Skip to main content

Abfrage soll vor Bots schützen

„Addieren Sie diese beiden Zahlen“: Wenn Kontaktformulare zur Hürde werden

Nutzer sind es gewohnt, am Ende eines Kontaktformulars eine einfache Rechnung zu lösen. Das dient der Sicherheit des Empfängers. Bei den baden-württembergischen Ministerien sind diese Rechnungen allerdings gar nicht so leicht zu lösen.

Anfragen an Klinik Baden-Baden per Kontaktformular immer häufiger Foto: Weiss

Im Ernstfall ist die Flut an Nachrichten nicht zu bewältigen. Mails über Mails erreichen Unternehmen mit einem neuen Produkt, Behörden nach neuen Verordnungen oder Ministerien nach neuen Gesetzen. Um die Masse an Nachrichten zu ordnen, setzen diese auf Kontaktformulare. Nutzer füllen in dem Formular auf der Webseite schon einmal alle wichtigen persönlichen Daten und ihr Anliegen aus. Doch am Ende mancher Formulare scheitern Nutzer an einer Hürde.

Vor dem Abschicken des Kontaktformulars müssen Nutzer bei den meisten baden-württembergischen Ministerien zwei schwer lesbare Zahlen addieren. Foto: Screenshot

So wollte auch Jürgen Siebler aus Dettenheim sein Anliegen an das baden-württembergische Sozialministerium übermitteln. Im Gegensatz zu vielen Nutzern ging es dem 81-Jährigen nicht um eine Frage oder Kritik zum Impfen in Baden-Württemberg.

„Ich wollte schreiben, dass wir nicht auf andere Bundesländer schauen sollten, wer schon mehr Menschen geimpft hat. Wir schauen in Baden-Württemberg auf uns und machen es sorgfältig“, sagt Siebler.

Doch als der 81-Jährige seine Nachricht an das Ministerium übermitteln wollte, scheiterte er an der letzten Hürde des Kontaktformulars: „Addieren Sie folgende beiden Zahlen“. Diese bestehen aus einzelnen Buchstaben und Zahlen und sind schwer leserlich. Siebler sagt: „Die Zeichen der Rechnung sind so klein, dass ich sie auch mit Lupe und technischen Tricks nicht entziffern konnte.“

Formulare können auch bösartig genutzt werden

Für Siebler frustrierend und die erste negative Erfahrung mit Kontaktformularen. Als Arbeitnehmer war er früher selbst für Datenverarbeitung zuständig. „Diese Sicherheitsabfrage ist ein alter Hut“, sagt er. Manche Internetseiten fordern Nutzer auf, eine Folge aus Buchstaben abzuschreiben oder Bilder anzuklicken, auf denen ein bestimmter Gegenstand zu sehen ist. Damit soll sichergestellt werden, dass das Formular von einem Menschen und nicht von einer Maschine abgeschickt wird.

In bösartigen Fällen werden die Formulare massenhaft und automatisiert von sogenannten Bots übertragen, um dem Empfänger zu schaden.

Unsere Formulare waren immer wieder Ziele von Spamattacken.
Jana Höffner, Leiterin des Referats „Online-Kommunikation, Internet“ im Staatsministerium

Das Staatsministerium setzt wie die meisten baden-württembergischen Ministerien aus Sicherheitsgründen auf diese Abfrage, wie Jana Höffner vom zuständigen Referat erklärt: „Unsere Formulare waren immer wieder Ziele von Spam-Attacken. Wir hatten vorher in die Formulare unsichtbare Bot-Fallen eingebaut, diese sind aber inzwischen von Angreifern überwunden worden.“ Daher setze man auf die aktuelle Lösung, die Addition zweier Zahlen. Für die habe es ein paar kritische Rückmeldungen gegeben, gibt Höffner zu. Jedoch: „Eine perfekte Lösung gibt es leider nicht.“

Zwei Ministerien verzichten auf diese Lösung

Barrierefreier wären sogenannte Captchas. Auch diese sollen sicherstellen, dass ein Mensch das Formular ausfüllt und keine Maschine. Die Nutzer müssen dafür beispielsweise eine Folge aus Buchstaben abschreiben. „Die verschwungenen Buchstaben und Zahlen sind aber sehr viel schwerer zu entziffern und zu lösen“, sagt Höffner. Und eine einfache Captcha-Lösung des Anbieters Google komme aus Datenschutzgründen nicht in Frage.

Von den elf baden-württembergischen Ministerien verzichten nur das Kultus- und Justizministerium auf die Addition zweier Zahlen. Nutzer müssen hier lediglich der Datenschutzerklärung zustimmen. Die beiden Ministerien setzen bei ihren Internetseiten auf einen anderen Aufbau mit anderen Systemen.

Der Spamschutz läuft aber beim Kontaktformular des Justizministeriums im Hintergrund, wie ein Sprecher erklärt. Dies sei eine Empfehlung ihres Dienstleister. „Angriffe durch Bots sind bislang nicht erfolgt“, teilt der Sprecher mit. Ebenso gab es beim Kultusministerium keine solchen Angriffe, wie ein Sprecher bestätigt. „Das kann aufgrund unserer Sicherheitsvorkehrungen auch nicht so leicht passieren.“ Eine Sicherheitsabfrage beim Formular gebe es nicht. „Aber es gibt alternative Maßnahmen, die sicherstellen, dass es sich um eine reale Person handelt.“ Zum einen würden Bots aktiv fehlgeleitet werden, zum anderen gebe es automatisierte Kontrollen.

Nach dem Blick auf die schwer lesbare Sicherheitsabfrage der anderen Ministerien sagt der Karlsruher IT-Manager Michael Salbeck: „Das ist unglücklich und wirkt über das Ziel hinaus geschossen. Aus Sicht eines Technikers mag das toll sein, aber häufig wird vergessen, wer eigentlich die Zielgruppe ist.“ In diesem Fall sei es für ältere oder sehbehinderte Menschen schwer, die Zahlen zu erkennen.

„So verfehlt das Formular seinen Zweck, dass Menschen Kontakt aufnehmen können.“ Unternehmen seien da sensibler als Ministerien. „Manche Firmen verzichten ganz auf die Sicherheitsabfrage – stolpern Kunden über diese Hürde, verlieren sie auch Geschäft.“

Zudem hält er die Gefahr einer Spam-Attacke für überschätzt. „Administratoren bekommen es meist schnell mit und ergreifen Maßnahmen.“

Es handle sich auch um einen Wettbewerb mit den Kriminellen: Die Bots würden immer besser werden, die Sicherheitsabfragen immer kniffliger. „Diese Rennen gibt es schon länger“, sagt Salbeck. „Aber so wie in diesem Fall geht es am Ziel vorbei“, betont der IT-Manager.

Mittlerweile hat Jürgen Siebler seine Nachricht an das Sozialministerium übermitteln können. Er wusste aus früheren Zeiten, dass er dafür eben die Rechnung überwinden muss, sonst kann er das Formular nicht abschicken. „Das vergisst man eben nie“, sagt er. Und eine Antwort bekam er auch schon.

nach oben Zurück zum Seitenanfang