Navigation und Service

Einfach teilhaben (Link zur Startseite)


CAPTCHAs und Barrierefreiheit

Was sind CAPTCHAs?

Captchas sind Verfahren, um auf interaktiven Webseiten Eingaben echter Nutzerinnen und Nutzer von unerwünschter automatisierter Werbung zu unterscheiden. Sogenannte Spam-Roboter durchsuchen das Internet nach Formularfeldern, um dort Ihre Werbebotschaften zu platzieren. Die Nutzer der Spam-Roboter erhoffen sich dabei, dass die Werbung nach Absenden eines Formulars entweder irgendwo auf der Webseite erscheint, zum Beispiel in den Kommentaren zu einem Artikel oder als Beitrag in einem Forum, oder direkt an eine Person gesendet wird, zum Beispiel bei Kontaktformularen.

Das Wort "Captcha" ist ein Akronym für "Completely Automated Public Turing test to tell Computers and Humans Apart". Ins Deutsche übersetzt würde dies etwa "Vollautomatischer öffentlicher Turing-Test zur Unterscheidung von Computern und Menschen" heißen. Der Turing-Test ist ein Testaufbau der bereits 1950 von Alan Turing vorgeschlagen wurde, um durch Unterschiede in der sprachlichen Leistungsfähigkeit festzustellen, ob ein Computer über dieselbe Intelligenz verfügt, wie ein Mensch.

Beim Konzept des Captchas wird davon ausgegangen, dass es einen Unterschied zwischen der Leistungsfähigkeit eines Menschen und der Leistungsfähigkeit der Spam-Roboter gibt. Ein typisches Captcha stellt zum Beispiel einen verzerrten Text dar und lässt diesen von der Nutzerin oder dem Nutzer entschlüsseln. Das Captcha-Verfahren geht davon aus, dass ein Mensch den Text lesen kann, ein Spam-Roboter aber nicht. Die folgende Abbildung zeigt ein solches grafisches Captcha.

Beispiel-Screenshot: Typisches grafisches Captcha mit Anleitung und einem Eingabefeld für die Lösung. Beispiel-Screenshot: Typisches grafisches Captcha mit Anleitung und einem Eingabefeld für die Lösung.

Wirksamkeit

Die ersten Captchas zeigten noch eine gewisse Wirksamkeit. Schon bald statteten die Programmierer der Spam-Roboter diese mit Texterkennungs-Programmen aus. Die Folge war ein Wettlauf zwischen Captcha-Hersteller und Spam-Roboter-Hersteller. Heute sind gute Captchas so schwer zu lesen, dass selbst Menschen dabei Schwierigkeiten haben, die Texte zu entziffern, wie folgende vier Beispiele zeigen.

Beispiel-Screenshot: 4 typische grafische Captchas, alle sind teilweise auch für Menschen schwer zu entziffern. Beispiel-Screenshot: 4 typische grafische Captchas, alle sind teilweise auch für Menschen schwer zu entziffern.

Spezialisierte Texterkennungs-Programme haben heute zum Teil bessere Trefferquoten als ein Mensch. Auf der Webseite des Projekts PWNtcha - captcha decoder finden Sie eine Auflistung verschiedener Captchas und die Trefferquote des von dem Projekt entwickelten Programms. Zu Bedenken ist dabei auch, dass der akzeptable Bereich bei den Trefferquoten durchaus sehr niedrig sein kann. Durch geeignet schnelle Computer und Internetverbindungen können auch bei einer Trefferquote von unter 10 % lohnend viele Spams verteilt oder Accounts in Foren und bei E-Mail-Providern angelegt werden.

Neben Texterkennungen nutzen Entwickler von Spam-Roboter auch Menschen zum Lösen von Captchas. Captchas werden in Ländern mit einem extrem niedrigen Lohnniveau gelöst und verkauft. Teilweise werden Captchas auf andere Webseiten (meist welche mit anstößigem oder fragwürdigem Inhalt) weitergeleitet, deren Nutzer und Nutzerinnen lösen dann im guten Glauben die fremden Captchas und verhelfen den Spammern so zu Captcha-Lösungen.

Fazit: Umso attraktiver die Webseite für Spam-Roboter ist, desto höher wird der Aufwand sein, den die Entwickler der Spam-Roboter betreiben, um ihre Trefferquoten in einem akzeptablen Bereich zu steigern. Die Wirksamkeit des Spam-Schutzes bleibt dabei immer fragwürdig.

Captcha-Methoden und Barrierefreiheit

Neben der sehr schlechten Gebrauchstauglichkeit (Englisch: Usability) von Captchas spricht vor allem die mangelnde Barrierefreiheit der meisten Captcha-Methoden gegen deren Verwendung. Hauptproblem ist, dass sich die meisten Captchas auf die Wahrnehmungsfähigkeit eines der Sinne verlassen. Menschen mit Behinderungen oder Einschränkungen bezüglich genau dieses Sinnes werden von captcha-geschützten Angeboten ausgeschlossen. Das W3C hat bereits 2005 ein Dokument zur fehlenden Barrierefreiheit von Captchas (Inaccessibility of CAPTCHA) verfasst.

Neben der eigentlichen Captcha-Aufgabe hat jede Nutzerin oder jeder Nutzer eine weitere Aufgabe zu "lösen". Sie oder er muss die Captcha-Aufgabe verstehen. Teilweise werden Captchas ohne verständliche Anleitungen angezeigt. Teilweise sind keine Beschriftungen der Eingabefelder vorhanden. Angeblich als weiterer Schutz vor Robotern, da diese nicht wissen sollen, in welches Feld eine Captcha-Lösung geschrieben werden soll.

Grafische Captcha

Ein grafisches Captcha ist die klassische Variante des Spam-Schutzes. Die weiter oben dargestellten Beispiele zeigen, das Prinzip dieser Captchas. Ein Text wird als Grafik angezeigt, die Nutzerin oder der Nutzer muss diese Grafik entziffern können, um den Text in ein Textfeld eingeben zu können. Kann ein blinder oder sehbehinderter Mensch die Grafik nicht sehen oder erkennen, wird diese Person ausgesperrt. Auf einen Alternativtext, der die Lösung des Captchas verrät, braucht ein Screenreader-Nutzer nicht zu hoffen. Nach BITV-Bedingung 1.1.1 muss der Alternativtext einer Captcha-Grafik den Sinn und Zweck des Captchas beschreiben, nicht den dargestellten Text.

Folgende Abbildung zeigt das bereits oben vorgestellte Captcha, wobei im Browser die Grafiken abgeschaltet wurden. Statt der Grafik wird der Alternativtext angezeigt. Dieser ist derselbe, den auch ein Screenreader einer blinden Nutzerin oder einem blinden Nutzer vorlesen würde.

Beispiel-Screenshot: Captcha mit abgeschalteten Grafiken und angezeigtem Alternativtext. Beispiel-Screenshot: Captcha mit abgeschalteten Grafiken und angezeigtem Alternativtext.

Neben Texten existieren auch Captchas mit Bildern oder Symbolen. Folgende Beispiele zeigen links ein Captcha der Webseite United Dogs und rechts eine Captcha-Idee, die mit einfachen Grafiken funktioniert.

Beispiel-Screenshot: Kreative Captcha-Lösungen mittels Symbole oder Bilder Beispiel-Screenshot: Kreative Captcha-Lösungen mittels Symbole oder Bilder

Diese Captcha-Methoden können zwar als kreativ angesehen werden, aber das Problem, dass Menschen mit Behinderungen ausgeschlossen werden, bleibt.

Audio-Captcha

Audio-Captchas nutzen anstelle einer Grafik eine Audio-Datei. Um Spracherkennungs-Programme zu täuschen, wird oftmals der eigentliche Audio-Inhalt mit Rauschen und anderen Nebengeräuschen hinterlegt. Die Probleme sind dieselben, wie bei grafischen Captchas, nur bezogen auf den Hörsinn. Audio-Captchas schließen taube und hörgeschädigte Menschen aus.

Audio-Captchas werden häufig als Alternativ-Version von grafischen Captchas verwendet. Mit Blick auf eine älter werdende Generation von Computernutzern muss festgestellt werden, dass auch diese Kombination nicht als barrierefrei gelten kann. Die Anzahl der Menschen, die an dieser Barriere scheitern, mag kleiner sein, aber sie wird immer noch signifikant sein.

Folgende Grafik zeigt eine Captcha-Variante auf den Seiten der Firma Google verwendetes Captcha.

Beispiel-Screenshot: kombiniertes Grafik-Audio-Captcha der Firma Google Beispiel-Screenshot: kombiniertes Grafik-Audio-Captcha der Firma Google

Neben dem Eingabefeld finden Sie eine Schaltfläche mit einem stilisierten Lautsprechersymbol. Durch Anklicken können Sie sich hier das Audio-Captcha anhören können. Wenn Sie es ausprobieren, werden Sie merken, dass das Lösen des Audio-Captchas alles andere als trivial ist.

Logik-Captcha

Einige Webseiten versuchen, Spam-Roboter mit einfachen Rätseln auszusperren. Diese Rätsel fragen zum Beispiel Grundschulwissen in Mathematik, einfache Sprichwörter oder allgemeines Grundwissen ab.

Folgendes Beispiel zeigt ein Captcha mit einer einfachen Rechenaufgabe (ohne Punkt-Vor-Strich-Rechnungs-Falle). Denkbar sind aber auch Fragen wie: "Wie heißt die Bundeskanzlerin?", oder eine Frage nach der Vervollständigung eines Satzes wie: "Punkt, Punkt, Komma, ..., fertig ist das Mondgesicht." Meist sind auch mehrere Lösungsmöglichkeiten und unterschiedliche Schreibweisen gültig.

Beispiel-Screenshot: Mathematisches Captcha Beispiel-Screenshot: Mathematisches Captcha

Da die Aufgabestellung als normaler Text vorhanden ist, kann diese Aufgabe auch von einem Screenreader korrekt vorgelesen werden. Wie zu Beginn dieses Artikels erwähnt, steigt die Energie, die Entwickler von Spam-Robotern investieren, mit der Attraktivität der Webseite. Für einen Entwickler, der gezielt eine Webseite mit einem solchen Spam-Schutz angreifen möchte, sollte die Überwindung dieses Schutzes kein Problem darstellen. Barrieren entstehen speziell für Menschen, die die Fragestellungen nicht verstehen, oder die durch kognitive oder andere Einschränkungen nicht in der Lage sind, die Aufgabe zu lösen.

Mehrere Alternativen

Streng genommen ist keines der oben vorgestellten Captchas barrierefrei. Das W3C erkennt aber die Notwendigkeit bestimmte Webseiten durch Captchas zu schützen und hat die WCAG-Kriterien an diese Erfordernisse angepasst. Die BITV übernimmt diese Sichtweise entsprechend.

Die minimalen Anforderungen, die die BITV an ein Captcha stellt, sind:

  • Der Captcha-Grafik muss ein Alternativtext zugewiesen werden, der den Zweck der Grafik beschreibt. Die Nutzerin oder der Nutzer soll wissen, dass es sich um eine Captcha-Grafik handelt.
  • Es muss mindestens ein zweites Captcha-Verfahren angeboten werden. Meist wird hierfür ein Audio-Capture verwendet.

Natürlich sollte es auch eine verständliche Anleitung auf der Webseite geben oder die Anleitung sollte zumindest von der Webseite aus verlinkt werden. Für den Fall, dass ein Captcha zu schwer zu entziffern ist, sollte die Möglichkeit bereitgestellt werden, das Captcha durch ein Neues auszutauschen. Die folgende Abbildung zeigt ein Captcha der Firma Yahoo, dass die Mindest-Anforderungen der BITV erfüllt.

Beispiel-Screenshot: Ein Captcha, dass die Minimal-Anforderungen der BITV erfüllt. Beispiel-Screenshot: Ein Captcha, dass die Minimal-Anforderungen der BITV erfüllt.

Da einige Menschen mit Behinderung trotz aller Bemühungen nicht in der Lage sein werden, eines der beiden angebotenen Captchas zu lösen, empfiehlt die WCAG die Verwendung weiterer Zugangsmöglichkeiten. Wenn Sie ein Captcha-Verfahren anwenden müssen, sollte Sie auf jeden Fall prüfen, inwieweit Sie nicht auch, um die Barrierefreiheit des Captchas zu verbessern, folgende Bedingungen erfüllen können.

  • Stellen Sie mehr als zwei Captcha-Verfahren zur Verfügung. Nutzen Sie zum Beispiel neben dem Grafik- und dem Audio-Captcha noch ein mathematisches Captcha.
  • Schaffen Sie eine Möglichkeit zur Kontaktaufnahme mit einem Kundendienstmitarbeiter. Dieser sollte dafür sorgen können, dass eine Nutzerin oder ein Nutzer das Captcha umgehen kann. Der Mitarbeiter kann zum Beispiel eine durch Captchas geschützte Anmeldung im Namen des Kunden durchführen und die Zugangs-Daten an den Kunden weiterleiten.
  • Wenn eine Nutzerin oder ein Nutzer bereits erfolgreich an einem System angemeldet ist, sollte das System nicht erneut Captchas zur Überprüfung nutzen.

Andere Lösungsansätze

Auch wenn Captchas häufig als unumgänglich angesehen werden, sollten Sie immer überprüfen, ob dies für Ihre Webseite wirklich zutrifft. Ein Captcha wird immer einen Teil der potenziellen Nutzerinnen und Nutzer abschrecken. Es muss immer abgewogen werden, ob nicht andere Verfahren zum Schutz vor Spam gleichwertige Ergebnisse liefern können, ohne potenzielle Kundinnen und Kunden abzuschrecken.

Es gibt zahlreiche andere Lösungsansätze, die zumindest auf nicht zu stark gefährdeten Webseiten gute Ergebnisse liefern.

Serverseitige Filter

Webserver können die Anfragen von einigen einfachen Spam-Robotern aufgrund bestimmter Eigenschaften der Anfragen recht gut erkennen. Dazu können Informationen des http-Headers, wie zum Beispiel, die zuvor besuchte Seite (sollte das Eingabe-Formular sein), die IP-Adresse oder die User-Agent-Kennzeichnung, ausgewertet werden. Das Projekt Boot-Trap erstellt regelmäßig "schwarze Listen" mit denen solche Filter aufgebaut werden können.

Auch die Inhalte der Spams selbst können untersucht werden. Spams beinhalten in der Regel mehrere Links. Meist nutzen Spammer unterschiedliche Schreibweisen für Links, wie zum Beispiel HTML-Code mit a-Tags und zusätzlich BBCode (Ein Code mit eckigen Klammern, der in vielen Webforen Verwendung findet). Ebenso kann der Inhalt des Spams auf bestimmte Stichwörter, Schreibweisen oder Codierungen untersucht werden. Es können auch Eingabefelder auf Plausibilität untersucht werden. Felder für Namen oder Anschriften können zum Beispiel auf Sonderzeichen wie "@" oder "/" untersucht werden, die von Spam-Robotern gerne in Textfelder eingetragen werden, um Links zu erzeugen.

Spam-Fallen

Spam-Roboter füllen meist alle Textfelder aus und klicken alle Auswahlfelder an. Dadurch versuchen sie die Wahrscheinlichkeit zu erhöhen, dass die Spam-Nachrichten weitergeleitet werden oder auf der Webseite dargestellt wird. Dies kann sich ein Betreiber einer Webseite zunutze machen und dem Spam-Roboter gezielt Fallen stellen. Solche Fallen werden häufig als Honigtopf bezeichnet. Vor Menschen werden diese Eingabefelder durch CSS-Eigenschaften oder JavaScript-Anweisungen versteckt, sodass Menschen die Felder nicht ausfüllen. Da Spam-Roboter aus Zeitgründen die CSS-Eigenschaften und die JavaScript-Anweisungen in der Regel nicht auswerten, bleibt für die Roboter das Eingabefeld sichtbar und wird ausgefüllt. Der Webserver, der die Formulareingaben annimmt, kann dann alle Eingaben, bei dem das Honigtopf-Feld ausgefüllt ist, verwerfen.

Zeitstempel

Eine weitere Eigenschaft von Spam-Robotern ist, dass sie Formulare sehr schnell ausfüllen. Die Zeit zwischen Formular-Auslieferung und Formular-Antwort kann gemessen werden. Ist diese unnatürlich kurz, kann von einer Antwort eines Spam-Roboters ausgegangen werden.

Natürlich können auch alle oben genannten Verfahren kombiniert werden. Die gängigen einfach gehaltenen Spam-Roboter sollten bereits durch diese Maßnahmen erfolgreich ausgeschlossen werden.

© Bundesministerium für Arbeit und Soziales