HCaptcha, ReCaptcha und co. – warum es keine barrierefreien Bild-Codes gibt


Wie barrierefrei können grafische Bild-Codes, die sogenannten CAPTCHAs sein? Da selbst Leute, die behaupten, etwas von Barrierefreiheit zu verstehen sie einsetzen, scheint es hier einige Missverständnisse zu geben. Vorneweg sei gesagt, dass auch Lösungen nicht barrierefrei sind, die von sich anderes behaupten, Beispiele sind HCaptcha oder ReCaptcha. Ob das an der Lösung selbst oder einer „falschen“ Implementierung liegt, ist egal, sie sind nicht barrierefrei.
CAPTCHAs sind Mechanismen, die Menschen von automatisierten Spam-Bots unterscheiden sollen. Sie sollen Spam in Web-Formularen wie Kontaktformularen oder Kommentar-Bereichen verhindern.
Der Einsatz von CAPTCHAs verhindert wahrscheinlich eher, dass Menschen das Web-Formular nutzen, stellt aber für Bots keine große Hürde da. Ich würde soweit gehen, die Professionalität eines Webseiten-Betreibers infrage zu stellen, wenn der CAPTCHAs einsetzt. Da hat jemand keine Ahnung von Usability, Barrierefreiheit geschweige denn von effektiven Spamschutz-Mechanismen.
Vorneweg sei gesagt: Es gibt kein barrierefreies CAPTCHA. Ich wiederhole das gerne noch mal: Es gibt kein barrierefreies CAPTCHA.
Im Folgenden wollen wir uns ein paar Beispiele im Detail anschauen.

Die einfache Lösung

Die einfachste Lösung, die nach wie vor zu finden ist ist eine gleichbleibende Zeichenkette, die in einer Grafik versteckt ist. Tatsächlich hält das häufig sowohl Spammer als auch Menschen ab, die Menschen, weil sie es nicht lösen können oder wollen. Die Bots, weil der Algorithmus nicht auf die spezielle Kombination aus Formularfeldern und Grafik-Code hin betrachtet wurde. Bots funktionieren am besten bei Formularen, die gleich aussehen, kein Mensch macht sich die Mühe, sie für einzelne Seiten anzupassen, die ein wenig vom Standard abweichen.
Eine weitere Möglichkeit ist das Lösen einer simplen Mathe-Aufgabe. Auch hier gilt das oben gesagte: Das lösen mathematischer Formeln ist die ur-eigene Aufgaben von Computern. Diese Lösungen funktionieren nur deshalb, weil der Bot nicht angepasst wurde. Sobald das passiert ist, können die Bots ihre Aufgabe beginnen.

ReCAPTCHA – die Möchtegern-Barrierefreie-Lösung von Google

ReCAPTCHA ist die aktuell am weitesten verbreitete Lösung. In der Theorie soll man hier nur ein Häkchen setzen bei „Ich bin kein Roboter“. Das sollte doch auch der größte Honk hinbekommen oder?
Leider nein: Zum einen ist schon die Unterstellung, man sei ein Roboter ein bisschen unverschämt. Wichtiger ist aber, dass das Häkchen häufig nicht funktioniert. Meine Vermutung ist, dass es teils mit Datenschutz-Einstellungen des Browsers kollidiert. Wenn man bei Google eingeloggt ist funktioniert das Häkchen meistens, aber extra dafür wird sich niemand einen Google-Account zulegen.
Wie dem auch sei: Man bekommt also ein Bilder-Rätsel angezeigt. Das kann man als Sehbehinderter oder Blinder nur schwer oder gar nicht lösen. Nun gibt es die Audio-Alternative, die aktuell tatsächlich gut verständlich ist. Während man früher nur künstlich erzeugtes unverständliches Gebrabbel und Rauschen angeboten bekam, werden aktuell wohl Sound-Schnipsel aus Fernsehsendungen verwendet. Das dürfte für viele Schwerhörige noch relativ gut verständlich sein. Als Tastatur-Nutzer, Sehbehinderter oder Blinder muss man aber in dem Wust aus Bilder-Rätsel und Website erst mal die Audio-Alternative finden.
Hinzu kommt das Problem mit dem Zeitlimit: Bei ReCaptcha ist ein Zeitlimit eingestellt, welches aber für die Lösung der grafischen Capchas ausgelegt ist, also für Nicht-Behinderte. Für Behinderte gibt es hingegen das Problem, dass das Captcha mehr Schritte erfordert und das Zeitlimit nicht ausreicht.
Und was machen wir mit lernbehinderten und älteren Personen? Verstehen sie, was da von ihnen erwartet wird, warum sie mitteilen sollen, dass sie kein Roboter sind und was dieses Bilder-Rätsel zu bedeuten hat? Was machen Leute mit psychischen Problemen, für die jede weitere Aktion eine Belastung ist?
Last not least bleibt da das Datenschutz-Problem: Google ist das schwarze Loch des Datenschutzes, niemand weiß, welche und wie viele Daten an Google übertragen werden, wenn so ein CAPTCHA eingebunden wird.

Ich bin ein Roboter

Das Problem mit CAPTCHAs besteht darin, dass sie einerseits so komplex sein sollen, dass ein Algorithmus sie nicht schnell automatisch lösen kann. Andererseits sollen sie aber so einfach sein, dass jeder Mensch sie schnell lösen kann. Es ist leicht einzusehen, dass früher oder später der Mensch verlieren muss. Besonders gilt das für den behinderten Menschen, da seine sinnlichen und kognitiven Fähigkeiten von denen Nicht-Behinderter abweichen. Das zweite Problem ist die Zeit: ReCaptcha gibt standardmäßig zwei Minuten. Das ist viel zu kurz für behinderte Menschen.
Ich habe mich einmal darüber lustig gemacht – es steckt aber ein wahrer Kern in der Satire: Algorithmen zum Maschinen-Lernen sollten schon heute in der Lage sein, die Codes besser zu lösen als Menschen. Wenn sie es noch nicht können, dann in naher Zukunft. Google, Facebook, Microsoft, Amazon und Apple arbeiten an solchen Lösungen, ganz zu schweigen von vielen kleineren Playern. Die KI zur Erkennung von Objekten auf Bildern sowie zur Sprach-Erkennung schreitet schnell voran. Man könnte sich einfach einen Zugang zur Google-Bild-Erkennungs-API kaufen und die API auf ReCAPTCHA ansetzen, dann würde man Google mit seinen eigenen Waffen schlagen.
Mit anderen Worten: CAPTCHAs werden in ihr Gegenteil verkehrt, sie werden besser von Maschinen als von Menschen erkannt.

Schön und gut – aber der ganze Spam?

Nun ist es korrekt, dass viel Spam über Web-Formulare reinkommt. Nur doof, dass CAPTCHA eher menschliche als botische Nutzer abhält. Ich könnte zähneknirschend akzeptieren, dass CAPCHAs unvermeidlich sind, das sind sie aber nicht. Ich sage immer, CAPTCHAs sind ein Instrument zur Kontakt-Vermeidung, setzen Sie sie ein, wenn Sie möchten, dass Ihr Formular nicht verwendet wird. Prüfen Sie ruhig einmal, wie hoch die Abbruchrate beim CAPTCHA ist. Aber welche Alternativen gibt es?
Wahrscheinlich kann man einen Großteil der Bots schon dadurch sperren, dass man eine Zeitverzögerung einbaut. Sagen wir, das Formular kann erst nach zehn Sekunden abgeschickt werden. Sicherlich gibt es Szenarien, in denen ein Mensch innerhalb von zehn Sekunden das Formular ausfüllt und abschicken will, das ist aber sehr unwahrscheinlich.
Eine weitere Möglichkeit sind Honeypots: Das sind Eingabefelder, die nur für den Bot sichtbar sind und von ihm ausgefüllt werden. Diese Eingaben werden automatisch als Spam klassifiziert und nicht zugestellt.
Für WordPress gibt es effiziente Spamfilter wie Akismet oder AntiSpamBee. Für andere gängige Redaktionssysteme gibt es vergleichbare Lösungen.
Sehr effizient sind auch Listen von Wörtern, die automatisch geblockt werden. Es ist unwahrscheinlich, dass ein ernsthafter Kommentator oder Kontakter Worte verwendet, die in typischen Spam-Kommentaren auftreten. Sie kennen diese Worte, sie haben meistens etwas mit Geld oder Sex zu tun.
Ein weiterer Ansatzpunkt ist das E-Mail-Post-Fach selbst. Neben den integrierten Mechanismen der E-Mail-Provider kann man auch hier mit effizienten Filtern arbeiten, die einen Großteil des Spams aussortieren.
Am effektivsten erscheint eine Mischung mehrerer Methoden. Das sollte tatsächlich bis zu 100 Prozent des Spams abhalten. Es sollte aber klar geworden sein, dass CAPTCHAs weder barrierefrei sind noch zur Spam-Prävention effizient beitragen.
Das Problem besteht mit allen Lösungen, die versuchen, auf Basis von Nutzer-Interaktion Spam zu verhindern. Deswegen kann so ein Mechanismus nach aktuellen Bedingungen nicht barrierefrei sein.
Why CAPTCHA’s are not accessible