Formulare sind beliebte Angriffspunkte für Spammer
Schlecht geschützte Formulare sind einer der beliebtesten Angriffspunkte für Spammer. Viele Webseitenbetreiber haben leidvolle Erfahrungen in dieser Richtung gemacht.
Visforms unterstützt mehrere unterschiedliche Möglichkeiten zur erfolgreichen Spam-Abwehr. Diese Möglichkeiten lassen sich miteinander kombinieren.
Je nachdem wie stark ihre Webseite attackiert wird, wie intelligent die Angreifer sind und wie lange die Angreifer mit Ihrer Seite Üben konnten:
- Gibt es nicht immer in allen Fällen einen 100 prozentigen Schutz.
- Sind einzelne aktive Methoden anders zu konfigurieren.
- Nutzen Sie zusätzlich die IP-Black-Listen im Visforms Spamschutz-Plugin.
- Nutzen Sie weitere DNS-Anbieter im Visforms Spamschutz-Plugin.
- Sind weitere Methoden für das Formular zu aktivieren.
- Falls Sie bislang ausschließlich mit Captchas gearbeitet haben, nutzen Sie die anderen Methoden alternativ oder auch zusätzlich.
Anti-Spam-Honeypot
Die Anti-Spam-Technik Honeypot wird verwendet, um Spam-Bots daran zu hindern, Website-Formulare auszufüllen nud erfolgreich abzuschicken.
Dies ist bei Visforms ein verstecktes Feld, das die Formular-Ausfüller nicht sehen können, Spam-Bots jedoch schon.
Da echte Menschen es nicht sehen können, werden sie es nicht ausfüllen.
Daran kann nach dem Absenden des Formulars erkannt werden, dass es sich um einen Spammer gehandelt hat.
Ein Anti-Spam-Honeypot können Sie jedem Formular durch einfache Aktivierung in der Formular-Konfiguration hinzufügen. Auswertung und irreführende Rückmeldung an den Spammer erfolgen automatisch.
Visforms Spamschutz-Plugin und Online-Spambot-Datenbanken
Hinweis: Visforms kommt mit einem eigenen Spamschutz-Plugin.
Visforms bietet einen alternativen Weg, um das Spammen über Formulare zu verhindern. Hierbei müssen keine Captchas eingegeben werden.
Dieses Plugin stoppt Spam direkt an der Quelle. Es verwendet verschiedene große DNS und E-Mail Blacklist Provider um Spammer von Registrierung und Login auf Ihrer Webseite abzuwehren. SpambotCheck liefert Ihnen einen Echtzeit-Spamschutz an dem verschiedene internationale Organisationen beständig und ununterbrochen arbeiten.
Das Visforms Spamschutz-Plugin nutzt diese Online-Spambot-Datenbanken und kann dadurch allein bereits einen Großteil an bekannten Spammern abhalten.
Captchas
Hinweis: Tatsächlich sind viele Captchas insbesondere für KI-unterstützte Spam-Bots leichter zu lösen als für Menschen.
Die Verwendung von Captchas als Spamschutz ist nur bedingt benutzerfreundlich sowie rechtlich durchaus aufwendig bis umstritten:
- Nutzer erleben Captchas als störend, zeitraubend und frustrierend.
- Captchas können für Benutzer aufgrund von sprachlichen und kulturellen Barrieren schwer zu verstehen sein.
- Captchas können insbesondere für Menschen mit Sehbehinderungen oder anderen Behinderungen sowie für ältere Menschen schwer zu bewältigen sein.
- Einige Captcha-Dienste verfolgen Nutzer oder greifen auf Dienste von Drittanbietern zurück, die massive Bedenken hinsichtlich des Datenschutzes aufwerfen.
Visforms unterstützt trotzdem selbstverständlich auch den Schutz mit Captcha:
Eine kompakte Hilfe zur Auswahl des reCAPTCHA-Typs gibt es auf dieser Entwickler-Seite von Google: reCAPTCHA-Typ auswählen.
Weitere Schutz-Möglichkeiten
Anti-Spam-Honeypot, Visforms Spamschutz-Plugin und Captchas sind weitreichend und effektiv, indem sie weitestgehend die Formulare vor Spammern schützen.
Zusätzlich gibt es
weitere Schutz-Möglichkeiten,
um die Sicherheit noch zu intensivieren.
Schutz unserer eigenen Webseite
Auf unserer eigenen Webseite verwenden wir zum Schutz der Formulare allein unser Visforms Spamschutz-Plugin. Allein damit erhalten wir in der Regel weniger als 1 Mal pro Monat ein Kontakt-Formular, das Spam enthält. Damit sind wir als Webseiten-Betreiber voll und ganz zufrieden.
Wartungsarbeiten haben wir mit dem Betrieb des Visforms Spamschutz-Plugin so gut wie gar keine. Denn die eigentliche Arbeit wird an anderer Stelle durch die Betreiber der großen Online-Spambot-Datenbanken geleistet.
DSGVO und reCAPTCHA v2 und v3
Hinweis: Visforms unterstützt ab Joomla 5 den Google-Dienst reCAPTCHA V2 mit einer eigenen Implementierung.
Eine kompakte Hilfe zur Auswahl des reCAPTCHA-Typs gibt es auf dieser Entwickler-Seite von Google: reCAPTCHA-Typ auswählen.
Vorteile
Der größte Vorteil der Google-Dienste reCAPTCHA v2 und v3 besteht darin, dass Nutzer nicht mehr zu einem ausdrücklichen Test ‘gezwungen’ werden müssen.
Standardmäßig wird nur noch der verdächtigste Verkehr aufgefordert, ein Captcha zu lösen.
Einen ausdrücklichen Test gibt es also nur noch sehr selten für normale Benutzer des Formulars.
Der neuste Google-Dienst reCAPTCHA v3 bezieht sich auf die gesamte Web-Site und erfasst alle Nutzer-Aktionen auf der Web-Site.
Der größte Vorteil des Google-Dienstes reCAPTCHA v3 besteht darin, dass gleich die gesamte Web-Site überwacht und analysiert wird.
Zusätzlich gibt es für den Website-Betreiber noch mehr Vorteile bei der Feinabstimmung der Google API.
Etwa kann der Website-Betreiber hier sinnvolle Pfade, also Reihenfolgen der einzelnen Seiten festlegen, wie sie normale Benutzer durchlaufen.
Unsinnige Pfade der Reihenfolge von Seitenaufrufen stammen in der Regel von automatisierten Spammern und können dadurch zusätzlich erkannt werden.
Nachteile
Google-Dienste reCAPTCHA v2 und v3 sind nicht automatisch konform mit der DSGVO.
Grundsätzlich hilft reCAPTCHA dabei, einfache Bots zu bekämpfen.
Es gibt jedoch einige erhebliche Einschränkungen, darunter:
- Kein Schutz vor komplexen Bots.
- Keine Optimierung der Benutzer-Erfahrung.
- Probleme mit der Nichteinhaltung des Datenschutzes gemäß DSGVO.
Es mangelt an Transparenz, was Ihre DSGVO-Compliance-Ziele untergraben kann.
So bleiben Sie DSGVO-konform
Es geht bei der DSGVO darum, den Nutzern mitzuteilen, welche Daten Sie erfassen und wie Sie diese verwenden können.
Sie müssen daher allen reCAPTCHA-Benutzern die entsprechenden Informationen auf ihrer Website zur Verfügung stellen.
Nur so können die Endbenutzer ihre rechtlich sichere Einwilligung in Kenntnis der Sachlage erteilen.
1. Verwenden Sie eine Datenschutzrichtlinie für Googles ReCAPTCHA
Web-Sites mit reCAPTCHA sollten eine Datenschutzrichtlinie haben, die sich speziell auf reCAPTCHA bezieht.
Sie sollte Folgendes enthalten:
- Was es ist.
- Wie es verwendet wird.
- Wie es funktioniert.
- Die Rechtsgrundlage für die Verwendung.
- Wie Menschen ihre Einwilligung widerrufen können.
- Namen von Drittverarbeitern.
- Wo die Drittverarbeiter Daten verarbeiten.
- Welche Sicherheitsvorkehrungen sie treffen.
2. Fügen Sie eine Cookie-Richtlinie hinzu
Möglicherweise haben Sie bereits eine Cookie-Richtlinie auf Ihrer Website.
Websites mit reCAPTCHA müssen jedoch Folgendes enthalten:
- Alle von reCAPTCHA platzierten Cookies.
- Welche Cookies gesetzt werden.
- Was die Cookies tun.
3. Fügen Sie ein Cookie-Banner und die Einhaltung der Cookie-Gesetze hinzu
Ihr Cookie-Banner ist der Hinweis unten auf Ihrer Website, der die Benutzer darüber informiert, dass Sie Cookies sammeln.
Egal ob reCAPTCHA-Cookies sowohl als Marketing-Cookies oder auch als Spamschutz-Cookies betrachtet werden:
Ihre Web-Site muss sicherstellen, dass Benutzer die Möglichkeit haben, sich abzumelden.
Benutzer-Daten die erhoben werden können
Wann immer die Google-Dienste reCaptcha eingesetzt werden, werden je nach Version personenbezogene Daten an Google weitergeleitet:
- IP-Adresse,
- Zugriffsort,
- Zeitpunkt,
- Referrer-URL,
- Betriebssystem,
- Cookies,
- Mausbewegungen/Tastaturanschläge,
- Verweildauer,
- Geräteeinstellungen (z. B. Spracheinstellungen oder Standort).
In der Regel hat Google zum selben Zeitpunkt weitere Daten vom Nutzer.
Diese erhält Google aufgrund der zahlreichen Hintergrunddienste auf sonstigen Webseiten, die Google zum Einbau anbietet:
- Google Maps,
- Google Analytics,
- Google Ads,
- und weitere.
Hinweis: Dadurch wird mit dem Einsatz der Google-Diensten reCaptcha v2 und v3 auch auf der eigenen Webseite zusätzlich umfassendes Tracking möglich.
Nachteile bezüglich Visforms
Das Google reCAPTCHA kann maximal nur ein Mal pro Seite angezeigt werden.
Sie können Visforms Formulare gleichzeitig als Modul, in einem Beitrag als auch als Komponente anzeigen.
Aufgrund der fehlenden Multi-Instanz-Fähigkeit des Google Recaptcha, kann das in der Praxis schnell zu Komplikationen und Anzeige-Problemen führen.
Das Google reCAPTCHA kann auch im Joomla-Login und bei Joomla-Kontaktformularen verwendet werden.
Es ist also ein weiteres Mal leicht möglich, dass Sie eine Seite generieren, auf der mehr als ein Google reCAPTCHA angefordert wird.
Hinweis: Bei Verwendung von Google reCAPTCHA müssten Sie durch Konfiguration von Modulen und Komponenten immer sicherstellen, dass nur ein Google reCAPTCHA pro Seite angezeigt wird.
Das Google reCAPTCHA kommt mit einer festen Breite und kann diesbezüglich kaum verändert werden.
Hinweis: Bei Verwendung von Google reCAPTCHA könnte die feste Breite des reCAPTCHA dazu führen, dass Formulare nicht in den Modulbereich Ihrer Webseite hineinpassen.