fairlane.systems

DNS / CDN / WAF / TOOL-VERGLEICH

DNS, CDN und WAF im Vergleich: Cloudflare, Bunny.net, Fastly, AWS CloudFront, Akamai, Gcore, Infomaniak, DNSimple

Acht ernsthafte Anbieter für DNS, CDN und Web Application Firewall. Sieben Entscheidungsachsen, eine konkrete Empfehlung pro Anwendungsfall. Stand Mai 2026.

Recherche & Faktencheck: · Stand: 2026-05

Was leisten DNS, CDN und WAF?

Drei Schichten halten das öffentliche Web zusammen. Erstens DNS: die Telefonbuch-Funktion zwischen Domain-Namen und IP-Adressen. Latenz, Verfügbarkeit und DNSSEC-Unterstützung des Anbieters entscheiden, wie schnell und sicher ein Besucher die Seite findet. Zweitens CDN: ein verteiltes Caching-Netz, das statische und teilweise dynamische Inhalte aus dem Edge-Server-Standort am nächsten zum Besucher ausliefert. Ergebnis: kürzere Time-to-First-Byte, weniger Last auf dem Origin-Server, oft auch eingebauter DDoS-Schutz. Drittens WAF: eine Schutzschicht, die HTTP-Requests gegen ein Regelwerk prüft, bevor sie den Anwendungs-Server erreichen - SQL-Injection, XSS, Bot-Floods werden hier abgefangen.

Im Mai 2026 gibt es einen klaren Marktführer (Cloudflare), zwei seriose Herausforderer im Mittelfeld (Bunny.net, Gcore), einen Hyperscaler-Spieler (AWS CloudFront), zwei Enterprise-Veteranen (Fastly, Akamai) und zwei DNS-Spezialisten (Infomaniak, DNSimple). Wer eine Schweizer Treuhand- oder Anwaltsseite hostet, hat besondere Anforderungen: Daten- und Logs-Residenz in CH oder mindestens EU, brauchbarer DDoS-Schutz auch im Free-Tier, DNSSEC-Unterstützung, und eine Auftragsverarbeitungs-Vertragsgrundlage. Die Liste der wirklich passenden Anbieter wird damit deutlich kürzer.

Wir betreiben mehrere Mandate produktiv hinter Cloudflare, Bunny.net und Infomaniak DNS - die Erfahrungen aus den jeweiligen Störquellen fliessen in diesen Vergleich ein.

Warum die Wahl entscheidend ist

Vier harte Realitäten machen die Auswahl wichtig. Erstens: DDoS-Schutz ist im Mai 2026 keine Frage mehr ob, sondern wie. Eine ungeschützte Anwaltskanzlei-Seite mit Mandantenportal ist ein attraktives Ziel - schon ein moderater Bot-Flood kann sie offline nehmen. Cloudflare bietet seit Jahren im Free-Tier unlimitierten Volumetric-DDoS-Schutz, ein einsamer Wert in der Industrie. Bunny.net und Gcore haben mittlerweile aufgeschlossen.

Zweitens: Daten-Residenz. Eine WAF inspiziert HTTP-Bodies, also potenziell Klartext-Daten von Formularen und Mandanten-Logins. Wer das über einen US-Anbieter laufen lässt, hat ein Drittlandtransfer-Problem. Cloudflare hat seit 2023 einen sog. Data Localization Suite Modus, in dem Inspection und Logs in der EU bleiben - kostet aber Aufpreis. Bunny.net (Slovenia) und Gcore (Luxembourg) sind EU-origin und damit von Haus aus EU-konform. Infomaniak ist die einzige reine CH-Lösung - DNS-only, also kein CDN/WAF.

Drittens: Kosten. Cloudflare-Free reicht für 95% der KMU-Seiten. Pro-Tier mit besseren WAF-Regeln ab USD 25/Monat. Bunny.net rechnet pro GB Traffic (USD 0.005-0.06) - für kleine Seiten mit wenig Traffic billiger als jedes Cloudflare-Tier. AWS CloudFront ist Pay-per-GB plus pro Million Requests, kann für einen Blog Cents kosten oder für eine Video-Plattform vierstellig. Akamai und Fastly sind Enterprise - Eintrittspreis vier- bis fünfstellig pro Monat.

Viertens: WAF-Regel-Granularität. Cloudflare bietet seit 2024 eine Managed-Rules-Library plus einen WAF-Custom-Editor mit Wirefilter-Syntax, der nahe an reale Application-Security heran reicht. Fastly und Akamai sind hier ebenfalls stark, Bunny.net und Gcore haben grundlegende WAF-Module, AWS CloudFront kann via AWS WAF angebunden werden - komplexere Konfiguration, dafür tiefe AWS-Integration.

Die acht Anbieter im Detail

Cloudflare (proprietär, Free + Pro + Business + Enterprise): der dominierende Anbieter. Weltweit über 330 Edge-Standorte (Stand Mai 2026), DNS, CDN, WAF, DDoS-Schutz, Workers (Serverless), Pages (Static-Hosting), R2 (S3-kompatibler Storage) und Tunnel (Zero-Trust). Free-Tier deckt erstaunlich viel ab. Pro für USD 25/Monat addiert besseres WAF-Regelwerk und Image-Optimisierung. Data Localization Suite (Aufpreis) ermöglicht EU-Daten-Residenz. Unsere Standard-Wahl bei den meisten Mandaten.

Bunny.net (proprietär, EU-origin Slovenia): der wachsende Herausforderer. Sehr günstig pro GB (USD 0.005-0.06 je nach Region, EU ca. USD 0.01). Eigenes globales Netz mit mittlerweile 100+ POPs. Bunny Shield (WAF) verfügbar, Bunny DNS schnell und einfach. Bunny Storage als S3-Alternative. Mai 2026 oft die Preis-Sieger-Wahl für kleinere EU-Sites.

Fastly (proprietär, Enterprise-CDN): bekannt für extrem schnelle Cache-Invalidation (under 150 ms global) und VCL-konfigurierbare Edge-Logik. Sehr stark bei E-Commerce-Plattformen mit dynamischem Content. Preis-Modell pay-as-you-go ab ca. USD 50/Monat plus pro GB. WAF Next-Gen via Signal Sciences Acquisition gut. Für KMU teurer als Cloudflare, aber bei Performance-kritischen Sites lohnenswert.

AWS CloudFront (proprietär, Pay-per-GB): Hyperscaler-CDN. Tiefe AWS-Integration (S3, Lambda@Edge, AWS WAF). 410+ POPs weltweit. Kostengestaltung complex aber transparent. WAF muss separat konfiguriert werden. Beste Wahl, wenn der Origin ohnehin auf AWS läuft - sonst zu komplex für KMU-Setups.

Akamai (proprietär, Enterprise): aeltester CDN-Anbieter (seit 1998). Marktanteil weiterhin gross bei Konzern-Mandaten, Banken, öffentlichen Stellen. Eintrittspreis vier- bis fünfstellig pro Monat. Sehr gute Edge-Security (Bot Manager, Kona Site Defender). Stark bei Compliance-Themen. Für KMU im Normalfall ungeeignet, für Banken-Niveau-Anforderungen passend.

Gcore (proprietär, EU-origin Luxembourg): wie Bunny.net ein EU-origin-Anbieter, aber breiter aufgestellt mit eigener Cloud-Plattform (Compute, Storage, AI-Inference). 180+ POPs. Preise mit Bunny.net vergleichbar. WAF, DDoS-Schutz, DNS. EU-DSGVO-konform out of the box.

Infomaniak DNS (proprietär, CH-only): der Schweizer Hosting-Klassiker mit Sitz in Genf. Bietet keinen klassischen CDN oder WAF, dafür DNS aus CH (mehrere Authoritative-Standorte) mit DNSSEC und sehr guter Latenz innerhalb der Schweiz. Perfekt für reine Schweizer Inlands-Sites mit revDSG-Anspruch und ohne globalen Traffic.

DNSimple (proprietär, USA): Developer-fokussierter DNS-Anbieter. Sehr klean designte API, Domain-Registrar-Funktion eingebaut, Audit-Log. Kein CDN, kein WAF. US-Hosting, daher für revDSG-strenge CH-Mandate eingeschränkt. Pläne ab USD 6/Monat für 10 Domains.

Auswahl in sechs Schritten

  1. 01Traffic-Volumen schätzen: GB pro Monat, Page-Views, Region (CH/EU/global). Kleine Mandate (< 100 GB) profitieren von Bunny.net, mittlere von Cloudflare, grosse evtl. von Fastly/Akamai.
  2. 02Daten-Residenz klären: müssen Logs in CH/EU bleiben? Wenn ja, Cloudflare nur mit Data Localization Suite oder direkt Bunny.net/Gcore/Infomaniak.
  3. 03DDoS-Schutz-Bedarf einschätzen: Mandantenportal mit Login? Dann mindestens Cloudflare-Free aktivieren. Banken-Niveau? Akamai oder Cloudflare Business plus.
  4. 04WAF-Regel-Bedarf definieren: nur Managed Rules genügen? Cloudflare Pro reicht. Custom-Wirefilter-Logik? Cloudflare Business oder Fastly.
  5. 05DNS-Provider wählen: getrennt von CDN-Provider sinnvoll, wenn Vendor-Diversität wichtig. Sonst beim CDN-Anbieter mitlaufen lassen.
  6. 06PoC einrichten: 24 bis 48 Stunden im Log-only-Modus, Logs prüfen, False-Positives korrigieren, erst dann WAF und DDoS-Schutz aktivieren.

Empfehlung je Anwendungsfall

KMU-Treuhand-Seite, mittlerer Traffic, revDSG-streng: Cloudflare Pro plus Data Localization Suite. Etwa USD 25/Monat plus Aufpreis für EU-Region. DDoS-Schutz, WAF mit Managed Rules, EU-Daten-Residenz. Setup-Aufwand: einige Stunden inklusive DNS-Migration.

Kleine EU-Site mit geringem Traffic, Preis-sensibel: Bunny.net plus Bunny DNS plus Bunny Shield. Bei 100 GB Traffic pro Monat ca. USD 1, plus DNS und Shield-Add-on. Insgesamt unter USD 10/Monat für eine kleine KMU-Site mit EU-origin und DDoS-Schutz. Unser Geheimtipp für kleinere CH/EU-Mandate.

Reine Schweizer Inlands-Site (Anwaltskanzlei mit nur CH-Mandanten): Infomaniak DNS plus eine eigene Origin-Server WAF (zum Beispiel ModSecurity auf Nginx oder eine CrowdSec-Installation). Komplett CH-only, DNSSEC inklusive. Kein globales CDN, dafür DSG-Pur.

Schweizer Mandat mit globalem Traffic (zum Beispiel Treuhand mit internationalen Mandanten): Cloudflare Free oder Pro plus Infomaniak als Origin. Cloudflare übernimmt CDN/WAF/DDoS, Infomaniak liefert den Origin-Hosting. Logs können via Data Localization Suite in der EU gehalten werden.

Origin auf AWS, ohnehin AWS-Stack: AWS CloudFront plus AWS WAF. Tiefe Integration, pay-per-GB transparent. Komplexer als Cloudflare, dafür keine zweite Vendor-Beziehung. Lohnt sich, wenn das Team AWS-erfahren ist.

Performance-kritische E-Commerce-Plattform mit dynamischem Content: Fastly. Cache-Invalidation under 150 ms global, VCL-Edge-Logik. Eintritt USD 50+/Monat. Lohnt sich bei mehr als 100k Page-Views pro Monat und engen Performance-Anforderungen.

Konzern-Mandat, Banken-Compliance: Akamai. Eintritt vier- bis fünfstellig pro Monat. Beste Edge-Security, beste Compliance-Berichte. Für KMU nicht, für Banken-Level richtig.

Developer-fokussiertes Setup mit vielen Domains, US-Daten OK: DNSimple. Saubere API, gute Audit-Logs. Plant nur DNS - kein CDN/WAF.

Anti-Muster und Fallstricke

Der häufigste Fehler bei kleineren Mandaten ist, gar keinen DDoS- und WAF-Schutz einzusetzen. Argument: "Wir sind zu klein, da kommt eh niemand." Praxis: Anwalts- und Treuhandseiten sind Ziel von Credential-Stuffing-Angriffen und gezielten Probings auf Mandantenportale. Cloudflare-Free in einer halben Stunde aufzusetzen, schliesst diese Lücke ohne Kosten - keine Ausrede.

Der zweite häufige Fehler ist Vendor-Verschachtelung. Wir haben Mandate gesehen, die DNS bei Infomaniak hatten, Origin bei Hetzner, CDN bei Cloudflare und WAF zusätzlich bei AWS WAF. Vier Vendor-Beziehungen, vier Logins, vier Rechnungen - für eine Site, die problemlos mit Cloudflare allein laufen könnte. Konsolidierung ist hier nicht Geiz, sondern Operations-Sauberkeit.

Der dritte Fehler: Cloudflare-Free im Produktivbetrieb für Mandanten mit echtem revDSG-Anspruch ohne Data Localization Suite. Cloudflare-Free routet WAF-Logs in die USA. Für einen Anwalt mit Berufsgeheimnis-Daten in Login-Formularen ist das ein Drittlandtransfer-Problem. Lösung: entweder Data Localization Suite kaufen (Aufpreis), oder einen EU-origin-Anbieter wie Bunny.net oder Gcore wählen.

Vorsicht auch beim DNSSEC. Cloudflare und Bunny.net unterstützen DNSSEC mittlerweile (Stand Mai 2026), AWS Route 53 ebenfalls, DNSimple und Infomaniak schon länger. Aber: DNSSEC muss explizit aktiviert werden, ist standardmässig oft aus. Wer es nicht aktiviert, geniesst die Sicherheit nicht.

Letzte Falle: WAF-Default-Regeln blockieren manchmal legitime Anfragen (zum Beispiel ein internes Tool, das ungewöhnliche Header sendet). Vor produktivem Rollout immer 24 bis 48 Stunden im "Log-only"-Modus laufen lassen, Logs prüfen, dann erst aktivieren.

Vor- und Nachteile

STÄRKEN

  • Cloudflare: bester Free-Tier weltweit, Marktstandard, riesiges Feature-Set
  • Bunny.net: bestes Preis-Leistungs-Verhältnis für kleine EU-Sites
  • Infomaniak: einzige reine CH-Lösung mit DSG-Pur
  • Fastly: extrem schnelle Cache-Invalidation, starke Edge-Logik
  • Akamai: Enterprise-Compliance, Banken-Niveau-Sicherheit

SCHWÄCHEN

  • Cloudflare: Free-Tier-Logs in USA - Data Localization Suite kostet Aufpreis
  • AWS CloudFront: complex zu konfigurieren ausserhalb des AWS-Stacks
  • Akamai: vier- bis fünfstelliger Eintrittspreis pro Monat
  • DNSimple: US-Hosting, kein CDN/WAF - nur DNS
  • Infomaniak: kein CDN, kein globaler WAF - nur CH-DNS

Häufige Fragen

Reicht Cloudflare-Free wirklich für ein KMU?

Für reine Marketing-Sites ohne Login: ja, ohne Einschränkung. DDoS-Schutz unlimitiert, basale Bot-Filter, kostenloses SSL. Sobald aber ein Mandantenportal, ein Kontaktformular mit sensiblen Daten oder ein API-Endpunkt im Spiel ist, lohnt der Sprung auf Pro (USD 25/Monat) - bessere WAF-Regeln, Rate-Limiting, Image-Optimisierung. Für revDSG-strenge Mandate kommt zusätzlich Data Localization Suite (Aufpreis) hinzu.

Wie schneidet Bunny.net preislich gegen Cloudflare ab?

Cloudflare ist Flat-Rate (Free, USD 25 Pro, USD 250 Business, Enterprise individuell). Bunny.net ist Pay-per-GB (USD 0.005-0.06 je Region). Konkret: eine kleine Treuhand-Site mit 50 GB Traffic im Monat zahlt bei Bunny.net ca. USD 0.50 plus DNS und Shield-Add-on (etwa USD 2 zusammen) - also unter USD 3. Cloudflare-Free deckt dasselbe ab, aber ohne EU-Logs-Residenz. Wer EU-Residenz braucht: Bunny.net 3 USD/Monat vs. Cloudflare Pro plus DLS 30+ USD/Monat.

Was passiert bei einem Cloudflare-Ausfall?

Cloudflare hat in den letzten drei Jahren zwei grössere globale Ausfälle gehabt (jeweils zwei bis vier Stunden). Wer ohne Fallback hostet, ist in der Zeit offline. Lösung: Multi-CDN-Setup (Cloudflare plus Bunny.net oder Fastly als Backup) mit DNS-failover. Lohnt sich aber erst ab Mandaten mit harten SLA-Anforderungen - KMU-Setups vertragen meist die paar Stunden, wenn sie selten genug sind.

Kann ich Infomaniak DNS plus Cloudflare CDN kombinieren?

Ja, das ist eine saubere Lösung. Infomaniak hält die Authoritative-DNS-Zone in CH (DNSSEC aktiviert), CNAME-Record verweist auf Cloudflare-Hostname, Cloudflare übernimmt CDN/WAF/DDoS. Vorteil: DNS aus CH, CDN/WAF global. Nachteil: zwei Vendor-Beziehungen statt einer. Lohnt sich, wenn DNS-Residenz in CH besonders wichtig ist (zum Beispiel bei Behörden-Mandaten).

Verwandte Themen

CLOUDFLARE · TECH-STACKCloudflare als DNS, Reverse-Proxy und WAF: SSL-Modi, Cache-Rules, Origin-CertificatesHETZNER · TECHHetzner als EU-Hosting für CH-Treuhand und KMU: Rechenzentren, Verträge, KostenNGINX · TECH-STACKNginx als Reverse-Proxy: SSL, Rate-Limits und Security-Header für Container-AppsSERVER & INFRASTRUKTUR · SERVICEServer & Infrastruktur: Ubuntu, Docker, Monitoring – aufgesetzt, gehärtet, übergebenMANAGED · SERVICEManaged Service & Monitoring: Wir betreiben es weiter, Sie nutzen es

Quellen

  1. Cloudflare Plans - Free, Pro, Business, Enterprise · 2026-05
  2. Bunny.net Pricing - CDN, DNS, Shield · 2026-05
  3. Fastly Pricing - Edge Cloud Platform · 2026-04
  4. Gcore - CDN and DNS pricing · 2026-04
  5. Infomaniak DNS Service - Swiss DNS with DNSSEC · 2026-04

PASSEND ZU IHREM STACK?

Wie das in Ihrem Betrieb konkret aussieht – 30 Minuten Erstgespräch.

Erstgespräch buchen