Honeypot Captcha: So funktioniert die DSGVO-konforme reCAPTCHA Alternative für Shops

Honeypot Captcha is die DSGVO-konforme Alternative zu reCAPTCHA, die auch für Besucher deutlich angenehmer ist.
Honeypot Captcha

In der Onlinewelt gehören Spam und Bot-Angriffe einfach mit dazu. Wir können sie nicht vermeiden, aber wir können uns vorbereiten. Besonders für E-Commerce Unternehmer:innen kann das ein sehr nerviges Thema sein. Kommt es zu einem Angriff, arbeiten Bots gerne lange Listen mit geklauten Kreditkarten ab, von denen ein Großteil meist vom Zahlungsdienstleister abgefangen wird, ein Teil aber auch meist durchgeht. Wer Pech hat, verschickt hier (automatisiert) Ware und bekommt sein Geld dafür garantiert nie!

Um das zu verhindern, wurden Captchas erfunden. Leider sind die nicht nur häßlich und nervig für Nutzer und Kunden, sondern auch nicht DSGVO-konform einsetzbar. Informiere dich hier ggf. bei einem Datenschutzbeauftragten.

reCaptcha statt Honeypot
Klassische Captacha Abfrage

In diesem Artikel stelle ich dir deshalb die bessere Alternative Honeypot Trap, bzw. Honeypot Captcha (übersetzt: Honigtopf Falle) vor. Eine einfache und wirksame Methode, die auch ohne solche nervigen Abfragen für User funktioniert.

Falls du dich zusätzlich vor DDoS (Traffic) Attacken schützen möchtest, empfehle ich diesen Artikel:

Kostenloses Tool, um Angriffe auf deinen Website abwehren
Mit dieser kostenlosen Maßnahme bist du besser vorbereitet, wenn deine Website oder dein Shop mal Ziel eines Hackangriffs wird.
Für Pro Member

Was ist ein Honeypot Captcha?

Ein Honeypot Captcha ist eine Methode zur Spam-Abwehr, die eine Art unsichtbare Falle für Bots darstellt. Im Gegensatz zu herkömmlichen Captchas, die oft als kleine Rechenaufgabe oder eine Reihe von Buchstaben und/oder Zahlen am Ende eines Onlineformulars erscheinen, ist ein Honeypot Captcha für den menschlichen Benutzer unsichtbar.

Es handelt sich dabei um ein Formularfeld, das mittels CSS und JavaScript ausgeblendet wird. Für den Menschen ist das Formular also nicht sichtbar. Bots wiederum "stolpern" gerne darüber und versuchen das Feld auszufüllen, und werden als solche entlarvt (und blockiert).

In meinem eigenen Shop habe ich als Beispiel die Falle bereits auf der Produktseite aktiviert. Bevor der Bot das Produkt auswählt und in den Warenkorb legt, wird er versuchen, das Honeypot Captcha Feld zu füllen.

Der Vorteil: Die Ware landet gar nicht erst im Warenkorb und wird ggf. auch nicht im Bestand für andere Nutzer blockiert.

Honeypot Trap bei Happy Coffee
Honeypot Captcha auf der Produktseite. Die blaue Darstellung sehen Nutzer nicht!

Warum ist ein Honeypot Captcha besser als herkömmliche Captchas?

Die Verwendung von Honeypot Captcha hat mehrere Vorteile gegenüber herkömmlichen Captchas.

Erstens ist es für den Benutzer völlig unsichtbar und erfordert keine Interaktion, was die Benutzerfreundlichkeit und Barrierefreiheit erheblich verbessert.

Zweitens ist es eine DSGVO-konforme Lösung, da keine personenbezogenen Daten gesammelt werden.

Drittens ist es effektiv gegen die meisten Spam-Bots, da diese in der Regel alle Felder ausfüllen und nicht erkennen können, ob ein Feld für menschliche Augen ausgeblendet wurde.

💡
Wichtig: Achte darauf, dass du keinen Express-Checkout Button auf der Seite hast, mit denen der Bot ggf. den Warenkorb umgehen und direkt zu PayPal gehen kann, bevor er das Honeypot Captcha durchlaufen muss.

Wie implementiert man ein Honeypot Captcha?

Die Implementierung eines Honeypot Captcha ist (eigentlich) relativ einfach. Zunächst erstellt man ein zusätzliches Formularfeld, das dann mittels CSS und JavaScript für den menschlichen Benutzer unsichtbar gemacht wird.

Dieses Feld sollte einen allgemeinen und einfachen Namen wie "E-Mail" oder "Telefon" haben, damit Bots davon ausgehen, es handelt sich um ein reguläres Feld. Wichtig ist auch, dass die Autovervollständigung für dieses Feld deaktiviert wird, damit es nicht versehentlich von einem Nutzer ausgefüllt werden kann.

Auf Serverseite muss dann überprüft werden, ob das Honeypot-Feld ausgefüllt wurde, und wenn ja, sollte die Formulareinreichung abgelehnt werden.

Für unterschiedliche Shopsysteme gibt es bereits fertige Lösungen.

Honeypot Captcha für WooCommere / Wordpress

Ich hab einige Honeypot Captcha Plugins für WooCommerce getestet und kann WPArmour* empfehlen. Wer nur Kommentare und Kontaktformulare schützen will, kann das auch mit der kostenlosen machen. Für einmalig 19,99 USD kannst du mit der Extended Version auch WooCommerce damit absichern und Bots aussperren, die versuchen Bestellungen zu tätigen.

Honeypot Plugin WParmour für WooCommerce und Wordpress

Honeypot Captcha für Shopify

Wer seinen Shopify Shop mit der Honeypot Methode sichern will, kann entweder Apps wie Ellipsis nutzen oder eine Lösung von einem Entwickler bauen lassen.

Frag dazu am besten bei Plattformen wir heyCarson* oder Storetasker* an, oder wende dich an Freelancer oder Agenturen, die Shopify Shops erstellen.

Fazit

Honeypot Captcha ist eine effektive und benutzerfreundliche Alternative zu herkömmlichen Captchas. Der Mechanismus ist einfach, aber sehr wirksam, und sollte daher im Sicherheit-Mix einfach mit eingebaut werden.

Eine Alternative zu Honeypot Captcha ist übrigens Friendly Captcha. Hier wird während des Formularausfüllens eine Art Puzzle erstellt und im Hintergrund gelöst. Da auch hier keine Cookies verwendet werden, ist das aus Datenschutzsicht ebenfalls sauber.

Die Implementierung ist aufgrund der Rechenoperation jedoch etwas umständlicher. Friendly Captcha ist eine Open Source Lösung (hier zum Download), kann aber auch kostenpflichtig als Service gebucht werden.