CAPTCHA
Vollständig automatisierter öffentlicher Turing-Test zur Unterscheidung von Computern und Menschen — schützt Webformulare vor automatisierten Bot-Angriffen.
Aktualisiert: 23. Februar 2026
Was ist CAPTCHA?
CAPTCHA ist ein Akronym für "Completely Automated Public Turing test to tell Computers and Humans Apart" — ein vollständig automatisierter öffentlicher Turing-Test zur Unterscheidung von Computern und Menschen. CAPTCHAs sind Herausforderungen, die für Menschen einfach zu lösen sind, für automatisierte Programme (Bots) aber schwer. Sie schützen Webformulare vor automatisierten Angriffen: Spam-Kommentare, Brute-Force-Login-Versuche, Massenregistrierungen oder Datenmissbrauch durch Scraping.
Das Konzept wurde 2003 von Luis von Ahn, Manuel Blum und weiteren Forschern der Carnegie Mellon University formalisiert. Seitdem hat sich CAPTCHA von einfachen verzerrten Texträtseln zu einer ganzen Familie von Technologien entwickelt — mit unterschiedlichen Ansätzen hinsichtlich Sicherheit, Benutzerfreundlichkeit und Datenschutz.
Kurzprofil CAPTCHA
- Typ: Schutzmaßnahme (Mensch-Maschine-Unterscheidung)
- Bedrohungsklasse: OWASP A07:2021 – Identification and Authentication Failures
- Betroffene Systeme: Login-Formulare, Kommentare, Registrierungen, Kontaktformulare
- Schweregrad ohne CAPTCHA: Mittel bis Hoch (Spam, Brute-Force)
- Bekannte Implementierungen: Google reCAPTCHA, hCaptcha, mCaptcha, Friendly Captcha
Wie funktioniert CAPTCHA?
Die zugrunde liegende Idee: Stelle eine Aufgabe, die menschliche Intelligenz oder Wahrnehmung erfordert und die für Computer schwer zu lösen ist. In der Praxis haben sich verschiedene Verfahren entwickelt:
Klassische Text-CAPTCHAs: Verzerrte, gerauschte Buchstaben und Zahlen, die abgetippt werden müssen. Diese Methode gilt als weitgehend überholt — moderne Bilderkennungs-KI löst sie mit über 99% Genauigkeit.
Bilderkennungs-CAPTCHAs (reCAPTCHA v2): "Klicke alle Ampeln an" — der Nutzer muss Bilder nach Kategorien sortieren. Googles reCAPTCHA nutzt diese Daten gleichzeitig zum Training seiner Straßenerkennungs-KI (für Google Maps und Street View). Die Ironie: Je besser die KI wird, desto leichter kann sie das CAPTCHA selbst lösen.
Verhaltensbasierte CAPTCHAs (reCAPTCHA v3): Kein sichtbares Rätsel mehr. Der Browser läuft im Hintergrund und analysiert Mausbewegungen, Scroll-Verhalten, Verweildauer, Browser-Fingerprint und andere Signale. Das System berechnet einen "Score" zwischen 0.0 (wahrscheinlich Bot) und 1.0 (wahrscheinlich Mensch). Der Website-Betreiber entscheidet, ab welchem Score eine Aktion erlaubt wird.
Proof-of-Work-CAPTCHAs (mCaptcha): Der Browser des Nutzers löst ein kryptografisches Rechenrätsel — nicht der Nutzer selbst. Bots müssten erhebliche Rechenkapazitäten einsetzen, um Massenanfragen zu senden, was wirtschaftlich unattraktiv wird. Datenschutzfreundlich, weil kein Tracking oder externe Serverdienste benötigt werden.
Honeypot-CAPTCHAs: Ein unsichtbares Formularfeld, das für Menschen nicht ausfüllbar ist (weil es per CSS versteckt ist). Bots, die Formulare blind befüllen, füllen es aus — und werden identifiziert. Kein Nutzererlebnis-Eingriff, aber leicht zu umgehen.
CAPTCHA in der WordPress-Praxis
WordPress-Seiten sind bevorzugte Ziele für Bot-Angriffe. Ohne Schutz werden folgende Endpunkte regelmäßig missbraucht:
wp-login.php— Brute-Force-Angriffe gegen Admin-Accountswp-comments-post.php— Spam-Kommentare (oft tausende pro Tag)wp-signup.php— Massenregistrierungen für Spam-Kontenwoocommerce/checkout— Carding-Angriffe (Kreditkartentests)- Kontaktformulare — Spam und Phishing
CAPTCHA-Optionen für WordPress:
CAPTCHA-Anbieter im Vergleich
- Google reCAPTCHA v3: Weit verbreitet, unsichtbar, gute Bot-Erkennung. Nachteil: Überträgt Nutzerdaten an Google (DSGVO-Problematik).
- hCaptcha: reCAPTCHA-Alternative, ähnliches Konzept, datenschutzfreundlicher, bezahlt Website-Betreiber für Teilnahme.
- mCaptcha: Open-Source, selbst-hostbar, Proof-of-Work ohne Tracking. Datenschutzfreundlichste Option.
- Friendly Captcha: Europäischer Anbieter, Proof-of-Work, DSGVO-konform, kostenpflichtig.
- Turnstile (Cloudflare): Verhaltensbasiert, kostenlos, DSGVO-konformer als reCAPTCHA.
Die DSGVO-Relevanz ist für deutsche und europäische WordPress-Betreiber entscheidend: Google reCAPTCHA überträgt beim Laden des Skripts IP-Adressen und Browser-Daten an Google-Server in den USA. Ohne explizite Einwilligung des Nutzers ist dies nach aktuellem Rechtsstand problematisch. Der Einsatz von mCaptcha (selbst-gehostet) oder Friendly Captcha/Turnstile ist aus Datenschutzsicht vorzuziehen.
Was passiert ohne CAPTCHA?
Ohne CAPTCHA-Schutz auf einer WordPress-Site sind Bot-Angriffe eine Frage von Minuten nach der Veröffentlichung, nicht von Tagen:
- Login-Brute-Force: Bots testen kontinuierlich Passwörter gegen bekannte Benutzernamen
- Kommentarflut: Spam-Bots hinterlassen Tausende Kommentare mit Links zu Malware-Seiten
- Server-Überlastung: Massenhafte Formular-Anfragen können den Server in die Knie zwingen
- SEO-Schaden: Spam-Kommentare mit schädlichen Links können das Google-Ranking beschädigen
- Carding: WooCommerce-Checkouts ohne Schutz werden für Kreditkartentests missbraucht
Häufige Fragen
Kann KI CAPTCHAs heute vollständig lösen? Textbasierte und einfache Bilderkennungs-CAPTCHAs werden von aktuellen Bilderkennungs-Modellen zuverlässig gelöst. reCAPTCHA v3 und Proof-of-Work-Varianten wie mCaptcha sind deutlich robuster, weil sie nicht auf eine lösbare Aufgabe setzen, sondern auf Verhaltensanalyse bzw. Rechenaufwand.
Welches CAPTCHA ist DSGVO-konform für eine WordPress-Site in Deutschland? Selbst-gehostete Lösungen wie mCaptcha sind am sichersten, da keine Daten an Dritte übertragen werden. Von europäischen Anbietern betriebene Dienste wie Friendly Captcha oder (mit Vorsicht) Cloudflare Turnstile sind ebenfalls als konform einzustufen, wenn die Verarbeitungsbedingungen stimmen. Google reCAPTCHA erfordert eine Einwilligung oder detaillierte Interessenabwägung.
Beeinträchtigen CAPTCHAs die Conversion-Rate? Klassische visuelle CAPTCHAs senken nachweislich die Conversion-Rate. Verhaltensbasierte und unsichtbare CAPTCHAs (reCAPTCHA v3, Turnstile) haben kaum messbaren Einfluss. Honeypot-CAPTCHAs haben keinen Nutzer-Einfluss, sind aber weniger wirksam gegen gezielte Angriffe.
Verwandte Begriffe
Clickjacking · Rspamd