Warum schlechte UX die IT-Sicherheit (und Inklusion) gefährdet
Manchmal spült einem der Algorithmus Dinge in die Timeline, die man erst für Satire hält. So ging es mir neulich bei einem Fundstück von Pascal Wegner auf X. Er zeigte einen Screenshot der Bundesnetzagentur, der zu absurd wirkte, um wahr zu sein.
Ich musste das selbst sehen. Also ab auf die Webseite, Entwicklertools geöffnet, und da war er: dieser Moment ungläubigen Staunens. Da grinste mich ein Captcha an. Diese nervigen Buchstabenrätsel, die beweisen sollen, dass man kein Roboter ist.
Die Anweisung: „Bitte geben Sie den Text in Großbuchstaben und ohne Leerzeichen ein.“
Klingt standardmäßig, oder? Der Hintergrund war aber alles andere als das: Ein Blick in den Quellcode bestätigte den Verdacht. Die Lösung des Rätsels stand direkt daneben. Im Klartext.
Um es für Bots „schwerer“ zu machen, hatte man lediglich unsichtbare Trennzeichen zwischen die Buchstaben im Code gemischt.
Das Ergebnis war ein „Anti-Captcha“: Ein Task, der für Menschen mühsam ist, aber für Maschinen in Millisekunden lösbar.
Ich habe das auf LinkedIn geteilt, und der Post ging mit mittlerweile über 150.000 Impressions und mehr als 50 Kommentaren durch die Decke. Aber genau wie bei der AOK, über deren „Mein Leben beenden“-Fail ich hier schon mal ausführlich geschrieben habe, ist das hier mehr als nur ein lustiger Fail. Es ist ein Symptom für ein tieferliegendes Problem in der deutschen IT-Landschaft.
Wir investieren massive Ressourcen in Compliance und Datenschutz-Erklärungen. Aber bei der praktischen Umsetzung bauen wir uns digitale Potemkinsche Dörfer. Sicherheit wird oft als etwas betrachtet, das „weh tun muss“, damit es wirkt. Und genau deshalb entstehen Lösungen, die weder sicher noch barrierefrei sind.
Ganz ehrlich: Das ist für mich kein reines Technik-Problem. Es ist ein kulturelles Risiko.
1. Verstecken ist keine Strategie
In der physischen Welt würde niemand seinen Haustürschlüssel unter die Fußmatte legen und hoffen, dass der Einbrecher nicht drunter schaut. Digital tun wir genau das, wenn wir Validierungs-Logik in den Client (den Browser) verlagern.
Die Bundesnetzagentur hat versucht, die Lösung durch unsichtbare Steuerzeichen (‌ / Zero-Width Non-Joiner) zu verstecken.
Das Problem: Ein Bot „schaut“ nicht auf die Seite wie ein Mensch. Er parst den Code. Für ein Skript ist das Entfernen von Steuerzeichen ein Einzeiler.
Wir versuchen hier, ein Frontend-Problem zu flicken, obwohl die Architektur dahinter (serverseitige Validierung) fehlt. Das kostet Vertrauen. Wenn eine Behörde, die für kritische Infrastruktur zuständig ist, solche Lücken lässt, fragt sich der Bürger zu Recht: Wie sieht es erst bei den wirklich wichtigen Systemen aus?
2. Barrierefreiheit ist nicht mehr verhandelbar
Hier wird es kritisch. Seit dem Barrierefreiheitsstärkungsgesetz (BFSG), das im Juni 2025 voll schlagend wurde, und der für Behörden geltenden BITV 2.0, ist Exklusion kein Kavaliersdelikt mehr.
Dieses Captcha ist für Menschen mit Behinderung ein absoluter Showstopper:
- Screenreader-Chaos: Stell dir vor, du bist blind und lässt dir die Seite vorlesen. Der Screenreader stößt auf das Label
W‌T‌T.... Entweder liest er Buchstabe für Buchstabe mit kryptischen Pausen, oder er verschluckt sich an den Steuerzeichen. Die Anweisung „Abtippen ohne Leerzeichen“ wird zur kognitiven Höchstleistung, wenn dein Vorlese-Tool dir nicht klar sagt, was da eigentlich steht. - Kognitive Barriere: Die Anweisung verlangt Transferleistung (Großbuchstaben beachten, Leerzeichen ignorieren, kryptische Zeichenfolgen erkennen). Für Menschen mit Lernschwierigkeiten oder Dyslexie ist das eine unnötige Hürde.
- Fehlende Alternative: Wo ist der Audio-Button? Wo ist die Alternative für Menschen, die das Bild nicht sehen können?
Die Ironie ist bitter: Wir sperren echte Menschen mit Behinderungen aus, um Bots abzuwehren, und die Bots sind die einzigen, die dank des Quelltext-Fails barrierefrei hereinkommen.
3. Gute Security fühlt man nicht
Vielleicht noch spannender als der technische Aspekt ist der Irrglaube, dass Sicherheit und User Experience (UX) Gegenspieler sind.
In vielen Köpfen herrscht das Mindset: „Wenn es sicher sein soll, muss der Nutzer leiden.“ Deshalb akzeptieren wir Ampeln-Klicken und kryptische Texteingaben.
Die Realität 2026 sieht anders aus. Moderne Bot-Abwehr (wie Cloudflare Turnstile oder Proof-of-Work-Ansätze) passiert im Hintergrund.
Gute Security behindert den Nutzer nicht. Sie validiert still und leise.
Das BNetzA-Beispiel zeigt den „Not Invented Here“-Effekt: Aus Angst vor DSGVO-Hürden bei etablierten externen Anbietern wurde eine eigene Lösung „gebastelt“. Das Ergebnis ist das Schlechteste aus allen Welten: Datenschutzrechtlich vielleicht okay, aber sicherheitstechnisch wirkungslos und in Sachen Inklusion eine Katastrophe.
Roadmap: Weg vom "Fax-Mindset"
Wer heute noch Texte abtippen lässt, hat den Kampf gegen KI-Bots eigentlich schon verloren. KIs können Text und Bilder mittlerweile besser erkennen als wir Menschen.
Die Lösung liegt im Perspektivwechsel: Make the Browser do the work.
Du brauchst keine 700.000 Euro Beraterbudget. Starte mit den Basics:
- Serverseitige Validierung ist Pflicht Die Lösung darf niemals den Server verlassen, bevor der User sie eingegeben hat. Vertraue niemals dem Client (Browser).
- Accessibility First Prüfe jede Sicherheitsmaßnahme: Kann ein blinder Nutzer das bedienen? Wenn nein, ist die Lösung illegal und unethisch. Moderne „Invisible Challenges“ sind von Natur aus barrierefreier, da sie keine Interaktion erfordern.
- Don't roll your own Crypto Die goldene Regel der IT-Sicherheit. Baue keine eigenen Sicherheitsmechanismen, wenn du kein Kryptograph bist. Wenn du das Rad neu erfindest, wird es meistens viereckig, und stolpert über Screenreader.
- Pentesting & User Testing Lade externe Experten ein. Ein einziger Test mit einem Screenreader oder ein Blick eines Security-Studenten hätten gereicht, um dieses Kartenhaus einstürzen zu lassen. Betriebsblindheit ist das größte Sicherheitsrisiko.
Fazit: Mut zur Professionalisierung
Der Fail der Bundesnetzagentur sorgt für Lacher auf LinkedIn („Halt mal kurz mein Faxgerät“). Aber er zeigt schmerzhaft deutlich, dass wir Digitalisierung oft noch falsch verstehen.
Wir müssen aufhören, Digitalisierung als das „Digitalisieren von Papierprozessen“ zu verstehen. Ein digitales Formular im Jahr 2026 muss sicher und für alle zugänglich sein.
Unternehmen und Behörden, die Security, UX und Accessibility zusammendenken, schaffen Systeme, die genutzt werden. Sie ersetzen Frust durch Vertrauen, und sorgen dafür, dass die Haustür wirklich abgeschlossen ist, statt den Schlüssel nur unter eine durchsichtige Fußmatte zu legen.
Weiterführende Links & Lösungen
- Original-Fundstück: Pascal Wegners Post auf X
- Cloudflare Turnstile: Eine datenschutzfreundliche Alternative zu CAPTCHA
- Google reCAPTCHA v3: Unsichtbare Betrugserkennung
- mCaptcha: Proof-of-Work basierte Captcha-Lösung (Open Source)
- W3C Web Accessibility Initiative (WAI): CAPTCHA Alternatives and Thoughts