03.06.2026

Bergisch Sizilien Chaos Cloudflare Daten Datenschutz Javascript Kindergarten Klautflair Sicherheit soll Stadt Stadtboten US-Unternehmen Webbrowser Wuppertal

Stadt Wuppertal setzt weiter auf US-Cloudflare

uS-Anbieter hijackt nach Belieben die Website der Stadt

Im Newsletter vom Tage wird eine neue Ausgabe des „Stadtboten – Amtsblatt der Stadt Wuppertal“ angekündigt. Diese soll unter der Internetadresse

Aktuelle Stellenangebote:
»Alle Stellen bei KNIPEX

https://www.wuppertal.de/newsletter/newsletter_bekanntmachungen/102010100000586438.php

abrufbar sein. Wie schon das „s“ im Protokoll „http“ suggeriert, soll zwischen dem Webbrowser des Besuchers und dem Webserver der Stadt eine verschlüsselte Verbindung das Mitlesen Dritter verhindern (Transportverschlüsselung).

Einladung zu Kaffee und Keksen: Enable JavaScript and cookies to continue

Die Stadt meint jedoch es sei eine gute Idee, einen US-amerikanischen Anbieder als Dritten – salopp formuliert – mit der Spionage der Datenübertragung zu beauftragen, der sämtlichen Daten ins Blaue hinein auf scheinbar Verdächtiges untersucht. Wie üblich wird der werte Besucher weder über dIESE Überwachungsmaßnahme informiert, noch bekommt er in der Regel etwas davon mit, daß er nicht mit der Stadt Wuppertal kommuniziert, sondern mit der Firma „Cloudflare“.

Wer jedoch verdächtig ist, weil er einen „falschen“ Webbrowser verwendet, der bekommt zunächst eine Fehlermeldung „403 Verboten!“ und wird nach Rambo-Art an Cloudflares Kindergarten weitergeleitet. Dieser Kindergarten erstreckt sich dann im doppelten Sinne einmal auf den Versuch, einen individualisierten Fingerabdruck des Webbrowser und Computer des Besuchers zu erstellen – „enable Javascript! – schalte doch mal Javascript ein“. Wahlweise werden beliebige Aufgaben eingeblendet, wo der Besucher, der eigentlich die aktuelle Ausgabe des Stadtboten erwartet, Rätsel und Puzzle auf Kindergarten-Niveau lösen soll.

GET /newsletter/newsletter_bekanntmachungen/102010100000586438.php HTTP/1.1
Host: www.wuppertal.de

HTTP/1.1 403 Forbidden
Date: Wed, 03 Jun 2026 08:44:24 GMT
Content-Type: text/html; charset=UTF-8
Transfer-Encoding: chunked
Connection: close
Accept-Ch: Sec-CH-UA-Bitness, Sec-CH-UA-Arch, Sec-CH-UA-Full-Version, Sec-CH-UA-Mobile, Sec-CH-UA-Model, Sec-CH-UA-Platform-Version, Sec-CH-UA-Full-Version-List, Sec-CH-UA-Platform, Sec-CH-UA, UA-Bitness, UA-Arch, UA-Full-Version, UA-Mobile, UA-Model, UA-Platform-Version, UA-Platform, UA
Cf-Mitigated: challenge
Server: cloudflare
Critical-Ch: Sec-CH-UA-Bitness, Sec-CH-UA-Arch, Sec-CH-UA-Full-Version, Sec-CH-UA-Mobile, Sec-CH-UA-Model, Sec-CH-UA-Platform-Version, Sec-CH-UA-Full-Version-List, Sec-CH-UA-Platform, Sec-CH-UA, UA-Bitness, UA-Arch, UA-Full-Version, UA-Mobile, UA-Model, UA-Platform-Version, UA-Platform, UA
Cross-Origin-Embedder-Policy: require-corp
Cross-Origin-Opener-Policy: same-origin
Cross-Origin-Resource-Policy: same-origin
Origin-Agent-Cluster: ?1
Permissions-Policy: accelerometer=(),browsing-topics=(),camera=(),clipboard-read=(),clipboard-write=(),geolocation=(),gyroscope=(),hid=(),interest-cohort=(),magnetometer=(),microphone=(),payment=(),publickey-credentials-get=(),screen-wake-lock=(),serial=(),sync-xhr=(),usb=(),xr-spatial-tracking=(self)
Referrer-Policy: same-origin
Server-Timing: chlray;desc=“b1ab1ab1ab1ab1ab“
X-Content-Type-Options: nosniff
X-Frame-Options: SAMEORIGIN
Strict-Transport-Security: max-age=31536000; includeSubDomains; preload
Speculation-Rules: „/cdn-cgi/speculation“
Vary: accept-encoding
Content-Encoding: br
CF-RAY: b1ab1ab1ab1ab1ab-FRA
alt-svc: h3=“:443″; ma=86400
Content-Security-Policy: default-src ’none‘; script-src ’nonce-fRNMwRCIWw6SlOQ6gY9y4z‘ ‚unsafe-eval‘ https://challenges.cloudflare.com; script-src-attr ’none‘; style-src ‚unsafe-inline‘; img-src ’self‘ https://challenges.cloudflare.com; connect-src ’self‘ https://challenges.cloudflare.com; frame-src ’self‘ https://challenges.cloudflare.com blob:; child-src ’self‘ https://challenges.cloudflare.com blob:; worker-src blob:; form-action http: https:; base-uri ’self‘, default-src ’none‘; script-src ‚unsafe-eval‘ https://challenges.cloudflare.com; script-src-attr ’none‘; style-src ‚unsafe-inline‘; img-src ’self‘ https://challenges.cloudflare.com; connect-src ’self‘ https://challenges.cloudflare.com; frame-src ’self‘ https://challenges.cloudflare.com blob:; child-src ’self‘ https://challenges.cloudflare.com blob:; worker-src blob:; form-action http: https:; base-uri ’self‘

Bild 1: Rückmeldung des Cloudflare-Servers im Namen und auf Rechnung der Stadt Wuppertal beim Aufruf obiger Internetadresse durch einen „verdächtigen“ Besucher.

Die Angst des Webservers vor dem Seitenabruf

Früher nannte man Scharlatane, die Pillen und Salben gegen jede Krankheiten feilboten, Pillendreher und Schlangenölverkäufer. In einer Behördenwelt voll von unsicheren Windows-Computern kommt da das Schlangenölangebot von Firmen wie Cloudflare goldrichtig: Alles was in der Vergangenheit an der eigenen Server-Infrastruktur kaputt- und eingespart wurde, weil Sicherheit nichts kosten darf, erledigt die zusätzliche Instanz „Cloudflare“ scheinbar mit einem Fingerschnipp.

Ganz nebenbei stellt die Stadt Wuppertal mit Einbindung von Cloudflare ihren gesamten Datenverkehr den US-Behörden zur Verfügung und hat damit offenkundig überhaupt kein datenschutzrechtliches Problem. Wer nun glaubt, Cloudflare als vermeintlicher Schlangen…, äh, „Sicherheitdienstleister“ müßte sein Gewerbe (neudt. „Business“) verstehen, irrt: Auch Cloudflare hat mit dem Cloudbleed (Link leider in englisch) genannten Programmiermurks über Monate millionenfach private Daten und Schlüssel seiner Kunden mit den Website-Besuchern und Suchmaschinen „geteilt“.

Statt also Sicherheit von Grund auf zu planen, wird einfach eine weitere, fehleranfällige Instanz eingebunden. Der Tankvorgang an der Zapfsäule wird nicht dadurch sicherer, daß ich zwischen Zapfpistole einen weiteren Schlauch mit teuren Meßinstrumenten hänge.

Die Beauftragung von Dritten hat in der IT-/EDV-Branche lange Tradition: Per Vertrag wird der Dritte zum Schutz persönlicher Daten verpflichtet. Dann braucht man sich nicht selber darum zu kümmern und kann, wenn beispielsweise ein „krimineller Kriminelle“ diese Daten rausgetragen und veröffentlicht hat, mit dem Finger auf den Externen zeigen. Damit spart man selbst eine Menge Persil ein.

Das Vorgehen im Tale paßt ja auch zu den Verwaltungsinternas eines Bergisch Siziliens, wo die Verwaltung entscheidet, ob und wann sie Bürgeranregungen den politischen Gremien weiterleitet oder – wie den Fall Cloudflare – die Anregung in der Schublade verschwinden läßt.

Ähnliche Beiträge:

Weiter mit:

der Rubrik Wirtschaft

Anmelden


Passwort vergessen?
Registrieren
Aktuelle Stellenangebote:
»Alle Stellen bei KNIPEX

Kommentare

  1. Susanne Zweig sagt:
    05.06.2026 um 12:55 Uhr

    Die Fragen sind doch:
    1.) Wovor schützt cloudflare die Stadt überhaupt?
    2.) Wer schützt die Stadt (im Zweifel) vor cloudflare?
    1.+2.) Lohnt sich das Risiko?

    Antworten
  2. N. Bernhardt sagt:
    05.06.2026 um 5:56 Uhr

    Ich finde die Kritik durchaus berechtigt. Verantwortung heißt mehr als auf die abstrakte Gefahr von „bösen Hackern“ Schlangenölanbietern wie Cloudflare Steuergelder und Daten in den Rachen zu schmeißen. Der Betrieb von Microsoft-Servern und einer Website, die nur mit Javascript funktioniert, sagt schon viel über das Sicherheitsbestreben aus („Featuritis first, Bedenken second“).

    Zu einer verantwortungsvollen IT gehört mehr, als im letzten Moment beim Rat den millionenschweren Kauf der Software „Bußgeld V2.0“ durchzudrücken, weil derselbe Hersteller seine „Bußgeld V1.0“ „nicht mehr unterstützt“. Zu einer verantwortungsvollen IT gehört mehr, als zwangsweise allen Rats- und BV-Mitgliedern Apple-Geräte zu kaufen, weil der Hersteller des „Ratsinformationssystem“ die wesentlich günstigeren „Android“-Geräte angeblich „nicht unterstützt“. Ein 5 Millionen Euro teures SAP-System für die Buchhaltung nutzt auch nichts, wenn dann die Abteilungen Reparaturen an Straßen und Einrichtungen schlicht auf „Sonstiges“ buchen. In der Konsequenz kann die Frage nach den Aufwendungen für Leitborde am Kreisel Neuenteich natürlich nicht mit einem Knopfdruck beantwortet werden, sondern muß in stundenlanger Kleinarbeit manuell aus den Rechnungen zusammenaddiert werden.

    Auf EU-Ebene läuft das ganze noch schlimmer ab. Während auf der einen Seite vdL+Co von „europäischer Souveranität“ und „Resilienz“ faselt, nutzt die Kommission US-amerikanische Klautdienste, die auf in Asien produzierten Datenträgern und Servern gespeichert werden.

    Antworten
  3. Siggi sagt:
    04.06.2026 um 18:17 Uhr

    Die Kritik an cloudflare ist durchaus sehr berechtigt. Auf der anderen Seite hat sich cloudflare (mangels europäischer Alternativen) zu einem zentralen und mehr oder weniger unverzichtbaren Bestandteil der weltweiten Internetinfrastruktur entwickelt.

    Der Stadt Wuppertal hier einen Vorwurf zu machen, ist nicht zielführend.

    cloudflare oder nicht cloudflare ist wie die Wahl zwischen Pest und Cholera.

    Europa hat sich, was Internet angeht, viel zu lange auf amerikanische Dienstleister verlassen, die, wenn es hart auf hart kommt, im wesentlichen amerikanische Interessen vertreten.

    Mehr Europäische Souveränität sollte das vorrangige Ziel sein, was sich Deutschland auf die Fahnen schreiben sollte. Erforderlich sind eine gesamteuropäische Strategie und ein entschlossenes europäisches Handeln ohne das ewige Klein-Klein der nationalen und egoistischen Einzelinteressen.

    Einzelne europäische Nationen und erst recht einzelne Kommunen sind mit dieser Herkules-Aufgabe völlig überfordert.

    Antworten

Neuen Kommentar verfassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert