mathguard für TYPO3

Mathe-CAPTCHAs sind der barrierefreie Spam-Schutz, den die meisten Websites nicht kennen

Spam in Kontaktformularen ist ein Dauerthema. Die populärste Lösung ist Google reCAPTCHA, das aber Nutzerdaten an Google sendet und die DSGVO-Compliance verkompliziert. Bild-basierte CAPTCHAs (“Klicken Sie alle Ampeln an”) frustrieren Nutzer und sind für Screenreader unzugänglich. mathguard geht einen anderen Weg: Die Extension zeigt eine einfache Rechenaufgabe (“Was ist 3 + 7?”) im Formular an. Menschen lösen das in Sekunden, automatisierte Bots scheitern in der Mehrzahl. Kein externes JavaScript, keine Cookies, keine Datenübertragung an Dritte, vollständig Screenreader-kompatibel.

Für öffentliche Einrichtungen, Hochschulen und Unternehmen mit Barrierefreiheits-Anforderungen (BITV 2.0, WCAG 2.1) ist mathguard eine der wenigen CAPTCHA-Lösungen, die sowohl Spam-Schutz als auch Accessibility garantiert. Die Spam-Reduktion liegt bei 85 bis 95% des eingehenden Bot-Traffics. Im Vergleich: Google reCAPTCHA v3 erreicht ähnliche Werte, überträgt aber bei jedem Seitenaufruf Daten an Google-Server, auch ohne Formular-Interaktion.

Typische Einsatzszenarien sind Kontaktformulare, Kommentarfunktionen und Registrierungen

Das Standardszenario ist das Kontaktformular auf einer Unternehmenswebsite. Ohne Spam-Schutz landen täglich 20 bis 200 Bot-Einreichungen im Postfach der Redaktion. mathguard fügt ein Rechenfeld hinzu, das im Formular zwischen E-Mail-Feld und Absende-Button platziert wird. Die Rechenaufgabe wird bei jedem Seitenaufruf zufällig generiert, sodass Bots die Lösung nicht vorberechnen können.

Zweites Szenario: Kommentarfunktionen auf Blogs und News-Seiten. Wenn Besucher Kommentare zu Artikeln hinterlassen können, ist Spam unvermeidlich. mathguard schützt das Kommentarformular, ohne dass Besucher ein Google-Account oder eine spezielle App brauchen.

Drittes Szenario: Benutzer-Registrierungen. Wenn eine Website Frontend-Accounts anbietet (z.B. für ein Kundenportal oder einen geschützten Download-Bereich), schützt mathguard das Registrierungsformular vor automatisierten Account-Erstellungen. Die Rechenaufgabe ist die letzte Hürde vor dem Absenden, zusätzlich zum Double-Opt-In.

Technische Architektur generiert serverseitige Rechenaufgaben mit Session-Validierung

mathguard arbeitet komplett serverseitig. Bei jedem Formular-Aufruf generiert die Extension eine zufällige Rechenaufgabe (Addition, Subtraktion oder Multiplikation mit einstelligen Zahlen). Die korrekte Lösung wird in der PHP-Session gespeichert, nicht im HTML-Code. Das ist entscheidend: Wenn die Lösung als Hidden Field im Formular stehen würde, könnte jeder Bot sie auslesen.

Die Integration in TYPO3-Formulare funktioniert über einen ViewHelper oder ein Fluid-Partial, das in bestehende Formular-Templates eingefügt wird. Für powermail und das TYPO3 Form Framework gibt es Konfigurationsbeispiele, die die Einbindung in 10 bis 15 Minuten ermöglichen.

Die Rechenaufgabe wird als Text dargestellt (“Was ist 5 + 3?”), nicht als Bild. Das macht sie automatisch Screenreader-kompatibel: Vorlese-Software kann die Aufgabe vorlesen, und der Nutzer gibt die Lösung in ein normales Textfeld ein. Es gibt keine visuellen Verzerrungen, keine Farb-Kontrast-Probleme und keine Timeout-Limitierungen.

Für zusätzliche Sicherheit kann mathguard mit einem Honeypot-Feld kombiniert werden: Ein unsichtbares Formularfeld, das von Bots ausgefüllt wird, aber von echten Nutzern ignoriert. Ergänzend lässt sich eine Zeitstempel-Validierung einsetzen: Wenn ein Formular in unter 3 Sekunden ausgefüllt wird, ist es mit hoher Wahrscheinlichkeit ein Bot. Die Kombination aus Mathe-CAPTCHA, Honeypot und Zeitstempel-Check erreicht eine Spam-Reduktion von über 99%.

Häufige Probleme sind clevere Bots, Session-Verlust und UX-Irritation

Problem eins: Fortgeschrittene Bots, die Rechenaufgaben lösen. Einfache Text-Parsing-Bots können “Was ist 3 + 7?” interpretieren und die richtige Antwort “10” eingeben. Die Lösung: Die Aufgabe als leicht obfuskierten Text darstellen (“Drei plus sieben ergibt?”) oder die Aufgabe um einen Kontext erweitern (“Wie viele Beine hat ein Stuhl minus eins?”). mathguard in der Standardkonfiguration nutzt numerische Aufgaben, was für 85 bis 95% der Bots ausreicht.

Problem zwei: Session-Verlust. Wenn die PHP-Session zwischen Formular-Aufruf und Absenden verloren geht (z.B. durch Load-Balancer ohne Session-Stickiness), schlägt die Validierung fehl, obwohl der Nutzer die richtige Antwort eingegeben hat. Die Lösung: Session-Stickiness im Load-Balancer konfigurieren oder die Session-Daten in der Datenbank statt im Dateisystem speichern.

Problem drei: UX-Irritation bei Nutzern. Manche Besucher empfinden eine Rechenaufgabe als herablassend (“Muss ich beweisen, dass ich rechnen kann?”). Die Lösung: Einen freundlichen Hinweis über dem Feld platzieren (“Spam-Schutz: Bitte lösen Sie diese kurze Aufgabe”) und die Aufgabe visuell unauffällig in das Formular-Design integrieren.

mathguard funktioniert mit allen TYPO3-Versionen, weil die Technik minimal ist

Die Extension hat keine tiefen API-Abhängigkeiten zum TYPO3-Core. Session-Handling, Formular-Rendering und Validierung nutzen Standard-PHP- und TYPO3-Funktionen, die sich über Versionen hinweg kaum ändern. mathguard ist mit TYPO3 v10, v11 und v12 kompatibel und wird voraussichtlich auch unter v13 funktionieren, eventuell mit minimalen Anpassungen im ViewHelper. Für Projekte, die komplett ohne Extension auskommen wollen, lässt sich die gleiche Logik als Custom Validator im TYPO3 Form Framework oder als powermail-Finisher in unter einer Stunde nachbauen. Gosign implementiert in eigenen Projekten eine Kombination aus Honeypot, Zeitstempel-Validierung und optionalem Mathe-CAPTCHA als dreistufigen Spam-Schutz, der ohne externe Dienste auskommt und bei über 99% der automatisierten Angriffe wirksam ist. Die Entscheidung, ob das Mathe-CAPTCHA sichtbar ist oder nur als unsichtbarer Fallback greift, treffen wir projektspezifisch basierend auf dem erwarteten Spam-Volumen und den Barrierefreiheits-Anforderungen.