Spam-Schutz: Honeypot statt Captcha

Spamschutz für Formulare

Ist Ihre Website vor Spamattacken geschützt? Ob Kontaktformular, Registrierung, Bestellung, Newsletter-Anmeldung oder Gästebuch - die meisten Websites nutzen Onlineformulare: gut für die Interaktion mit der Website, leider aber auch oft auch Einfallstor für Spam-Mails.

Die bekannteste Methode, sich gegen Spam-Mails zu schützen, sind Captchas. Diese haben allerdings einige Nachteile hinsichtlich Nutzerfreundlichkeit, Barrierefreiheit und Datenschutz.

Captcha - Was ist das

Ein Captcha ist ein Test, um Spam-Bots zu erkennen und abzuwehren. Die Bezeichnung ist ein Akronym und steht für Completely Automated Public Turing test to tell Computers and Humans Apart. Das heißt frei übersetzt "vollautomatischer, öffentlicher Turing-Test, um Computer und Menschen zu unterscheiden". Es geht also darum zu erkennen, ob es sich um einen Menschen oder eine Maschine handelt, die das Formular abschicken will.

Wir kennen Captchas oft als kleine Rechenaufgabe am Ende eines Onlineformulars, die gelöst werden muss, oder als eine Reihe von Buchstaben und/oder Zahlen, die abgetippt werden muss, bevor beispielsweise die Nachricht versandt werden kann. Captchas dienen dazu, Spam und automatisches Extrahieren von Daten zu verhindern.

Vorteile und Nachteile von Captchas

Der Nutzen von Captchas ist: Der Administrationsaufwand für die eigene Website kann deutlich reduziert werden, weil Spam vermieden wird, und Server werden entlastet. Allerdings haben Captchas auch so einige Nachteile. Es ist nicht nur so, dass sie für viele Menschen lästig sind und die Verifizierung oft nicht reibungslos läuft, was für Frustration sorgt. Durch die verpflichtende Interaktion mit den Captchas reduziert sich nachweislich die Conversion Rate von Onlineformularen. Sprich: Die Websitebesuchenden brechen das Senden oder Anmelden einfach ab. Außerdem erschweren Captchas vor allem sehbehinderten Personen die Nutzung der Website und sind deshalb nicht barrierefrei. Es leidet also die Nutzbarkeit, die sogenannte Usability der Seite.

Es gibt Alternativen, die diese negativen Nebenwirkungen nicht haben und trotzdem einen effektiven Spam-Schutz bei Formularen bieten. Eine davon ist Honeypot.

Was ist Honeypot

Ein Honeypot ist eine Spam-Schutz-Maßnahme für Onlineformulare und Eingabemasken, um den Missbrauch durch Bots zu verhindern. Honeypots stellen eine Art Attrappe dar, die nur Bots "sehen" können.

Im Allgemeinen sind Honeypots Einrichtungen, die vom eigentlichen Ziel ablenken sollen. Der Ursprung der Bezeichnung kommt daher, dass Bären mit einem Topf Honig sowohl abgelenkt als auch in eine Falle gelockt werden können. In unserem Fall sind Bots die Bären, deren Ziel es ist, Spam-Attacken über Onlineformulare durchzuführen. Zur Ablenkung der Bots braucht es nur einen "Honigtopf", mit dem die Bots in eine Falle gelockt werden.

Beim Formular auf einer Website ist dieser Honeypot ein Formularfeld, das für Menschen - mittels CSS und JavaScript - unsichtbar gemacht wird. Wer dieses Feld also ausfüllt, besteht den Test nicht. Das Senden des Formulars wird dann blockiert. Wer das Feld erst gar nicht sieht - nämlich menschliche Websitebesuchende - kann es auch nicht ausfüllen.

Dieser Trick funktioniert, weil Bots in der Regel alle Felder ausfüllen und nicht erkennen, ob ein Feld für menschliche Augen ausgeblendet wurde.

Barrierefreiheit mit Honeypot

Während Captchas in den meisten Fällen nicht barrierefrei sind, sind Bedienbarkeit und Barrierefreiheit des Formulars eine Stärke von Honeypot-Lösungen. Die meisten Nutzer*innen bemerken diese Spam-Schutzmaßnahme erst gar nicht. Denn sie müssen selbst nichts tun, um sich als Mensch zu verifizieren und das Formular absenden zu können. Somit sinkt auch die Wahrscheinlichkeit eines Abbruchs.

Im Idealfall kann das "Honigtopf-Feld" auch nicht mit der Tastatur angesteuert werden. Dann bekommen auch Anwender*innen, die auf eine barrierefreie Website angewiesen sind, nichts von der Attrappe mit. Oder es wird, z. B. bei der Nutzung der Website mit einem Screenreader, vor dem Ausfüllen des "unsichtbaren" Eingabefeldes gewarnt.

reCaptcha: Nett, aber Datenschutz-Risiko

Als Alternative zu Captchas greifen viele für den Schutz Ihrer Website auf Googles invisible reCaptcha zurück. Wenn es darum geht, mit hoher Sicherheit Spam abzufangen, ist diese aktuelle Lösung definitiv eine gute Wahl. Es genügt, einfach das Feld "I'm not a robot" ("Ich bin kein Bot.") anzuklicken.

Im Hintergrund läuft ein Algorithmus, der aufgrund von verhaltensbasierten Analysen der Websitebesuchenden eine Wahrscheinlichkeit berechnet, ob es sich um einen Bot oder einen Menschen handelt. Bei einer solchen "Risikoanalyse" werden zum Beispiel bisherige Browserinteraktionen, Bewegungen mit der Maus und Verweildauer beurteilt. Sind diese Daten überzeugend, reicht dieser eine Mausklick auf "I'm not a robot." aus. Wenn nicht, muss doch ein Captcha gelöst werden.

Doch Vorsicht: Für alle, denen DSGVO-konforme Lösungen wichtig sind, ist Googles reCaptcha nichts. Denn für die Einschätzung "Bot oder Mensch" werden personenbezogene Daten an den Suchmaschinengiganten in den USA weitergeleitet. Deshalb steht Googles reCaptcha aus Datenschutzsicht in der Kritik. Wer nicht aufzeigen kann, wie Google die abgerufenen Daten verarbeitet - und darüber gibt es keine genaue Auskunft, kann Anwender*innen nicht transparent informieren und den rechtmäßigen Einsatz von reCaptchas nicht nachweisen. Deshalb können wir keine Empfehlung für diese Spam-Schutz-Lösung geben.

Autor: Marco Wolf

Spam-Schutz für Ihre Website? Wir machen das

Bei unseren Kundenprojekten sind wir immer auf die beste Lösung bedacht. Zusammen mit unseren Kunden und deren Anforderungen entscheiden wir, ob Honeypot, Captcha oder eine andere Maßnahme zum Schutz vor Spam eingesetzt wird.

Planen Sie gerade eine neue Website mit barrierefreiem, DSGVO-konformem Spam-Schutz? Wir machen das. Für Sie. Mit Ihnen gemeinsam. Kontaktieren Sie uns!

Bitte geben Sie hier Ihren Namen an.
Bitte füllen Sie dieses Feld aus.
Bitte geben Sie hier Ihre Nachricht ein.

 

Mit dem Absenden des Formulars stimmen Sie unseren Datenschutzbestimmungen zu.

Auch interessant