Der Ticketverkauf für populäre Events ist seit jeher ein heiß umkämpftes Terrain. Bei zahlreichen Konzerten, Sportveranstaltungen oder Theateraufführungen übersteigt die Nachfrage das Angebot bei weitem. Ein voller Veranstaltungsort ist natürlich aus organisatorischer Sicht erfreulich, doch es zieht auch unerwünschte Akteure an: sogenannte Ticket-Scalper oder Wiederverkäufer, die mit dem Ziel agieren, Tickets aufzukaufen und zu stark überhöhten Preisen weiterzuverkaufen. Um dieser Praxis entgegenzuwirken, setzen viele Plattformen seit Jahren auf CAPTCHAs als technischen Schutzmechanismus. Doch diese klassischen Herausforderungen an den Nutzer sind mittlerweile überholt und bringen keine zuverlässige Sicherheit mehr.
CAPTCHAs wurden vor über 20 Jahren entwickelt, um automatisierten Zugriff von Menschen zu unterscheiden. Dabei ging es vor allem darum, Probleme zu schaffen, die für Menschen leicht, für Maschinen aber schwer lösbar sind. Anfangs konzentrierte man sich auf verzerrte Texte, die Menschen noch entziffern konnten, Computer aber nicht. Spätere Varianten nutzten Bilderkennung, bei der Nutzer verschiedene Objekte auswählen sollten. Im Laufe der Zeit ist die Computertechnologie, insbesondere durch Fortschritte bei künstlicher Intelligenz und maschinellem Lernen, jedoch derart verbessert worden, dass Maschinen diese Aufgaben mittlerweile mit Leichtigkeit lösen können – oft schneller und präziser als Menschen.
Die Schwierigkeit, eine Herausforderung zu gestalten, die für Menschen leicht, für Maschinen dennoch unüberwindbar bleibt, wird immer größer. Werden die Aufgaben zu schwer gestaltet, leiden darunter die Nutzerfreundlichkeit und die Barrierefreiheit. Gerade letztere ist in vielen Ländern, unter anderem in Europa, inzwischen gesetzlich vorgeschrieben. Menschen mit Behinderungen nutzen Hilfsmittel wie Screenreader, die ebenfalls auf Browser-APIs und Interaktionen aufbauen, die sich kaum von denen automatisierter Bots unterscheiden lassen. Das bedeutet, dass typische Verhaltensmuster, die man versuchen könnte zur Bot-Erkennung einzusetzen, auch bei legitimen Nutzern vorliegen, was zu falschen Sperrungen führen kann.
Moderne Ansätze versuchen daher, den Nutzer nicht mehr durch Rätsel zu prüfen, sondern analysieren das Verhalten im Web. Google hat bereits 2014 mit dem sogenannten „One-Click CAPTCHA“ begonnen und mit reCAPTCHA v3 sogar eine „unsichtbare CAPTCHA“-Technologie eingeführt, die komplexe Verhaltensmodellierung und Datensammlung im Hintergrund nutzt, um Zugang zu gewähren oder zu verweigern. Andere Anbieter wie Cloudflare oder Akamai bieten ähnliche Lösungen an. Diese Systeme füttern maschinelle Lernmodelle mit umfassenden Datenprofilen, um menschliches Verhalten von Bot-Verhalten zu unterscheiden. Dieser Ansatz hat allerdings zwei große Nachteile.
Zum einen ist der Datenschutz betroffen, denn um verlässliche Profile zu erstellen, müssen viele Informationen über User gesammelt werden – häufig nicht nur auf der jeweiligen Ticket-Plattform, sondern über ganze Netzwerke hinweg. Diese zentrale Datensammlung widerspricht zunehmend geltenden Datenschutzrichtlinien und führt zu berechtigten Bedenken seitens der Nutzer. Zum anderen besteht gerade im Ticketing die Problematik der sogenannten False Positives: Das heißt, legitime Nutzer werden fälschlicherweise als Bots identifiziert und vom Ticketkauf ausgeschlossen. Dieses Risiko ist in einem Umfeld mit hohem Erfolgsdruck und limitiertem Angebot besonders kritisch, da es unethisch ist, potenzielle Käufer aus dem Kreis zu werfen, insbesondere wenn es sich um Menschen handelt, die assistive Technologien nutzen oder erst zum ersten Mal auf der Seite sind. In einem Versuch, diese Probleme zu umgehen, greifen manche Anbieter auf sogenannte Proof-of-Work-Verfahren zurück.
Dabei wird der Computer des Nutzers dazu gebracht, eine aufwändige Rechenaufgabe zu lösen, deren Ergebnis schwer zu fälschen ist. Die Kosten in Energie und Zeit sollen so automatisierte Angriffe unattraktiv machen. Allerdings zeigt die Ökonomie beim Ticketing, dass diese Methode nicht effektiv ist. Während beim Spam ein Mindestpreis pro Nachricht aufgebracht werden muss, der den Profit einschränkt, können Ticket-Scalper auch mit geringen Mehrkosten sehr hohe Margen erzielen. Selbst wenn die Bezahlung eines minimalen Rechenaufwands erforderlich wäre, dürfte das den Anreiz zum massenhaften Ticketkauf kaum mindern.
Ein weiteres Problem ist, dass traditionelle CAPTCHAs mittlerweile selbst mit moderner KI-Technologie sehr kostengünstig automatisiert werden können. Das gilt sowohl für Bild- und Texterkennung als auch für Audio-CAPTCHAs. Hinzu kommen Dienste, die menschliche Arbeitskraft in günstigen Regionen nutzen, um CAPTCHAs schnell und zuverlässig zu lösen und automatisierte Systeme zu umgehen. Somit verlieren CAPTCHAs als zuverlässige Barriere gegenüber Bots zunehmend ihre Daseinsberechtigung. Welche Alternativen bleiben Veranstaltern also? Viele Experten empfehlen, den Fokus weg von technischen Hindernissen hin zu organisatorischen Maßnahmen zu verschieben.
Beispielsweise können Tickets personengebunden ausgegeben werden, wodurch der Weiterverkauf deutlich erschwert wird. Eine starke Personalisierung, etwa durch Abgleich mit Ausweisdokumenten beim Einlass, kann das Geschäft mit Massentickets weniger attraktiv machen – allerdings geht damit eine Einschränkung der Flexibilität einher, wenn etwa Freunde noch nicht feststehen oder gemeinsame Besuche geplant sind. Darüber hinaus kann die Anzahl der pro Nutzer verfügbaren Tickets durch Verifizierung von Telefonnummern, Bankkonten oder Kreditkarten limitiert werden. Zwar lassen sich diese Ressourcen theoretisch auch mehrfach anlegen, der Aufwand steigt aber spürbar, wodurch die Hemmschwelle für Scalper steigt. Zudem machen solche Methoden illegale Umgehungsstrategien, etwa durch gestohlene Kreditkarten, riskanter und strafrechtlich relevanter.
Eine fundamentale Herausforderung bei der Entwicklung von Anti-Bot-Systemen im Ticketing ist das von Raphael Michel vorgeschlagene sogenannte BAP-Theorem. Es beschreibt, dass kaum eine Lösung gleichzeitig alle drei Eigenschaften Bot-Schutz, Barrierefreiheit und Datenschutz gewährleisten kann. Eine Lösung kann höchstens zwei der drei Punkte erfüllen – jede Kombination hat ihre eigenen Kompromisse. Entscheiden Veranstalter sich für einen hohen Bot-Schutz und Barrierefreiheit, müssen sie tendenziell beim Datenschutz Abstriche machen. Systeme, die umfangreiche Verhaltensanalysen mit personalisierten Daten verbinden, fallen in diese Kategorie.
Wer hingegen Privatheit und Barrierefreiheit priorisiert, bietet kaum nennenswerten Bot-Schutz und muss einfache technische Mechanismen oder gar keinen Schutz wählen. Bot-resistentes und datenschutzfreundliches Design leidet meist an mangelnder Barrierefreiheit, da strengere Schutzmaßnahmen oft Menschen mit speziellen Bedürfnissen ausschließen. Das Ticketing steht damit weiterhin vor einem schwierigen Dilemma. Die Herausforderung, eine technisch saubere, ethisch vertretbare und rechtlich einwandfreie Lösung zu entwickeln, ist enorm und lässt sich nicht mit simplen Mitteln wie CAPTCHAs lösen. Social- und Gesetzesinitiativen können Teil der Antwort sein.
Einige Länder haben bereits gesetzliche Verbote oder Einschränkungen für Ticket-Scalping erlassen, deren konsequente Umsetzung den Graumarkt reduzieren könnte. Allerdings ist dies ein langwieriger Prozess, der oft erst Schritt für Schritt Wirkung zeigt. Ticketsysteme und Veranstalter müssen demnach auf Kombinationen verschiedener Strategien setzen. Technologische Fortschritte im Bereich KI ermöglichen zwar hochentwickelte Verhaltensanalysen, diese sollten stets im Einklang mit Datensparsamkeit und respektvoller Barrierefreiheit stehen. Personalbindende Tickets und Identitätsprüfungen wirken in Kombination mit relevanten rechtlichen Rahmenbedingungen als starke Mittel gegen den Missbrauch.
![Mr. Bates vs. the Post Office [TV Series] (Horizon IT Scandal)](/images/7530B813-1461-4010-A359-18A57DC00D48)
