Warum CAPTCHAs nicht barrierefrei sein können

Wie barrierefrei können grafische Bild-Codes, die sogenannten CAPTCHAs sein? Da selbst Leute, die behaupten, etwas von Barrierefreiheit zu verstehen sie einsetzen, scheint es hier einige Missverständnisse zu geben. APTCHAs sind Mechanismen, die Menschen von automatisierten Spam-Bots unterscheiden sollen. Sie sollen Spam in Web-Formularen wie Kontaktformularen oder Kommentar-Bereichen verhindern.
Der Einsatz von CAPTCHAs verhindert wahrscheinlich eher, dass Menschen das Web-Formular nutzen, stellt aber für Bots keine große Hürde da. Ich würde soweit gehen, die Professionalität eines Webseiten-Betreibers infrage zu stellen, wenn der CAPTCHAs einsetzt. Da hat jemand keine Ahnung von Usability, Barrierefreiheit geschweige denn von effektiven Spamschutz-Mechanismen.
Vorneweg sei gesagt: Es gibt kein barrierefreies CAPTCHA. Ich wiederhole das gerne noch mal: Es gibt kein barrierefreies CAPTCHA. Im Folgenden wollen wir uns ein paar Beispiele im Detail anschauen.

Die einfache Lösung

Die simpelste Lösung, die nach wie vor zu finden ist ist eine gleichbleibende Zeichenkette, die in einer Grafik versteckt ist. Tatsächlich hält das häufig sowohl Spammer als auch Menschen ab, die Menschen, weil sie es nicht lösen können oder wollen. Die Bots, weil der Algorithmus nicht auf die spezielle Kombination aus Formularfeldern und Grafik-Code hin betrachtet wurde. Bots funktionieren am besten bei Formularen, die gleich aussehen, kein Mensch macht sich die Mühe, sie für einzelne Seiten anzupassen, die ein wenig vom Standard abweichen.
Eine weitere Möglichkeit ist das Lösen einer simplen Mathe-Aufgabe. Auch hier gilt das oben gesagte: Das lösen mathematischer Formeln ist die ur-eigene Aufgaben von Computern. Diese Lösungen funktionieren nur deshalb, weil der Bot nicht angepasst wurde. Sobald das passiert ist, können die Bots ihre Aufgabe beginnen.

ReCAPTCHA – die Möchtegern-Barrierefreie-Lösung

ReCAPTCHA ist die aktuell am weitesten verbreitete Lösung. In der Theorie soll man hier nur ein Häkchen setzen bei „Ich bin kein Roboter“. Das sollte doch auch der größte Honk hinbekommen oder?
Leider nein: Zum einen ist schon die Unterstellung, man sei ein Roboter ein bisschen unverschämt. Wichtiger ist aber, dass das Häkchen häufig nicht funktioniert. Meine Vermutung ist, dass es teils mit Datenschutz-Einstellungen des Browsers kollidiert.
Wie dem auch sei: Man bekommt also ein Bilder-Rätsel angezeigt. Das kann man als Sehbehinderter oder Blinder nur schwer oder gar nicht lösen. Nun gibt es die Audio-Alternative, die aktuell tatsächlich gut verständlich ist. Während man früher nur künstlich erzeugtes unverständliches Gebrabbel und Rauschen angeboten bekam, werden aktuell wohl Sound-Schnipsel aus Fernsehsendungen verwendet. Das dürfte für viele Schwerhörige noch relativ gut verständlich sein. Als Tastatur-Nutzer, Sehbehinderter oder Blinder muss man aber in dem Wust aus Bilder-Rätsel und Website erst mal die Audio-Alternative finden.
Und was machen wir mit lernbehinderten und älteren Personen? Verstehen sie, was da von ihnen erwartet wird, warum sie mitteilen sollen, dass sie kein Roboter sind und was dieses Bilder-Rätsel zu bedeuten hat? Was machen Leute mit psychischen Problemen, für die jede weitere Aktion eine Belastung ist?
Last not least bleibt da das Datenschutz-Problem: Google ist das schwarze Loch des Datenschutzes, niemand weiß, welche und wie viele Daten an Google übertragen werden, wenn so ein CAPTCHA eingebunden wird.

Ich bin ein Roboter

Das Problem mit CAPTCHAs besteht darin, dass sie einerseits so komplex sein sollen, dass ein Algorithmus sie nicht schnell automatisch lösen kann. Andererseits sollen sie aber so einfach sein, dass jeder Mensch sie lösen kann. Es ist leicht einzusehen, dass früher oder später der Mensch verlieren muss. Besonders gilt das für den behinderten Menschen, da seine sinnlichen und kognitiven Fähigkeiten von denen Nicht-Behinderter abweichen.
Ich habe mich einmal darüber lustig gemacht – es steckt aber ein wahrer Kern in der Satire: Algorithmen zum Maschinen-Lernen sollten schon heute in der Lage sein, die Codes besser zu lösen als Menschen. Wenn sie es noch nicht können, dann in naher Zukunft. Google, Facebook, Microsoft, Amazon und Apple arbeiten an solchen Lösungen, ganz zu schweigen von vielen kleineren Playern. Die KI zur Erkennung von Objekten auf Bildern sowie zur Sprach-Erkennung schreitet schnell voran. Man könnte sich einfach einen Zugang zur Google-Bild-Erkennungs-API kaufen und die API auf ReCAPTCHA ansetzen, dann würde man Google mit seinen eigenen Waffen schlagen.
Mit anderen Worten: CAPTCHAs werden in ihr Gegenteil verkehrt, sie werden besser von Maschinen als von Menschen erkannt.

Schön und gut – aber der ganze Spam?

Nun ist es korrekt, dass viel Spam über Web-Formulare reinkommt. Nur doof, dass CAPTCHA eher menschliche als botische Nutzer abhält. Ich könnte zähneknirschend akzeptieren, dass CAPCHAs unvermeidlich sind, das sind sie aber nicht. Ich sage immer, CAPCTHAs sind ein Instrument zur Kontakt-Vermeidung, setzen Sie sie ein, wenn Sie möchten, dass Ihr Formular nicht verwendet wird. Prüfen Sie ruhig einmal, wie hoch die Abbruchrate beim CAPTCHA ist. Aber welche Alternativen gibt es?
Wahrscheinlich kann man einen Großteil der Bots schon dadurch sperren, dass man eine Zeitverzögerung einbaut. Sagen wir, das Formular kann erst nach zehn Sekunden abgeschickt werden. Sicherlich gibt es Szenarien, in denen ein Mensch innerhalb von zehn Sekunden das Formular ausfüllt und abschicken will, das ist aber sehr unwahrscheinlich.
Eine weitere Möglichkeit sind Honeypots: Das sind Eingabefelder, die nur für den Bot sichtbar sind und von ihm ausgefüllt werden. Diese Eingaben werden automatisch als Spam klassifiziert und nicht zugestellt.
Für WordPress gibt es effiziente Spamfilter wie Akismet oder AntiSpamBee. Für andere gängige Redaktionssysteme gibt es vergleichbare Lösungen.
Sehr effizient sind auch Listen von Wörtern, die automatisch geblockt werden. Es ist unwahrscheinlich, dass ein ernsthafter Kommentator oder Kontakter Worte verwendet, die in typischen Spam-Kommentaren auftreten. Sie kennen diese Worte, sie haben meistens etwas mit Geld oder Sex zu tun.
Ein weiterer Ansatzpunkt ist das E-Mail-Post-Fach selbst. Neben den integrierten Mechanismen der E-Mail-Provider kann man auch hier mit effizienten Filtern arbeiten, die einen Großteil des Spams aussortieren.
Am effektivsten erscheint eine Mischung mehrerer Methoden. Das sollte tatsächlich bis zu 100 Prozent des Spams abhalten. Es sollte aber klar geworden sein, dass CAPTCHAs weder barrierefrei sind noch zur Spam-Prävention effizient beitragen.
Sie wollen mehr Beiträge wie diesen lesen? Dann abonnieren Sie doch meinen Newsletter.

7 Gedanken zu „Warum CAPTCHAs nicht barrierefrei sein können“

  1. Danke für den Artikel Domingos. In WordPress gibt es unter Einstellungen Diskussion z.B. die Kommentar-Blacklist. Die funktioniert auch mit den meisten Kontaktformular-Plugins. Einfach „Bitcoin“ eintragen und diese Kommentare und Formularspamart landet im Müll. Es wird auch mit Honeypots und anderen Lösungen immer etwas durchsickern, weil die Spammer nachbessern, aber immer noch besser als die Userinnen mit CAPTCHA zu verscheuchen. Auch aus Marketingsicht übrigens.

  2. Hallo Domingos,

    ich denke du solltest noch die Alternativmöglichkeiten zu Googles ReCaptcha („Ich bin kein Roboter“) erwähnen.

    Zum einen gibt es die Möglichkeit des Invisible ReCaptcha und die ReCaptcha v3

    Ich würde soweit gehen, die Professionalität dieses Artikels infrage zu stellen, wenn er nicht alle (guten und aktuellen) Alternativen aufzeigt. Da hat jemand keine Ahnung von effektiven Spamschutz-Mechanismen.
    ;)

    https://www.golem.de/news/recaptcha-v3-googles-neues-captcha-funktioniert-ohne-raetselloesen-1810-137394.html

  3. Ich habe diese Kontrollfelder „Ich bin kein Roboter“ tatsächlich meist erfolgreich ohne weitere Aktion aktivieren können. Die Voraussetzung ist jedoch, dass man die Maus bewegt. Ich z.B. ziehe den JAWS-Cursor zum Virtuellen Cursor und aaktiviere das Kontrollfeld dann so. ReCAPTCHA prüft nämlich die Mausbewegungen. In wie fern das vor Robots sicherer macht weiß ich wirklich nicht.

    1. Soweit ich das Prinzip verstehe, sollen mehrere Mechanismen greifen. Bei mir klappt es manchmal mit der Tastatur und mit der Maus und manchmal nicht, wobei ich einen starken Zusammenhang mit den Datenschutzeinstellungen im Firefox festgestellt hatte. Auf dem Touch-Screen, etwa in der DHL-Apphat es definitiv nicht mit dem Häkchen funktioniert und hier arbeiten ja Blinde nicht prinzipiell anders als Sehende.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.