Im Mai 2026 kündigte Google Cloud Fraud Defense an, als nächste Evolution von reCAPTCHA, an. Das System verlangt von Nutzern, einen QR-Code mit ihrem Smartphone zu scannen, um ihre Menschlichkeit zu beweisen. Kritiker und Sicherheitsforscher bewerten diese Ankündigung jedoch nicht als echten Fortschritt in der Sicherheit, sondern als Wiederaufbereitung bereits im Jahr 2023 gescheiterter Technologien namens Web Environment Integrity. Google hatte den Versuch eingeführt, dass Browser hardwarebasierte kryptografische Nachweise liefern müssen, um zu bestätigen, dass das Gerät unverändert und von Google zertifiziert ist. Diese Initiative stieß im Juni 2023 auf heftigen Widerstand von Standardisierungsgremien und NGOs. Organisationen wie Mozilla und die Electronic Frontier Foundation warnten davor, dass dies ein kontrolliertes Internet schaffe, das an proprietäre Hardware von Google gebunden sei. Nach drei Wochen zog Google die öffentliche Initiative zurück. Drei Jahre später erscheint nun dieselbe Technologie als kommerzielles Produkt. Die Anforderungen für Google Cloud Fraud Defense listen explizit moderne Android-Geräte mit Google Play Services oder Apple-Geräte als qualifiziert auf. Google Play Services stellt die notwendige Schnittstelle bereit, die über die Play Integrity API bestätigt, dass ein Gerät unverändert und von Google genehmigt ist. Ein Gerät ohne diese Dienste kann die Prüfungen nicht bestehen. Dadurch wird die Technologie, die zuvor aus Prinzipien des offenen Internets verworfen wurde, nun zur Grundvoraussetzung für die Nutzung bestimmter Online-Dienste. Das vorgeschlagene QR-Code-Verfahren birgt zudem erhebliche praktische Schwachstellen. Bot-Betreiber können die Sicherheitsprüfung umgehen, indem sie Kameras auf Bildschirme richten, um die Scans zu automatisieren. Für den Bedarf an spezifischer Gerätebescheinigung können Bot-Farmen Android-Geräte im Volumen für rund 30 US-Dollar erwerben, was die Kosten für solche Angriffe trivial macht. Darüber hinaus schafft die Nutzung von QR-Codes zur Web-Verifizierung eine neue Angriffsfläche für Phishing-Kampagnen, da Nutzer dazu erzogen werden, QR-Codes von unbekannten Quellen zu scannen. Ein gravierenderes Problem betrifft die Privatsphäre und den Zugang. Nutzer, die Wert auf Datenschutz legen und Open-Source-Alternativen wie GrapheneOS, LineageOS oder den Firefox-Browser für Android verwenden, werden standardmäßig ausgeschlossen. Diese Systeme verzichten bewusst auf Google Play Services, um den Nutzer zu schützen. Indem Google den Zugang an seine eigene Zertifizierungsarchitektur knüpft, diskriminiert es effektiv die Nutzer, die den meisten Schutz vor Überwachung benötigen. Darüber hinaus funktioniert das System als effizientes Tracking-Tool. Jeder erfolgreich abgeschlossene Challenge sendet an Google das Signal, dass ein zertifiziertes Gerät zu einem bestimmten Zeitpunkt eine spezifische Website besucht hat. Das Ergebnis ist eine persistente Identifikation, die Sitzungen und Browser durchkreuzt, wodurch Google eine detaillierte Historie des Nutzerverhaltens auf dem offenen Internet erstellen kann. Es gibt technisch plausible Alternativen, die sowohl das Problem der Governance als auch der Verfolgung vermeiden. Systeme wie Private Captcha verwenden rechenintensive kryptografische Aufgaben, die für menschliche Nutzer minimalen Aufwand bedeuten, Bot-Farmen jedoch überproportional hohe Kosten verursachen. Diese Methoden übertragen keine Geräteidentitäten und zwingen Nutzer nicht zur Teilnahme an proprietären Zertifizierungssystemen. Zusammenfassend ist Google Cloud Fraud Defense weniger eine Verbesserung des Bot-Schutzes, sondern vielmehr die Umsetzung einer kommerziellen Überwachungsarchitektur. Die Infrastruktur, die einst als Bedrohung für die Freiheit des Internets verworfen wurde, operiert nun im Hintergrund eines kommerziellen Produkts und sammelt Attribution-Daten, die ohne öffentliche Diskussion und Prüfung ermöglicht werden. Ironischerweise wird das System aufgrund mechanischer Umgehungsmethoden und mangelnder Anpassungsfähigkeit voraussichtlich weniger effektiv gegen Bots sein als die Systeme, die es ersetzen soll.