CAPTCHA für TYPO3

Warum die CAPTCHA-Entscheidung keine Technik-, sondern eine Datenschutzfrage ist

CAPTCHA klingt nach einer trivialen Entscheidung: Formular vor Bots schützen, Extension installieren, fertig. In der Praxis ist es die Frage, welchen Dienst man einbindet, welche Einwilligung man erzeugt und welche Conversion-Rate man akzeptiert. Für TYPO3 existieren ein Dutzend Ansätze, die sich in drei Gruppen teilen: sichtbare CAPTCHAs mit visueller Aufgabe, unsichtbare Verhaltensanalysen wie reCAPTCHA v3 und rein serverseitige Methoden ohne Nutzerinteraktion wie Honeypots oder Rate-Limiting. Die richtige Wahl hängt weniger von der Bot-Stärke ab als von der regulatorischen Ausgangslage und der Zielgruppe des Formulars.

Typische Einsatzszenarien

Ein B2B-Softwareanbieter betreibt ein Kontaktformular mit rund 300 echten Anfragen pro Monat und etwa 8.000 Bot-Einreichungen. Der Anbieter nutzt bereits Google Analytics, hat eine Consent-Lösung laufen und verliert keine rechtliche Grundlage, wenn er reCAPTCHA v3 einbaut. In diesem Fall ist die unsichtbare Lösung effektiv: Bots werden hinter den Kulissen blockiert, echte Nutzer sehen nichts, die Conversion-Rate bleibt stabil. Die Einwilligung kommt ohnehin schon über den bestehenden Consent-Banner.

Eine kommunale Verwaltung mit Online-Formularen für Bürgeranliegen hat die gegenteilige Ausgangslage: Google darf nicht eingebunden werden, Consent-Banner sollen minimal sein, und das Formular muss auch ohne JavaScript funktionieren. Hier scheidet reCAPTCHA sofort aus. Die Kombination Honeypot plus Rate-Limiting auf dem Reverse-Proxy plus einer einfachen Rechenaufgabe im Formular fängt 95 Prozent der Bots, benötigt keine externe Ressource und erzeugt keine Einwilligungspflicht.

Ein dritter Fall ist eine Bildungseinrichtung mit stark variierender Nutzerschaft: Studierende, Lehrende, externe Bewerber, zum Teil mit Sehbehinderung. Hier ist Barrierefreiheit wichtiger als jeder Sicherheitsgewinn, und ein rein visuelles CAPTCHA ist problematisch. Die Lösung ist ein hCaptcha-Setup mit aktiviertem Accessibility-Modus oder eine sr_freecap-Instanz mit Audio-Alternative, ergänzt um eine vollständige BITV-konforme Beschriftung.

Technische Architektur: Drei Kategorien, drei Integrations-Muster

Sichtbare CAPTCHAs wie sr_freecap oder hCaptcha arbeiten über einen Request-Response-Mechanismus: Die Extension generiert oder bezieht eine Aufgabe, zeigt sie dem Nutzer, und beim Absenden wird die Eingabe serverseitig validiert. In TYPO3 erfolgt die Einbindung über einen Validator im Form Framework, über eine Fluid-ViewHelper-Erweiterung oder bei Powermail über das Captcha-Feld-Plugin. Die technische Herausforderung ist die Session-Synchronisation und die Integration in bestehende Fluid-Templates.

Unsichtbare CAPTCHAs wie reCAPTCHA v3 berechnen einen Score zwischen 0 und 1, der die Wahrscheinlichkeit beschreibt, dass die Anfrage menschlich ist. Der Score kommt als zusätzliches Feld mit dem Formular-Submit, und die Extension entscheidet anhand eines konfigurierbaren Schwellwerts, ob die Einreichung akzeptiert oder verworfen wird. Der große Vorteil ist, dass der Nutzer nichts bemerkt, der Nachteil ist die unumgehbare Datenübertragung an Google.

Honeypot-basierte Lösungen arbeiten ohne clientseitige Logik: Ein unsichtbares Eingabefeld wird dem HTML-Formular hinzugefügt, versteckt per CSS oder tabindex=-1. Menschen füllen es nicht aus, Bots tun es sehr oft, und serverseitig wird jede Einreichung mit gefülltem Honeypot verworfen. Ergänzt um Rate-Limiting auf IP-Basis und eine prüfbare Zeitspanne zwischen Seitenaufruf und Submit blockiert das die Mehrheit einfacher Bots, ohne einen einzigen Nutzer zu belästigen.

Häufige Probleme und Lösungen

Das erste Problem ist die Auswahl selbst: Teams greifen reflexartig zu reCAPTCHA, weil es bekannt und gratis ist, und übersehen die Einwilligungspflicht. Die saubere Entscheidung erfordert eine kurze Bewertung: Welche Consent-Infrastruktur besteht? Welcher Nutzerkreis soll das Formular bedienen? Wie hoch ist die tatsächliche Bot-Last? Gosign führt diese Bewertung im Rahmen eines kurzen Audits durch und empfiehlt je Formular die passende Methode, statt eine Einheitslösung zu forcieren.

Das zweite Problem ist die Kombination mehrerer Schutzmechanismen. Wer Honeypot, CAPTCHA und Rate-Limiting parallel einsetzt, schafft Redundanz, aber auch Fehlerquellen: Ein legitimer Nutzer scheitert an einem der drei Schritte und verliert das Vertrauen in das Formular. Die pragmatische Antwort ist, Methoden abzustufen und nur den aufwändigsten Schutz bei verdächtigem Verhalten zu aktivieren, zum Beispiel ein CAPTCHA erst dann zu zeigen, wenn die Honeypot-Erkennung bereits angeschlagen hat oder mehrere Einreichungen von derselben IP innerhalb kurzer Zeit eingegangen sind.

Das dritte Thema ist Monitoring. Teams installieren einen Schutz und vergessen, dass die Wirksamkeit nachlässt, sobald Bots angepasste Verhaltensmuster entwickeln. Ein effektives CAPTCHA-Setup loggt Spam-Rate und Falsch-Positive-Rate und aktualisiert die Schwellen, wenn die Zahlen sich verändern. Gosign richtet dieses Monitoring im Rahmen der Extension-Integration ein und liefert eine monatliche Auswertung, sodass sichtbar wird, wann ein Anbieter-Wechsel oder eine Anpassung notwendig wird.

Migration und Versions-Kompatibilität

In TYPO3 v12 und v13 ist das Form Framework der zentrale Integrationspunkt für CAPTCHA-Lösungen. Extensions, die noch auf dem alten FormBuilder oder dem mailform-Typ aus Core-Zeiten aufsetzen, müssen beim Upgrade auf das neue Framework umgebaut werden, was in der Regel auch eine Neuwahl des CAPTCHA-Ansatzes erzwingt. Powermail bleibt eine beliebte Alternative und liefert eigene CAPTCHA-Feldtypen, die parallel gepflegt werden.

Wer von reCAPTCHA auf eine DSGVO-freundliche Lösung migriert, spart nicht nur eine Consent-Pflicht, sondern gewinnt oft auch Ladezeit: Das reCAPTCHA-Skript ist mehrere Hundert Kilobyte groß und wird von jeder Seite nachgeladen, die ein Formular enthält. Ein Honeypot-Setup kommt ohne externes Skript aus. Gosign hat solche Migrationen mehrfach begleitet und liefert je nach Betriebsmodell entweder ein reines Honeypot-Setup oder eine Kombination mit einer lokalen Rechenaufgabe, die für Menschen trivial, für Bots jedoch eine spürbare Hürde darstellt.