sr_freecap für TYPO3

Warum deutsche Behörden und Kliniken auf selbstgehosteten CAPTCHA-Schutz angewiesen sind

reCAPTCHA von Google ist technisch effektiv, aber für viele Betreiber in Deutschland rechtlich problematisch: Jede Einbindung führt zu einer Übermittlung personenbezogener Daten an Google in die USA, erfordert eine aktive Einwilligung nach TTDSG und wird von mehreren Landesdatenschutzbeauftragten kritisch gesehen. sr_freecap ist die Antwort auf dieses Problem: Eine komplett selbstgehostete CAPTCHA-Extension für TYPO3, die keine externen Requests auslöst, keine Nutzerdaten an Dritte überträgt und damit ohne Consent-Banner-Blockade arbeitet. Zielgruppe sind Behörden, Kliniken, Hochschulen und datenschutzbewusste Unternehmen, die Formulare gegen Bot-Spam schützen müssen, ohne eine neue Abhängigkeit zu einem US-Dienst einzugehen.

Typische Einsatzszenarien

Eine Universitätsklinik betreibt ein Kontaktformular für Patientenanfragen, ein Bewerbungsformular für Pflegepersonal und ein Presseanfrage-Formular. Alle drei werden regelmäßig von Bots angegriffen, die generische Werbebotschaften oder Phishing-Versuche absenden. Die Klinik-IT hat entschieden, keine Google-Dienste einzubinden, weil der Datenschutzbeauftragte die Einwilligungspflicht vermeiden will. sr_freecap generiert serverseitig Bildgrafiken mit Buchstabenkombinationen, prüft die Eingabe auf dem eigenen Server und sendet zu keinem Zeitpunkt eine Information nach außen.

Ein zweiter Fall ist eine Stadtverwaltung mit etwa 15 Online-Formularen für Bürgeranliegen, von der Umzugsmeldung bis zur Beantragung eines Bewohnerparkausweises. Der Landesdatenschutzbeauftragte hat bei einem Audit explizit empfohlen, keine externen CAPTCHAs einzusetzen. sr_freecap integriert sich in die TYPO3-Formular-API (Powermail oder das Form Framework) und schützt damit alle Formulare ohne zusätzliche Einwilligung.

Der dritte Kontext sind Kammern und Verbände, die Mitgliederlisten, Adressen oder öffentliche Register verwalten. Jede dieser Organisationen betreibt ein Suchformular oder ein Kontaktformular, das Bot-geschützt sein muss, aber gleichzeitig die Datenschutzgrundhaltung wahrt. sr_freecap liefert einen einfachen visuellen Test, der für Menschen lösbar und für einfache OCR-Bots eine spürbare Hürde darstellt.

Technische Architektur: GD-Library, Session und Form-API

sr_freecap erzeugt die CAPTCHA-Bilder serverseitig mit der GD-Library oder ImageMagick, wobei GD die Standardoption ist und in nahezu jeder PHP-Installation ohne Zusatzaufwand verfügbar ist. Die Buchstaben werden aus einem konfigurierbaren Alphabet zufällig gezogen, in ein Bild mit Hintergrundrauschen und Verzerrung gezeichnet und an den Browser ausgeliefert. Der erwartete Klartext wird in der TYPO3-Session abgelegt und beim Absenden des Formulars mit der Nutzereingabe verglichen.

Die Integration in Formulare erfolgt über einen Validator für das TYPO3 Form Framework und über die Powermail-API, wobei das Feld als zusätzliches Element in der Form-Definition eingebunden wird. Audio-CAPTCHAs als Barrierefreiheits-Alternative sind in der Extension verfügbar, aber deaktiviert per Default, und sollten bei Formularen mit breiter Zielgruppe aktiviert werden, um Nutzer mit Sehbehinderung nicht auszuschließen. Konfiguriert wird sr_freecap über TypoScript, das die Länge des CAPTCHA-Strings, die verwendeten Schriftarten und das Rauschlevel steuert.

Häufige Probleme und Lösungen

Das erste Problem ist Lesbarkeit versus Sicherheit. Wird das CAPTCHA zu stark verrauscht, scheitern auch menschliche Nutzer und brechen das Formular ab, was die Conversion-Rate spürbar drückt. Ist es zu schwach verrauscht, lesen moderne OCR-Engines den Klartext in Sekunden aus. Die praktikable Lösung liegt in einer moderaten Verzerrung kombiniert mit einem Honeypot-Feld, das als unsichtbares Eingabefeld im Formular liegt. Menschen füllen es nicht aus, Bots oft doch, und diese Einreichungen werden still verworfen.

Das zweite Problem betrifft Barrierefreiheit. Ein rein visuelles CAPTCHA schließt blinde und sehbehinderte Nutzer aus, was bei öffentlichen Einrichtungen ein Verstoß gegen das Behindertengleichstellungsgesetz und die BITV sein kann. Die Aktivierung des Audio-Modus und zusätzlich eine einfache Rechenaufgabe als Alternative schaffen zugängliche Wege, die Anforderung zu erfüllen, ohne auf Schutz zu verzichten.

Das dritte Thema ist Session-Handling. sr_freecap speichert die erwartete Lösung in der PHP-Session, was bei Load-Balancern ohne Session-Affinity oder bei stateless gehosteten TYPO3-Installationen zu Fehlern führt. Die Lösung ist entweder Sticky Sessions auf dem Load-Balancer oder ein Shared-Session-Backend wie Redis, das alle Nodes gemeinsam nutzen.

Ein viertes Problem ist die Wirksamkeit gegen moderne Bot-Frameworks. Einfache Headless-Browser wie Puppeteer können visuelle CAPTCHAs zwar nicht selbst lösen, aber die Aufgabe an einen externen Lösungsdienst weitergeben, der binnen Sekunden die korrekte Antwort liefert. Gegen solche Angriffe reicht ein reines Bilderkennungs-CAPTCHA nicht aus, und eine Kombination mit verhaltensbasierten Checks wie Mausbewegungs-Analyse oder dem erwähnten Honeypot ist die effektivere Verteidigung.

Migration und Versions-Kompatibilität

sr_freecap ist eine der ältesten CAPTCHA-Extensions für TYPO3 und hat eine bewegte Versions-Geschichte: Für TYPO3 v11 und v12 existieren gepflegte Community-Forks, die v13-Kompatibilität ist von Fork zu Fork unterschiedlich. Wer aktuell auf v12 oder v13 migriert, sollte vor dem Upgrade prüfen, ob der eigene Extension-Zweig aktiv gewartet wird, und im Zweifel auf einen anderen CAPTCHA-Ansatz wechseln.

Alternativen zu sr_freecap innerhalb des datenschutzfreundlichen Spektrums sind hCaptcha (selbstgehostete Variante möglich), Friendly Captcha aus deutscher Entwicklung und Honeypot-Felder kombiniert mit serverseitigem Rate-Limiting. Gosign berät bei der Auswahl je nach Formular-Volumen, Nutzergruppe und regulatorischer Anforderung und baut bei Bedarf eine hybride Lösung, die Bot-Traffic zuerst mit Honeypot filtert und nur verdächtige Einreichungen an den CAPTCHA-Schritt schickt.

Für Einrichtungen, die aus regulatorischen Gründen keine externen Dienste einbinden dürfen, bleibt eine selbstgehostete Lösung wie sr_freecap häufig die einzige praktikable Wahl, und der Wartungs-Aufwand ist überschaubar. Wichtig ist, den CAPTCHA-Schutz regelmäßig mit aktuellen Spam-Mustern abzugleichen und die Statistik der Fehlversuche auszuwerten, um zu erkennen, wann ein Upgrade der Verzerrung oder eine Kombination mit anderen Schutzmaßnahmen sinnvoll wird.