direkt zum Inhalt

CAPTCHAs schließen nicht nur Maschinen aus

ein Stoppschild
Foto: © Joshua Hoehne/unsplash.com

Kontaktformulare ermöglichen eine schnelle Kontaktaufnahme direkt über die Webseite. Sie sind deshalb auch sehr verbreitet auf den Webseiten von Unternehmen, Institutionen und Vereinen. Leider sind sie nicht weniger beliebt bei Menschen mit kriminellen Absichten – so erfährt jedes ungeschütztes Kontaktformular, jeder Kommentarbereich, jedes Registrierungsformular früher oder später einen Sturm von Spam-Nachrichten, die einprasseln. Sie enthalten unerwünschte Werbung – vor einiger Zeit fast ausschließlich noch für zwielichtige Angebote oder Potenzmittel, heute erhalten Webseitenbetreiber*innen auch unerwünschte, aber inhaltlich passendere Angebote zur Suchmaschinenoptimierung, Domain-Verkauf et cetera.

Diese Nachrichten werden automatisiert abgeschickt, in der Regel auch nicht von einem Computer, sondern ganzen Bot-Netzwerken. Deshalb lag es schon vor einigen Jahren nahe, in das Formular eine Hürde einzubauen, die nur Menschen lösen konnten. Diese Idee war die Erfindung des »Completely Automated Public Turing Test«, besser bekannt als »CAPTCHA«. CAPTCHAs sind Aufgaben, die von den Anwender*innen beim Absenden des Formulars zu erfüllen sind, um sie damit von automatisierten Anfragen zu unterscheiden. Aber: Eine Hürde für Maschinen ist auch eine Barriere für Menschen.

Grafische CAPTCHA aus Sicht der Barrierefreiheit

Grafische CAPTCHAs sind wahrscheinlich die populärste Form. So müssen oft beispielsweise kryptische Zeichenketten abgetippt werden, die selbst mit völlig intaktem Augenlicht manchmal schwer zu erkennen sind. Bilderrätsel sind für die meisten Menschen sicher einfacherer zu lösen, aber mit Blindheit oder einer Sehbehinderung trotzdem eine Barriere.

Audio-CAPTCHA aus Sicht der Barrierefreiheit

Der Marktführer »reCAPTCHA« bietet mit einem Audio-CAPTCHA eine gute Alternative zu den grafischen CAPTCHA. Dabei wird ein Wort vorgelesen, das anschließend eingetippt werden muss. Das ist aber nicht immer so: Bei dieser Alternative ist es wichtig, dass die Tonqualität verständlich ist. Eine niedrige Bitrate oder ein starkes Hintergrundrauschen können die Verständlichkeit erschweren. Ebenso ist es aus Sicht der Barrierefreiheit problematisch, wenn englische Worte vorgelesen und eingetippt werden sollen. Diese Sprachkenntnis darf nicht vorausgesetzt werden, um das Formular absenden zu können.

Logik-CAPTCHA aus Sicht der Barrierefreiheit

Eine Alternative zu visuellen oder akustischen CAPTCHA sind mathematische Aufgaben. So müssen Anwender*innen beispielsweise Fragen wie »Was ist 9 + 4?« beantworten. Zum einen sind Bots inzwischen oft selbst in der Lage, diese Aufgaben zu identifizieren und zu lösen, zum anderen – und das ist verheerender – können sie Menschen mit kognitiven Behinderungen ausschließen.

Weitere Captcha

Inzwischen gibt es auch Möglichkeiten, mit künstlicher Intelligenz die Echtheit der Anfragen zu validieren. Dabei werden beispielsweise Mausbewegungen auf Authentizität überprüft. Eine alleinige Lösung kann das aus Sicht der Barrierefreiheit nicht sein, wenn die Webseite beispielsweise gar nicht mit der Maus bedient wird, sondern über die Tastatur.

Barrierefreie Lösungen

Barrierefreie Formulare, damit Sie alle Menschen erreichen

Nehmen Sie den Kontakt für eine persönliche Beratung auf:

Beratung vereinbaren

1. »Honeypot«-Felder

Honeypot-Felder sind Eingabefelder, die mittels CSS oder JavaScript vor den Anwender*innen verborgen werden. Wenn dieses Eingabefeld trotzdem ausgefüllt wird, lässt sich schlussfolgern, dass dies nicht durch einen Menschen passiert ist, sondern von einer Maschine, die nicht interpretiert hat, dass das Feld versteckt wurde. Wichtig ist jedoch, das Honeypot-Feld barrierefrei zu verbergen, sodass es beispielsweise von der Tastatur nicht angesteuert werden kann. Somit ist sichergestellt, dass Anwender*innen von diesem Spamschutz nichts merken.

2. Zeitbegrenzungen

Aus Sicht der Barrierefreiheit sind Zeitbegrenzungen eigentlich ebenfalls eine rote Flagge. So sehen die Web Content Accessibility Guidelines (WCAG) beispielsweise konkrete Zeitbegrenzungen vor, in der eine Unterbrechung der Eingaben nicht zum Verlust der Eingaben führen sollte. Hier ist aber eher gemeint, den Spieß umzudrehen: Wer ein Kontaktformular innerhalb von 10 Sekunden ausfüllt, ist mutmaßlich kein Mensch. Diese Art des Spamschutzes ist barrierefrei, wenn die Eingaben nicht verloren gehen, sobald dieser Filter anschlägt. Auch hier ist von Vorteil, dass Anwender*innen von diesem Spamschutz nichts merken.

3. CSRF-Schutz

Mit »Cross Site Request Forgery« (kurz CSRF oder XSRF) ist die missbräuchliche Nutzung von Webseiten durch manipulierte Aufrufe oder skriptgesteuerte Anwendungen gemeint. Das betrifft nicht nur Formulare, sondern praktisch alle dynamischen Funktionen einer Webseite. Um dem vorzubeugen, wird ein sogenannter CSRF-Token gesetzt: Der Aufruf des Formulars bekommt eindeutige Kennung, die von dem Webserver überprüft wird. Da jeder Token nur einmal gültig ist, scheitern viele automatisierte Angriffe an diesem Schutz.

4. Kombination aus mehreren CAPTCHA

CAPTCHAs sind trotz der genannten Barrieren mit den WCAG zu vereinen, vorausgesetzt, dass es neben eines grafischen CAPTCHA eine Textalternative sowie Ausgabemodi für verschiedene Arten der Sinneswahrnehmungen gibt. In der Praxis stellt sich Menschen, die blind sind, eine Sehbehinderung haben oder die Webseite mittels Tastatur bedienen, oft die Herausforderung, diese Alternative zu finden.

Datenschutz und Bedienbarkeit

Neben der Barrierefreiheit gibt es auch weitere Aspekte, die für diese barrierefreien Lösungen sprechen. So ist das besonders populäre »reCAPTCHA«, welches zu Google gehört, umstritten, weil es bei jedem Aufruf Daten an Server in die USA schickt. Über die Konformität mit der Datenschutzgrundverordnung (DSVGO) wird sich gestritten, weil unklar ist, ob das sogenannte berechtigte Interesse nach Art. 6 Abs. 1 lit. f besteht. Ein Argument dafür ist der Spamschutz, der praktisch notwendig ist. Ein Argument dagegen ist, dass es auch datenschutzfreundlichere Lösungen gibt.

Ebenfalls sollte die Bedienbarkeit beziehungsweise die Usability bei der Wahl des Spamschutzes abgewogen werden. Sie benötigen (im Internet umkämpfte) Zeit und Aufmerksamkeit – so ist nur logisch, dass Studien inzwischen belegen konnten, dass die Conversationrate durch CAPTCHAs sinkt.

Fazit

Wirklich barrierefrei ist kein CAPTCHA. Eine WCAG-Konformität lässt sich mit der Kombination aus mehreren CAPTCHA-Aufgaben herstellen. Nicht zwangsläufig braucht ein effektiver Spamschutz aber CAPTCHA-Aufgaben. So schützt eine Kombination aus einem Honeypot-Feld, einem CSRF-Schutz und einer Zeitbegrenzung vor den meisten automatisierten Anfragen. Von dieser Lösung merken die Anwender*innen gar nichts, sodass die Bedienbarkeit (Usability) besonders hervorzuheben ist. Gegenüber vieler CAPTCHA-Anbieter ist dieser Ansatz auch besonders datenschutzfreundlich.