Warum mein Formular sinnlose Anfragen bekommt
Viele Website-Betreiber wundern sich, das Kontaktformular wird zwar ordentlich abgesendet, aber die Anfragen sind inhaltlich sinnlos befüllt. Namen bestehen aus Zufallsbuchstaben, Zahlenfelder enthalten „NaN“, Texte wirken künstlich korrekt, aber sinnlos.
Und das trotz Honeypot oder Captcha. Der Grund dafür ist eine neue Form von Missbrauch, die man als low-frequency AI/automation abuse bezeichnet.
Was bedeutet low-frequency AI/automation abuse?
Dabei werden Formulare automatisiert, oft mithilfe von KI, ausgefüllt und abgesendet, aber nicht massenhaft, nicht auffällig, nicht täglich und nicht von derselben IP. Stattdessen einzelne Anfragen, über längere Zeit verteilt und mit formal gültigen, aber real unbrauchbaren Inhalten.
Automatisierte Formularanfragen dienen häufig dazu, KI-gestützte Systeme oder Abläufe zu testen. Geprüft wird, ob ein Formular korrekt verarbeitet wird, welche Prüfungen greifen und wie das System reagiert. Der eigentliche Inhalt ist dabei nebensächlich, weshalb die Eingaben oft formal korrekt, aber inhaltlich sinnlos sind. Die Anfragen erfolgen bewusst selten und unauffällig, um nicht als klassischer Spam aufzufallen.
Warum klassische Schutzmaßnahmen nicht mehr greifen
Honeypot
Wirksam gegen alte Bots – moderne Automatisierung erkennt und ignoriert diese Felder gezielt.
Captcha
KI kann Captchas lösen oder umgehen. Zusätzlich verschlechtern sie Benutzerfreundlichkeit und Barrierefreiheit.
Rate Limits
Diese Angriffe sind absichtlich selten. Es gibt keine „Rate“, die man sinnvoll begrenzen könnte.
Tokens & Zeitvalidierung
Zeitverzögerungen und Tokens lassen sich technisch korrekt nachbilden – auch von KI.
All diese Methoden prüfen das Verhalten, nicht den Inhalt.
Was heute wirklich hilft
Der wirksamste Ansatz ist eine Plausibilitäts- und Inhaltsprüfung. Dabei wird nicht nur geprüft, ob ein Formular abgesendet wurde, sondern was tatsächlich eingegeben wurde:
Passt der Name zu einem echten Namen? Enthält ein Text natürliche Sprache? Sind Zahlen wirklich Zahlen? Tauchen typische Platzhalter wie NaN, undefined oder zufällige Zeichenfolgen auf?
Diese Prüfung erfolgt serverseitig, also erst nachdem das Formular beim Server angekommen ist. Das ist ein entscheidender Vorteil, denn serverseitige Prüfungen können nicht durch Manipulation im Browser umgangen werden. Alles, was nur im Browser (clientseitig) passiert, lässt sich technisch beeinflussen oder nachbilden, serverseitige Logik hingegen nicht.
Unplausible Anfragen werden anschließend still verworfen („silent drop“), ohne Fehlermeldung und ohne Hinweis für den Absender.
Das Ergebnis: keine UX-Probleme, keine Captchas, deutlich weniger Müll und eine sehr gute Erfolgsquote gegen moderne, KI-gestützte Automatisierung.
Geografische Filterung als zusätzliche Schutzmaßnahme
Je nach Zielgruppe kann zusätzlich geprüft werden, aus welchen Ländern Anfragen kommen und wie diese bewertet werden sollen.
In der Praxis ist eine harte Länderbeschränkung jedoch oft nicht sinnvoll. Viele Unternehmen arbeiten international oder wissen im Vorfeld nicht, aus welchen Ländern zukünftige Kunden kommen werden. Eine pauschale Sperre kann in solchen Fällen dazu führen, dass legitime Anfragen verloren gehen.
Wenn ein Unternehmen ausschließlich mit Kunden aus bestimmten Ländern oder Regionen arbeitet, kann eine GeoIP-basierte Einschränkung sehr effektiv sein, um unnötige oder unpassende Anfragen frühzeitig auszufiltern.
Richtig eingesetzt kann GeoIP helfen, die Anzahl irrelevanter Anfragen weiter zu reduzieren, ohne echte Kunden auszuschließen, wenn die Rahmenbedingungen klar definiert sind.
Fazit
Formularmissbrauch ist heute leise, selten und intelligent. Nicht jeder Spam ist offensichtlich. Deshalb helfen klassische Schutzmechanismen oft nicht mehr.
Die beste Lösung ist:
Nicht den Absender prüfen, sondern den Inhalt.
Und wie können wir helfen?
Sollten Sie Fragen zu unseren Produkten haben, mehr Informationen benötigen oder einfach auf der Suche nach einer passenden Lösung sein? Dann zögern Sie nicht uns zu kontaktieren.