein DSGVO konforme Captcha Lösung entwickelt und auf den Markt gebracht. 

Gast: Helmut Januschka
https://www.linkedin.com/in/helmut-januschka-a50773b7/
https://www.linkedin.com/company/captcha-gmbh/
https://www.captcha.eu/

In dem Gespräch unterhalten wir uns über folgende Themen:
* Was ist ein Captcha?
* Wieso ist reCaptcha nicht DSGVO konform? 
* Helfen Rätsel und Honeypots?
* Warum werden normale User als Bots erkannt?
* Wieviel Internet Traffic kommt von Bots?
uwm ...

Host & Gäste

Profilbild von Dominik Liss Host
Dominik Liss WordPress Dev
Profilbild von Helmut Januschka Gast
Helmut Januschka Leiter der Entwicklung bei krone.at

Video

Weitere Episoden

Vorige Episode

Cover Image
#007: WordPress Seiten Hacken | m. Bart Stankiewicz

In dieser Episode reden wir mit Bart Stankiewicz von invidual. Bart ist selbständiger Web Developer mit einem speziellen Fokus auf WordPress Security. 

Nächste Episode

Cover Image
#009: Ist Gutenberg die Zukunft von WordPress? | m. Thomas Kräftner

In der Episode unterhalten wir uns über die Geschichte und den Iststand des WordPress Block Editors (Gutenberg) und die Zukunft von WordPress. 

Transkript

Kannst du vielleicht kurz erklären, was ein Captcha ist und wozu man das braucht überhaupt? Also kennen wird es wahrscheinlich jeder im Laufe der Internetbenutzung, hat sicher schon jeder mal diese Bilderrätsel gesehen.

Suchen Sie Ampeln oder suchen Sie Busse oder lesen Sie diesen unlesbaren Text und schreiben Sie, was da steht.

Unsere Lösung geht in eine andere Richtung.

Vom Gefühl her verwenden die meisten Leute das ReCaptcha von Google.

Wieso sollte man das eigentlich nicht verwenden, wenn man DSGVO-konform sein will? Also wir hatten ReCaptcha auch großflächig im Einsatz davor, weil es gute Dienste geleistet hat, aber in der Datenschutzverordnung sind Dinge drin, die damit nicht kompatibel sind.

Ich habe das Problem gehabt, dass ich lange nach einer guten Captcha-Lösung gesucht habe, die auch DSGVO-konform ist und da gibt es eigentlich keine gute Lösung.

Also es gibt entweder Captchas, die nicht so gut funktionieren oder es gibt das Google ReCaptcha, so vom Gefühl her.

Wir hatten einen Mangel an Alternativen, eigentlich die Notwendigkeit, das für uns zu bauen.

Es geht davon aus, dass wir eine der größten Installationen in Österreich sind.

Wir haben sehr viele Millionen Einträge am Post.

Wir haben aber noch mal 10 mal so viele Einträge am Postmeter.

Rund um die 100 Parameter werden geschickt.

Im Prinzip stellen wir den Browser Fragen.

Hast du so eine Auslösung? Und er sagt dann zwischen 0 und 100 zurück.

Und wir schicken diese Nummern dann an das Machine Learning Modell.

Kannst du das ein bisschen erklären, wieso normale Menschen überhaupt als Bots erkannt werden und wie habt ihr dieses Problem gelöst? Also prinzipiell ja, das ist natürlich immer das Risiko oder die schmale Gratwanderung.

Ich kann mich fokussieren und versuchen, die Bots so gut wie möglich zu vermeiden oder ich kann mich fokussieren, den Menschen eine letztendlich akzeptable Experience zu liefern.

Wir wissen, wir können uns nicht 100% schützen.

Es gibt keinen 100%-Schutz in keiner Sparte.

Also vom Virenschutz bis zu sämtlichen anderen Medikamenten und so, es gibt keine 100%-Sicherheit.

Vielen ist gar nicht bewusst, dass sie mit dem Google ReCaptcha eigentlich schon im Moment des Ladens eigentlich sich auf einer sehr dunklen Grauzone bewegen.

Es gibt ein paar Statistiken und man sieht halt so, dass rund 40% des echten Internettraffics, also des gesamten Internetvolumens, ist von Bots.

Herzlich willkommen bei der achten Episode des Podcasts.

Heute reden wir über Captcha, DSGVO, was ist richtig, was ist falsch.

In der heutigen Episode besucht uns Helmut Januschka und ja, der Helmut, der arbeitet bei der KRONE-AT schon seit 2001. Also er und das ganze KRONE-Team, die kennen sich wirklich aus mit dem, was sie machen und seit kurzem haben die ein neues Produkt, das heißt das Captcha.

Aber was es damit auf sich hat und wer der Helmut ist, was er macht, da übergebe ich jetzt gleich das Wort an ihn.

Hallo Helmut, herzlich willkommen.

Könntest du dich so in zwei Sätzen vorstellen, damit dich die Zuschauer und Zuhörerinnen ein bisschen besser kennenlernen können und dann tauchen wir gleich ins Thema an.

Super, danke.

Ja, mein Name ist Helmut Januschka, ich bin Leiter der Entwicklung bei der KRONE-AT.

Ich bin dort seit 2001 beschäftigt, ursprünglich als Lehrling.

Wir haben seit jeher eine Internetseite, der größte österreichische News Publisher und kämpfen eigentlich seit dem Ende der 90er gegen Bots oder mit Bots gegen sie und aufgrund der Datenschutzgrundverordnung, die da in Kraft getreten ist, sind die gängigen Lösungen für uns nicht akzeptabel gewesen, weil sie die Datenschutzgrundverordnung in weiten Teilen brechen oder halt nicht klar ist, ob es safe ist.

Deswegen haben wir uns dann aus Ermangelung der Alternativen eine eigene Lösung gebaut, sind dann drauf gekommen, die funktioniert gut und haben das Produkt Captcha.

eu jetzt auf den Markt gebracht und hoffen, dass wir damit einen Beitrag dazu leisten können, dass das Internet besser wird.

Finde ich mega cool, dass du heute da bist und mit uns sprichst.

Aber was hat eigentlich KRONE-AT mit WordPress zu tun? Ja, also es ist prinzipiell so, wir hatten bis vor 2017 ein proprietäres, monolithisches Redaktionssystem und irgendwann war der damalige Geschäftsführer irgendwo in Amerika und hat dort gesehen, dass es große Verlage gibt, die mit WordPress experimentieren.

Und wie der Zufall so will, ist er dann halt zurückgekommen und hat gesagt, okay, wir stellen jetzt um, auch auf WordPress, das kostet uns nicht viel.

Im ersten Moment war es halt, wie soll ich sagen, ein großer Schockmoment, weil wir von einem Enterprise-propriitären Close-To-Hours-Produkt in ein unter den Entwicklern sehr bekanntes, aber gefürchtetes Produkt, was Security betrifft, bekommen haben.

Das haben wir dann super cool umgesetzt, haben uns sehr viel Know-How angeeignet und leben damit jetzt eigentlich sehr gut.

Insgeheim sagen wir immer, WordPress steht auf der Motorhaube, aber wenn du aufmachst, ist sehr viel Custom-Code dahinter.

Wir haben es auch bisher geschafft, dass wir den Core nicht forken.

Also das ist quasi Regel Nr.

1, wir forken nicht den Core.

Es muss mit Filtern und Actions gehen, aber es gibt sehr coole Plugins, auch manche davon Open-Source, wie man mit großen Datensets in WordPress umgehen kann.

Also wir sind sicher, ich kann es nicht beweisen, aber ich gehe davon aus, dass wir eine der größten Institutionen in Österreich sind.

Wir haben sehr viele Millionen Einträge am Post, wir haben aber nochmal 10 mal so viele Einträge im Postmeter und da kommen manche Herausforderungen doch durch, was zu Responsiveness von Suchergebnissen und so Dingen.

Da haben wir coole Plugins für uns selbst gebaut, wo wir auch Teile davon als Open-Source wieder zurückgeben an die Community, weil wir natürlich eine sehr gute Basis aus der Open-Source-Welt bekommen haben.

Ich wollte jetzt noch ein bisschen den Kontext für WordPress hervorheben.

Also ihr kennt euch wirklich mit WordPress aus, so kurz zusammengefasst.

Ja, das kann man so zusammenfassen.

Für alle, für die der Begriff Captcha noch ein bisschen exotisch ist, kannst du vielleicht kurz erklären, was ein Captcha ist und wozu man das braucht überhaupt? Also kennen wird es wahrscheinlich jeder im Laufe der Internet-Benutzung, hat sicher schon jeder mal diese Bilderrätsel gesehen.

Suchen Sie Ampeln oder suchen Sie Busse oder lesen Sie diesen unlesbaren Text und schreiben Sie, was da steht.

Unsere Lösung geht in eine andere Richtung, wir nennen das Invisible Captcha und wollen den User nicht belästigen.

Auch aus der Natur heraus bei CronyT haben wir sehr viele Leser in verschiedensten Generationen und wir wollen die Leute nicht zigieren, wie man so schön auf Österreich sagt und haben eine Lösung ohne Bilderrätsel.

Also sprich, mit Captcha kann man das Suchen nach Ampeln beenden.

Ich weiß nicht, ob du das auch hast, aber mich nerven dann immer diese Bilderrätsel, wenn du die Ampel anklicken musst und dann ist so ein kleines Pixel dann auch im nächsten Eck vom Bild und dann so, weißt du nicht, ob du das anklicken sollst oder nicht, aber du weißt ganz genau, dass der Computer das nicht erkennen wird als Ampel, nur du siehst das, weil ein einzelnes Pixel drüber steht.

Ja und manchmal ist es so, wenn es nicht genau stimmt, dann kommt gleich noch ein Bilderrätsel hinterher.

Dann musst du einmal Ampel suchen und wenn du ein bisschen daneben haust, dann kommt plötzlich, jetzt musst du auch noch Busse suchen und deswegen war das für uns keine Option.

Also wir haben auch experimentiert mit solchen Dingen natürlich, aber wir wollten unbedingt eine Lösung finden, wie das ohne dem geht.

Weil so vom Gefühl her.

.

.

Okay.

Vom Gefühl her verwenden die meisten Leute das ReCAPTCHA von Google.

Das ist so irgendwie so das verbreitete Tool, welches sich am meisten etabliert hat.

Was, wieso sollte man das eigentlich nicht verwenden, wenn man DSGVO-konform sein will? Also wir hatten ReCAPTCHA auch großflächig im Einsatz davor, weil es gute Dienste geleistet hat, aber in der Datenschutzgrundverordnung sind Dinge drinnen, die damit nicht kompatibel sind.

Also zum einen wird ein Datentransfer nach Amerika sofort initialisiert, ohne dass der User gefragt wird.

Wenn man ihn fragt, hebt man letztendlich den Schutz per se eigentlich aus, weil der Bot wird nicht sagen, okay gut, dann transferieren wir deine Daten nach Amerika und zusätzlich kommt oben drauf, dass halt Google nicht offenlegt, welche Daten sie nehmen.

Also sie verwenden auf jeden Fall Cookies, das sieht man.

Sie werden vermutlich die Daten aus dem Chrome-Browser verknüpfen, Suchergebnisse verknüpfen und erstellen dadurch dann ein Profil des Users.

Was wir jetzt nicht machen, also wir sind als europäisches Unternehmen natürlich DSGVO-untergeordnet und wir machen absichtlich cookie-los.

Also unsere Lösung funktioniert ohne Cookies, ohne Session-basiertem Tracking.

Wir schauen nicht einmal die Formulardaten an, also beim Absenden vom Kontaktformular schauen wir nicht einmal den Text an, weil das für uns keinen Sinn ergibt.

Und da setzen wir uns klar ab von dem Google -Recapture und hoffen eigentlich, dass wir da diese Nische treffen und endlich den Leuten auch die Möglichkeit geben, datenschutzkonform Formulare zu schützen.

Also du hast vorher gesagt, dass ihr das als ein Invisible-Capture implementiert habt.

Das Recapture Version 3 ist aber auch so ein Invisible-Capture, dass man kein Rätsel lösen muss, dass man keine Bilder anklicken muss usw.

Und wenn ich das jetzt richtig verstanden habe, das ist ein Recapture von Google, deswegen nicht DSGVO-konform, also kurz nebenbei, wir sind jetzt keine Rechtsanwälte und das ist keine rechtliche Beratung, aber das ist deswegen nicht DSGVO-konform, weil es cookie-basiert ist und alles passiert im Browser.

Es wird eine Verbindung zu einem US-Server aufgebaut, IP-Adresse wird übertragen und keine Ahnung, welche Daten auch übertragen werden, das wissen wir eigentlich nicht.

Und da müssen wir einfach Google vertrauen, dass die sich sehr verantwortungsbewusst um unsere Daten kümmern.

Sehr schön gesagt.

Also prinzipiell ja, Google-Recapture V3 ist auch Invisible mit diesem Ich-bin-kein-Roboter-oder-Ich-bin-ein -Mensch-Hackerl.

Wir haben uns auch gegen dieses Hackerl entschieden, weil wir wollten unsere Formulare, unsere UX, unsere UI eigentlich gar nicht zerstören, weil wir da sehr hohen grafischen Anspruch auch teilweise haben in vielen Bereichen.

Und ja, so wie du sagst, die Verbindung zu Google nach Amerika an sich ist schon das, was bedenklich ist, weil nicht offengelegt ist, was mit den Daten dann dort passiert.

Und damit geht man eigentlich in der Datenschutz -Community meistens vom Schlimmsten aus und sie haben deinen Browser, sie haben deinen Suchverlauf, sie haben deine IP, die können einfach sehr gute Dinge erstellen.

Sie legen es nicht offen, weil sie natürlich sagen, das ist Teil des Mechanismus, um Gegenbots zu schützen.

Machen wir auch nicht.

Wir sagen auch nicht genau, wie wir es machen.

Aber aufgrund des Firmensitzes sind wir einfach der TSGV untergeordnet.

Wir müssen rechtlich alles safe machen.

Ich bin selbst kein Jurist und kein Anwalt, aber wir haben das alles sehr gut prüfen lassen.

Vom Source-Code bis zu den AGBs sollte alles mehr als super sauber sein.

Und eben, wir setzen keine Cookies.

Das heißt, es macht es uns schwieriger in vielen Bereichen natürlich, den Bot zu erkennen, aber wir glauben oder wir wissen, dass wir eine gute Lösung dennoch gefunden haben, wie wir ohne Cookies auch rauskommen.

Also im Prinzip, damit ich da jetzt ein bisschen so die Konterargumente irgendwie offen auf den Tisch lege, ist es so, dass wir jetzt statt Google zu vertrauen, einfach euch vertrauen können, weil der Firmensitz in Österreich ist, TSGVO, es muss DSGVO-konform sein und so weiter.

Aber im Prinzip könnt ihr nicht alles offenlegen, wie ihr das überprüft, weil das zum Teil Firmengeheimnisse sind, zum Teil können das andere Firmen dann einfach kopieren und all diese Sachen, die damit zusammenhängen.

Das heißt, ein gewisses Vertrauensbudget muss halt von den Usern dann schon da sein, dass ihr euch gut um die Daten kümmert.

Ich würde es mit Ja einbeantworten.

Ja, wir können es nicht ganz offenlegen, weil es natürlich unser Businessgeheimnis ist im Sinne von, wir würden einen finanziellen Schaden erleiden, wenn wir komplett das Open Source machen oder offenlegen.

Aber wenn die Datenschutzbehörde zu uns kommt und sagt, wir wollen das sehen, dann legen wir es offen.

Also da sind wir ja dem untergeordnet.

Die können ja theoretisch in den Serverraum gehen und die Festplatten rausschrauben, wenn sie wollen.

Das geht natürlich nicht.

Kurze Unterbrechung in eigener Sache.

Dafür habe ich mir jetzt extra für euch ein Hemd angezogen.

Und zwar gibt es schon die WordPress-Community -Gruppe.

Also in den Kommentaren bekomme ich schon relativ viele Fragen bezüglich WordPress-Support, konkrete Fragen zu Projekten und so weiter.

Deswegen mache ich jetzt eine WordPress-Community -Gruppe.

Ich habe euch vor ein paar Wochen gefragt, welche Tools ihr so verwendet.

Und die Mehrheit hat sich für Discord entschieden.

Deswegen wird das eine Discord-Community-Gruppe sein.

Die ist gerade im Aufbau.

Dort wirst du Antworten auf deine WordPress -Fragen bekommen.

Du wirst konstruktives Feedback zu deinen Projekten bekommen.

Und es wird auch online Sprechstunden geben, wo du einfach teilnehmen kannst, deine Fragen stellen kannst oder einfach zuhören kannst, welche Fragen andere Teilnehmer haben.

Das heißt, es ist kostenlos.

Du musst einfach nur den Link unten anklicken.

Die Gruppe ist gerade im Aufbau.

Deswegen wirst du eine E-Mail bekommen mit dem Link zu dem Discord-Channel, sobald diese online ist.

Aber klick unten den Link an.

Dort kannst du dich in die Warteliste eintragen.

Und sobald die Gruppe online ist, bekommst du diese E-Mail.

Dann geht es jetzt weiter mit dem Video.

Abgesehen vielleicht von dem DSGWO-Thema.

Ich weiß, dass es ein sehr wichtiges Thema ist bei dieser Sache, beim Captcha.

Aber damit wir das Thema Captcha vielleicht ein bisschen mehr ausweiten.

Weil viele Plugins oder viele Lösungen in WordPress bieten dann auch zum Beispiel ein Rätsel einfach im Formular einzubauen.

Also wie viel ist 5 plus 2 als Bild dargestellt und dann füllt die Lösung aus.

Oder zum Beispiel gibt es dieses Konzept von den Honeybots.

Also dass ein leeres Feld hinten beim Formular dazugestellt wird.

Und wenn das automatisch ausgefüllt wird von einem Bot, dann weiß das Formular, dass das ein Bot ist.

Es sind Maßnahmen, die existieren.

Aber funktionieren die? Und wenn ja, wieso? Wenn nein, warum? Also prinzipiell alles, was du aufgezählt hast, machen wir mehr oder weniger unter der Haube auch.

Also wir haben nicht das eine Ding, das wir überprüfen und da wissen wir, ob du gut oder böse bist.

Sondern wir haben aufgrund auch der Erfahrung, weil wir aus den 90ern noch kommen, auch dieses klassische, wie viel ist 1 plus 3 und das speichert man als PNG ab und nur der Mensch kann es rechnen.

All diese Dinge haben wir durchlebt und ausprobiert mit positiven und negativen Erfahrungen.

Und das Captcha, das wir haben, vereint eigentlich diese Dinge.

Also auch Honeypotting zum Beispiel haben wir dabei.

Transparent.

Wir haben aber auch die klassischen Bilder eliminiert, weil die sind eigentlich lösbar.

Es gibt mittlerweile Javascript-Libraries, die du im Browser ausführst, die machen OCR -Erkennung und die finden das 4 plus 3 und das schicke ich an Chachibitty oder irgendjemand anderen und der rechnet mir das aus und ich habe das Ergebnis.

Und mit 90% komme ich an dem Formular vorbei.

Honeypotting machen wir mit, funktioniert gut.

Auch das mit den Mathe-Rätseln funktioniert gut, aber am Ende des Tages nicht so gut, dass ich sage, that's it.

Also es schreckt jetzt vielleicht den 0815 -Skript-Kitty ab, aber die große Masse hat halt Captcha als Service schon.

Es gibt Dienstleistungen, wo du Bilder hinschickst und die schicken dir mit OCR-erkannt die Buchstaben retour.

Und ein Teil des Services, den wir ja auch anbieten, ist quasi, wenn neue Mechaniken auf den Markt kommen oder neue auf Seite der Bot-Menschen, dass wir aktiv ja immer wieder auch Gegenmaßnahmen betreuen, warten und entwickeln.

Weil wir als Gronate das Produkt selbst verwenden und eigentlich quasi It-Your-Own-Dogfood in unserem Interesse ist, dass wir da gut sind.

Wir haben auch ein Maschinen-Lehnen-Modell dahinter, das heißt nicht nur klassisches Honeypotting und diese Mechaniken, sondern eben auch auf Basis einer Vielzahl von Signalen gehen wir an ein Maschinen-Lehnen-Modell und das prediktet dann die Probability, ob du ein guter oder schlechter User bist.

Das nehmen wir mit und eben daraus kommt ein Bot-Pourrie an Signalen raus und auf Basis von dem wissen wir dann, ob du ein Bot bist oder nicht.

Deswegen wird dann die Aufgabe für den Bot entsprechend angepasst.

Also in Bezug jetzt auf die Honeybots und die Rätsellösen oder Gleichungen ausrechnen, was auch immer, das sind die Bots einfach schon intelligent genug, um diese Aufgaben zu lösen.

Deswegen funktionieren die bei dummen Bots schon, aber bei intelligenten Bots, die die Formulare ausfüllen und dann dich zuspammen oder deine Kunden zuspammen, dann funktioniert das eigentlich nicht wirklich.

Genau, also man spricht ja da von verschiedenen Generationen von Bots, die klassischen Skript, die halt über das Terminal kommen oder über billige Shell-Skripte, die kannst du mit so einem Honeybot leicht abwehren, aber die Leute verwenden das nicht mehr.

Heute gibt es mit Puppeteer, mit PhantomJS und mit Headless-Chrome-Browsern einfach relativ gute Werkzeuge und mit wenig Aufwand und Geld und Wissen vor allen Dingen tatsächlich einen vollwertigen Browser als Bot zu fahren.

Und es geht so weit, dass die Leute sich sogar automatisiert registrieren, die Freischalt-E-Mail anklicken und dann das Formular ausfüllen.

Also das ist eine romantische Vorstellung, dass das nur noch Skriptkittys sind.

Oder eben die großen Angreifer, auch die kleinen können sich solche Tools mieten.

Du kannst dir, es gibt Bot-as-a-Service in Indien zu mieten.

Da kommen die mit großen Farmen daher.

Das Incentive für denjenigen, der so ein Bot -Netz mietet, ist halt auch immer sehr spannend, weil jetzt kann man natürlich zum einen sagen, ja, das ist ja nur ein Kontaktformular, aber wenn das jetzt ein Zahnarzt ist oder so, der wird halt vollgespendet mit den Dingen.

Und irgendein Mensch muss ja dann quasi das Gute vom Schlechten trennen.

Das ist Arbeitszeit, die verloren geht.

Oder vielleicht im schlimmsten Fall tatsächlich auch ein wichtiges E-Mail, das vielleicht untergegangen ist, weil man einmal zu früh gelöscht hat.

Oder wenn man jetzt, wir machen ja nicht nur Formular-Shoots, wir machen auch jegliche User -Interaktion kannst du mit diesem Captcha beschützen.

Also das ist ein Like-Button, das ist ein Voting -Button und so weiter.

Und da geht es auch um Stimmungsmache, Meinungsmache, die man dadurch vielleicht manipulieren könnte.

Also theoretisch, wenn du das auf der Webseite eingebunden hast, dann könntest du ein Siegel daraus machen, hey, die Likes sind nicht gekauft, sondern wurden von Real-Usern getätigt.

Oder es haben Real-User draufgeklickt.

Genau, also wir verwenden es zum Beispiel.

Bei uns ist es zum Beispiel oft einmal, liegt es auf der Waagschale, wir wollen, dass viele Leute mitmachen.

Wir wollen aber nicht, dass sie quasi betrügen können.

Jetzt könnte man natürlich als Maßnahme setzen, die Leute müssen sich einloggen.

Aber damit reduziere ich die Leute, die mitmachen, so massiv, dass die Zahl, die am Ende rauskommt, überschaubar ist.

Deswegen entscheiden wir uns oft für eine anonyme Teilnahme.

Aber eben durch Captcha quasi dahingehend geschützt, dass nicht irgendwelche Kopierungen, wo halt irgendwo mittlerweile überall schon ein IT -Experte dabei ist, das dann mit billigen Mitteln einfach automatisieren.

Also jetzt zum Beispiel, wenn du den klassischen Schutz nimmst, das ist jetzt der Cookie, dann hast du irgendeinen dabei, der in die WhatsApp-Gruppen reinschickt, hey, löscht einfach jedes Mal noch eure Cookies, dann geht's auch wieder.

Bevor wir dann noch in das Thema Privatsphäre und Datenschutz noch mehr eintauchen, würde ich gerne dann auch das grundlegende Konzept ein bisschen näher erklären.

Also es ist jetzt nicht eine Überprüfung, bitte korrigiert mich, wenn ich das falsch verstanden habe, es ist jetzt nicht unbedingt eine Überprüfung, die im Browser passiert, sondern ihr habt irgendwo ein zentrales Service stehen auf einem Server und die Webseite baut auf einem DSGVO-konformen Weg die Verbindung zum Server auf und ihr wertet das User-Verhalten bzw.

das Bot-Verhalten, welche Kriterien auch da auch immer mit einnehmt sind in dieser Auswertung, wertet sie ja zentralisiert aus.

Und dann kommen aber wieder neue kreative Bot -Angriffe oder Bot-Strategien, die immer sich Wege überlegen, hey, wie kann ich das umgehen und dann kommen ein paar immer durch, also wenn ich das jetzt korrekt mir im Kopf so vorstelle.

Und die Herausforderung bei den Capture-Tools ist ja auch immer diese Bot-Datenbank oder welche Strategien die Bots haben und so weiter, damit man die besser erkennt, immer aktuell zu halten, weil es bringt nichts, wenn ich den Bot-Spam-Angriff oder die Taktik von vor fünf Jahren irgendwo abgespeichert habe, aber fünf Jahre später oder zwei Tage später oder zwei Monate später haben die dann wieder ganz andere Strategien, die die verwenden und das Capture ist nicht mehr zu gebrauchen.

Und in dem Fall, wie habt ihr das implementiert, dass es dann aktuell bleibt oder wie schnell reagiert ihr dann, wenn ihr erkennt, hey, das haben wir jetzt noch nicht berücksichtigt, aber da ist jetzt eine neue kreative Lösung, die die Bots versuchen, die Formulare einfach auszufüllen? Also ja, im Prinzip richtig beschrieben, wir ziehen eine Vielzahl Signale am Client, aber wir machen kein Behavioral Tracking, also wenn du auf der Seite bist, erst beim Klicken auf den Submit-Button ziehen wir Daten aus dem Browser, wir tracken dich nicht über verschiedenste Webseiten hinweg und was das Thema Katz-und-Maus-Spiel, letztendlich ist es ein endloses Katz-und-Maus-Spiel angeht, ist es so, dass wir mit Chrono-AD im Hintergrund eigentlich einer der Hauptangriffsflächen sind.

Die meisten Bot-Technologien schlagen bei uns irgendwo auf und wir haben hier Experten sitzen, die im Prinzip nichts anderes machen, wir einfach schauen, was geht hier ab, wie können wir uns schützen und so schützen wir dann letztendlich auch unsere Kunden aus der Capture-Seite und das Machine-Learning-Modell ist natürlich auch was, das wir ständig erweitern und verbessern und drüber iterieren.

Also da ist quasi nichts so, wir machen das und das war's jetzt, sondern das ist eigentlich ein, wie soll ich sagen, ein sehr agiles Projekt und wir sind ständig hinterher, das ist auch Teil der Dienstleistung, dass wir auf unsere Kappe nehmen, also wir sind dahinter.

So wie du es richtig sagst, du kannst nicht tatsächlich 100% einen Mensch von einem Bot unterscheiden, weil dann das gesamte Ziel ist, wie im Security-Bereich overall, es dem Angreifer so kompliziert zu machen, dass es für ihn unattraktiv wird und ihn letztendlich dann verjagen.

Wenn dann mal ein Spam durchrutscht, dann rutscht mal ein Spam durch.

Das wird jedem passieren, aber wir machen uns gegenüber den Bot-Menschen so unattraktiv, dass der Aufwand auf ihrer Seite den Nutzen, den sie dann kriegen, einfach übersteigt.

Also mit dieser Frage wollte ich einfach nur kurz das Thema ansprechen, dass Capture.

io jetzt nicht eine Lösung für heute ist und zwei Monate später ist es nicht mehr zu gebrauchen, sondern es hat sich auch zwangsläufig dazu gezwungen, einfach up to date zu bleiben, einfach z.

B.

wegen der Krone und weil ihr dann auch gutes Service anbieten wollt und das habt ihr dann einfach als ein Produkt verpackt und einfach eigenes Produkt ausgemacht.

Genau, der Kern des Produkts, den wir jetzt als Software -as-a-Service anbieten, den verwenden wir schon weit über ein Jahr bei uns intern, aus Selbstschutz und letztendlich das Maschinenlern-Modell, da ziehen wir natürlich ein Großteil der Maschinenlern -Daten aus, die vier unmöglichen Daten, die wir halt so kriegen.

Wir sind zwar neu, aber wir haben eigentlich schon Schlachten hinter uns gegen sehr viele Bots.

Das finde ich auf jeden Fall sehr, sehr cool, weil bei solchen Captures usw.

ist immer so eine Frage, wie viel Know-how gibt es wirklich im Hintergrund und wie viel Erfahrung und es scheint, dass es bei euch da schon ziemlich gut klappt.

Wir haben uns jetzt nur aufgrund des Internet -Erfolgs eigentlich, weil wir eigentlich selbst überrascht von der Funktionsweise waren, dass das so gut aufgeht, haben wir dann gesagt, okay gut, wir geben den Schritt und releasen das als Produkt, weil wir sehen, das hilft uns so gut.

Da gibt es bestimmt andere, die auch davon partizipieren können.

Das finde ich mega interessant und mega cool, weil ich habe das Problem gehabt, dass ich lange nach einer guten Capture-Lösung gesucht habe, die auch DSGVO-konform ist und da gibt es eigentlich keine gute Lösung.

Also es gibt entweder Captures, die nicht so gut funktionieren oder es gibt das Google-Recapture vom Gefühl her oder halt, keine Ahnung, komplett überteuerte Lösungen, die sowieso keinen wirtschaftlichen Sinn machen.

Es gibt natürlich Mitbewerber, logischerweise, aber auch wir hatten am Mangel unserer Alternativen eigentlich die Notwendigkeit, das für uns zu bauen.

Also das hier ist konkret eine WordPress-Lösung? Nein, eigentlich nicht.

Also eigentlich ist es eine Lösung für alle Formulare und für alle User-Interaktionen.

Wir haben uns WordPress als quasi Zusatzfokus deswegen genommen, weil wir sehen, dass gerade in dem Freelancer-WordPress-Publisher-Bereich es einen sehr großen Need gibt, den wir hoffen zu erfüllen und da wir selbst als Backend zumindest WordPress verwenden, auch hier wieder, wir kennen uns aus, wie man WordPress-Beginns baut und wollten das dann kombinieren.

Aber es ist keine WordPress-Only-Lösung, das muss man explizit erwähnen.

Wir arbeiten auch an Laravel-Ansätzen, an Symfony -Ansätzen.

Man kann das ganze Ding auch nur mit JavaScript und PHP oder Go oder welcher andere Sprache auch immer.

Da gibt es eine Vielzahl an Binden.

Das werden wir jetzt alle sukzessive nachliefern.

Als erster großen Markt haben wir uns halt WordPress vorgenommen, weil dort kennen wir uns aus, dort sind wir zu Hause.

Thema Privatsphäre.

Bei den Captchas ist ein wirklich großes Thema Privatsphäre.

Wir haben davor schon darüber geredet, okay, ihr könnt manche Sachen offenlegen, manche Sachen sind Firmengeheimnisse, weil sonst könnten euch die Leute oder andere Konkurrenten einfach kopieren.

Das ist mir klar.

Aber beim Google ReCaptcha, also ich nehme jetzt immer Google ReCaptcha als Vergleich, weil es so der naheliegendste Konkurrent ist, glaube ich, und der größte.

Die messen, glaube ich, auch User-Verhalten, also wie du deine Maus bewegst, was du machst auf der Webseite und so weiter, damit die dann erkennen, hey, ist das ein Verhalten vom Bot oder nicht.

Und in dem Fall hast du vorgesagt, dass ihr das erst nach dem Submit-Button beginnt zu tracken oder auszuwerten.

Genau, also ganz genau, wie sie es machen, kann ich ja nicht sagen, weil ich selber nicht weiß.

Aber man geht halt davon aus, dass sie schon beim Laden der Seite Daten erfassen und auch über Sessions hinweg.

Bei uns kann ich garantieren, in dem Moment, das Captcha macht gar nichts, bis du diesen Klick machst auf Daten abschicken oder halt, wenn du jetzt hinter einem Like -Button bist.

Also wenn du als Programmierer sagst, jetzt möchte ich verifizieren, ab dann geht es los.

Wir ziehen natürlich dann auch Daten von, weiß ich nicht, Maus und Co.

, aber alles gleichzeitig anonymisiert.

Also da gibt es ja in der Datenschutz-Grundverordnung mehr oder weniger so die Regel, der Datensatz, du darfst ihn speichern, es darf nur keine Möglichkeit geben, auf eine Einzelperson-Retour zurückverfolgbar zu sein.

Also ich kann sehr wohl messen, wie oft klickst du mit deinem Maus, aber wenn ich jetzt den Datensatz finde, da steht drinnen, drei Mausklicks und vier Tastenanschläge, dann weiß ich nie im Leben, dass das du bist.

Und damit ist das Privatsphären gesichert.

Es ist nicht mit der IP verknüpft.

Wir empfangen natürlich technologisch zwangsweise die IP-Adresse, aber wir speichern sie nie zur Gänze.

Wir schneiden die letzten zwei Adressblöcke immer weg.

Wir haben in Wahrheit nur die ersten zwei Blöcke.

Da ist der Provider drinnen und mehr nicht.

Oder das LAM.

Und wenn man dann, sagen wir mal, in den Klick auf den Sofit-Bunden braucht, und dann wird.

.

.

Was wird da alles an euch geschickt? Also die IP-Adresse, die ihr dann später anonymisiert, dann.

.

.

Was kann ich mir darunter vorstellen? Also ich muss jetzt nicht alles sagen, aber so ganz groß.

Rund um die 100 Parameter werden geschickt.

Im Prinzip stellen wir den Browser Fragen.

Hast du so eine Auslösung? Und er sagt dann zwischen 0 und 100 zurück.

Und wir schicken diese Nummern dann an das Maschinen-Learning-Modell.

Ganz grob.

Also fadest dann die Kategorie Fingerprinting ein bisschen? Ein bisschen ja, aber.

.

.

Es gibt ja den grünen Begriff, so ein Passwort.

Ja, ja.

Aber unter Fingerprinting versteht man eher, dass man das gleiche Gerät wiedererkennt.

Das machen wir nicht, weil wir.

.

.

Wenn du zweimals ermittelst, kommen zweimal verschiedene Daten raus.

Also es ist nicht.

.

.

Wir wollen gar nicht wissen, dass du der gleiche bist wie vorher, weil das für uns irrelevant ist.

Wir wollen wissen, ob du in diesem Moment auf einem Gerät huckst, das gut oder böse ist.

Und da misst ihr verschiedene Sachen wie Bildschirmauflösung, Browser-Version, Schriften, welche Schriften geladen werden.

Schriften schauen wir gar nicht an.

Schriften schauen wir gar nicht an, weil auch das ist sowas.

.

.

Mit jedem Fingerprint, der erfunden wird, gibt es eine Open-Source-Community, die den Gegen -Fingerprint erfindet.

Also die den Blocker-Blocker erfinden.

Und wir verfolgen diese Community aktiv, nehmen dort auch teil und partizipieren daraus logischerweise.

Aber wenn wir sehen, dass das Thema Font-Fingerprinting eigentlich ein gelöstes Problem ist aus der Botsicht, dann brauche ich es gar nicht mit reinziehen.

Weil der Erste, der das findet, sagt dann, ja, warum schaut ihr meine Fonts an, wenn ich eh weiß, dass das sinnlos ist, brauche ich es nicht nehmen.

Also.

.

.

Das Thema Font ist seit mindestens einem Jahr, da gibt es Ansätze, wie die Bot-Menschen die Fonts faken, aber auch von den Browsern, muss man auch sagen.

Der Chrome, so sehr man den Chrome jetzt vielleicht nicht leiden kann, aber die sind da sehr dahinter.

Oder auch der Firefox, auch immer jeglichen Fingerprint, den du vielleicht findest, zu eliminieren.

Und deswegen machen wir kein Fingerprinting, sondern wir machen, wir nennen es Browser-Performance-Testing.

Also wir versuchen herauszufinden, wie verhält sich dein Browser in dieser Sekunde.

Aber nicht jetzt klassisch du als Person.

Der Fingerprint, der versucht ja, dich zu finden.

In Person.

Das wollen wir ja gar nicht.

Zum Thema Privatsphäre, da würden mir jetzt persönlich nicht mehr Fragen einfallen, die jetzt irgendwie konsumtiv dazu beitragen würden, jetzt Leuten das näher zu bringen, hey, wie funktioniert das, weil ich einfach nicht so sehr in der Privatsphäre sitze.

Und da weiß ich einfach nicht genau, was ich fragen soll.

Aber falls ihr da Fragen habt konkret, da steht es einfach in den Kommentaren.

Falls das in Ordnung ist, dass ich Helmut dann die Fragen an dich weiterleite.

Bitte gerne, jederzeit.

Dass du dann zu den Antworten kommst.

Aber was mich noch persönlich interessieren würde, weil es manchmal schon vorgekommen ist, bei den anderen Captcha-Lösungen, dass ein legitimer Mensch, der das ausgefüllt hat, trotzdem als Bot erkannt wird.

Da ist halt so ein gewisses Risiko dabei.

Kannst du das ein bisschen erklären, wieso normale Menschen überhaupt als Bots erkannt werden? Und wie habt ihr dieses Problem gelöst? Also prinzipiell ja, das ist natürlich immer das Risiko, oder die schmale Gratwanderung.

Ich kann mich fokussieren und versuchen, die Bots so gut wie möglich zu vermeiden, oder ich kann mich fokussieren, den Menschen eine letztendlich akzeptable Experience zu liefern.

Und wenn ich meine Maschinen-Learning-Modelle komplett scharf stelle, dann passiert es natürlich, dass ich Menschen verkraule.

Wir haben uns jetzt eigentlich als Credo genommen, lieber lassen wir einen Bot durch unter vielen, aber wir wollen auf keinen Fall einen einzelnen User verkraulen.

Auch hier aus der Natur von Kronen Zeitung, wir machen ein Gewinnspiel, wo es ein Auto zu gewinnen gibt, da machen hunderte Tausende von Leuten mit, und wenn da einer nicht mitmachen kann, dann steht er bei uns beim Bordier und regt sich auf.

Also das ist auch aus der Selbstschutz-Variante, dass wir lieber einen Bot durchlassen, aber wir wollen keinen Menschen den Service eliminieren.

Wir versuchen es mit Technologie natürlich, das immer wieder zu verbessern, Woche für Woche das Maschinen-Learning-Modell anzutrainieren, neue Techniken zu finden, aber immer unter der Prämisse, es darf kein echter Mensch drunter durch den Rost fallen.

Weil dann, wo ist dann das Argument, ich möchte mein Business schützen, aber verjag meine User, dann.

.

.

Macht's nicht durchsehen, ja.

Ich weiß das nur, weil wir bereits vorher schon drüber geredet haben, aber ihr habt auch kryptografische Rätsel im Einsatz.

Soweit ich das jetzt öffentlich weiter sagen kann, ich schätze mal nicht, dass es ein großes Firmengeheimnis ist, weil wir da jetzt nicht drauf genau eingehen, was diese kryptografischen Rätsel alles sind, aber im Großen und Ganzen wird im Hintergrund anhand allen Daten, die ihr sammelt, ein kryptografisches Rätsel gelöst, und dann wertet ihr aus, ist das ein Bot oder ist das ein Mensch? Habe ich das richtig verstanden? Genau, es ist prinzipiell so, dass wir eine Vielzahl von Parametern zählen, das ergibt eine Lösung, die der Client erstellen muss, teils kryptografisch, teils nicht kryptografisch, es ist wie gesagt eine Mischung, das eine Werkzeug gibt's nicht, es ist ein Toolbelt, den man hier versucht zu verwenden, und am Ende des Tages schickst du das, was der Browser berechnet, oder was der Browser als Antwort gibt, an den API-Endpoint bei uns zur Verifizierung, und wir können dann in dieser Berechnung liefern wir dann den PHP oder Go oder was auch immer du dann hast, liefern wir dann zurück, okay, das ist ein Bot oder nicht.

Und du kannst dann als Publisher oder als Betreiber der Seite selber entscheiden, okay, recheckt ich jetzt dieses Formular oder eben nicht.

Und in Bezug auf kryptografische Rätsel, also das verbinde ich jetzt eher so mit Kryptowährungen und Bitcoin und so weiter, also kryptografische Rätsel, also rechenaufwendig und es braucht Strom und das Ganze und Ressourcen, ist das bei euch auch der Fall, dass es ressourcenintensiv ist, solche Rätsel zu lösen? Ich weiß, das ist mit Kryptowährungen schwer vergleichbar, weil es halt komplett andere Bechtlungen sind, andere Aufwand und so weiter, aber ist das da ein Bedenken, welches ihr habt, dass ihr dann Ressourcen braucht, die eigentlich nicht wirklich notwendig wären, um diese Probleme zu lösen? Also, der Mensch braucht wenig Ressourcen, der kriegt ja Ressel, die wenig Ressourcen brauchen, der Bot kriegt Ressel, die mehr Ressourcen brauchen, der Bot bezahlt aber, also der Auftraggeber vom Bot bezahlt ja für die Ressourcen und auch hier ist dann schon, muss man offenbar sagen, die Intention, je teurer es für ihn wird, desto früher hört er auf damit.

Aber natürlich bei den guten Menschen hält sich sein Grenzen, da wird natürlich immer drauf geachtet, dass wir nicht Ressourcen verfinden, logischerweise.

Also wenn er erkennt, okay, das ist ein Bot? Genau, wenn wir erkennen, er ist ein Bot, dann kriegt er eine, wie soll ich sagen, eine Aufgabe, dass er sich festhalten kann, mit dem Ziel, auch ihn out of business zu nehmen, weil der Botangreifer oder der Botbeauftragter, der hat ja auch nur ein Budget, der möchte mich jetzt als Cronate oder mich als Publisher, möchte er für diese eine Stunde mit einer DOS -Attacke out of business nehmen und dafür investiert er x-tausend Euro und wenn ich ihm aufgrund der Ressourcenbenutzung in einer Bot-Cloud oder was auch immer, da gibt es ja alles, das Budget in zwei Minuten aufbraucht, dann habe ich 58 Minuten gewonnen.

Dann habe ich zwar Ressourcen verschwendet per se, so wie du sagst, ja, und vielleicht mein Environmental Damage habe ich gemacht, ja, aber vielleicht habe ich ihn dazu gebracht, dass er es nächstes Mal nicht mehr macht.

Okay, also das ist jetzt so, dass ihr schon auswertet, also ihr ausgewertet habt, ob das ein Bot ist oder ein Mensch, dann schickt ihr den Menschen zurück die Antwort, hey, passt, ist okay, mach weiter und bei einem Bot, da den lockt er dann sozusagen in so eine Falle, in so eine Loop, wo er dann dauernd diese kryptographischen Rätsel löst, wo er dann sagt, hey, zahlt sich nicht mehr aus, mache ich nicht mehr weiter, tschüss, aber währenddessen hat er dann eigene Ressourcen verbrannt und deswegen konnte er in der Zeit keine anderen Webseiten angreifen oder die Webseite dauernd erneut angreifen, sondern er verbraucht Budget, er verbraucht Ressourcen und das rentiert sich dann einfach nicht mehr.

Im Prinzip kann man es vergleichen, wie mit diesen Scam-Anrufen so von, hallo, ich bin von Microsoft Hackdesk, das Beste, was du machen kannst, wenn dich so jemand anruft, red mit ihm eine Stunde und halt ihn fest, er kann in der Stunde keinen anderen mehr angreifen.

Oder an eine AI anschließen und der Bot reden.

Ich steig da immer drauf ein, ich freu mich jedes Mal, wenn mich einer anruft, weil ich es lustig finde, wenn sie dann nach einer halben Stunde komplett den Nerv drauflegen.

Ja, die kann man ganz gut an der Nase führen.

Das Ziel ist, dass wir als Angriffsfläche oder als Target unattraktiv werden.

Wir wissen, wir können uns nicht 100% schützen.

Es gibt keinen 100%-Schutz in keiner Sparte.

Also vom Virenschutz bis zu sämtlichen anderen Medikamenten und so, es gibt keine 100%-Sicherheit.

Man kann es dem Angreifer nur so schwer wie möglich machen, dass er sich lieber ein anderes Ziel sucht.

Also in dem Moment, wo er bei uns nicht weiterkommt mit Budget und Mechaniken, geht er woanders hin.

Und ich bleibe im Business, während vielleicht der Konkurrent oder der andere nicht tut.

Ja, von den Fragen, die ich dir stellen wollte, waren das eigentlich die, die ich mir zusammengeschrieben habe.

Hast du noch Themen oder hast du noch Fragen, wo du merkst, hey, das könnte die Leute interessieren oder diese Fragen hast du gestellt bekommen, die für die Zuschauer und Zuhörerinnen interessant sind.

Hättest du noch Themen, über welche du gerne reden würdest? Also ich glaube, was mir wichtig wäre, der Datenschutz normal.

Ich glaube, das ist einer der Steckenpferde, die wir haben.

Vielen ist gar nicht bewusst, dass sie mit dem Google Recapture eigentlich schon im Moment des Ladens eigentlich sich auf einer sehr dunklen Grauzone bewegen.

Und das betrifft fast alle US-Services an sich eigentlich, muss man fast schon sagen.

Und da ist es egal, ob du es mit Zustimmung machst oder nicht.

Weil die einzige, ich sage jetzt mal, DSGVO-konformste Lösung, wenn ich das so betiteln kann, um das Recapture zu verwenden, ist so ähnlich wie so einem Contentblocker mit YouTube-Videos.

Also da ist zumindest mal als erstes ein Contentblocker, wo das Formular nicht dargestellt wird, wo das Recapture auch nicht geladen wird.

Und da ist irgendwie so ein Dummy, hey, hier sollte das Formular stehen, wenn du es ausfüllen magst, dann klick da drauf und dann kommt die Zustimmung, die du erteilst für das Recapture auch und dann wird das geladen.

Aber es ist dann trotzdem die Ansicht, die Verwendung des Dienstes nicht wirklich DSGVO -konform, weil es ein US-Service ist, wie man den Fall gehabt hat mit Google Analytics.

Die Ansicht, dass die Pläne von Google Analytics nicht wirklich DSGVO-konform ist.

Wie vorher gesagt, das ist jetzt keine Rechtsberatung, wir sind keine Rechtsanwälte.

Deswegen kann dir ein Rechtsanwalt auch sicher was anderes sagen und jeder hat dann auch eine andere Meinung zu dem Thema.

Es ist halt wirklich sehr danach ausgelegt, wie du es halt auslegst oder auf welchen Argumenten du dich da handhabst.

Aber das, worauf ich eigentlich hinaus wollte, ob wenn man schon das Recapture so einsetzt, dass du das zu einem Content-Blocker einbaust und dann erst mit Zustimmung Recapture einsetzt, dann ist das DSGVO-konform oder nicht oder Grauzone? Also beantworten kann ich es auch nicht, ich bin kein Jurist.

Die Frage, die mich halt stellt, ist, ob der Bot dann sagt, okay, das lade ich, wenn der Schutz optional ist.

Und das ist ja, glaube ich, die Idee hinter diesen ganzen Content-Dialogen, dass man ja Dinge wegklicken können muss.

Ich glaube trotzdem nicht, dass es DSGVO-konform ist.

Ich kann es nicht glauben, weil deine Webseite kannst du ja ausliefern, auch mit Alternativen.

Und ich glaube, in dem Moment, wo es Alternativen gibt, weiß ich nicht, wie das dann letztendlich Anwälte sehen.

Aber da bin ich definitiv der Falsche.

Ich kann nur von unserer Seite aus sagen, alles, was wir machen, haben wir ungefähr 17 Mal von verschiedensten Anwälten überprüfen lassen, weil wir auch aus der Mutter mit der Kronen-RT halt, wenn wir was Falsches einbauen, dann sind wir ein, wie soll ich sagen, High-Prestige -Target, auch für Anwälte und für Leute, die sich profilieren wollen.

Wenn sie bei uns was finden, kriegen sie sehr viel Publicity.

Das heißt, wir investieren sehr viel Zeit und Aufwand in rechtliche Korrektheit.

Ja, jetzt ist mir das gerade eingefallen, wir haben noch überhaupt nicht drüber geredet, über den Bots-Traffic.

Also, wie viel Traffic im Internet ist, kommt eigentlich von Bots? Gibt es gute Bots, gibt es schlechte Bots? Wie schaut das alles aus? Es gibt jetzt keine offiziellen, das ist das Botradar.

com.

Wir haben Daten bei uns.

Es gibt ein paar Statistiken und man sieht halt so, dass es rund 40% des echten Internet -Traffics, also des gesamten Internetvolumens, ist von Bots.

Das splittet sich auf in 15% etwa gute Bots, also Google, Bing und Co.

, die man halt möchte, um letztendlich auch sein Business zu präsentieren und voranzukommen, die man nicht blocken kann.

Es teilt sich halt auf in eine geringe Anzahl an Prozent von guten Bots und sehr viele schlechte Bots.

Weiter vorankommt der Environmental Damage quasi.

Das ist ja auch, das muss man so sehen, wenn wir es schaffen, dazu beizutragen, 3% des Bots -Traffic zu reduzieren, dann schützen wir nicht nur Geschäfte und Business -Kunden, sondern wir reduzieren ja auch dann auf der Seite den Strom- und Energieschaden, der entsteht.

Den bösen Bot-Traffic.

Genau.

Den guten Bot-Traffic, ja, den muss man akzeptieren, den wird es ja auch immer geben.

Der will ja nichts kaputt machen im Normalfall.

Das bringt dem End-User dann ja auch was, wenn Google die Seiten korrekt indexiert, dass man dann schnell zu den Antworten kommt.

Genau, es bringt dem End-User was, es bringt aber auch denjenigen, der die Webseite betreibt, was letztendlich, weil ich möchte ja gefunden werden.

Na gut, ja, dann kommen wir langsam zu dem Ende der Episode.

Da stelle ich immer gerne so drei Bullet-Fragen.

Also, das Erste, was dir anfällt, kannst du einfach gerne beantworten.

Wenn es das, was du heute machst, also sagen wir jetzt Captcha.

eu, Krone und alle Sachen, die du machst und WordPress und so weiter, das gibt's einfach nicht.

Was würdest du alternativ in deinem Leben machen? Vermutlich versuchen, diese Dinge zu erfinden.

Ich kann nichts anderes.

Okay.

Legitim.

Also habe ich nichts dagegen.

Was ist das nervigste WordPress-Feature? Gute Frage.

Die Medienbibliothek.

Gesamtheitlich.

So einfach, weil sie so aufgebaut ist, wie sie aufgebaut wurde? Weil sie schwer skaliert, weil man sich nicht in den Overlay reinhängen kann mit Hooks, weil es dort JavaScript-Dinge gibt, die steinalt sind und weil das Gefühl, drei verschiedene Teams bauen.

Okay.

Was war dein letzter Aha-Moment bei WordPress? ich weiß, du arbeitest schon sehr lange mit WordPress, aber so oder das letzte Mal überrascht warst du so, oh, das kann WordPress auch? Gutenberg.

Sicher der größte Aha-Moment, auch wenn das schon länger her ist.

Wir verwenden ihn intern nicht.

Wir hatten ein ähnliches Konzept schon davor umgesetzt.

Aber das ist sicher einer der Aha-Momente, der WordPress nochmal ordentlich am Leben halten wird, weil es sehr viel Zugang für Plugins und Blog-basierte Dinge macht.

Jetzt haben wir sehr viel über Captcha geredet, über Privatsphäre, DSGfo und alle diese Sachen, was damit verbunden ist.

Du hast ja, wir haben auch die ganze Zeit gesprochen über Captcha.

eu, was es ist, was es kann und so weiter.

Jetzt wäre mal so ein Spotlight oder so ein Platz, so kannst du gerne alles pitchen oder alles den Zuschauern, Zuhörern weitergeben, was du gerne weitergeben magst, was ist das Produkt, was macht es, wo gibt es das zu finden und wie schaut das alles aus? Also prinzipiell finden du es auf www.

captcha .

eu, dort gibt es Kontaktmöglichkeiten von E-Mail bis Chat.

Auch der Chat ist datenschutzkonform ohne Consent, also auch das haben wir checken lassen, selbst gehostet.

Wir bieten eine gute, einfach zu integrierende Variante, um Formulare und Userinteraktionen vor Bots zu schützen.

Wir haben sehr niedrige Einstiegspreise, gehen aber hoch bis Enterprise-Verträge, wenn es vom Volumen her größer wird.

Unser Ziel ist es ein bisschen dazu beizutragen, dass erstens die Bots weniger werden, dass wir gesamtheitlich diese Leute irgendwie minimieren, weil eben 40% des gesamten Internettraffics Bots sind, aber auch eine europäische Alternative zu bieten und hier aufzuzeigen, dass man auch in Österreich mit dem Know-how, das wir hier haben, kompetitiv ein Produkt auf den Markt bringen kann und sich nicht unbedingt vergoogeln und verstecken und beugen muss.

Der Datenschutz nicht immer akzeptiert wird.

Eine Ermangelung der Alternativen.

Also wir haben dann noch nach dem Gespräch ein bisschen mit Helmuti gequatscht und er war dann so nett und hat euch dann noch einen Gutscheincode dazu gegeben.

Bis Ende Mai kann man eine Gutscheincode einlösen, das ist alles unten verlinkt.

Da hast du minus 50% auf die ersten 12 Monate des Dienstes und falls du Captcha.

io einfach testen willst, dann kannst du dich anmelden und dann hast du 100 Requests for free.

Das heißt, dann kannst du das ausprobieren, ob es bei dir funktioniert, ob es so funktioniert, wie es sollte und wenn du dich dann entscheidest, das zu kaufen, kannst du gerne den Gutscheincode verwenden.

Ich bekomme keine Provision davon, das ist auch keine bezahlte Werbung.

Wir haben auch keine versteckten Verträge im Hintergrund.

Ich finde die Lösung einfach cool.

Ich werde das bei mir weiterhin testen und schauen, wie das alles funktioniert.

Und falls du noch Fragen hast, dann bitte in den Kommentaren.

Gibt es noch irgendeine finale Message, finale Nachricht, die du an die Zuschauer und Zuhörerinnen weitergeben magst? Unbedingt, was ich weitergeben mag, wenn es irgendwelche Plattformen, Plugins, Formulare oder sowas, was wir noch nicht unterstützen, bitte gerne kontaktieren.

Auch hier im Podcast, du kannst das irgendwie in die Beschreibung reingeben.

Wir freuen uns über jeden, der sich bei uns meldet, wo wir helfen können bei der Integration.

Auch wenn es absurdeste On-Premise-Lösungen sind, wir haben auch eine Hands-On-Mentalität, wo man sicher Lösungen findet, wie wir auch in bestehende Legacy-Systeme uns integrieren.

Weil auch das können wir aufgrund der Historie.

Es wird auf jeden Fall alles unten verlinkt sein.

Also Kontaktdaten, Link zu Capture.

eu und alle diese Sachen werden alle unten verlinkt sein.

Und ja, ich glaube, dann haben wir es.

Super, perfekt.

Vielen Dank, hat mich mega gefreut.

Falls ihr, wie gesagt Fragen habt, in die Kommentarreihen und dann werde ich das alles an den Helmut Ratternaten gepackt, damit er jetzt nicht mit Kleinstfragen irgendwie da bombardiert wird.

Aber ja, vielen Dank, dass du dir heute Zeit genommen hast und dass wir über Capture reden konnten.

Danke dir.

Danke für die Beantwortung.

.