Stadt Wuppertal setzt weiter auf US-Cloudflare

Im Newsletter vom Tage wird eine neue Ausgabe des „Stadtboten – Amtsblatt der Stadt Wuppertal“ angekündigt. Diese soll unter der Internetadresse

https://www.wuppertal.de/newsletter/newsletter_bekanntmachungen/102010100000586438.php

abrufbar sein. Wie schon das „s“ im Protokoll „http“ suggeriert, soll zwischen dem Webbrowser des Besuchers und dem Webserver der Stadt eine verschlüsselte Verbindung das Mitlesen Dritter verhindern (Transportverschlüsselung).

Einladung zu Kaffee und Keksen: Enable JavaScript and cookies to continue

Die Stadt meint jedoch es sei eine gute Idee, einen US-amerikanischen Anbieder als Dritten – salopp formuliert – mit der Spionage der Datenübertragung zu beauftragen, der sämtlichen Daten ins Blaue hinein auf scheinbar Verdächtiges untersucht. Wie üblich wird der werte Besucher weder über dIESE Überwachungsmaßnahme informiert, noch bekommt er in der Regel etwas davon mit, daß er nicht mit der Stadt Wuppertal kommuniziert, sondern mit der Firma „Cloudflare“.

Wer jedoch verdächtig ist, weil er einen „falschen“ Webbrowser verwendet, der bekommt zunächst eine Fehlermeldung „403 Verboten!“ und wird nach Rambo-Art an Cloudflares Kindergarten weitergeleitet. Dieser Kindergarten erstreckt sich dann im doppelten Sinne einmal auf den Versuch, einen individualisierten Fingerabdruck des Webbrowser und Computer des Besuchers zu erstellen – „enable Javascript! – schalte doch mal Javascript ein“. Wahlweise werden beliebige Aufgaben eingeblendet, wo der Besucher, der eigentlich die aktuelle Ausgabe des Stadtboten erwartet, Rätsel und Puzzle auf Kindergarten-Niveau lösen soll.

GET /newsletter/newsletter_bekanntmachungen/102010100000586438.php HTTP/1.1
Host: www.wuppertal.de
—
HTTP/1.1 403 Forbidden
Date: Wed, 03 Jun 2026 08:44:24 GMT
Content-Type: text/html; charset=UTF-8
Transfer-Encoding: chunked
Connection: close
Accept-Ch: Sec-CH-UA-Bitness, Sec-CH-UA-Arch, Sec-CH-UA-Full-Version, Sec-CH-UA-Mobile, Sec-CH-UA-Model, Sec-CH-UA-Platform-Version, Sec-CH-UA-Full-Version-List, Sec-CH-UA-Platform, Sec-CH-UA, UA-Bitness, UA-Arch, UA-Full-Version, UA-Mobile, UA-Model, UA-Platform-Version, UA-Platform, UA
Cf-Mitigated: challenge
Server: cloudflare
Critical-Ch: Sec-CH-UA-Bitness, Sec-CH-UA-Arch, Sec-CH-UA-Full-Version, Sec-CH-UA-Mobile, Sec-CH-UA-Model, Sec-CH-UA-Platform-Version, Sec-CH-UA-Full-Version-List, Sec-CH-UA-Platform, Sec-CH-UA, UA-Bitness, UA-Arch, UA-Full-Version, UA-Mobile, UA-Model, UA-Platform-Version, UA-Platform, UA
Cross-Origin-Embedder-Policy: require-corp
Cross-Origin-Opener-Policy: same-origin
Cross-Origin-Resource-Policy: same-origin
Origin-Agent-Cluster: ?1
Permissions-Policy: accelerometer=(),browsing-topics=(),camera=(),clipboard-read=(),clipboard-write=(),geolocation=(),gyroscope=(),hid=(),interest-cohort=(),magnetometer=(),microphone=(),payment=(),publickey-credentials-get=(),screen-wake-lock=(),serial=(),sync-xhr=(),usb=(),xr-spatial-tracking=(self)
Referrer-Policy: same-origin
Server-Timing: chlray;desc=“b1ab1ab1ab1ab1ab“
X-Content-Type-Options: nosniff
X-Frame-Options: SAMEORIGIN
Strict-Transport-Security: max-age=31536000; includeSubDomains; preload
Speculation-Rules: „/cdn-cgi/speculation“
Vary: accept-encoding
Content-Encoding: br
CF-RAY: b1ab1ab1ab1ab1ab-FRA
alt-svc: h3=“:443″; ma=86400
Content-Security-Policy: default-src ’none‘; script-src ’nonce-fRNMwRCIWw6SlOQ6gY9y4z‘ ‚unsafe-eval‘ https://challenges.cloudflare.com; script-src-attr ’none‘; style-src ‚unsafe-inline‘; img-src ’self‘ https://challenges.cloudflare.com; connect-src ’self‘ https://challenges.cloudflare.com; frame-src ’self‘ https://challenges.cloudflare.com blob:; child-src ’self‘ https://challenges.cloudflare.com blob:; worker-src blob:; form-action http: https:; base-uri ’self‘, default-src ’none‘; script-src ‚unsafe-eval‘ https://challenges.cloudflare.com; script-src-attr ’none‘; style-src ‚unsafe-inline‘; img-src ’self‘ https://challenges.cloudflare.com; connect-src ’self‘ https://challenges.cloudflare.com; frame-src ’self‘ https://challenges.cloudflare.com blob:; child-src ’self‘ https://challenges.cloudflare.com blob:; worker-src blob:; form-action http: https:; base-uri ’self‘

Bild 1: Rückmeldung des Cloudflare-Servers im Namen und auf Rechnung der Stadt Wuppertal beim Aufruf obiger Internetadresse durch einen „verdächtigen“ Besucher.

Die Angst des Webservers vor dem Seitenabruf

Früher nannte man Scharlatane, die Pillen und Salben gegen jede Krankheiten feilboten, Pillendreher und Schlangenölverkäufer. In einer Behördenwelt voll von unsicheren Windows-Computern kommt da das Schlangenölangebot von Firmen wie Cloudflare goldrichtig: Alles was in der Vergangenheit an der eigenen Server-Infrastruktur kaputt- und eingespart wurde, weil Sicherheit nichts kosten darf, erledigt die zusätzliche Instanz „Cloudflare“ scheinbar mit einem Fingerschnipp.

Ganz nebenbei stellt die Stadt Wuppertal mit Einbindung von Cloudflare ihren gesamten Datenverkehr den US-Behörden zur Verfügung und hat damit offenkundig überhaupt kein datenschutzrechtliches Problem. Wer nun glaubt, Cloudflare als vermeintlicher Schlangen…, äh, „Sicherheitdienstleister“ müßte sein Gewerbe (neudt. „Business“) verstehen, irrt: Auch Cloudflare hat mit dem Cloudbleed (Link leider in englisch) genannten Programmiermurks über Monate millionenfach private Daten und Schlüssel seiner Kunden mit den Website-Besuchern und Suchmaschinen „geteilt“.

Statt also Sicherheit von Grund auf zu planen, wird einfach eine weitere, fehleranfällige Instanz eingebunden. Der Tankvorgang an der Zapfsäule wird nicht dadurch sicherer, daß ich zwischen Zapfpistole einen weiteren Schlauch mit teuren Meßinstrumenten hänge.

Die Beauftragung von Dritten hat in der IT-/EDV-Branche lange Tradition: Per Vertrag wird der Dritte zum Schutz persönlicher Daten verpflichtet. Dann braucht man sich nicht selber darum zu kümmern und kann, wenn beispielsweise ein „krimineller Kriminelle“ diese Daten rausgetragen und veröffentlicht hat, mit dem Finger auf den Externen zeigen. Damit spart man selbst eine Menge Persil ein.

Das Vorgehen im Tale paßt ja auch zu den Verwaltungsinternas eines Bergisch Siziliens, wo die Verwaltung entscheidet, ob und wann sie Bürgeranregungen den politischen Gremien weiterleitet oder – wie den Fall Cloudflare – die Anregung in der Schublade verschwinden läßt.