Cloudflare hat mit Precursor eine neue Bot-Abwehr gestartet, die nicht mehr einzelne Anfragen prüft, sondern das Verhalten über die gesamte Sitzung beobachtet. Für Betreiber von WordPress-Seiten und Shops verschiebt das die Frage, wie sich Mensch und Maschine überhaupt noch trennen lassen.

drweb.de als bevorzugte Quelle auf Google hinzufügenQualitätsgeprüfte Inhalte direkt in Google News & DiscoverJetzt hinzufügen

Klassische Bot-Erkennung setzt an einem einzelnen Klick an, etwa an einem CAPTCHA oder einem Häkchen zum Bestätigen. Moderne Bots steuern längst echte Browser, führen JavaScript aus und lösen diese Hürden mühelos. Cloudflares Precursor dreht den Spieß um und misst stattdessen, wie sich ein Besucher über Minuten hinweg bewegt.

Das Wichtigste in Kürze

  • Precursor beobachtet eine ganze Sitzung statt einzelner Anfragen und lässt sich per Klick im Cloudflare-Dashboard aktivieren.
  • Das System erkennt Bots an Mausbögen, Tipprhythmus und winzigen Verzögerungen, nicht an einem einmaligen Test.
  • Bis zur allgemeinen Verfügbarkeit später im Jahr 2026 bleibt die Funktion kostenlos.
  • Verhaltensdaten in dieser Tiefe berühren die DSGVO und gehören in die Datenschutzerklärung.

Warum versagen CAPTCHAs gegen moderne Bots?

Papierblatt mit Stempel
CAPTCHA-Prüfung erfolgt nur einmalig. Moderne Bots umgehen dies automatisiert mit echten Browsern und verschleiern ihren Datenverkehr über Millionen privater Internetanschlüsse

Ein CAPTCHA prüft einen einzigen Augenblick. Übersteht ein Programm diese Hürde, gilt der Datenverkehr danach als menschlich, egal was folgt. Bots mit echten Browsern lösen Bilderrätsel heute automatisiert und setzen ihre Signatur nach jedem Reload zurück.

Die eigentliche Verschiebung liegt tiefer. Bot-Betreiber tarnen ihren Datenverkehr über Millionen echter Privatanschlüsse, wie der Handel mit Residential Proxies zeigt. Ein einzelner Request verrät auf diese Weise fast nichts mehr über seinen Absender.

Freiwillige Signale helfen kaum weiter. Das Opt-out in der robots.txt hat Google zuletzt für wirkungslos erklärt, und Bezahlmodelle wie Pay per Crawl greifen erst, sobald ein Crawler sich überhaupt zu erkennen gibt. Genau diese Lücke soll die Verhaltensanalyse schließen.

Wie erkennt Precursor einen Bot?

Precursor spritzt beim Seitenaufruf ein kleines JavaScript ein, das Mausbewegungen, Tastaturrhythmus, Fokuswechsel und Sichtbarkeit laufend mitschneidet und an Cloudflares Server im Netzrand schickt[1]. Dort vergleichen mehrere Prüfmodule, ob diese Signale zueinander passen.

Der Unterschied zum Menschen steckt im Detail. Eine echte Hand zeichnet Bögen aus dem Handgelenk, zittert minimal und korrigiert ihren Weg, während ein Skript Punkte schnurgerade verbindet. Zwischen Sehen und Klicken vergeht bei Menschen zudem eine winzige Denkpause, die Maschinen nur schwer nachbilden.

Der Clou liegt in der Dauer. Über eine ganze Sitzung hinweg kann ein Bot seine Verhaltenssignatur nicht durch einen simplen Reload zurücksetzen, anders als bei einem einmaligen Test. Die Tastatur erfasst Cloudflare dabei nur als Timing, nicht als getippte Zeichen, und bindet die Daten nicht an eine Identität.

Precursor macht aus der Bot-Abwehr eine Daueraufgabe statt einer Türsteher-Frage, und genau das trifft ausgerechnet die KI-Agenten, die viele Shops gerade erst hereinbitten wollen.

— Markus Seyfferth, Chefredakteur Dr. Web
Precursor: Bot-Abwehr in Zahlen
Wie Cloudflare Mensch und Maschine über die ganze Sitzung trennt
3 Mrd.
Turnstile-Prüfungen täglich an sensiblen Endpunkten
1 Bio.
Anfragen analysiert Cloudflare pro Tag
0 €
Kosten bis zur allgemeinen Verfügbarkeit 2026

Woran Precursor einen Bot erkennt

Mausbögen aus dem Handgelenk statt schnurgerader Linien

Denkpause zwischen Sehen und Klicken

Korrekturen und Tempo-Wechsel im Mausweg

Signatur lässt sich per Reload nicht zurücksetzen

Was bedeutet Precursor für Betreiber im DACH-Raum?

Für deutsche Betreiber verschiebt Precursor eine heikle Grenze. Mausbögen und Tipprhythmus sind Verhaltensdaten, und selbst ohne Klartext der Tasten lassen sich solche Muster nach Auffassung vieler Datenschützer auf Personen beziehen. Beim Aktivieren der Funktion verarbeiten Sie diese Signale als Verantwortlicher unter der DSGVO. Wie viel ein Browser ungefragt preisgibt, hat zuletzt der Fall um Chromium und die Funktion Math.tanh gezeigt.

Ein zweites Risiko betrifft die Reichweite. Blockiert die Abwehr zu scharf, trifft sie auch erwünschte Automaten: Vorlese-Werkzeuge, Test-Skripte oder die KI-Shopping-Agenten, die im Sinne der generativen Suche gerade Zutritt bekommen sollen.

Praktisch lohnt sich der Start im Beobachtungsmodus. Aktivieren Sie Precursor zunächst nur protokollierend, prüfen Sie die Treffer auf Fehlalarme, und ergänzen Sie erst dann die Datenschutzerklärung sowie den Auftragsverarbeitungsvertrag mit Cloudflare. So nutzen Sie das kostenlose Fenster bis zur allgemeinen Verfügbarkeit, ohne echte Kundschaft auszusperren.

Quelle

[1] Cloudflare: „Introducing Precursor: detecting agentic behavior with continuous client-side signals“

Mehr Newshunger?

4,3 10 Bewertungen

Wie hat Ihnen dieser Artikel gefallen?