Abb. 1: Ein Dauerbrenner bei Konsumenten-
schutzorganisationen: Nur wer sich mit dem Scrollbalken bis zum Ende der Seite vorarbeitet, sieht, dass er hier einen Vertrag abschließt und sich zur Zahlung von EUR 59,95 verpflichtet.

 

Bei nach Googles Ansicht ungefährlichen Seiten ist über die Bedienungsfreundlichkeit des Service nicht zu klagen: Alles ist problemlos erreichbar. Bei Seiten, die mit Googles Bann belegt sind, hat jedoch nur derjenige die Zügel in der Hand, der auch firm in Cut & Paste und URLLeisten ist: Die Warnseite enthält keinen anklickbaren Link. Für weniger geübte Anwender stellt das eine Entmündigung dar, die einer Suchmaschine eigentlich nicht zusteht.

Wer versucht, Googles Urteile nachzuvollziehen, gelangt in ein Dickicht von Policies und vagen Andeutungen. Google verweist auf die Webseite von StopBadware; diese arbeitet jedoch überdeutlich heraus, dass Google völlig unabhängig von StopBadware entscheide, welche Seiten "gut" und welche "böse" seien. Wer aber mit der Einstufung Googles nicht zufrieden sei, solle dennoch bei StopBadware eine Prüfung beantragen, deren Ergebnis Google wohlwollend prüfen werde. Alles klar?

StopBadware dokumentiert die eigenen Kriterien, nach denen Seiten als Malware eingestuft werden, erklärt dabei aber, "auch" Meldungen von Google und nicht näher genannten Trusted Third Parties zu übernehmen. Beim Herumstöbern in StopBadwares Datenbank fiel auf, dass alle 102 dort verzeichneten österreichischen Sites (Stand von Anfang September 2007) von Google gemeldet wurden. Eine gründlichere Suche ergab, dass von den laut Homepage 229735 so genannten Reported Sites sage und schreibe 49 eine Einstufung durch StopBadware selbst erhalten hatten.7) In jedem dieser Fälle ist jedoch in den Erläuterungen zu lesen, die Seite sei nicht von Forschern von StopBadware reviewed worden das verstehe, wer will. Ein Hinweis auf eine andere Trusted Third Party als Google war übrigens nicht zu entdecken.

Doch einmal abgesehen von diesem PingpongSpiel hinter den Kulissen: Wie sinnvoll und hilfreich ist Googles Selbstzensur für den User?

  • Was die Treffsicherheit anbelangt, sollte man meinen, dass eine Suchmaschine, die große Teile des Web ohnehin schon vom Indizieren kennt, auch alle darin versteckte Badware aufspüren oder zumindest deren Abwesenheit zweifelsfrei feststellen kann. Doch weit gefehlt: Im Praxisversuch war es nicht sehr schwierig, durch Eingabe von Keywords aus der Schmuddel oder Raubkopierecke zu Seiten zu gelangen, vor denen Google nicht warnt, die aber sehr wohl Malware enthalten - in erster Linie Dialer (das sind Programme, die das Modem dazu überreden, nicht den Provider, sondern teure Mehrwertnummern anzurufen). Andererseits findet man in den StopBadwareForen immer wieder glaubwürdige Klagen darüber, dass Sites ohne erkennbaren Grund für gefährlich erklärt werden, StopBadware die betroffenen Webmaster lediglich an Google verweist und der Fall dort im Sande verläuft.8)
  • Ad Privatsphäre: Google kennt zwangsläufig die vom User eingegebenen Suchwörter und seine IPAdresse - dass es durch den Aufruf der Warnungsseite auch noch erfährt, wenn eine "böse Seite" angeklickt wurde, ist da fast schon nebensächlich.
  • Zur Wirksamkeit des Ganzen ist zu sagen, dass Google zwar seine eigenen Suchergebnisse weißwaschen, aber nicht verhindern kann, dass der User anderswo auf einen Link zur "bösen Seite" klickt. Das Service deckt somit nur ein kleinen Bruchteil der Risiken ab.

Foren-Postings deuten darauf hin, dass Google bzw. StopBadware fallweise die Webmaster jener Sites verständigt, bei denen ein Problem gefunden wird, dass es dafür aber noch keine fixen Prozesse gibt. Es ist bedauerlich, dass hier die Chance vertan wird, Probleme in direkter Zusammenarbeit zu beseitigen und damit echten Nutzen zu stiften. In Summe wundert man sich, dass Google mit einem derart unausgegorenen Flickwerk offiziell in Betrieb gegangen ist, und das schon vor über einem Jahr.

Filter auf der Seite des Users: Helferlein im Webbrowser

Sowohl MSInternet Explorer als auch Mozilla Firefox haben in jüngeren Versionen einen Schutz vor PhishingSeiten eingebaut. Weiters gibt es einige Plugins, die vor verschiedenen Arten von "bösen Seiten" schützen sollen und unterschiedliche Methoden und Datenquellen nutzen. All diesen Produkten ist gemeinsam, dass sie den URL der Seite, die in den Browser geladen werden soll, mit einer Datenbank abgleichen, die "böse Seiten" verzeichnet. Erweist sich eine Seite als "böse", wechselt zum Beispiel ein Kästchen in einer Menüleiste von grün auf rot oder es wird eine Warnseite eingeblendet.

Die Integration in den Browser hat bestechende Vorteile:

  • Der Anwender entscheidet selbst, welche Filter er einsetzen möchte und welche nicht. Diese Freiheit birgt aber auch ein Risiko, das bereits von Virenscannern bekannt ist: Malware, die trotz aller Vorkehrungen einen Weg auf den Computer findet, kann die Filter ebenfalls (und hinterrücks) wieder ausschalten.
  • Die Bedienung kann gleichzeitig einfacher und mächtiger gestaltet werden z.B. durch Popups, die die Gefährlichkeit einer Seite bereits anzeigen, wenn sich der Mauszeiger nur über dem dorthin führenden Link befindet, oder durch ausführliche Hintergrundinformationen in den Werkzeugleisten des Browsers.
  • Jede aufgerufene Seite kann individuell überprüft werden. Dies steht im krassen Gegensatz zu Sperren ganzer Domains bzw. Server wegen einer einzelnen Seite, die der Anwender möglicherweise ohnehin nicht besucht hätte. Die Prüfung geht auch über Googles Ansatz hinaus, der nur die Links auf der eigenen SuchergebnisSeite umfassen kann.
  • Sofern die "Böse-Seiten-Datenbank" auf dem PC des Anwenders gespeichert ist und regelmäßig aktualisiert wird, werden keine Informationen über die vom User aufgerufenen Seiten nach außen weitergegeben. Aus technischen Gründen wird allerdings dennoch oft die Online-Abfrage bevorzugt.

Um die verwendeten Methoden vorzustellen, werden hier vier Anwendungen exemplarisch näher beleuchtet: Microsofts Phishing Filter, der Phishing Filter von Firefox, McAfee SiteAdvisor und WOT.

Microsoft Phishing Filter

In Internet Explorer 7, der bei Windows Vista mitgeliefert wird und auch auf Windows XP ab Service Pack 2 installiert werden kann, ist der Microsoft Phishing Filter bereits enthalten, muss jedoch erst eingeschaltet werden.9) Als Kompromiss zwischen Aktualität der Datenbasis und Wahrung der Privatsphäre kombiniert der Filter lokale Listen (sowohl von bekannten "guten" als auch von bekannten "bösen" Websites) und heuristische Seitenanalysen im PC des Anwenders mit einer Online-Abfrage bei den verbleibenden Zweifelsfällen. Eine ganz ähnliche Funktionalität bietet Microsofts Windows Live Toolbar.10) Diverse von Microsoft in Auftrag gegebene Studien bescheinigen dem Filter hervorragende Trefferraten.11)

Woher Microsoft allerdings die Informationen über die PhishingSeiten bezieht, geht aus der Dokumentation12) nicht klar hervor. Naheliegend wäre, bekannte Meldestellen (www.apwg.org, www.phishtank.com etc.), Microsofts eigene Suchmaschine sowie URLs aus eMails heranzuziehen, die sich in Microsofts Spamfilter bzw. bei Hotmail verfangen haben. Offenbar werden diese Seiten mittels heuristischer Analyse selektiert und zu einer Liste verdächtiger Seiten zusammengestellt. Die weitere Beurteilung erfolgt quasi per Volksabstimmung: Über ein Menü kann jeder Anwender seine Meinung darüber abgeben, ob die dargestellte Seite seiner Meinung nach legitim ist oder nicht. Ob auch eine professionelle Beurteilung seitens Microsoft erfolgt, erschließt sich nicht.

Leider verständigt Microsoft die Betreiber der Sites, die eine PhishingSeite enthalten, nicht. Damit nicht genug: Die einzige Möglichkeit nachzusehen, ob z.B. die eigenen Seiten als PhishingSeiten gelistet sind, besteht über den Internet Explorer oder die Windows Live Toolbar. Dasselbe gilt, wenn man mit Microsoft in Kontakt treten will, um Einwände gegen ein irrtümliches Listing zu erheben oder zu melden, dass die PhishingSeiten entfernt wurden. Damit sind Personen, die kein Betriebssystem von Microsoft verwenden, vom gesamten Verfahren ausgeschlossen. Leider deutet auch nichts auf eine Zusammenarbeit bzw. einen Abgleich mit bereits etablierten Verzeichnissen und Organisationen hin. Wie Google hat auch Microsoft eine immense Chance vertan, wirklich zur Sicherheit im Internet beizutragen.

Firefox Phishing Filter

Ähnlich Microsofts Phishing Filter hat auch Firefox ab Version 2 einen Schutz vor PhishingSeiten eingebaut (siehe Abb. 4). Dieser ist standardmäßig aktiviert und greift nur auf eine lokale Datenbank zu, sodass die Privatsphäre des Anwenders gewahrt bleibt. Um bessere Ergebnisse zu erzielen, wird jedoch empfohlen, die Konfiguration derart zu ändern, dass der URL jeder aufzurufenden Seite online bei Google geprüft wird. Dieser Rat ist schwer nachzuvollziehen: Da die lokale Datenbank laut Dokumentation ohnehin alle 30 bis 60 Minuten aktualisiert wird und es viel länger dauert, bis eine PhishingSeite gemeldet und überprüft wurde, ist der Zeitgewinn vernachlässigbar. Wenn man bedenkt, dass Firefox bei jeder OnlineAbfrage den gesamten URL inklusive allfälliger Parameter übermittelt, wiegt der Verlust an Privatsphäre wohl deutlich schwerer.

Abb. 4: Firefox-Warnung vor einer Phishing-Seite.

 

Firefox benutzt die Datenbestände von Google, um zu entscheiden, welche Seiten gut und welche böse sind. Daher gilt für seine Zuverlässigkeit das bereits weiter oben über Google und StopBadware Gesagte. Ebenso wie Internet Explorer bietet auch Firefox ein in den Browser integriertes Menü, um PhishingSeiten zu melden.

In der nächsten FirefoxVersion soll der Schutz auch sonstige Malware umfassen. Die zu Redaktionsschluss jüngste Entwicklerversion (Gran Paradiso Alpha 8) hat in einem kurzen Test aber keinerlei Erfolg gezeigt hier muss man sich wohl noch etwas in Geduld fassen.

McAfee SiteAdvisor

SiteAdvisor ist als kostenloses Plugin für Internet Explorer und Firefox erhältlich. Das Plugin vergleicht die Domainnamen der im Browser aufgerufenen Seiten mit der Datenbank von McAfee und zeigt im Fall eines Treffers eine deutliche Warnung an (siehe Abb. 5).

Abb. 5: SiteAdvisor-Warnung vor einer Phishing-Seite.

 

Entscheidend ist naturgemäß die Qualität der abgefragten Datenbank. Hier haben sich die Entwickler - übrigens keine Mitarbeiter von McAfee, sondern frisch gebackene Absolventen des Massachusetts Institute of Technology (MIT) - etwas einfallen lassen: So wie es auch die Suchmaschinen tun, lassen sie die Webseiten im World Wide Web automatisch abgrasen und laden die gefundenen Seiten und Dateien in simulierte (virtuelle) PCs. SiteAdvisor schaut quasi mit der Röntgenkamera in diese PCs hinein, und wenn bestimmte Veränderungen am System oder ProgrammMerkmale erkannt werden, die für Malware typisch sind, wird die betreffende Website als "böse" markiert.13)

So einleuchtend das Konzept klingen mag - in der Praxis erfüllt SiteAdvisor die Erwartungen leider doch nicht. Das konnten wir am eigenen Leib (genauer: an der eigenen Domain) spüren, als univie.ac.at als gefährlich eingestuft wurde.

Das Offensichtliche zuerst: Es reicht nicht, lediglich den Domainnamen als Kriterium für die Gefährlichkeit einer Webseite heranzuziehen. Am Beispiel der Universität Wien zeigt sich, dass es völlig überzogen und für den Anwender gar nicht hilfreich ist, alle Webseiten einer Domain über einen Kamm zu scheren und als "böse" zu markieren selbst wenn sich vielleicht irgendwo in den Tiefen dieses Webspace eine Malware eingeschlichen haben sollte. Um nützlich zu sein, müsste SiteAdvisor einzelne Seiten oder wenigstens Verzeichnisbäume bewerten. Kaum tröstlich, aber doch ein positiver Aspekt: McAfee erfährt nicht, welche Seiten genau vom Anwender aufgerufen wurden, sondern nur deren Domainnamen.

Immerhin kann man bei SiteAdvisor leicht online nachvollziehen, wie eine Bewertung zustande gekommen ist. Hierbei staunten wir nicht schlecht, als wir feststellen mussten, dass Dateien auf unserem FTPServer (der mit dem Webserver nichts zu tun hat) für McAfees Warnung vor unserer Domain verantwortlich waren.14)

Noch größere Augen bekamen wir dann, als wir sahen, warum der FTPServer der Uni Wien in Verruf geraten war: Ganze zwei Dateien aus der umfassenden und immerhin seit 1995 existierenden Softwaresammlung WinSite, die wir dort als Kopie für unsere User zur Verfügung stellten,15) waren vom Automatismus als "böse" eingestuft worden. Der letzte Download, den SiteAdvisor von unserem FTPServer gemacht hatte, lag allerdings bereits ein Jahr zurück die Grundlage für das ohnehin höchst zweifelhafte Urteil von SiteAdvisor war also hoffnungslos veraltet.

Noch ein Minus: Selbst die Entwickler solcher automatisierter Tests sind der Meinung, dass diese nicht immer funktionieren, sondern in manchen Fällen ein Mensch zwischen "gut" und "böse" entscheiden muss.16) In unserem Beispiel ist die Exaktheit wohl dem Rechenstift zum Opfer gefallen unsere Bitte an McAfee, die unsinnige Bewertung unserer Domain und die der ebenfalls betroffenen TU Wien zu korrigieren, wurde höflich aber abschlägig beantwortet, mit der Begründung, dass die gesamte Überprüfung automatisiert und daher nicht beeinflussbar sei.

Schließlich bleibt noch zu erwähnen, dass auch McAfee das, was den meisten Nutzen für die Anwender brächte, nicht tut: nämlich die Sitebetreiber von dem (vermeintlichen) Problem in Kenntnis setzen.

Wenn McAfee, einer der traditionsreichsten Hersteller von AntivirusProdukten, einen in den Browser integrierten Schutz vor "bösen Seiten" herausbringt, kann man ein seriöses Produkt erwarten. Mit dieser halbgaren Bastellösung, so interessant und vielversprechend die technischen Ansätze auch sind, hat sich McAfee aber nicht mit Ruhm bekleckert.

WOT

Wie SiteAdvisor ist WOT ein von frisch gebackenen - diesmal finnischen - Studienabsolventen entwickeltes Bewertungsservice, das sich gegenwärtig jedoch nur mit Firefox nutzen lässt. Auch WOT differenziert nicht die einzelnen Seiten einer Website, sondern gleicht nur den Domainnamen mit einer Datenbank ab.

Das Besondere an WOT ist, dass nicht einfach zwischen "gut" und "böse" unterschieden wird, sondern neben einer Gesamtwertung drei verschiedene Gesichtspunkte beurteilt werden: Vertrauenswürdigkeit als Geschäftspartner, Umgang mit der Privatsphäre und "Kindersicherheit" nach USamerikanischen Wertmaßstäben (siehe Abb. 6).

Abb. 6: WOT teilt Seiten nicht nur in "gut" und "böse" ein, sondern bietet eine differenzierte Beurteilung.

 

Ganz im Gegensatz zu SiteAdvisor beruht die Beurteilung von Websites hier überhaupt nicht auf technischen Kriterien, sondern ergibt sich vielmehr aus den Bewertungen der WOT-Benutzerschaft. Um speziell bei neuen Seiten (wie es z.B. PhishingSeiten regelmäßig sind) schnell eine Bewertung anbieten zu können, bezieht WOT auch Informationen von über hundert weiteren Systemen mit ein, beispielsweise vom Phishingseiten-Verzeichnis phishtank.com.

Dieser basisdemokratische Ansatz ruft natürlich gerade bei Fragestellungen, bei denen Sicherheitsspezialisten gefordert sind, einige Skepsis hervor. Erstaunlicherweise scheint das System aber gar nicht schlecht zu funktionieren, jedenfalls sind im - freilich nicht repräsentativen - Test keine groben Schnitzer aufgefallen. Auch die subjektive Zufriedenheit der Anwender im WOTForum scheint recht groß zu sein, gerade im Vergleich zu SiteAdvisor.

Fazit

Obwohl einige der Ansätze, die derzeit verfolgt werden, um den Anwender vor "bösen" Webseiten zu schützen, durchaus vielversprechend scheinen, sind derartigen Werkzeugen einige grundlegende Grenzen gesetzt:

  • Eine Schwierigkeit liegt darin, die Zielsetzung genau zu definieren. Wenn in diesem Artikel durchgehend die moralinsauer anmutenden Begriffe "gute Seiten" und "böse Seiten" verwendet wurden, dann deshalb, weil es unzählige mögliche Definitionen dafür gibt: Mit diffusen Begriffen kann die Informationstechnologie traditionell sehr schlecht umgehen. Ein Ausweg könnte darin bestehen, den mündigen Anwender im Einzelfall genau und verständlich darüber zu informieren, welche Arten von Gefahren oder Unannehmlichkeiten es gibt, und ihn wählen zu lassen, welche von ihm ferngehalten werden sollen.
  • Ein gravierenderes Problem ist das der Menge. Derzeit ist nicht absehbar, dass vollautomatische Systeme jemals eine brauchbare Klassifizierung zuwege bringen werden. Eine manuelle Prüfung erfordert aber einen ungeheuren Personaleinsatz, der nur für ein eher enges Anwendungsgebiet - etwa Phishing-Seiten - bezahlbar erscheint. Es muss deshalb damit gerechnet werden, dass alle diese Systeme noch länger ein Problem mit der Treffsicherheit haben werden.
  • Eine weitere Komplikation entsteht durch die Möglichkeit, Webseiten dynamisch umzugestalten. Bereits jetzt gibt es zahlreiche Webseiten, die sich z.B. den GoogleRobots anders präsentieren als dem normalen Anwender. Warum sollten "böse Seiten" nicht ebenfalls eine harmlose Variante vorhalten, die sie den MalwareFahndern zeigen? Im einfachsten Fall reicht es bereits, ein durch einen Computer nur sehr schwer lösbares Bildrätsel - z.B. ein so genanntes Captcha17) - vor die eigentliche Malware zu setzen, damit diese nicht von Automaten entdeckt werden kann.
  • Eine besondere Gefahr ergibt sich aus dem falschen Sicherheitsgefühl: Wer sich auf den Ratschlag eines Webseiten-Gutachters verlässt und dabei nicht bedenkt, dass auch dieser nur einen Teil der "bösen" Seiten erkennen kann, gerät möglicherweise in Versuchung, die anderen Sicherheitsmaßnahmen zu vernachlässigen - und fällt den unerkannten Bösewichten dann völlig wehrlos zum Opfer.
  • Das Gegenstück zur unerkannten Gefahr ist der falsche Alarm. Geschieht dies zu häufig, werden die Anwender (zu Recht) das Vertrauen in das System verlieren und es umgehen. Damit ist die Schutzwirkung dahin.
  • Bei den derzeit wohl aussichtsreichsten Kandidaten für gute Schutzsysteme, den BrowserPlugins, sind auch die möglichen Nebenwirkungen zu bedenken. Schließlich handelt es sich um Software, die obendrein noch mit anderer Software zusammenarbeiten muss, was das Gesamtsystem noch komplexer macht. Erhöhte Komplexität führt in der Datenverarbeitung traditionellerweise zu erhöhter Fehleranfälligkeit und zu mehr Sicherheitslücken.
  • Selbstverständlich ist davon auszugehen, dass alle diese Schutztechnologien auch das Interesse verschiedener (para)staatlicher Organe wecken. Diese könnten auf die Idee kommen, ihrer Meinung nach schädliche Inhalte - anfangs z.B. Informationen zur Herstellung von Sprengstoffen - zu unterdrücken. Eine andere Möglichkeit wäre, natürlich nur im begründeten Einzelfall (erst bei Terrorismus und Kinderpornographie, später wohl auch bei illegalem Filesharing), auf die Protokolle der FilterDatenbanken und damit auf das Surfverhalten des Anwenders zuzugreifen.

Den Anstrengungen, die Anwender zuverlässig vor "bösen Webseiten" zu schützen, weht ein rauer Wind entgegen. Dennoch ist es wichtig, alle verfügbaren Mittel in dieser Richtung auszuschöpfen. Dabei darf auch keinesfalls vergessen werden, dass "böse" Webseiten nur teilweise ein technisches Problem sind. Beispielsweise müssen auch die rechtlichen Rahmenbedingungen geschaffen werden, um mittels Computer verübte Verbrechen international verfolgen zu können. Weiters müssen die Netzbetreiber die logistischen und vertraglichen Voraussetzungen schaffen, um missbräuchlich verwendete Rechner, die sich in ihrem Einflussbereich befinden, rasch aus dem Verkehr ziehen und sanieren zu können.

Die Industrie hat ganz offensichtlich den Bedarf erkannt, das Websurfen sicherer zu gestalten. Die bisher vorliegenden Ergebnisse sind unbefriedigend und noch zu sehr im Bastelstadium, um guten Gewissens empfohlen werden zu können. Man kann gespannt und hoffnungsvoll sein, was die Zukunft bringt.

 

 

1) Näheres dazu finden Sie im Artikel Phishing - Bitte nicht anbeißen! in Comment 06/2, Seite 37 bzw. unter http://comment.univie.ac.at/062/37/.

2) Es gibt auch Filterkomponenten, die ähnlich einer Firewall an der Verbindung zwischen einem Firmennetz und dem Internet installiert werden. Der ZID der Universität Wien setzt keine solchen Geräte ein und für den Privatanwender kommen sie ebenfalls nicht in Betracht, deshalb wird hier nicht näher auf diese Variante eingegangen.

3) Malware umfasst hier neben alten Bekannten wie Viren, Würmern und Trojanischen Pferden auch Software, die den Anwender ausspioniert (Spyware), die Fremden den Zugriff auf den Rechner ermöglicht (Backdoors), die in penetranter Weise Werbeeinblendungen vornimmt (Adware) oder die ihre Existenz verschleiert und sich nicht wieder deinstallieren lässt (Rootkits).

4) Als Blacklist bezeichnet man in diesem Zusammenhang eine "schwarze Liste" von bekannten Spamversendern, die MailserverBetreiber zur Spambekämpfung heranziehen können.

5) Gerade bei größeren Netzen kann das allerdings zu einem beliebig komplizierten und langwierigen Unterfangen werden. Für den Bereich der Universität Wien wurde einiges an Arbeit investiert, um die notwendigen Werkzeuge und Abläufe für eine praktikable InternetNotbremse zu entwickeln.

6) siehe www.heise.de/newsticker/meldung/96100/

7) siehe www.stopbadware.org/home/reportsearch

8) siehe http://groups.google.com/group/stopbadware/browse_thread/thread/2614b64b3633f34

9) siehe www.microsoft.com/germany/windows/products/windowsvista/features/details/ie7antiphishing.mspx

10) siehe http://toolbar.live.com/?mkt=dede

11) siehe www.3sharp.com/projects/antiphishing/gonephishing.pdf

12) siehe das unter www.microsoft.com/mscorp/safety/technologies/antiphishing/default.mspx downloadbare AntiPhishing White Paper

13) siehe www.codecon.org/2006/program.html#siteadvisor

14) Pikanterweise hat SiteAdvisor den FTPServer nicht auf seine Rote Liste gesetzt, wohl aber www.univie.ac.at und univie.ac.at.

15) siehe Artikel Softwarearchive auf dem FTPServer der Universität Wien in Comment 97/1, Seite 29 bzw. unter http://comment.univie.ac.at/971/29/

16) siehe www.securityfocus.com/news/11376

17) siehe http://de.wikipedia.org/wiki/Captcha