Darum gehts
- Gefälschtes Captcha auf weiterbildung.bs.ch führte zu Schadsoftware
- Infostealer spionieren Passwörter, Kreditkarten und E-Banking-Zugänge aus
- Seit 1. April gilt in der Schweiz eine Meldepflicht für Cybervorfälle
Die Website Weiterbildung.bs.ch bietet eigentlich eine Übersicht über Kurse rund um Personal- und Organisationsentwicklung von Angestellten des Kantons Basel-Stadt. Wer am letzten Sonntag die Website aufrief, wurde von einem gefälschten Captcha begrüsst. Solche Tests sollen eigentlich beweisen, dass ein Mensch und kein Bot die Seite nutzt.
Doch diesmal war das Gegenteil der Fall: Wer den Anweisungen folgte, riskierte eine Infektion mit Schadsoftware. Ein Screenshot zeigt das verdächtige Captcha, das zur Eingabe einer Tastenkombination auffordert – zuerst Windows+R, dann Ctrl+V. Was harmlos wirkt, kann fatal enden: Denn im Hintergrund wurde bereits ein gefährlicher Befehl in die Zwischenablage kopiert. Wer Enter drückt, führt den Code aus. Die Folgen: Programme wie Vidar Stealer oder Lumma Stealer gelangen auf den Windows-Computer. Es sind sogennante Infostealer («Informationsdiebe»). Sie spionieren Passwörter, Kreditkarten, E-Banking-Zugänge und Kryptowallets aus. Das Bundesamt für Cybersicherheit (BACS) warnte schon Ende 2024 vor dieser Masche.
Wie kam es dazu?
Zwar gehört weiterbildung.bs.ch zur Domainstruktur des Kantons, die Site selbst wird jedoch von einer externen Firma gehostet. «Wir wurden am Montagmorgen über den Vorfall informiert», sagt David Weber, Sprecher des Finanzdepartements Basel-Stadt. Die Ursache sei ein kompromittiertes Plugin gewesen. «Dieses wurde rasch entdeckt und entfernt. Weitere Sicherheitsmassnahmen laufen. Der Fall wird derzeit analysiert», so Weber.
Sensible Daten seien laut Kanton nicht betroffen. «Die manipulierte Komponente war nur kurz aktiv. Betroffene Nutzer wurden direkt informiert», erklärt Weber. Zudem wurde ein Hinweis auf der Website aufgeschaltet. Seit dem 1. April gilt in der Schweiz eine Meldepflicht für Cybervorfälle. Doch der aktuelle Fall fällt nicht darunter, denn die betroffene Website zählt nicht zur kritischen Infrastruktur.
Captchas wurden im Jahr 2000 von Forschern an der Carnegie Mellon University im amerikanischen Pittsburgh erfunden. Dabei steht das Akronym für «Completely Automated Public Turing test to tell Computers and Humans Apart» (zu Deutsch: «Vollständig automatisierter öffentlicher Turing-Test zur Unterscheidung von Computern und Menschen»). Ursprünglich sollten sie Webseiten vor automatisierten Zugriffen schützen.
Die Ironie: Automatisierte Computersysteme lösen Captchas inzwischen besser als wir Menschen. Studien der Universität Kalifornien zeigen, dass Bots Text-Captchas zu 99,8 Prozent in unter einer Sekunde lösen. Menschen erreichten bei den Tests nur 50-84 Prozent Genauigkeit und brauchen bis zu 15 Sekunden.
Der kollektive Zeitverlust ist gigantisch: Laut dem US-Internetsicherheitsanbieter Cloudflare verschwenden Menschen täglich umgerechnet 500 Jahre mit dem Lösen von Captchas. Eine absurde Situation, in der Menschen zunehmend Zeit damit verbringen, Maschinen zu beweisen, dass sie keine Maschinen sind – während Maschinen die Tests längst besser lösen können.
Als Reaktion auf diese Probleme hat sich die Captcha-Technologie weiterentwickelt. Neue Systeme wie Google reCAPTCHA v3 arbeiten fast unsichtbar im Hintergrund. Sie analysieren stetig Nutzerverhalten, Mausbewegungen und andere Faktoren, ohne dass du dabei Bilder markieren oder verzerrten Text entziffern musst.
Nur wenn verdächtige Muster erkannt werden, erscheint ein klassischer Test. Auch europäische Anbieter wie Friendly Captcha setzen auf unsichtbare Verifizierung – der Browser löst dabei im Hintergrund kryptografische Rätsel, während du ohne Unterbruch surfen kannst.
Captchas wurden im Jahr 2000 von Forschern an der Carnegie Mellon University im amerikanischen Pittsburgh erfunden. Dabei steht das Akronym für «Completely Automated Public Turing test to tell Computers and Humans Apart» (zu Deutsch: «Vollständig automatisierter öffentlicher Turing-Test zur Unterscheidung von Computern und Menschen»). Ursprünglich sollten sie Webseiten vor automatisierten Zugriffen schützen.
Die Ironie: Automatisierte Computersysteme lösen Captchas inzwischen besser als wir Menschen. Studien der Universität Kalifornien zeigen, dass Bots Text-Captchas zu 99,8 Prozent in unter einer Sekunde lösen. Menschen erreichten bei den Tests nur 50-84 Prozent Genauigkeit und brauchen bis zu 15 Sekunden.
Der kollektive Zeitverlust ist gigantisch: Laut dem US-Internetsicherheitsanbieter Cloudflare verschwenden Menschen täglich umgerechnet 500 Jahre mit dem Lösen von Captchas. Eine absurde Situation, in der Menschen zunehmend Zeit damit verbringen, Maschinen zu beweisen, dass sie keine Maschinen sind – während Maschinen die Tests längst besser lösen können.
Als Reaktion auf diese Probleme hat sich die Captcha-Technologie weiterentwickelt. Neue Systeme wie Google reCAPTCHA v3 arbeiten fast unsichtbar im Hintergrund. Sie analysieren stetig Nutzerverhalten, Mausbewegungen und andere Faktoren, ohne dass du dabei Bilder markieren oder verzerrten Text entziffern musst.
Nur wenn verdächtige Muster erkannt werden, erscheint ein klassischer Test. Auch europäische Anbieter wie Friendly Captcha setzen auf unsichtbare Verifizierung – der Browser löst dabei im Hintergrund kryptografische Rätsel, während du ohne Unterbruch surfen kannst.
So schützt du dich
Um sich vor der Captcha-Masche zu schützen, raten Experten dazu, vor allem bei ungewöhnlichen Captchas misstrauisch zu sein. Legitime Tests werden nie nach Tastenkombinationen fragen – daher gilt: Erscheint eine solche Aufforderung, schliesse das Browser-Fenster. Cybersicherheitsexperten des BACS empfehlen grundsätzlich, Software ausschliesslich von offiziellen Quellen herunterzuladen und den Browser stets auf dem neuesten Stand zu halten.
Und was, wenn man die Schadsoftware bereits installiert hat? Dann helfen nur noch drastische Schritte: «Bei einer bestätigten Infektion sollte das gesamte System neu aufgesetzt werden», rät das BACS. Regelmässige Backups erleichtern die Wiederherstellung der Daten.