Bot-Schutz für Anfrageformulare — ohne Captcha-Frust
Honeypots, Rate-Limiting, server-seitige Bewertung. So bleibt Ihr Posteingang sauber und Ihr Kunde wird nicht zum Bilderrätsel gezwungen.

Ihr Kontaktformular ist die Tür zu neuen Aufträgen. Doch dieselbe Tür nutzen auch automatisierte Skripte, die täglich tausende Postfächer mit Werbemüll, Phishing und Testeinträgen fluten. Die Standardantwort vieler Websites lautet: ein Captcha davorschalten. Genau das ist meist die schlechteste Lösung. Es gibt heute leisere, wirksamere und rechtlich sauberere Wege, Ihren Posteingang sauber zu halten.
Warum klassische Captchas mehr kosten, als sie bringen
Das bekannte Bilderrätsel von Google reCAPTCHA verlangt vom Nutzer Arbeit: Ampeln anklicken, Fahrräder suchen, im Zweifel dreimal. Jede dieser Hürden kostet Conversion. Studien und Praxiswerte zeigen seit Jahren, dass ein spürbarer Anteil der Besucher an dieser Stelle abspringt – gerade am Smartphone, gerade bei schlechter Verbindung. Ein Interessent, der ausgerechnet beim Absenden seiner Anfrage genervt aufgibt, ist bares Geld.
Dazu kommt die Barrierefreiheit: Bild- und Audio-Captchas sind für Menschen mit Einschränkungen oft ein echtes Hindernis. Und schließlich der Datenschutz. reCAPTCHA v2 und v3 haben aus DSGVO-Sicht dasselbe Grundproblem: Sie binden Google-Code ein, der bereits beim Laden der Seite Daten in die USA übermittelt – häufig, bevor der Nutzer überhaupt etwas anklickt. Deutsche Aufsichtsbehörden sehen solche Einbindungen kritisch. Sauber wäre eine vorherige Einwilligung per Cookie-Banner, was den Schutz wiederum aushebelt, solange niemand zustimmt.
Kurz: Das klassische Captcha bestraft Ihre echten Kunden und verlagert Ihr Bot-Problem auf einen US-Konzern. Das muss nicht sein.
Die unsichtbare Verteidigung in Schichten
Der überwiegende Teil des Spams stammt nicht von hochentwickelten Angreifern, sondern von simplen, breit gestreuten Skripten. Gegen die brauchen Sie kein Rätsel, sondern ein paar clevere, für den Nutzer unsichtbare Prüfungen. Am wirksamsten ist ein gestaffelter Ansatz, bei dem jede Schicht einen anderen Teil des Bot-Verkehrs abfängt.
Honeypot-Feld. Sie fügen Ihrem Formular ein zusätzliches Eingabefeld hinzu, das per CSS für Menschen unsichtbar ist – etwa ein Feld namens „Website" oder „Fax". Ein echter Besucher sieht es nie und lässt es leer. Automatisierte Skripte füllen dagegen stur alle Felder aus. Ist das Honeypot-Feld befüllt, verwerfen Sie die Einsendung serverseitig und still. Kein Klick, kein Reibungsverlust, und trotzdem fängt diese Falle einen Großteil der Massen-Bots. Verwenden Sie unauffällige Feldnamen; allzu offensichtliche Bezeichnungen erkennen bessere Skripte.
Zeitfalle. Menschen brauchen Sekunden, um ein Formular auszufüllen. Bots senden oft in Sekundenbruchteilen ab. Sie speichern beim Laden des Formulars einen Zeitstempel und prüfen beim Absenden, wie viel Zeit vergangen ist. Kam die Antwort unrealistisch schnell – etwa unter zwei Sekunden –, ist sie mit hoher Wahrscheinlichkeit maschinell. Diese Prüfung läuft komplett im Hintergrund.
Rate-Limiting. Begrenzen Sie, wie viele Anfragen von derselben IP-Adresse oder Sitzung in einem Zeitfenster eingehen dürfen. So kann kein Skript Ihren Endpunkt mit hunderten Einsendungen pro Minute überschwemmen. Das lässt sich in der Anwendungslogik oder direkt am Webserver umsetzen.
Serverseitige Bewertung. Entscheidend ist, dass alle Prüfungen auf dem Server stattfinden, nicht im Browser. Alles, was rein im Frontend läuft, kann umgangen werden. Bewerten Sie jede Einsendung nach mehreren Signalen: Honeypot, Ausfüllzeit, Häufigkeit, auffällige Muster im Inhalt wie viele Links oder kyrillische Zeichen. Statt hart zu blockieren, können Sie verdächtige Einsendungen markieren und getrennt ablegen – so verlieren Sie im Grenzfall keine echte Anfrage.
Wenn eine zusätzliche Schicht nötig ist
Reicht das nicht – etwa bei gezieltem Missbrauch –, kommt ein modernes, unsichtbares Verfahren infrage. Cloudflare Turnstile prüft im Hintergrund Browser-Merkmale und Verhaltensmuster, meist ganz ohne Nutzerinteraktion und ohne Bilderrätsel. Es ist kostenlos und schnell eingebunden.
Beim Datenschutz ist allerdings Ehrlichkeit gefragt: Auch Turnstile ist ein US-Dienst. Cloudflare legt nicht vollständig offen, welche Signale erhoben werden, und die Datenverarbeitung zwischen EU und USA ist nach Schrems II nicht unproblematisch. Turnstile lässt sich DSGVO-konform betreiben, ist es aber nicht automatisch in jeder Konfiguration. Wollen Sie das US-Thema ganz vermeiden, ist Friendly Captcha aus Deutschland eine Alternative: Es arbeitet nach dem Proof-of-Work-Prinzip, verarbeitet EU-Daten in der EU, setzt keine Tracking-Cookies und ist auf DSGVO-Konformität ausgelegt.
Empfehlung
Für die allermeisten mittelständischen Websites gilt: Fangen Sie mit den unsichtbaren Basismaßnahmen an, in dieser Reihenfolge.
- Honeypot-Feld einbauen – schnell umgesetzt, hohe Wirkung.
- Zeitfalle ergänzen, um zu schnelle Einsendungen abzufangen.
- Rate-Limiting am Server aktivieren.
- Serverseitige Bewertung mit stiller Aussortierung verdächtiger Nachrichten.
Diese vier Schichten halten in der Praxis den weitaus größten Teil des Spams fern – ohne dass ein einziger Kunde je ein Bild anklicken muss. Erst wenn danach noch relevanter Missbrauch übrig bleibt, ergänzen Sie ein unsichtbares Verfahren wie Turnstile oder Friendly Captcha, wobei Sie bei den Datenschutzvorteilen zur EU-Lösung tendieren sollten. So bleibt Ihr Posteingang sauber und Ihr Formular für echte Interessenten offen.
