Sicherheit6 Min. Lesezeit10. Juli 2026
Honeypot statt Captcha: Spam stoppen ohne Rätsel
Kurz gesagt
Ein Honeypot ist ein für Menschen unsichtbares Formularfeld: Bots füllen es aus und werden verworfen, echte Nutzer sehen es nie. Kombiniert mit Zeitmessung und Verhaltensanalyse blockiert das Spam unsichtbar – ganz ohne Rätsel und ohne personenbezogene Daten an Dritte zu senden.
Rätsel-Captchas nerven echte Nutzer und kosten Conversions – und Lösungen wie Google reCAPTCHA senden nebenbei Daten an US-Server. Der elegantere Weg gegen Formular-Spam heißt Honeypot. So funktioniert er.
Wie funktioniert ein Honeypot?
Ein Honeypot ist ein zusätzliches Formularfeld, das per CSS unsichtbar gemacht wird. Ein Mensch sieht es nicht und lässt es leer. Ein Bot dagegen füllt automatisch alle Felder aus, die er im Quelltext findet – und verrät sich damit. Ist das versteckte Feld ausgefüllt, wird die Übermittlung verworfen. Ergänzt wird das oft durch Zeitmessung (ein Formular in 0,3 Sekunden auszufüllen schafft kein Mensch) und Verhaltensanalyse.
Warum ist das datenschutzfreundlicher als reCAPTCHA?
Weil dabei keine personenbezogenen Daten an Dritte fließen. reCAPTCHA überträgt IP-Adresse und Nutzerverhalten an Google-Server in den USA – oft schon, bevor auf „Senden" geklickt wird (datenschutz.org). Honeypot, Timer und Verhaltensprüfung laufen lokal und erfassen keine solchen Daten (nill.at). Das österreichische Bundesverwaltungsgericht stufte reCAPTCHA 2024 zudem als nicht technisch notwendig ein – einwilligungspflichtig.
Hält ein Honeypot genug Spam ab?
Für die große Masse an automatisiertem Bot-Spam: ja. Weil Bots stur alle Felder ausfüllen, fängt schon der Honeypot einen Großteil ab. Gegen ausgefeiltere Angriffe kombiniert man ihn mit mehreren Schichten (Timer, Verhalten, Rate-Limit) – ohne dass der echte Nutzer je etwas davon merkt.
Fazit
Unsichtbarer Schutz schlägt nervige Rätsel – für die Conversion und für den Datenschutz. Genau so arbeitet WordPress Captcha (SilentShield): Honeypot, Timer und Verhaltensanalyse über mehrere Schichten, ohne externe Server oder Cookies. Was die reCAPTCHA-Rechtslage 2026 angeht, liest du unter reCAPTCHA & DSGVO 2026; einen Überblick DSGVO-konformer Optionen gibt der Beitrag DSGVO-konforme Captcha-Plugins und die Captcha-Alternative.