%20--%3e%3csvg%20version='1.1'%20xmlns='http://www.w3.org/2000/svg'%20x='0px'%20y='0px'%20viewBox='0%200%20207.3%2029'%20style='enable-background:new%200%200%20207.3%2029;'%20xml:space='preserve'%3e%3cstyle%20type='text/css'%3e%20.st0{fill:%231E293B;}%20.st1{fill:%232563eb;}%20%3c/style%3e%3cg%20id='Ebene_1'%3e%3cg%20id='Ebene_2_00000023959154727838081460000010218683892316788135_'%3e%3cg%3e%3cg%3e%3cpath%20class='st0'%20d='M24.3,7.4c0-0.8,0-1.5,0-2.2c0-0.6-0.4-1-1-1c-4.4,0-7.6-1.2-10.4-3.9c-0.4-0.3-1-0.3-1.5,0%20C8.7,2.9,5.4,4.1,1.1,4.1c-0.6,0-1,0.5-1,1c0,0.7,0,1.5,0,2.2c-0.2,7.4-0.4,17.3,11.8,21.6l0.3,0.1l0.3-0.1%20C24.6,24.6,24.4,14.7,24.3,7.4z%20M11.4,17.5C11.4,17.5,11.3,17.5,11.4,17.5c-0.3,0.2-0.5,0.3-0.8,0.3l0,0c-0.3,0-0.5-0.2-0.7-0.3%20l-2.7-3c-0.3-0.3-0.3-0.9,0.1-1.1L7.5,13c0.3-0.3,0.9-0.3,1.1,0.1l1.4,1.6c0.3,0.3,0.8,0.3,1.1,0.1l4.4-4.2%20c0.3-0.3,0.9-0.3,1.1,0l0.3,0.3c0.3,0.3,0.3,0.9,0,1.1L11.4,17.5z'/%3e%3c/g%3e%3c/g%3e%3c/g%3e%3c/g%3e%3cg%20id='Ebene_2'%3e%3cg%3e%3cpath%20class='st1'%20d='M46.3,8.6h-5.1v14.1h-2.8V8.6h-5.1V6.2h13V8.6z'/%3e%3cpath%20class='st1'%20d='M54.3,16.2h-3.2v6.3h-2.8V6.2h5.8c1.9,0,3.3,0.4,4.4,1.3S60,9.6,60,11.2c0,1.1-0.3,2-0.8,2.8%20c-0.5,0.7-1.3,1.3-2.2,1.7l3.7,6.8v0.2h-3L54.3,16.2z%20M51.1,13.9H54c1,0,1.7-0.2,2.2-0.7s0.8-1.1,0.8-2s-0.2-1.5-0.8-2%20C55.7,8.7,55,8.5,54,8.5h-3v5.4H51.1z'/%3e%3cpath%20class='st1'%20d='M74.3,6.2v10.9c0,1.7-0.6,3.1-1.7,4.1s-2.6,1.5-4.4,1.5c-1.9,0-3.4-0.5-4.5-1.5c-1.1-1-1.6-2.3-1.6-4.1V6.2%20h2.8v10.9c0,1.1,0.3,1.9,0.8,2.5c0.5,0.6,1.4,0.9,2.5,0.9c2.2,0,3.3-1.1,3.3-3.5V6.2H74.3z'/%3e%3cpath%20class='st1'%20d='M85.7,18.3c0-0.7-0.2-1.3-0.8-1.7c-0.5-0.4-1.4-0.8-2.7-1.2c-1.3-0.4-2.4-0.8-3.1-1.3%20c-1.5-0.9-2.2-2.2-2.2-3.7c0-1.3,0.5-2.4,1.6-3.3s2.5-1.3,4.2-1.3c1.1,0,2.2,0.2,3,0.6c0.8,0.4,1.6,1,2.1,1.8s0.8,1.6,0.8,2.6%20h-2.8c0-0.9-0.3-1.5-0.8-2s-1.3-0.7-2.3-0.7c-0.9,0-1.7,0.2-2.2,0.6s-0.8,1-0.8,1.7c0,0.6,0.3,1.1,0.8,1.5s1.5,0.8,2.7,1.2%20c1.2,0.4,2.3,0.8,3.1,1.3c0.8,0.5,1.3,1,1.7,1.7c0.4,0.6,0.5,1.4,0.5,2.2c0,1.4-0.5,2.5-1.6,3.2c-1,0.8-2.5,1.2-4.2,1.2%20c-1.2,0-2.3-0.2-3.3-0.7c-1-0.4-1.8-1-2.3-1.8s-0.8-1.7-0.8-2.7h2.8c0,0.9,0.3,1.6,0.9,2.2c0.6,0.6,1.5,0.8,2.6,0.8%20c1,0,1.7-0.2,2.2-0.6C85.4,19.5,85.7,19,85.7,18.3z'/%3e%3cpath%20class='st1'%20d='M102.6,8.6h-5.1v14.1h-2.8V8.6h-5.1V6.2h13V8.6z'/%3e%3cpath%20class='st0'%20d='M117,17.2c-0.2,1.7-0.8,3.1-1.9,4.1s-2.6,1.5-4.5,1.5c-1.3,0-2.4-0.3-3.4-0.9c-1-0.6-1.8-1.5-2.3-2.6%20c-0.5-1.1-0.8-2.5-0.8-4v-1.5c0-1.5,0.3-2.9,0.8-4.1s1.3-2.1,2.3-2.7s2.2-0.9,3.5-0.9c1.8,0,3.3,0.5,4.4,1.5s1.7,2.4,1.9,4.1h-2.8%20c-0.1-1.2-0.5-2-1-2.5c-0.6-0.5-1.4-0.8-2.4-0.8c-1.2,0-2.2,0.5-2.8,1.4c-0.7,0.9-1,2.2-1,4v1.5c0,1.8,0.3,3.1,0.9,4.1%20s1.6,1.4,2.8,1.4c1.1,0,1.9-0.2,2.5-0.8c0.6-0.5,0.9-1.3,1.1-2.5L117,17.2L117,17.2z'/%3e%3cpath%20class='st0'%20d='M128.5,18.8h-6.4l-1.3,3.8h-2.9l6.2-16.4h2.6l6.2,16.4h-3L128.5,18.8z%20M122.9,16.5h4.7l-2.4-6.8L122.9,16.5z'%20/%3e%3cpath%20class='st0'%20d='M137.2,16.5v6.1h-2.8V6.2h6.3c1.8,0,3.3,0.5,4.3,1.4c1.1,1,1.6,2.2,1.6,3.8c0,1.6-0.5,2.9-1.6,3.7%20c-1.1,0.8-2.5,1.3-4.4,1.3C140.6,16.4,137.2,16.4,137.2,16.5z%20M137.2,14.2h3.4c1,0,1.8-0.2,2.3-0.7s0.8-1.2,0.8-2.1%20s-0.3-1.6-0.8-2.1s-1.3-0.8-2.2-0.8h-3.5C137.2,8.6,137.2,14.2,137.2,14.2z'/%3e%3cpath%20class='st0'%20d='M160.7,8.6h-5.1v14.1h-2.8V8.6h-5.1V6.2h13V8.6L160.7,8.6z'/%3e%3cpath%20class='st0'%20d='M175.1,17.2c-0.2,1.7-0.8,3.1-1.9,4.1c-1.1,1-2.6,1.5-4.5,1.5c-1.3,0-2.4-0.3-3.4-0.9c-1-0.6-1.8-1.5-2.3-2.6%20c-0.5-1.1-0.8-2.5-0.8-4v-1.5c0-1.5,0.3-2.9,0.8-4.1s1.3-2.1,2.4-2.7c1-0.6,2.2-0.9,3.5-0.9c1.8,0,3.3,0.5,4.4,1.5%20s1.7,2.4,1.9,4.1h-2.8c-0.1-1.2-0.5-2-1-2.5S170,8.4,169,8.4c-1.2,0-2.2,0.5-2.9,1.4s-1,2.2-1,4v1.5c0,1.8,0.3,3.1,0.9,4.1%20c0.6,0.9,1.6,1.4,2.8,1.4c1.1,0,1.9-0.2,2.5-0.8c0.6-0.5,0.9-1.3,1.1-2.5L175.1,17.2L175.1,17.2z'/%3e%3cpath%20class='st0'%20d='M190.4,22.5h-2.8v-7.2h-7.3v7.2h-2.8V6.2h2.8v6.8h7.3V6.2h2.8V22.5z'/%3e%3cpath%20class='st0'%20d='M202.8,18.8h-6.3l-1.3,3.8h-2.9l6.2-16.4h2.6l6.2,16.4h-3L202.8,18.8z%20M197.3,16.5h4.7l-2.4-6.8L197.3,16.5z'%20/%3e%3c/g%3e%3c/g%3e%3c/svg%3e)
'%3e%3crect%20width='32'%20height='24'%20fill='white'/%3e%3cpath%20fill-rule='evenodd'%20clip-rule='evenodd'%20d='M0%200V24H32V0H0Z'%20fill='%232E42A5'/%3e%3cmask%20id='mask0_270_67386'%20style='mask-type:luminance'%20maskUnits='userSpaceOnUse'%20x='0'%20y='0'%20width='32'%20height='24'%3e%3cpath%20fill-rule='evenodd'%20clip-rule='evenodd'%20d='M0%200V24H32V0H0Z'%20fill='white'/%3e%3c/mask%3e%3cg%20mask='url(%23mask0_270_67386)'%3e%3cpath%20d='M-3.56323%2022.2854L3.47846%2025.2635L32.1597%203.23787L35.874%20-1.18761L28.344%20-2.18297L16.6456%207.3085L7.22956%2013.7035L-3.56323%2022.2854Z'%20fill='white'/%3e%3cpath%20d='M-2.59924%2024.3719L0.988173%2026.1001L34.5402%20-1.59881H29.5031L-2.59924%2024.3719Z'%20fill='%23F50100'/%3e%3cpath%20d='M35.5631%2022.2854L28.5214%2025.2635L-0.159817%203.23787L-3.87415%20-1.18761L3.65593%20-2.18297L15.3543%207.3085L24.7703%2013.7035L35.5631%2022.2854Z'%20fill='white'/%3e%3cpath%20d='M35.3229%2023.7829L31.7355%2025.5111L17.4487%2013.6518L13.2129%2012.3267L-4.23151%20-1.17246H0.805637L18.2403%2012.0063L22.8713%2013.5952L35.3229%2023.7829Z'%20fill='%23F50100'/%3e%3cmask%20id='path-7-inside-1_270_67386'%20fill='white'%3e%3cpath%20fill-rule='evenodd'%20clip-rule='evenodd'%20d='M19.7777%20-2H12.2222V8H-1.97253V16H12.2222V26H19.7777V16H34.0275V8H19.7777V-2Z'/%3e%3c/mask%3e%3cpath%20fill-rule='evenodd'%20clip-rule='evenodd'%20d='M19.7777%20-2H12.2222V8H-1.97253V16H12.2222V26H19.7777V16H34.0275V8H19.7777V-2Z'%20fill='%23F50100'/%3e%3cpath%20d='M12.2222%20-2V-4H10.2222V-2H12.2222ZM19.7777%20-2H21.7777V-4H19.7777V-2ZM12.2222%208V10H14.2222V8H12.2222ZM-1.97253%208V6H-3.97253V8H-1.97253ZM-1.97253%2016H-3.97253V18H-1.97253V16ZM12.2222%2016H14.2222V14H12.2222V16ZM12.2222%2026H10.2222V28H12.2222V26ZM19.7777%2026V28H21.7777V26H19.7777ZM19.7777%2016V14H17.7777V16H19.7777ZM34.0275%2016V18H36.0275V16H34.0275ZM34.0275%208H36.0275V6H34.0275V8ZM19.7777%208H17.7777V10H19.7777V8ZM12.2222%200H19.7777V-4H12.2222V0ZM14.2222%208V-2H10.2222V8H14.2222ZM-1.97253%2010H12.2222V6H-1.97253V10ZM0.0274658%2016V8H-3.97253V16H0.0274658ZM12.2222%2014H-1.97253V18H12.2222V14ZM14.2222%2026V16H10.2222V26H14.2222ZM19.7777%2024H12.2222V28H19.7777V24ZM17.7777%2016V26H21.7777V16H17.7777ZM34.0275%2014H19.7777V18H34.0275V14ZM32.0275%208V16H36.0275V8H32.0275ZM19.7777%2010H34.0275V6H19.7777V10ZM17.7777%20-2V8H21.7777V-2H17.7777Z'%20fill='white'%20mask='url(%23path-7-inside-1_270_67386)'/%3e%3c/g%3e%3c/g%3e%3cdefs%3e%3cclipPath%20id='clip0_270_67386'%3e%3crect%20width='32'%20height='24'%20fill='white'/%3e%3c/clipPath%3e%3c/defs%3e%3c/svg%3e)
'%3e%3crect%20width='32'%20height='24'%20fill='white'/%3e%3cpath%20fill-rule='evenodd'%20clip-rule='evenodd'%20d='M0%2016H32V24H0V16Z'%20fill='%23FFD018'/%3e%3cpath%20fill-rule='evenodd'%20clip-rule='evenodd'%20d='M0%208H32V16H0V8Z'%20fill='%23E31D1C'/%3e%3cpath%20fill-rule='evenodd'%20clip-rule='evenodd'%20d='M0%200H32V8H0V0Z'%20fill='%23272727'/%3e%3c/g%3e%3cdefs%3e%3cclipPath%20id='clip0_270_67353'%3e%3crect%20width='32'%20height='24'%20fill='white'/%3e%3c/clipPath%3e%3c/defs%3e%3c/svg%3e)
'%3e%3crect%20width='32'%20height='24'%20fill='white'/%3e%3cpath%20fill-rule='evenodd'%20clip-rule='evenodd'%20d='M22%200H32V24H22V0Z'%20fill='%23F50100'/%3e%3cpath%20fill-rule='evenodd'%20clip-rule='evenodd'%20d='M0%200H12V24H0V0Z'%20fill='%232E42A5'/%3e%3cpath%20fill-rule='evenodd'%20clip-rule='evenodd'%20d='M10%200H22V24H10V0Z'%20fill='%23F7FCFF'/%3e%3c/g%3e%3cdefs%3e%3cclipPath%20id='clip0_270_67361'%3e%3crect%20width='32'%20height='24'%20fill='white'/%3e%3c/clipPath%3e%3c/defs%3e%3c/svg%3e)
Was ist ein Math-CAPTCHA?
Ein Math-CAPTCHA ist ein Challenge-Response-Test, der Nutzer auffordert, eine einfache Rechenaufgabe zu lösen, bevor sie ein Webformular absenden können. Typische Fragen sehen so aus: „Was ist 4 + 9?”, „Löse: 15 − 7 = ?”, oder „Gib das Ergebnis ein: 6 × 3.” Gibt der Nutzer die richtige Antwort ein, nimmt das Formular die Eingabe an. Andernfalls wird sie als wahrscheinlicher Bot-Versuch abgelehnt.
Die Idee hinter einem Math-CAPTCHA ist dieselbe wie bei allen CAPTCHA-Typen: einen Test zu schaffen, der für Menschen trivial und für Computer schwer ist. In den frühen 2000er-Jahren, als die meisten Bots starre Skripte ohne kognitive Fähigkeiten waren, waren Rechenaufgaben eine echte Hürde. Heute sind sie das nicht mehr. Dieser Artikel erklärt, wie Math-CAPTCHAs funktionieren, warum sie erhebliche Sicherheits- und Barrierefreiheitsprobleme haben und welche Alternativen Website-Betreiber stattdessen einsetzen sollten.
Wie ein Math-CAPTCHA funktioniert
Die technische Umsetzung eines Math-CAPTCHAs ist bewusst einfach gehalten – ein Hauptgrund, warum es in Legacy-Systemen noch so weit verbreitet ist.
- Fragengeneration — Der Server erzeugt eine zufällige Rechenaufgabe (meistens Addition oder Subtraktion, gelegentlich Multiplikation).
- Anzeige — Die Aufgabe erscheint im Formular, entweder als einfacher HTML-Text oder als gerendertes Bild.
- Nutzereingabe — Der Nutzer liest die Aufgabe, berechnet das Ergebnis und tippt es in ein Eingabefeld ein.
- Validierung — Bei der Formularübermittlung vergleicht der Server den eingesendeten Wert mit der erwarteten Antwort. Eine Abweichung löst eine Fehlermeldung aus.
Math-CAPTCHA-Beispiele
Im Folgenden sind typische Math-CAPTCHA-Formate aufgeführt, wie sie im Web zu finden sind:
Was ist 6 + 4?→ erwartete Antwort:1012 – 5 = ?(als Bild gerendert) → erwartete Antwort:7Gib die Summe von 8 und 3 ein:→ erwartete Antwort:11- Ein Number-CAPTCHA mit der Beschriftung
Gib das Ergebnis ein: 9 + 6→ erwartete Antwort:15
Diese Einfachheit macht den Reiz aus: keine Drittanbieter-API, kein Konto, keine laufenden Kosten und nur wenige Zeilen serverseitiger Code. Es ist in älteren WordPress-Plugins wie Really Simple CAPTCHA, in der Forensoftware phpBB und in zahllosen individuellen PHP-Kontaktformularen integriert. In vielen Fällen haben Website-Betreiber ihre CAPTCHA-Wahl seit der Ersteinrichtung nie überprüft – das Math-CAPTCHA ist schlicht noch als Standard vorhanden.
Math-CAPTCHA und Sicherheit: Die Realität
Hier wird die kritische Lücke zwischen Wahrnehmung und Realität deutlich. Ein Math-CAPTCHA sieht nach Schutz aus. In der Praxis bietet es gegen jeden Angreifer mit auch nur minimalen technischen Kenntnissen keinen.
KI löst Math-CAPTCHAs sofort
Die deutlichste Demonstration des Problems: Mache einen Screenshot eines Math-CAPTCHAs und füge ihn in ChatGPT, Claude, Gemini oder ein beliebiges multimodales KI-Modell ein. Die richtige Antwort erscheint, bevor ein menschlicher Nutzer die Frage auch nur zu Ende gelesen hätte.
Das Lösen von Math-CAPTCHAs erfordert kein Programmierwissen, keine Infrastruktur und keine speziellen Tools – nur einen KI-Assistenten, den heute jeder mit Internetzugang hat. Jeder Bot-Betreiber, der einen KI-API-Aufruf zur Bild-Text-Extraktion plus arithmetischer Auswertung integriert, kann dies in weniger als einem Tag vollständig automatisieren. Die grundlegende Sicherheitsannahme hinter Math-CAPTCHAs – dass Arithmetik für Computer schwierig ist – ist seit Jahren falsch.
Bei textbasiert gerenderten Math-CAPTCHAs (bei denen die Aufgabe als HTML-Text statt als Bild erscheint) ist die Hürde noch niedriger. Ein einfaches Regex-Muster, das zwei Zahlen und einen Operator extrahiert, gefolgt von einfacher Arithmetik, löst jede Frage in Millisekunden. Keine KI erforderlich.
Kostenlose Math-CAPTCHA-Solver-Tools existieren
Dedizierte Math-CAPTCHA-Solver-Skripte sind frei verfügbar und werden aktiv gepflegt. GitHub hostet Python-Bibliotheken und Browser-Erweiterungen, die speziell zur Automatisierung von Formularübermittlungen durch das Lösen von Rechenaufgaben entwickelt wurden. Diese praktischen Hilfsmittel werden von Spammern, Scrapern und Massen-Submission-Bots eingesetzt.
Die Sicherheit eines Math-CAPTCHAs beruht daher auf der Annahme, dass ein Angreifer diese Tools entweder nicht kennt oder nicht in der Lage ist, ein paar Stunden damit zu verbringen, sie zu finden. Das ist kein realistisches Bedrohungsmodell für eine Website, die mit sensiblen Daten, Nutzerregistrierungen oder kommerziellen Formularen umgeht.
Wogegen ein Math-CAPTCHA schützt – und wogegen nicht
Fairerweise hält ein Math-CAPTCHA noch ab:
- Völlig rudimentäre Bots ohne Text-Parsing-Fähigkeit
- Automatisierte Übermittlungen mit den primitivsten „Ausfüllen und Absenden”-Skripten
Ein Math-CAPTCHA schützt nicht gegen:
- Jeden Bot mit einfachem OCR, Regex oder KI-Integration
- Automatisierte Scraper und Kontaktformular-Spammer
- Missbrauch bei der Kontoerstellung, Credential Stuffing oder Carding-Bots
- Volumetrische Angriffe – ein Math-CAPTCHA fügt keinen Rechenaufwand hinzu, verlangsamt keine Anfragen und kann seine Schwierigkeit nicht dynamisch skalieren
Entscheidend ist: Ein Math-CAPTCHA erkennt keine Bots. Es prüft nur, ob eine korrekte Zahl eingegeben wurde. Ein Bot, der lesen und rechnen kann, besteht jedes Mal – er kann problemlos innerhalb weniger Minuten 1.000 Formularübermittlungen absetzen. Es gibt keine Verhaltensanalyse, keinen Proof-of-Work-Mechanismus und kein Bot Scoring – nur eine statische Frage mit einer vorhersehbaren, bekannten Antwort. Die praktische Schlussfolgerung für jedes ernsthafte Bedrohungsmodell: Ein Math-CAPTCHA ist gleichbedeutend mit keinem CAPTCHA.
Math-CAPTCHA und Barrierefreiheit: Ein Compliance-Risiko für EU-Unternehmen
Sicherheit ist eine Dimension des Problems. Barrierefreiheit ist die andere – und zunehmend jene mit direkten rechtlichen Konsequenzen.
Kognitive Last und Nutzererfahrung
Das Lösen einer Rechenaufgabe, auch einer einfachen, erfordert von Nutzern eine Unterbrechung ihres Workflows. Sie müssen:
- Ihre Aufmerksamkeit auf das CAPTCHA lenken
- Einen mathematischen Ausdruck lesen und verstehen
- Mentale Arithmetik durchführen
- Das Ergebnis korrekt eintippen, bevor sie ihre Aufmerksamkeit wieder auf das restliche Formular richten
Für die meisten Nutzer dauert dies nur wenige Sekunden. Doch diese Sekunden erzeugen Reibung – die Abbruchrate bei Formularen steigt, sobald zusätzliche Schritte eingeführt werden. Bedeutsamer ist, dass dieser Prozess nicht für alle gleich einfach ist.
Nutzer mit Dyskalkulie (einer spezifischen Lernschwäche, die die mathematische Verarbeitung beeinträchtigt) empfinden Rechenaufgaben als unverhältnismäßig schwierig. Nutzer mit kognitiven Behinderungen, ADHS oder altersbedingten kognitiven Veränderungen können Schwierigkeiten mit dem Kontextwechsel und der geforderten Berechnung haben. Math-CAPTCHAs bieten selten eine Audioalternative oder einen nicht-visuellen Fallback – ein Nutzer, der einen Screenreader verwendet, kann mit einer Rechenaufgabe konfrontiert werden, die er nicht barrierefrei lösen kann.
Europäischer Rechtsakt zur Barrierefreiheit und WCAG 2.1
Das ist nicht nur ein UX-Problem – es ist ein rechtliches Risiko für Unternehmen, die in der Europäischen Union tätig sind.
Der Europäische Rechtsakt zur Barrierefreiheit (EAA) trat am 28. Juni 2025 in Kraft und verpflichtet digitale Produkte und Dienste, die Verbrauchern in der EU angeboten werden, zur Einhaltung des Barrierefreiheitsstandards EN 301 549, der WCAG 2.1 auf Level AA einbezieht. Der EAA erfasst die meisten B2C-Webdienste – E-Commerce, SaaS-Plattformen, öffentlich zugängliche Webanwendungen und mehr.
Relevante WCAG-2.1-Kriterien, die Math-CAPTCHAs möglicherweise nicht erfüllen:
- Erfolgskriterium 1.1.1 (Nicht-Text-Inhalt) — verlangt, dass CAPTCHAs eine Textalternative bieten, die ihren Zweck beschreibt, sowie eine Alternative für Nutzer, die das primäre Format nicht nutzen können. Ein Math-CAPTCHA ohne Audio- oder visuelle Alternativmöglichkeit erfüllt diese Anforderung nicht.
- Erfolgskriterium 3.3.2 (Beschriftungen oder Anweisungen) — Formulare müssen klare Anweisungen bereitstellen, die es Nutzern ermöglichen, sie auszufüllen. Ein nicht beschriftetes Rechenfeld erfüllt dies oft nicht.
- WCAGs eigene Leitlinien zu CAPTCHAs legen ausdrücklich fest, dass wenn ein CAPTCHA verwendet wird, mindestens zwei verschiedene Modalitäten angeboten werden müssen (z. B. eine visuelle und eine Audioversion).
Ein Math-CAPTCHA, das eine Textgleichung ohne Audioalternative und ohne barrierefreien Fallback rendert, erfüllt diese Anforderungen nicht. Für EU-Unternehmen mit verbrauchernahen digitalen Diensten schafft dies konkrete Compliance-Risiken.
Wo Math-CAPTCHAs heute noch auftauchen
Trotz dieser Einschränkungen sind Math-CAPTCHAs noch weit verbreitet. Sie bestehen hauptsächlich, weil sie als Standardeinstellungen in weit verbreiteten Tools enthalten sind und vor Jahren eingerichtet wurden, ohne je überprüft worden zu sein:
- WordPress-Kontaktformular-Plugins — „Really Simple CAPTCHA” und ähnliche Legacy-Plugins sind auf Millionen von Websites installiert
- phpBB und andere Forensoftware — eingebautes Math-CAPTCHA als Standard-Registrierungsherausforderung
- Individuelle PHP- und Python-Formulare — eine häufige DIY-Implementierung für Entwickler, die Drittanbieter-Abhängigkeiten vermeiden möchten
- Behördliche und institutionelle Websites — ältere Websites, die vor modernen CAPTCHA-Standards erstellt und nie aktualisiert wurden
- E-Commerce-Checkouts — ältere Magento-, PrestaShop- und WooCommerce-Installationen mit individuellen CAPTCHA-Implementierungen
In vielen Fällen war das Math-CAPTCHA nie eine bewusste Sicherheitsentscheidung – es war schlicht die einfachste verfügbare Option zum Zeitpunkt der Einrichtung und wurde seither nie überprüft.
Was statt einem Math-CAPTCHA verwenden?
Da ein Math-CAPTCHA nicht mehr ausreichend ist: Was sollte es ersetzen? Die richtige Antwort hängt vom tatsächlich erforderlichen Schutzniveau der Website ab.
Honeypot-Felder
Ein Honeypot ist ein unsichtbares Formularfeld, das für menschliche Nutzer über CSS verborgen ist, aber für Bots sichtbar, die das rohe HTML parsen. Wenn das Feld bei der Übermittlung ausgefüllt ist, identifiziert der Server die Anfrage als automatisiert und lehnt sie lautlos ab.
Honeypots:
- Erfordern keinerlei Interaktion des Nutzers
- Fügen keinerlei kognitive Last oder Reibung hinzu
- Lassen sich kostenlos mit wenigen Codezeilen implementieren
- Wirken gegen einfache Bots
Die Einschränkung: Moderne Bots können Honeypot-Felder erkennen und absichtlich überspringen. Ein Honeypot eignet sich gut als erste Schicht, ist aber allein kein ausreichender Schutz gegen gezielte oder technisch versierte Angreifer.
Rate Limiting und serverseitige Signale
Das Begrenzen von Formularübermittlungen pro IP-Adresse, Session oder Zeitfenster erhöht die Hürde für Bots, die auf Volumen angewiesen sind. Kombiniert mit serverseitigen Heuristiken – ungewöhnliche Übermittlungsgeschwindigkeit, wiederholt identische Inhalte, kein Referrer-Header – lässt sich einiger automatisierter Traffic abfangen, ohne dem Nutzer Komplexität hinzuzufügen.
Rate Limiting funktioniert am besten in Kombination mit anderen Maßnahmen. Allein ist es durch IP-Rotation umgehbar, was für die meisten Bots trivial ist.
TrustCaptcha: Unsichtbarer Bot-Schutz, entwickelt für Europa
Für Websites, die zuverlässigen Bot-Schutz ohne Abstriche bei Barrierefreiheit oder regulatorischer Compliance benötigen, verfolgt TrustCaptcha einen grundlegend anderen Ansatz.
Anstatt Nutzer nach einer Antwort zu fragen, arbeitet TrustCaptcha vollständig im Hintergrund mit zwei ergänzenden Mechanismen:
Proof of Work — Der Browser des Nutzers löst automatisch eine kryptografische Herausforderung. Legitime Nutzer bemerken nichts; TrustCaptcha startet früh und ist abgeschlossen, bevor der Nutzer das Formular fertig ausgefüllt hat. Für Bots, die Angriffe in großem Maßstab versuchen, macht der Rechenaufwand zur Lösung dieser Herausforderungen Massenautomatisierung wirtschaftlich unattraktiv.
Bot Scoring — Jede Anfrage wird anhand technischer und verhaltensbasierter Signale bewertet. Wenn der Risiko-Score steigt – beispielsweise während einer Spitze automatisierter Übermittlungen – erhöht TrustCaptcha dynamisch den Schwierigkeitsgrad und erhöht so die Kosten des Angriffs, ohne die Erfahrung echter Nutzer zu beeinträchtigen.
Das Ergebnis aus Nutzerperspektive: nichts passiert. Keine Frage, keine Arithmetik, kein Bildrätsel, keine Unterbrechung. Aus Bot-Perspektive: Es gibt eine echte, skalierbare Hürde, die unter Last schwerer zu umgehen wird.
TrustCaptcha ist speziell für das europäische Compliance-Umfeld entwickelt:
- Cookie-frei und kein Browser-Speicher wird verwendet
- EU-gehostet — alle Daten werden in EU-zertifizierten Rechenzentren verarbeitet, keine Übermittlungen in Drittländer
- DSGVO-konform — ein Auftragsverarbeitungsvertrag (AVV) wird jedem Kunden bereitgestellt
- Barrierefrei by Design — da es keine visuelle oder kognitive Herausforderung gibt, gibt es keine WCAG-Accessibility-Schwachstelle; es funktioniert transparent mit Screenreadern und unterstützenden Technologien
Für EU-Unternehmen, die ein Math-CAPTCHA ersetzen und gleichzeitig die EAA-Barrierefreiheitsanforderungen und die DSGVO erfüllen müssen, adressiert TrustCaptcha all diese Anliegen mit einer einzigen Integration.
Fazit
Math-CAPTCHAs waren in einer anderen Ära ein sinnvolles Werkzeug. Heute stehen sie am Schnittpunkt dreier Probleme: Sie werden trivialerweise von jeder KI oder jedem Open-Source-Solver umgangen, sie belasten Nutzer kognitiv und sie schaffen Compliance-Risiken im Bereich Barrierefreiheit nach EU-Recht.
Die gute Nachricht: Ihr Ersetzen erfordert nicht, dass Nutzer mehr tun müssen – sondern dass sie gar nichts tun müssen. Honeypot-Felder, Rate Limiting und moderne unsichtbare Bot-Erkennung verbessern ein Math-CAPTCHA in jeder messbaren Hinsicht. Für Unternehmen, die echten Schutz und EU-Compliance benötigen, ist der Weg nach vorne von Natur aus unsichtbar.
TrustCaptcha kostenlos testen
Bereit, Ihr Math-CAPTCHA durch Schutz zu ersetzen, der wirklich funktioniert? TrustCaptcha kostenlos testen und Formulare unsichtbar gegen Bots und Spam schützen.
