fairlane.systems

DDoS · SICHERHEIT & BETRIEB

DDoS-Schutz mit Cloudflare: Layer 3, 4 und 7 für KMU-Web-Anwendungen 2026

Volumetrische und Application-Layer-DDoS-Angriffe mit Cloudflare Free, Pro oder Business absichern. Stand Mai 2026 inkl. KI-orchestrierter Angriffe.

Recherche & Faktencheck: · Stand: 2026-05

Was ist DDoS-Schutz?

Ein Distributed Denial of Service ist ein Angriff, bei dem Tausende oder Millionen kompromittierter Geräte gleichzeitig eine Web-Anwendung mit Anfragen überfluten, bis sie zusammenbricht. DDoS-Schutz steht zwischen dem Internet und der eigenen Infrastruktur, filtert bösartigen Traffic heraus und lässt nur legitime Anfragen durch.

Die Bedrohung kommt in drei Schichten. Volumetrische Angriffe auf Layer 3 und 4 (Netzwerk und Transport) versuchen, die Bandbreite oder die TCP-Verbindungstabellen zu erschöpfen - typische Vertreter sind UDP-Flood, SYN-Flood und Amplification-Angriffe über DNS oder NTP. Application-Layer-Angriffe auf Layer 7 zielen auf teure HTTP-Endpunkte und sehen oberflächlich wie normaler Traffic aus - HTTP-Flood, Slow-Loris und neuerdings KI-orchestrierte Angriffe, die per LLM-Agenten realistische Browser-Fingerprints und Klick-Pfade simulieren.

Cloudflare ist seit 2010 der Markt-Standard für DDoS-Schutz und betreibt Mai 2026 ein Netzwerk mit 330 Standorten und über 380 Tbps Kapazität. Der grosse Vorteil: das eigene Hosting (Hetzner, Digital Ocean, AWS) bekommt den Angriff gar nicht mehr zu sehen, weil Cloudflare den DNS-Eintrag hält und der gesamte Traffic durch Cloudflares Edge-Netz läuft.

Warum es 2026 dringender ist als je

Cloudflares Q1-2026-Report meldet einen neuen Rekord: 17 Millionen Requests pro Sekunde im Peak eines hyper-volumetrischen Layer-7-Angriffs. Die Zahl der DDoS-Angriffe stieg im Vergleich zu Q1 2025 um 87 Prozent. Treiber: Cheap-Botnets im Mietmodell ab 30 USD pro Stunde, und neue KI-orchestrierte Angriffe, die per LLM-Agent dynamisch ausweichen, sobald simple Rate-Limiting-Regeln greifen.

Für ein KMU heisst das praktisch: Ein einzelner motivierter Angreifer mit einem Stripe-Account und einer Telegram-Verbindung kann die Web-Präsenz einer Schweizer Anwaltskanzlei oder eines Treuhandbüros für 24 bis 48 Stunden lahmlegen. Schaden: Reputationsverlust, Mandanten-Anfragen unbeantwortet, eventuell Vertragsstrafen bei SLA-Zusagen.

Für ein E-Commerce-KMU: Eine Stunde Downtime auf der Bestell-Plattform kostet schnell den Tagesgewinn. Für eine Praxis-Buchungsplattform: verpasste Termine, frustrierte Patienten.

Die Frage ist nicht mehr ob, sondern wann. Und ohne vorgelagertes Edge-Netz ist die Antwortzeit ein paar Stunden Notfall-Einrichtung während des laufenden Angriffs - eine Variante, die niemand erleben will.

Wie der Cloudflare-Schutz funktioniert

Cloudflare arbeitet als Reverse-Proxy. Die DNS-A-Records der eigenen Domain zeigen nicht mehr auf den Origin-Server, sondern auf Cloudflare-Edge-IPs. Anfragen treffen zuerst Cloudflare; Cloudflare prüft, filtert, cached und sendet legitime Anfragen weiter zum Origin.

Layer-3/4-Schutz wirkt automatisch und kostenlos auf jedem Plan. Cloudflare absorbiert UDP-Floods und SYN-Floods über sein Anycast-Netz, ohne dass der Origin angesprochen wird. Diese Schicht funktioniert auch wenn der Web-Server offline ist - solange Cloudflare den Traffic terminiert, kommt der Angriff nicht durch.

Layer-7-Schutz ist plan-abhängig differenziert. Auf dem Free-Tier läuft die Standard-DDoS-Mitigation und ein einfacher Bot-Fight-Mode (Captcha bei verdächtigem Traffic). Pro (USD 25 pro Monat) bringt einfache WAF-Regeln, Rate-Limiting bis 10.000 Requests pro Sekunde, Bot-Management mit Machine-Learning-Klassifikation. Business (USD 200 pro Monat) bringt die volle Advanced WAF, mTLS für Origin-Authentifizierung, IP-Reputation-Listen, Custom-WAF-Regeln.

Cloudflare Tunnel ist der Pro-Tipp: statt einen offenen Port am Origin-Server zu halten, baut ein leichter Daemon (cloudflared) eine ausgehende Verbindung zu Cloudflare auf. Der Origin ist von ausserhalb nicht mehr erreichbar - kein direkter Angriffsvektor mehr. Funktioniert auf Free-Tier. Setup an 30 Minuten, sehr empfehlenswert.

Bot-Management Mai 2026 ist gegen KI-Angriffe zentral. Cloudflare verwendet Browser-Fingerprinting, TLS-Fingerprinting (JA3, JA4), Verhaltens-Analyse und ein eigenes ML-Modell, das KI-Agenten von echten Browsern unterscheidet. Erfolgsquote (Cloudflare-eigene Zahlen) bei 98 Prozent, real-world etwa 90 bis 95 Prozent.

Cloudflare-Schutz in 6 Schritten aktivieren

  1. 01Domain bei Cloudflare anlegen, DNS-Records auf Cloudflare-Nameserver umziehen, Proxy-Status orange (Wolke) für Web-Records.
  2. 02TLS-Modus auf Full (Strict) setzen, damit Cloudflare-zu-Origin-Verbindung verschlüsselt und zertifikatsvalidiert ist.
  3. 03Cloudflare Tunnel aufsetzen: cloudflared auf dem Origin installieren, Tunnel-Konfiguration laden, Origin-Port (z.B. 80, 443) extern schliessen.
  4. 04WAF-Regeln aktivieren: OWASP Core Rule Set einschalten, Bot Fight Mode (Free) oder Bot Management (Pro/Business).
  5. 05Rate-Limiting für kritische Endpunkte konfigurieren: /api/login max. 5 pro Minute pro IP, /api/llm max. 30 pro Minute pro Account.
  6. 06Page Rules oder Configuration Rules für Cache-Verhalten: statische Assets aggressiv cachen, API-Endpunkte nie cachen.

Wann Cloudflare aktivieren

Cloudflare gehört vor jede öffentlich erreichbare Web-App in der Schweiz. Der Free-Tier deckt 95 Prozent der DDoS-Angriffe auf KMU bereits ab und kostet nichts. Es gibt selten ein Argument, Cloudflare nicht zu nutzen.

Konkrete Anwendungsfälle: Marketing-Website einer Anwaltskanzlei (Free reicht). Mandanten-Portal einer Treuhandgesellschaft mit Login (Pro empfohlen wegen Rate-Limiting und Bot-Management). E-Commerce-Plattform mit Zahlungs-Endpunkten (Pro oder Business). Online-Buchungsplattform für Ärzte (Pro). Eigene KI-Plattform mit öffentlichen LLM-Endpunkten (Business - LLM-API-Endpunkte sind beliebtes Ziel für Token-Verbrennungs-Angriffe).

Für Multi-Site-Setups: ein einziger Pro- oder Business-Account deckt mehrere Domains ab, das skaliert wirtschaftlich.

Wann Cloudflare nicht passt

Drei Fälle, in denen Cloudflare nicht die richtige Antwort ist.

Erstens: Streng revDSG-konforme Setups mit Daten-Lokalisierungs-Pflicht. Cloudflare ist ein US-Unternehmen, unterliegt dem US-CLOUD-Act. Cloudflare bietet zwar Standard-Vertragsklauseln und eine konfigurierbare EU-Region (Data Localization Suite Add-on), aber für Mandantendaten mit Höchststufe (FINMA, MedBG, BGFA) ist die Konstellation kritisch. Alternative: Bunny.net (EU-only, slowakisches Unternehmen), Imperva (US-Wahl wenn US-Risiko ohnehin akzeptiert).

Zweitens: Nicht-HTTP-Anwendungen mit eigenen Protokollen (SIP, MQTT, Custom-TCP). Cloudflare Spectrum kann Layer-4-Schutz für beliebige TCP/UDP-Protokolle anbieten, aber das ist Enterprise-Tier (ab USD 1000 pro Monat).

Drittens: Echtzeit-Anwendungen mit harten Latenz-Anforderungen unter 20 Millisekunden (Trading, Online-Gaming). Der Cloudflare-Hop addiert 5 bis 15 Millisekunden je nach Origin-Standort. Für typische Web-Apps ist das irrelevant, für Echtzeit-Spezialfälle ein Argument.

Generelle Falle: Cloudflare aktivieren und Origin-IP weiterhin öffentlich erreichbar lassen. Angreifer scannen Censys, Shodan, GitHub-Repos und alte DNS-Records und finden die Origin-IP - der Schutz ist umgangen. Lösung: nach Cloudflare-Aktivierung iptables auf dem Origin so setzen, dass nur Cloudflare-IPs durchkommen. Oder Cloudflare Tunnel verwenden (kein offener Port mehr).

Vor- und Nachteile

STÄRKEN

  • Layer-3/4-Schutz und einfacher Layer-7-Schutz im Free-Tier kostenlos
  • Pro-Tier USD 25 pro Monat deckt KMU-Bedarf inkl. Rate-Limiting und Bot-Management
  • Cloudflare Tunnel schliesst Origin-Ports komplett (kein direkter Angriffsvektor mehr)
  • Globale Anycast-Edge mit 380 Tbps Kapazität absorbiert hyper-volumetrische Angriffe

SCHWÄCHEN

  • US-Anbieter, CLOUD-Act-Risiko - heikel für Mandantendaten mit hoher Vertraulichkeit
  • 5 bis 15 ms zusätzliche Latenz, kritisch für Echtzeit-Anwendungen
  • Origin-IP-Leak entwertet den Schutz, wenn Origin öffentlich erreichbar bleibt
  • Bot-Management nicht 100 Prozent, KI-orchestrierte Angriffe rutschen partiell durch

Häufige Fragen

Reicht Cloudflare Free für ein KMU?

Für reine Marketing-Sites in der Regel ja. Sobald Login, Zahlungs- oder LLM-API-Endpunkte ins Spiel kommen, lohnt sich Pro für Rate-Limiting und Bot-Management. Erfahrungswert: ein motivierter Angreifer mit Layer-7-Skript-Kit kommt durch Free auf einem ungeschützten /api/login-Endpunkt durch, weil Free kein Rate-Limiting per IP/Endpunkt anbietet.

Ist Cloudflare DSG-konform für Schweizer Mandantendaten?

Cloudflare ist als US-Unternehmen ein Drittland-Transfer (siehe drittlandtransfer-tia). Cloudflare bietet Standard-Vertragsklauseln, ist auf der EDÖB-Liste der üblichen US-Subprozessoren bekannt, und hat seit 2023 die Data Localization Suite (Geo-Key-Manager) als Add-on, mit der TLS-Keys nur in der EU vorgehalten werden. Für Mandantendaten mit Berufsgeheimnis (StGB 321) braucht es zusätzlich Pseudonymisierung im Client (Daten nie im Klartext durch Cloudflare). Für hohe Vertraulichkeit besser: Cloudflare nur für Marketing-Site, Mandanten-Portal separat ohne Cloudflare oder mit EU-Alternative (Bunny.net).

Was sind KI-orchestrierte DDoS-Angriffe?

Eine Klasse von Angriffen, in der ein LLM-Agent in Echtzeit die Strategie anpasst. Beispiel: Der Angreifer startet HTTP-Flood. Cloudflare Bot-Management blockiert nach einigen Sekunden mit Captcha. Der LLM-Agent erkennt das, wechselt User-Agents, drosselt die Requests-pro-Sekunde, simuliert Maus-Bewegungen, fängt vom Captcha-Provider die Tokens ab und routet sie an die Bots. Cloudflare hat im Q1 2026 erste vollautomatisierte Beispiele gemessen. Gegenmittel: Bot Management mit JA4-Fingerprinting und Verhaltens-Analyse - das LLM-Agent-Verhalten ist trotz allem nicht identisch mit dem realer Browser.

Welche Alternativen gibt es zu Cloudflare?

Bunny.net aus der Slowakei ist die EU-orientierte Wahl mit attraktivem Preis (ab EUR 1 pro Monat) und gutem CDN, hat aber schwächeren Layer-7-Schutz. AWS Shield Standard ist gratis für alle AWS-Kunden, AWS Shield Advanced kostet USD 3000 pro Monat. Imperva ist die Enterprise-Wahl mit starkem WAF (Preisanfrage). Akamai bedient Grosskunden. Für KMU bleibt Cloudflare die offensichtliche Wahl ausser bei strenger Daten-Lokalisierung.

Verwandte Themen

CLOUDFLARE · TECH-STACKCloudflare als DNS, Reverse-Proxy und WAF: SSL-Modi, Cache-Rules, Origin-CertificatesFIREWALL · SICHERHEIT & BETRIEBFirewall und CrowdSec: mehrschichtiger Schutz für KMU-Server 2026TLS · SICHERHEIT & BETRIEBSSL/TLS-Zertifikate mit Lets Encrypt: TLS 1.3, HTTP/3 und Auto-Renew für KMU 2026TIA · COMPLIANCEDrittlandtransfer und Transfer Impact Assessment (TIA): CH-Daten in US- und PRC-Cloud-LLMsHETZNER · TECHHetzner als EU-Hosting für CH-Treuhand und KMU: Rechenzentren, Verträge, KostenINCIDENT RESPONSE · SICHERHEIT & BETRIEBIncident-Response-Playbook: 6-Phasen-Modell nach NIST SP 800-61 für KMU

Quellen

  1. Cloudflare DDoS Threat Report Q1 2026 · 2026-04
  2. Cloudflare Documentation - DDoS Protection and Plans Overview · 2026-05
  3. Cloudflare Tunnel Documentation · 2026-05
  4. BSI - Distributed Denial of Service Attacks, Lagebild 2026 · 2026-03
  5. NCSC Schweiz - Halbjahresbericht 2025/2 DDoS-Trends · 2026-02

PASSEND ZU IHREM STACK?

Wie das in Ihrem Betrieb konkret aussieht – 30 Minuten Erstgespräch.

Erstgespräch buchen