Warum ausgerechnet dein Formular?
Bots (automatisierte Skripte) scannen das Internet nach ungeschützten Formularen. Ihr Ziel: Links platzieren, Malware verbreiten oder einfach nur testen, ob deine Adresse aktiv ist. Dabei ist es ihnen egal, ob du ein Grosskonzern oder ein lokaler Malermeister bist – sie gehen rein mechanisch vor.
Die 3 besten Methoden gegen Spam (und eine, die du vermeiden solltest)
1. Der "Honeypot" (Die unsichtbare Falle)
Dies ist die eleganteste Lösung. Ein Honeypot (Honigtopf) ist ein zusätzliches Feld im Formular, das für menschliche Nutzer per Programmierung (CSS) unsichtbar gemacht wird.
Die Logik: Ein Bot liest den HTML-Code und füllt jedes Feld aus, das er findet – auch das unsichtbare. Ein echter Mensch sieht das Feld nicht und lässt es leer.
Der Effekt: Wenn das Formular abgeschickt wird und das "Honeypot-Feld" ausgefüllt ist, erkennt dein System sofort: Das war ein Bot. Die Nachricht wird direkt gelöscht.
Vorteil: Deine Kunden merken absolut nichts davon.
2. Google reCAPTCHA v3
Fast jeder kennt die Bilder-Rätsel ("Klicken Sie alle Ampeln an"). Diese sind jedoch ein Konversions-Killer, weil sie Nutzer nerven.
Die Lösung: Google reCAPTCHA v3 arbeitet im Hintergrund. Es beobachtet das Nutzerverhalten (Mausbewegungen, Klick-Rhythmus) und vergibt einen Score. Ist der Score zu niedrig, wird das Formular blockiert.
Wichtig für die Schweiz: Achte auf die Datenschutz-Konformität (nDSG), da Daten zur Analyse an Google gesendet werden. Ein Hinweis in der Datenschutzerklärung ist Pflicht.
3. Einfache Logik-Fragen oder Mathe-Aufgaben
Eine kleine Hürde für Bots, aber ein Leichtes für Menschen: "Was ist 5 + zwei?" oder "Wie heisst die Hauptstadt der Schweiz?".
Pro-Tipp: Nutze Text-Fragen statt reiner Zahlen-Mathe, da moderne Bots einfache Additions-Aufgaben teilweise schon lösen können. Fragen mit lokalem Bezug (z.B. "In welchem Land liegt Zürich?") sind für globale Bots oft eine unüberwindbare Mauer.
Was du vermeiden solltest: Die klassische Anzeige deiner E-Mail-Adresse im Klartext (
info@firma.ch). Bots "harvesten" (ernten) diese Adressen direkt von der Website. Nutze stattdessen immer ein Formular oder verschlüssle die Adresse technisch.
Schritt-für-Schritt: So rüstest du nach
Analysiere dein Plugin: Wenn du WordPress nutzt (z.B. Contact Form 7 oder WPForms), schau in die Einstellungen. Die meisten haben eine integrierte "Honeypot"-Funktion, die du nur aktivieren musst.
Akismet oder Antispam Bee: Installiere spezialisierte Plugins, die Absender-IPs mit bekannten Spam-Listen abgleichen.
Pflichtfelder optimieren: Mach das Telefonnummer-Feld zum Pflichtfeld. Viele einfache Bots scheitern an korrekten Nummernformaten.
Praxis-Check: Hat es funktioniert?
Ein gesundes Formular sollte eine Spam-Rate von unter 1 % haben. Wenn du trotz Schutzmassnahmen immer noch 100 Mails täglich bekommst, ist es Zeit für eine stärkere Barriere (wie eine Kombination aus Honeypot und reCAPTCHA).
Fazit: Ruhe im Posteingang bedeutet Fokus aufs Geschäft
Spam-Schutz ist kein "Nice-to-have", sondern digitale Hygiene. Mit einem Honeypot wählst du die kundenfreundlichste Variante, die Bots effektiv eliminiert. So stellst du sicher, dass die nächste E-Mail in deinem Postfach wieder eine echte Anfrage ist.
Häufige Fragen
Warum hilft ein Captcha nicht gegen alle Spams?
Es gibt "Click-Farms", in denen echte Menschen dafür bezahlt werden, Captchas zu lösen und Spam zu versenden. Gegen diese menschlichen Spammer helfen nur IP-Blockaden oder sehr spezifische Fragen.
Macht Spam-Schutz meine Website langsam?
Ein einfacher Honeypot hat null Auswirkung auf die Ladezeit. Komplexe Skripte wie reCAPTCHA können die Seite minimal verlangsamen, was aber meist durch den Sicherheitsgewinn gerechtfertigt ist.
Ist ein Honeypot rechtssicher?
Ja, solange keine personenbezogenen Daten ohne Zustimmung erhoben werden. Da das Feld leer bleiben soll und nur der Filterung dient, ist es im Rahmen des nDSG unproblematisch.
Bereit für eine Website, die wirklich funktioniert?
Ich analysiere dein Projekt kostenlos und zeige dir, was möglich ist.