Die Bahn erstattet aus Kulanz Bahncardkunden, die ihre Bahncard vor dem 13.03.2020 erworben oder verlängert haben, gerade 10 – 50 €. Hier kommt ihr zum Formular. Dabei wird man aufgefordert, ein CAPTCHA (klingt russisch, ist es aber nicht und auf keinen Fall zu verwechseln mit Chapka) zu lösen, dass oben im Bild abgebildet ist. Zuerst war es natürlich schön zu sehen, dass die Bahn den Unterschied zwischen Zahlen und Ziffern kennt. Dann habe ich mich gefragt, von wo aus man die fünfte Ziffer abzählen soll, von links oder von rechts und gleich danach kam mir der Gedanke, dass es bei 9 Ziffern egal ist. Und genau deswegen ist auch der Anpassungsaufwand für eine Software sehr gering, um diese Hürde zu nehmen. Vermutlich bezeichnet die Bahn deshalb das ganze nicht als CAPTCHA.
CAPTCHAs sind nicht einfach. Die grafischen Varianten benachteiligen Menschen mit Einschränkungen (und sind, sollen sie gut sein, aufwendig – oder man bindet Google Recaptcha ein, was dann wiederum Datenschutzimplikationen hat). Und auch diese CAPTCHAs werden gebrochen; sei es durch Rechenleistung, sei es manuell.
Textuelle Alternativen wie die von der Bahn verwendete sind dabei keine dumme Idee. Natürlich kann man eine Software schreiben, die den Text auswertet; aber das müsste man zum einen spezifisch tun statt einfach nur ein fertiges Tool anzuwenden, und zum anderen wechseln die Texte. Es wird bspw. auch gefragt, ob zwei Farbbezeichnungen identisch sind u.a.m.
Ich weiß. Fast jedes CAPTCHA lässt sich mittles Software umgehen. Die Frage ist doch aber welchen Aufwand ich verursache. Die Bahn hätte gut daran getan, hier auf ein besseres CAPTCHA zu setzen, will sie verhindern von Spamanträgen überflutet zu werden. Möglicherweise kommt es darauf auch nicht an, weil die Auswertung der Anträge im Hintergrund so gut arbeitet, dass es keinen Unterschied macht ob 100 echte Bahnkunden eine Kulanzzahlung beantragen oder 100 Millionen Fakebots. Ausgezahlt wird ohnehin nur an Bahncardinhaber. Aber ich kann mir da schon Betrugsgestaltungen vorstellen.