Warum wir als Open-Source-Unternehmen auf Cloudflare setzen
Tim HasenkampOpen Source First - und trotzdem Cloudflare? Wir erklären, warum ein proprietärer US-Dienst bei uns einen festen Platz hat: tracking-armer Bot-Schutz mit Turnstile, exzellente DDoS-Abwehr und ein ehrlicher Blick auf den Datenschutz-Kompromiss.
Ein scheinbarer Widerspruch
Wir bei hasenkamp solutions leben den Grundsatz Open Source First. Die Tools, die wir empfehlen, unser Hosting in deutschen Rechenzentren, die Lösungen, die wir für Kunden betreiben - all das setzt bevorzugt auf quelloffene, selbst gehostete Software. Umso überraschender klingt es vielleicht, dass ausgerechnet wir an einer zentralen Stelle auf einen proprietären US-Dienst vertrauen: Cloudflare.
Dieser Artikel erklärt, warum das kein Widerspruch ist, sondern eine bewusste und pragmatische Entscheidung - und wo wir ganz klar die Grenze ziehen.
"Open Source First" heißt nicht "Open Source Only"
Für uns ist Open Source eine Haltung, kein Dogma. "First" bedeutet: Wir prüfen immer zuerst die quelloffene, datensouveräne Lösung - und in den allermeisten Fällen gewinnt sie. Aber es gibt einzelne Bereiche, in denen ein Managed-Dienst einen Sicherheits- oder Verfügbarkeitsgewinn bringt, der mit Eigenbetrieb schlicht nicht wirtschaftlich abbildbar ist.
Genau hier kommt Cloudflare ins Spiel. Statt ideologisch auf einen reinen Open-Source-Stack zu bestehen und dabei Kompromisse bei der Sicherheit einzugehen, setzen wir Cloudflare gezielt dort ein, wo es echten Mehrwert schafft - und sind dabei transparent über die Trade-offs.
Exzellenter DDoS-Schutz - den man selbst kaum nachbauen kann
Distributed-Denial-of-Service-Angriffe gehören zu den häufigsten und disruptivsten Bedrohungen im Web. Ein einzelner Angriff kann hunderte Gigabit pro Sekunde an Traffic auf einen Server werfen - genug, um jede Standard-Infrastruktur in die Knie zu zwingen.
Das Problem: DDoS-Schutz skaliert mit Netzwerkkapazität. Um einen großen Angriff abzuwehren, muss man mehr Bandbreite haben als der Angreifer. Genau das kann ein einzelner Server oder selbst ein gut ausgestattetes Rechenzentrum nicht leisten. Cloudflare betreibt eines der größten Netzwerke der Welt mit Standorten in über 330 Städten - schädlicher Traffic wird verteilt am Rand des Netzwerks abgefangen, lange bevor er den Ursprungsserver erreicht.
| Aspekt | Selbst gehostet (allein) | Mit Cloudflare |
|---|---|---|
| Abwehrkapazität | Begrenzt durch eigene Bandbreite | Globales Multi-Terabit-Netzwerk |
| Reaktionszeit | Manuell, oft Minuten bis Stunden | Automatisch, Sekunden |
| Kosten bei großen Angriffen | Sehr hoch (Traffic, Ausfall) | Im Schutz enthalten, unbegrenzt |
| Aufwand | Hoch (Monitoring, Regeln, Hardware) | Konfiguration einmalig |
Cloudflares DDoS-Schutz ist unbegrenzt - unabhängig von der Größe des Angriffs und ohne Mehrkosten. Für uns und unsere Kunden bedeutet das: Dienste bleiben verfügbar, auch wenn jemand versucht, sie gezielt lahmzulegen. Diesen Schutz selbst aufzubauen wäre weder technisch sinnvoll noch finanzierbar.
Turnstile: Bot-Schutz ohne Tracking und ohne Cookie-Banner
Jedes öffentliche Formular - Kontakt, Newsletter, Login - ist ein Ziel für Bots und Spam. Die klassische Antwort darauf ist ein CAPTCHA. Doch die verbreitetste Lösung, Google reCAPTCHA, hat zwei gravierende Nachteile: Sie nervt Nutzer mit Bilderrätseln und sie ist ein Datenschutz-Problem, weil sie tief in das Tracking-Ökosystem von Google eingebunden ist.
Wir nutzen stattdessen Cloudflare Turnstile. Turnstile prüft im Hintergrund, ob ein Besucher ein echter Mensch ist - meist völlig unsichtbar, ohne Rätsel und vor allem ohne Tracking-Cookies und ohne Browser-Fingerprinting.
| Eigenschaft | Google reCAPTCHA | Cloudflare Turnstile |
|---|---|---|
| Bilderrätsel für Nutzer | Häufig | In der Regel keine |
| Tracking-Cookies | Ja | Nein |
| Einbindung ins Werbe-Ökosystem | Ja | Nein |
| Cookie-Banner nötig | Praktisch ja | Nein |
| Datenschutzgrundlage | Heikel | Berechtigtes Interesse, sauber |
Der entscheidende Punkt für uns: Turnstile braucht kein Cookie-Banner. Unsere Website kommt komplett ohne Consent-Banner aus, weil wir keine Tracking-Tools laden - und Turnstile fügt sich genau in diese Philosophie ein. Spam-Schutz und Datenschutz sind hier kein Widerspruch.
Bausteine, die unsere Open-Source-Welt sicherer machen
Interessanterweise ist Cloudflare nicht das Gegenteil von Self-Hosting - oft ist es genau der Layer, der Self-Hosting erst sicher und praktikabel macht:
- Cloudflare Tunnel: Macht selbst gehostete Anwendungen sicher erreichbar, ohne offene Ports und ohne öffentliche IP-Adresse. Der Server bleibt für das Internet unsichtbar und ist nur über das geschützte Cloudflare-Netzwerk erreichbar.
- Zero Trust & Access: Schützt interne Tools und Admin-Oberflächen, indem jeder Zugriff einzeln auf Identität geprüft wird - ein modernes Sicherheitsmodell, das das klassische VPN ablöst und sich mit Identity-Providern wie Authentik verbinden lässt.
- Web Application Firewall (WAF): Filtert Angriffe wie SQL-Injection oder Cross-Site-Scripting, bevor sie die Anwendung erreichen.
- DNS & CDN: Schnellste DNS-Auflösung weltweit und globales Caching - für kurze Ladezeiten und höhere Verfügbarkeit.
Mit anderen Worten: Cloudflare ergänzt unseren Open-Source-Stack, statt ihn zu ersetzen. Wir hosten die Anwendung selbst, behalten die Datenhoheit über die Inhalte - und legen einen robusten Schutzschild darum.
Ehrlich bleiben: Der Datenschutz-Kompromiss
Wir wären keine ehrlichen Verfechter von Datensouveränität, wenn wir die Kehrseite verschweigen würden: Cloudflare ist ein US-Unternehmen und unterliegt damit potenziell dem US CloudAct. Das ist ein realer Trade-off, den man kennen muss.
Deshalb gehen wir bewusst damit um:
- Wir nutzen, wo möglich, Cloudflares EU Data Boundary zur Datenlokalisierung in Europa.
- Sensible und personenbezogene Daten bleiben in deutschen Rechenzentren (bei uns: Hetzner) - nicht bei Cloudflare.
- Wir setzen Cloudflare gezielt für Schutz und Auslieferung ein, nicht als Datenspeicher.
- In unserer Datenschutzerklärung dokumentieren wir den Einsatz transparent inklusive Rechtsgrundlage und Drittlandübermittlung.
Diese Ehrlichkeit ist uns wichtiger als ein makelloses Marketing-Versprechen. Wer Datensouveränität ernst nimmt, benennt die Kompromisse - statt sie zu verstecken.
Unsere Faustregel: Wann Cloudflare - und wann nicht
Cloudflare kommt dort zum Einsatz, wo der Sicherheits- und Verfügbarkeitsgewinn den Trade-off klar rechtfertigt - und niemals als Speicherort für sensible Daten.
Konkret heißt das:
- Ja zu Cloudflare für DDoS-Schutz, WAF, Bot-Abwehr (Turnstile), DNS, CDN und den sicheren Zugriff auf self-hosted Dienste.
- Nein zu Cloudflare als primärer Datenspeicher für personenbezogene oder geschäftskritische Daten - dafür bleiben wir bei souveränen, selbst betriebenen Lösungen in Deutschland.
Fazit
Open Source und Cloudflare schließen sich nicht aus - im Gegenteil. Ein pragmatischer Ansatz, der bevorzugt auf quelloffene und souveräne Lösungen setzt, aber gezielt einen erstklassigen Schutz-Layer ergänzt, ist robuster als jeder Purismus. Wir bekommen exzellenten DDoS-Schutz, tracking-armen Bot-Schutz ohne Cookie-Banner und eine sichere Anbindung unserer self-hosted Welt - bei voller Transparenz über die Kompromisse.
Genau dafür stehen wir: Sicherheit und Datenschutz nicht als Gegensatz, sondern als bewusst austarierte Entscheidung. Wenn Sie wissen möchten, wie ein solcher Ansatz für Ihre Infrastruktur aussehen kann, sprechen Sie uns gerne an.
Tim Hasenkamp
Gründer & IT-Berater bei hasenkamp solutions
Haben Sie Fragen zu diesem Thema?
Wir beraten Sie gerne unverbindlich zu Ihrem Projekt.