← Zurück zum Glossar
websicherheit

hCaptcha

Datenschutzorientiertere CAPTCHA-Alternative zu Google reCAPTCHA, die Website-Betreiber für die Teilnahme vergütet und als Standardschutz von Cloudflare eingesetzt wird.

Aktualisiert: 23. Februar 2026

Was ist hCaptcha?

hCaptcha ist ein kommerzieller CAPTCHA-Dienst, der von Intuition Machines (US-Unternehmen) betrieben wird und als datenschutzorientiertere Alternative zu Google reCAPTCHA positioniert ist. Technisch ähnelt es reCAPTCHA v2: Nutzer sehen Bildklick-Aufgaben oder werden unsichtbar im Hintergrund bewertet. Der strukturelle Unterschied: hCaptcha verkauft die CAPTCHA-Auflösungen (die einen Datenlabel-Wert haben) an Unternehmen, die KI-Trainingsdaten benötigen — und teilt diese Einnahmen mit den Website-Betreibern.

Große Bekanntheit erlangte hCaptcha, als Cloudflare 2020 von Google reCAPTCHA zu hCaptcha wechselte — mit der Begründung, dass Google die Konkurrenz für seine eigenen Dienste (reCAPTCHA ist kostenlos, weil Google die Daten nutzt) nicht weiter stärken wollte. Cloudflare's Entscheidung machte hCaptcha schlagartig zum meistgesehenen CAPTCHA im Web.

Kurzprofil hCaptcha

Kurzprofil hCaptcha

  • Typ: Schutzmaßnahme (CAPTCHA / Bot-Abwehr)
  • Betreiber: Intuition Machines, Inc. (USA)
  • Mechanismus: Bildklassifikation + Verhaltensanalyse (wie reCAPTCHA)
  • Datenschutz: Besser als reCAPTCHA, aber kein Selbst-Hosting
  • Kosten: Kostenlos (Website-Betreiber werden vergütet ab bestimmtem Volumen)
  • Bekannte Nutzer: Cloudflare, Discord, viele WordPress-Sites
  • Website: hcaptcha.com

Wie funktioniert hCaptcha?

hCaptcha arbeitet mit zwei Modi — analog zu reCAPTCHA:

Visuell (Bildklassifikation): Der Nutzer sieht ein Raster von Bildern und muss bestimmte Kategorien anklicken: „Klicke alle Bilder mit Bussen an." Diese Aufgaben haben einen doppelten Zweck: Bot-Erkennung und gleichzeitig die Erstellung von Datenlabels für KI-Trainingsdatensätze. Unternehmen, die solche Labels benötigen, kaufen sie von hCaptcha.

Passiv (Verhaltensanalyse): Wie reCAPTCHA v3 analysiert hCaptcha im Hintergrund Mausbewegungen, Interaktionsmuster und Browser-Eigenschaften. Bei genug Vertrauen wird kein sichtbares Rätsel angezeigt.

API-Integration: Die Integration folgt demselben Muster wie reCAPTCHA:

<!-- Widget in Formular einbinden -->
<script src="https://js.hcaptcha.com/1/api.js" async defer></script>
<div class="h-captcha" data-sitekey="your-site-key"></div>
// Server-seitige Verifikation (PHP)
$response = wp_remote_post('https://hcaptcha.com/siteverify', [
    'body' => [
        'secret'   => 'your-secret-key',
        'response' => $_POST['h-captcha-response'],
        'remoteip' => $_SERVER['REMOTE_ADDR'],
    ]
]);
$data = json_decode(wp_remote_retrieve_body($response));
if (!$data->success) {
    // CAPTCHA fehlgeschlagen
}

hCaptcha in der WordPress-Praxis

Die Integration in WordPress erfolgt meist über Plugins:

  • hCaptcha for WordPress (offizielles Plugin) — schützt Login, Registrierung, Kommentare, Passwort-Vergessen
  • WPForms, Gravity Forms, Contact Form 7 — haben native hCaptcha-Unterstützung

DSGVO-Einschätzung für deutsche WordPress-Sites: hCaptcha ist datenschutzfreundlicher als Google reCAPTCHA in dem Sinne, dass die Daten nicht an Google gehen. Allerdings ist hCaptcha ein US-amerikanischer Dienst (Intuition Machines). Die Frage, ob hCaptcha ohne explizite Nutzereinwilligung nach DSGVO eingesetzt werden darf, ist nicht eindeutig beantwortet. hCaptcha hat ein EU-Data-Processing-Agreement und behauptet, eine gültige Rechtsgrundlage nach Artikel 6 Absatz 1f DSGVO (berechtigtes Interesse) zu bieten — dies ist juristisch umstritten.

Für maximale DSGVO-Sicherheit ist mCaptcha (selbst-gehostet) die eindeutig sicherere Wahl.

hCaptcha vs. Alternativen

Vergleich CAPTCHA-Anbieter

  • hCaptcha: Besser als reCAPTCHA (keine Google-Daten), schlechter als mCaptcha (US-Drittanbieter, kein Selbst-Hosting)
  • Google reCAPTCHA v3: Beste Bot-Erkennung durch Datenbasis, größte Datenschutzproblematik
  • mCaptcha: Datenschutzfreundlichste Option, Proof-of-Work, selbst-hostbar
  • Cloudflare Turnstile: Kostenlos, verhaltensbasiert, vergleichbar mit hCaptcha in Datenschutz
  • Friendly Captcha: Europäischer Anbieter, Proof-of-Work, DSGVO-konform, kostenpflichtig

Was passiert bei einem erfolgreichen Bypass von hCaptcha?

hCaptcha kann wie alle CAPTCHA-Systeme umgangen werden, wenn ein Angreifer ausreichende Ressourcen investiert: CAPTCHA-Solving-Dienste (Farmen, bei denen Menschen CAPTCHAs für Centbeträge lösen) oder durch KI-basierte Bildklassifikation. Gegen gut finanzierte gezielte Angriffe schützt kein CAPTCHA vollständig.

Für den typischen WordPress-Betreiber ist hCaptcha jedoch mehr als ausreichend: Die meisten Angriffe laufen vollautomatisiert und ohne menschliche Beteiligung — das CAPTCHA reicht, um diese Angriffe unrentabel zu machen.

Häufige Fragen

Warum hat Cloudflare reCAPTCHA durch hCaptcha ersetzt? Cloudflare gab 2020 mehrere Gründe an: erstens wollten sie keine Abhängigkeit von einem direkten Konkurrenten (Google) haben; zweitens empfanden sie es als problematisch, dass Google durch reCAPTCHA kostenlose Daten sammelt; drittens ermöglicht hCaptcha eine monetäre Gegenleistung für Website-Betreiber. Der vollständige Erklärungspost von Cloudflare ist unter blog.cloudflare.com verfügbar.

Ist hCaptcha für blinde Nutzer zugänglich? hCaptcha bietet eine Audio-Challenge als Accessibility-Alternative an — Nutzer können statt Bilder klicken auch Audioaufgaben lösen. Screen-Reader-Unterstützung ist vorhanden. Dennoch haben visuelle CAPTCHAs generell Accessibility-Probleme für Menschen mit Sehbehinderungen; Proof-of-Work-Lösungen wie mCaptcha sind in dieser Hinsicht überlegen.

Kann ich hCaptcha mit einer selbst-gehosteten WordPress-Installation ohne Cloudflare nutzen? Ja. hCaptcha ist unabhängig von Cloudflare — Cloudflare ist nur ein Nutzer des Dienstes. Das hCaptcha-Plugin für WordPress lässt sich direkt auf jeder WordPress-Installation konfigurieren, ohne Cloudflare-Abhängigkeit.

start call_