Cloudflare Precursor: Das CAPTCHA verschwindet, die Beobachtung bleibt

57 Prozent aller Webanfragen stammen inzwischen von Bots, erstmals mehr als von Menschen. Diese Zahl nennt Cloudflare zur Begründung seines neuen Produkts Precursor, das das klassische CAPTCHA ablösen soll. Kein Bilderrätsel mehr, keine Ampeln anklicken. Stattdessen: kontinuierliche Beobachtung des Nutzerverhaltens über den gesamten Website-Besuch.

Klingt nach Fortschritt. Ist aber ein Tausch, über den wir reden sollten: Die sichtbare, nervige Hürde weicht einer unsichtbaren Dauerauswertung.

Was Precursor tut

Cloudflare fügt beim Ausliefern von Webseiten automatisch ein JavaScript-Modul ein – Website-Betreiber müssen dafür nichts am eigenen Code ändern, ein Klick im Dashboard genügt. Dieses Skript zeichnet während der gesamten Sitzung auf: Mausbewegungen, Scrollverhalten, Tipprhythmus, Fokuswechsel zwischen Fenstern, die Sichtbarkeit der Seite – und Aktivitäten der Zwischenablage. Die Daten werden fortlaufend an Cloudflares Server übertragen und dort zu einem Bot-Score verrechnet.

Die technische Logik dahinter ist nachvollziehbar: Moderne Bots führen JavaScript aus, steuern echte Browser und lösen Bilderrätsel selbst. Ein einzelner Test am Eingang prüft nur einen Moment. Menschliches Verhalten über Minuten konsistent zu imitieren – mit Handzittern, Korrekturen, unregelmäßigen Bewegungsbahnen – ist deutlich schwerer.

Das Bot-Problem ist real. Ich bestreite es nicht. Aber die Antwort verdient einen zweiten Blick.

Problem eins: Die DSGVO-Frage liegt beim Website-Betreiber

Cloudflare betont, dass Tastatureingaben nur als Timing erfasst werden, nicht als Zeichen, und dass keine dauerhaften Nutzerprofile entstehen. Das ist besser als das Gegenteil. Aber es beantwortet die entscheidende Frage nicht: Mausbögen, Tipprhythmus und Interaktionsmuster sind Verhaltensdaten und solche Muster lassen sich nach Auffassung vieler Datenschützer auf Personen beziehen.

Der entscheidende Punkt für jeden Website-Betreiber: Wer Precursor aktiviert, verarbeitet diese Signale als Verantwortlicher im Sinne der DSGVO. Die Rechtsgrundlage, die Information der Besucher, die Datenschutzerklärung – all das liegt nicht bei Cloudflare, sondern bei dir. Ein Klick im Dashboard, der eine kontinuierliche Verhaltensanalyse sämtlicher Besucher startet, ist keine technische Einstellung. Es ist eine datenschutzrechtliche Entscheidung.

Achtung
Wer Precursor oder vergleichbare Verhaltensanalysen einsetzt, sollte das vorher mit einem Datenschutzbeauftragten klären und die Datenschutzerklärung entsprechend anpassen. „Cloudflare macht das schon" ist keine Rechtsgrundlage.

Problem zwei: Der Gatekeeper wird mächtiger

Das größere Unbehagen liegt für mich woanders. Cloudflare sitzt bereits heute vor einem erheblichen Teil des Webs als CDN, als DDoS-Schutz, als DNS-Anbieter. Mit Precursor kommt eine neue Rolle dazu: Cloudflare entscheidet, wer sich menschlich genug verhält, um eine Website nutzen zu dürfen.

Das Skript wird in fremde Webseiten injiziert. Die Bewertung findet auf Cloudflares Servern statt, nach Kriterien, die nicht öffentlich überprüfbar sind. Wer als auffällig eingestuft wird, etwa weil er mit Tastatur statt Maus navigiert, assistive Technologien nutzt oder schlicht ungewöhnlich schnell liest, landet in einer Grauzone, gegen die es keinen Einspruch gibt.

Ein einzelnes US-Unternehmen als Verhaltens-Schiedsrichter für immer größere Teile des Webs: Das ist eine Zentralisierung, die unabhängig von der technischen Qualität der Lösung problematisch ist.

Problem drei: Es geht oft auch einfacher

In meiner Beratung erlebe ich regelmäßig, dass Website-Betreiber zu schweren Werkzeugen greifen, bevor sie die leichten ausprobiert haben. Für viele Anwendungsfälle wie Kontaktformulare, Kommentarfelder, Newsletter-Anmeldungen reicht ein simpler Honeypot: ein für Menschen unsichtbares Formularfeld, das nur Bots ausfüllen. Kein externes Skript, keine Datenübertragung an Dritte, keine DSGVO-Komplikation, kein zusätzliches Datenvolumen.

Tipp
Bevor Du eine Verhaltensanalyse einbaust, prüfe die Alternativen: Honeypot-Felder, Zeitstempel-Prüfungen (Menschen füllen Formulare nicht in 0,3 Sekunden aus) und serverseitige Ratenbegrenzung stoppen den Großteil der einfachen Bots – lokal, datensparsam und ohne externen Dienstleister.

Precursor richtet sich an Enterprise-Kunden mit echten Bot-Problemen – Betrugsversuche, Scraping, manipulierte Lagerbestände. Dort mag der Einsatz gerechtfertigt sein. Aber der Weg, den diese Technologie weist, betrifft alle: Ein Web, in dem unsichtbare Dauerbeobachtung der Normalzustand ist und ein zentraler Anbieter über Menschlichkeit urteilt.

Das CAPTCHA war nervig. Aber es war ehrlich: Man sah, dass man geprüft wurde. Diese Ehrlichkeit verschwindet gerade und mit ihr ein Stück Kontrolle darüber, was beim Besuch einer Website eigentlich passiert.

Quellen: Heise Online · Cloudflare Blog