Immer mehr Websites nutzen heute Cloudflare aus teilweise nachvollziehbaren Gründen. Der Dienst verspricht Schutz vor Angriffen, schnelle Auslieferung weltweit, einfache Konfiguration und ein attraktives Kostenmodell, das gerade für kleine Betreiber*innen verlockend ist. Doch all diese Vorteile haben einen Preis: Daten. Sobald eine Seite Cloudflare vorschaltet, läuft praktisch der gesamte Datenverkehr über dessen Infrastruktur. Für Nutzer*innen ist das oft nicht erkennbar und genau das ist auch mein Problem.
Datenschutz ist für mich eine Grundvoraussetzung für digitale Selbstbestimmung. Wenn eine Drittanbieter*in stillschweigend zum Vermittler zwischen Browser und Website wird, ohne dass Nutzer*innen darüber informiert sind, entsteht ein Transparenzdefizit. Deshalb habe ich das Firefox-Plugin CloudWarning entwickelt. Es prüft beim Laden jeder Website, ob Cloudflare-Header oder Cloudflare-Resourcen entdeckt werden, und zeigt eine deutliche Warnmeldung an. So wird sofort sichtbar, wenn Cloudflare involviert ist. Ein umständlicher Blick in die Datenschutzerklärung entfällt.
Warum die TLS-Verschlüsselung faktisch aufgehoben wird
Auch wenn der Browser eine vermeintlich verschlüsselte Verbindung anzeigt: Diese Verschlüsselung endet technisch gesehen schon bei Cloudflare. Das ist so, weil Cloudflare als sogenannter Reverse Proxy arbeitet. Der Ablauf sieht so aus:
- Der Browser baut eine verschlüsselte TLS-Verbindung zu Cloudflare auf.
- Cloudflare entschlüsselt diese Verbindung vollständig.
- Danach baut Cloudflare selbst eine zweite Verbindung zum Zielserver auf.
Damit entsteht eine Situation, in der zwar Transportverschlüsselung vorhanden ist, aber nicht zwischen Nutzer*in und tatsächlicher Zielseite, sondern nur zwischen Nutzer*in und Cloudflare. Für Cloudflare selbst ist alles vollständig sichtbar. Die viel zitierte „Ende-zu-Ende-Verschlüsselung“ existiert in diesem Setup also nicht. Das „Ende“ liegt technisch mitten auf dem Weg.
Ich halte das nicht per se für verwerflich aber Nutzer*innen sollten darüber informiert sein, statt blind zu vertrauen. So können sich alle selbst fragen, ob sie auf Website mit dieser Warnung weiterhin Formulare mit ihren Daten absenden wollen oder nicht.
Der Einfluss von Geheimdiensten und die politische Lage in den USA
Ein weiterer Aspekt, der bei einem Dienst wie Cloudflare nicht ignoriert werden kann, ist der politische und rechtliche Rahmen, in dem das Unternehmen operiert. Cloudflare sitzt in den USA, einem Land, in dem Geheimdienste weitreichende Befugnisse haben und in dem Unternehmen unter bestimmten Umständen verpflichtet werden können, Daten herauszugeben, oft sogar unter Geheimhaltungspflichten. Gesetze wie der FISA Amendments Act oder der CLOUD Act schaffen Strukturen, die Auskunftsersuchen gegenüber US-Unternehmen erleichtern, selbst wenn es um Daten von Personen außerhalb der USA geht. Die aktuelle politische Lage in den USA kommt noch dazu.
Das bedeutet nicht, dass jeder Datenstrom automatisch überwacht wird. Aber es heißt, dass Nutzer*innen realistischerweise kein volles Maß an Kontrolle oder Transparenz darüber haben, wie ihre Daten im Ernstfall behandelt werden. Wenn ein einzelner privater Anbieter einen großen Teil des weltweiten Webverkehrs vermittelt, entsteht dadurch zwangsläufig eine Machtkonzentration, deren politische Auswirkungen wir nicht ignorieren sollten. Auch das ist ein Grund dafür, warum Transparenz über die Beteiligung solcher Dienste so wichtig ist und weshalb Addons wie CloudWarning wichtig sind.
Digitale Souveränität beginnt mit Transparenz
Das Plugin ist kein ideologisches Statement gegen Cloudflare und keine moralische Wertung. Es ist ein Werkzeug für Transparenz. Digitale Souveränität bedeutet, bewusst entscheiden zu können, welchen Diensten vertraut wird und wofür Daten preisgegeben werden. Wenn Infrastruktur durch wenige große Akteure zentralisiert wird und Verbindungen stillschweigend durch deren Systeme fließen, wird diese Souveränität heimlich eingeschränkt.
CloudWarning soll genau dieses Bewusstsein stärken. Es erinnert daran, dass Datenschutz nicht nur eine Einstellung im Browser ist, sondern ein Verständnis davon, wer an unseren Datenflüssen beteiligt ist und wo sie landen. Erst wenn wir das wissen, können wir selbstbestimmt handeln.
Cloudwarning auf Codeberg: https://codeberg.org/steampixel/cloud-warning-firefox
Titelbild: https://pixabay.com/de/photos/wolke-netzwerk-finger-6181051/