Ein CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart) ist ein Test, der automatisierte Bots von menschlichen Benutzern unterscheiden soll. Varianten reichen von verzerrten Buchstaben über Bildauswahl bis zu unsichtbaren Verhaltensanalysen (reCAPTCHA v3).
Im ISMS-Kontext dient CAPTCHA der Umsetzung von ISO 27001 Annex A Controls A.8.5 (Sichere Authentifizierung) und A.8.20 (Netzwerksicherheit). Es schützt Anmeldeformulare gegen Brute-Force-Angriffe, Registrierungsseiten gegen automatisierte Massenanmeldungen und Kontaktformulare gegen Spam. Bei der Auswahl ist der Datenschutz zu beachten: reCAPTCHA sendet Nutzerdaten an Google, was DSGVO-Fragen aufwirft. Datenschutzfreundliche Alternativen sind hCaptcha, Friendly Captcha oder serverseitige Rate-Limiting-Ansätze.