Google hat Ende April eine neue Sicherheitsplattform namens "Google Cloud Fraud Defense" vorgestellt, die die bekannte reCAPTCHA-Technologie um Funktionen für die sogenannte agentische Web-Welt erweitern soll. Das System soll nicht nur klassische Bots abwehren, sondern auch KI-gesteuerte Agenten erkennen, klassifizieren und kontrollieren.

Dabei setzt Google unter anderem auf ein neues Verifikationsverfahren, das bisherige Puzzle-Captchas durch das Scannen eines QR-Codes mit dem Smartphone ersetzen soll. Ziel ist es laut Google, automatisierten Betrug "wirtschaftlich unrentabel" zu machen – und für die meisten Nutzer soll der Prozess so unauffällig sein, dass sie ihn gar nicht bemerken.

Google Play Services als Voraussetzung

Was Google in seiner Ankündigung vom 22. April nicht erwähnte: Die neue Verifikationsmethode stellt für Android-Geräte eine harte technische Voraussetzung. Wer den QR-Code-Challenge erfolgreich absolvieren will, benötigt Google Play Services in Version 25.41.30 oder höher – so steht es in einem zugehörigen Support-Dokument, das erst durch einen Beitrag im Reddit-Forum "degoogle" breitere Aufmerksamkeit erfuhr.

Die Anforderung ist kein frisches Produkt der Fraud-Defense-Ankündigung. Ein Archiv-Snapshot von Anfang Oktober 2025 zeigt, dass eine frühere Variante derselben Support-Seite bereits damals existierte und damals noch Version 25.39.30 voraussetzte. Google hat die Infrastruktur also über Monate aufgebaut, bevor das Produkt offiziell vorgestellt wurde.

Für eine wachsende, datenschutzbewusste Nutzergruppe bedeutet das eine strukturelle Ausgrenzung. Wer ein Android-Gerät mit einem Custom-ROM wie LineageOS oder GrapheneOS betreibt, ein Huawei-Smartphone ohne Google-Dienste nutzt oder bewusst auf eine "de-Googled"-Konfiguration setzt, scheitert an dieser Anforderung per Definition.

Das betrifft nicht nur eine Randgruppe von Technikfans: In Teilen Osteuropas, Asiens und Afrikas ist der Anteil an Geräten ohne Google Play Services erheblich. Gleichzeitig ist die Anforderung für jene, die sie erfüllen, ein Eingeständnis: Wer die neue reCAPTCHA-Infrastruktur nutzt, muss Googles proprietäres App-Framework als dauerhaften Bestandteil seines Smartphones akzeptieren. Nutzer von Apple-Geräten müssen derweil die App "reCAPTCHA" aus dem App Store installieren.

Einladung zum Quishing

Daneben wirft der QR-Code-Ansatz selbst sicherheitstechnische Fragen auf, die Google in seiner Ankündigung nicht thematisiert. Die Security-Community kennt die Angriffsmethode "Quishing" – QR-Code-Phishing – seit Jahren. Sobald Nutzer daran gewöhnt sind, beim Aufruf von Webseiten routinemäßig QR-Codes zu scannen, entsteht eine Erwartungshaltung, die Kriminelle mit manipulierten Overlays oder täuschend echten Fake-Seiten ausnutzen können.

Ein QR-Code, der in einem Webseiten-Fenster erscheint, ist für die meisten Nutzer optisch kaum von einer gefälschten Variante zu unterscheiden. Ob Google hier durch das Hintergrundwissen seiner Fraud-Intelligence-Plattform – die nach eigenen Angaben 50 Prozent der Fortune-100-Unternehmen und über 14 Millionen Domains schützt – ausreichend Gegenmaßnahmen bereitstellt, bleibt offen.

Für die meisten Nutzer unsichtbar

Wie spürbar die Einschränkungen am Ende ausfallen, hängt entscheidend davon ab, wie aggressiv Googles Betrugserkennung den QR-Code-Challenge auslöst. Funktioniert die KI-gestützte Risikoerkennung so, wie Google es verspricht, sehen die meisten Nutzer den QR-Code nie. Schlägt das System jedoch häufiger als nötig an – sei es durch fehlerhafte Klassifizierung oder absichtlich niedrig angesetzte Schwellenwerte – treffen Play-Services-freie Geräte auf eine unüberwindbare Mauer.

Bestehende reCAPTCHA-Kunden werden laut Google automatisch zu Fraud-Defense-Kunden migriert, ohne Aufwand und ohne Mehrkosten. Doch was für Unternehmen nach einer reibungslosen Umstellung klingt, trägt für einen Teil der Nutzer das Potenzial, zur stillen Zugangssperre zu werden.