zi-co.de | Web Design & Development | Darmstadt

01.06.2026 | Alex Zierlinger

Kontaktformulare gegen Spam absichern – ein CAPTCHA-Vergleich

Bots fluten täglich tausende Webseiten mit Spam-Nachrichten. Wir zeigen, wie CAPTCHA-Lösungen schützen – und welche Option zu Ihrem Projekt passt. In diesem Beitrag erklären wir, wie CAPTCHAs funktionieren und warum sie ein wirksames Mittel gegen automatisierten Formular-Missbrauch sind. Außerdem stellen wir drei unterschiedliche Produkte vor, die sich in puncto Kosten, Komfort und Datenschutz deutlich voneinander unterscheiden.

Das Problem: Kontaktformulare im Visier von Bots

Ein Kontaktformular gehört auf nahezu jeder Website zum Standard – und ist damit auch eines der beliebtesten Angriffsziele für automatisierte Bots. Wer kein Schutzkonzept hat, öffnet Tür und Tor für Spam, Phishing-Versuche und sogar gezielte Angriffe auf die eigene Infrastruktur.

35%

aller Spam-Angriffe auf Web-Formulare treffen Kontaktformulare – nach Anmeldeformularen der am häufigsten angegriffene Formulartyp. 

Quelle: SQ Magazine

45,6 %

aller weltweit versendeten E-Mails galten 2023 als Spam – Tendenz durch KI-gestützte Angriffe weiter steigend. 

​​​​​​​Quelle: Statista

96,8 %

der Internetnutzer haben bereits Spam-Nachrichten erhalten – Spam ist kein Randphänomen, sondern Alltag. 

Quelle: DeBounce

12,5 Mrd. $

Schaden entstanden 2024 durch Phishing weltweit – ein Anstieg von 25 % gegenüber dem Vorjahr. 

Quelle: SQ Magazine / FBI IC3

Ungeschützte Formulare sind für Angreifer besonders attraktiv, weil der Aufwand minimal und die Erfolgschancen hoch sind: Ein einziger Bot kann in kurzer Zeit tausende Formulare auf verschiedenen Seiten befüllen. Die Folgen reichen von überfüllten Postfächern über Server-Überlastung bis hin zu Reputationsschäden – gerade wenn das eigene Formular für Phishing-Nachrichten an Dritte missbraucht wird.

Was ist ein CAPTCHA – und wie hat es sich entwickelt?

CAPTCHA steht für „Completely Automated Public Turing test to tell Computers and Humans Apart". Das Prinzip: Ein Test soll sicherstellen, dass am Formular ein Mensch sitzt und kein automatisiertes Skript.

Die frühen Jahre: Text- und Bildrätsel
Verzerrte Buchstabenreihen oder Zahlen, die abgetippt werden mussten. Für Bots schwer lesbar – für Nutzer mit Seheinschränkungen oft unzumutbar.

Bild-Puzzles (Google reCAPTCHA v2)
„Wähle alle Ampeln aus" – bekannt, aber auch bekannt nervtötend. Studien zeigen, dass diese Tests bis zu 30 Sekunden Nutzerzeit kosten können.

Verhaltensbasierte Analyse (v3 & moderne Lösungen)
Statt eines sichtbaren Tests analysieren moderne CAPTCHAs Mausbewegungen, Scrollverhalten und Interaktionsmuster im Hintergrund – der Nutzer merkt davon meist nichts.

Proof-of-Work-Ansätze
​​​​​​​Neueste Lösungen wie AltCha lassen den Browser eine kleine Rechenaufgabe lösen – unsichtbar, ohne Tracking, komplett lokal.

Die gute Nachricht: Wer heute ein CAPTCHA einbindet, muss den Nutzern kein lästiges Bilderrätsel mehr zumuten. Die schlechte Nachricht: Je nach gewählter Lösung entstehen Datenschutzpflichten – gerade in der EU ein wichtiger Faktor.

Drei Tools im Vergleich:

Google reCAPTCHA

recaptcha.google.com

Google reCAPTCHA ist die mit Abstand verbreitetste CAPTCHA-Lösung weltweit. Die Integration ist unkompliziert, die Erkennungsrate sehr hoch – und mit reCAPTCHA v3 läuft die Prüfung vollständig im Hintergrund, ohne sichtbaren Test für den Nutzer. Für viele Projekte klingt das ideal. Der Haken liegt im Datenschutz.

⚠ Wichtiger Datenschutzhinweis: reCAPTCHA überträgt umfangreiche Nutzerdaten – darunter IP-Adresse, Browser-Informationen und Cookies – an Google-Server in den USA. Die bayerische Datenschutzbehörde warnt ausdrücklich vor dem Einsatz ohne geprüfte Rechtsgrundlage. Mehrere Behörden haben den Einsatz ohne explizite Einwilligung als rechtswidrig eingestuft: Das österreichische Bundesverwaltungsgericht bestätigte dies im September 2024, und die französische CNIL verhängte 2023 eine Geldstrafe von 125.000 € gegen ein Unternehmen, das reCAPTCHA ohne Einwilligung einsetzte. Für EU-Websites ist daher eine ausdrückliche Opt-in-Einwilligung vor dem Laden des reCAPTCHA-Skripts zwingend erforderlich.

Vorteile

  • Kostenlos nutzbar
  • Sehr hohe Erkennungsrate
  • v3: unsichtbar für Nutzer
  • Einfache Integration

Nachteile

  • Datentransfer in die USA
  • Einwilligung (Opt-in) erforderlich
  • Abhängigkeit von Google
  • Cookie-Banner nötig

→ Detaillierte DSGVO-Analyse zu Google reCAPTCHA (keyed.de)

Friendly Captcha

friendlycaptcha.com

Kostenpflichtig

Friendly Captcha ist eine deutsche Lösung, die von Grund auf datenschutzkonform entwickelt wurde. Sie erhebt keine personenbezogenen Daten, setzt keine Cookies und verfolgt Nutzer nicht über Websites hinweg. Das Besondere: Das Tool arbeitet nahezu unsichtbar im Hintergrund – während die Seite lädt, löst der Browser eine kleine kryptografische Aufgabe, ohne dass der Nutzer irgendetwas tun muss.

✓ DSGVO-konform ohne Opt-in: Da Friendly Captcha keine personenbezogenen Daten verarbeitet und keine Cookies setzt, ist im Regelfall keine Einwilligungserklärung über ein Cookie-Banner erforderlich. Das spart Entwicklungsaufwand und verbessert gleichzeitig die Nutzererfahrung erheblich – kein Banner, kein Klicken, keine Unterbrechung. Mehr zur DSGVO-Konformität von Friendly Captcha →

Vorteile

  • Vollständig DSGVO-konform
  • Kein Opt-in erforderlich
  • Unsichtbar für Nutzer
  • Server in der EU
  • Kein Tracking, keine Cookies

Nachteile

  • Kostenpflichtig (ab ca. 9 €/Monat)
  • Externe Server-Abhängigkeit

→ Mehr über Friendly Captcha erfahren (friendlycaptcha.com)

AltCha

altcha.org

Open Source · Kostenlos

AltCha ist eine Open-Source-Lösung mit einem klaren Privacy-First-Ansatz: Die gesamte Verarbeitung findet ausschließlich auf dem eigenen Server statt. Es wird keine Verbindung zu externen Servern aufgebaut – weder zu Google noch zu irgendeinem anderen Drittanbieter. Das macht AltCha zur einzigen der drei Lösungen, die vollständig in der eigenen Infrastruktur betrieben werden kann.

100 % selbstgehostet: AltCha nutzt ein Proof-of-Work-Verfahren, bei dem der Browser des Nutzers eine kleine Rechenaufgabe löst – ganz ohne externe Abhängigkeiten, ohne Tracking und ohne Datenweitergabe. Für Projekte mit hohen Datenschutzanforderungen oder in regulierten Bereichen kann das ein entscheidender Vorteil sein.

Vorteile

  • Kostenlos & Open Source
  • Vollständig selbstgehostet
  • Keine externen Verbindungen
  • Maximale Datensouveränität
  • DSGVO-konform by design

Nachteile

  • Geringere Erkennungsrate als kommerzielle Tools
  • Eigener Serveraufwand nötig
  • Kleinere Community

→ AltCha – Open Source CAPTCHA (altcha.org)

Fazit: Das richtige Tool hängt vom Projekt ab

Alle drei Lösungen schützen vor Spam – doch keine ist universell die beste Wahl. Google reCAPTCHA punktet bei Reichweite und Erkennungsrate, erfordert aber Datenschutzaufwand und eine Nutzereinwilligung. Friendly Captcha ist die komfortabelste DSGVO-konforme Lösung für produktive Umgebungen, kostet aber Geld. AltCha überzeugt durch vollständige Datensouveränität – für Teams, die selbst hosten wollen und können.

Weil wir wissen, dass verschiedene Projekte verschiedene Anforderungen haben, bietet surfboard CMS fertige Schnittstellen für alle drei Tools – konfigurierbar im Backend. Darüber hinaus gibt es natürlich noch weitere Ansätze wie Honeypot-Felder oder hCaptcha, die sich ebenfalls integrieren lassen.

Der beste Spam-Schutz ist der, der zu Ihrem Datenschutzkonzept passt – und den Ihre Nutzer nicht bemerken.


Über den Autor

Alex Zierlinger | Webdesigner aus Darmstadt

Alex Zierlinger
Webdesigner & PHP-Entwickler
zi-co.de

Diesen Beitrag weiterempfehlen: