Live Cloudflare startet Precursor: Verhaltensbasierte Bot-Erkennung über die gesamte Sitzung

Cloudflare startet Precursor: Verhaltensbasierte Bot-Erkennung über die gesamte Sitzung

Mit Precursor führt Cloudflare eine neue Methode ein, die das Nutzerverhalten über eine komplette Websitzung analysiert, um Bots zuverlässiger zu erkennen. Das System ergänzt Turnstile und soll künftig Teil des Enterprise Bot Management sein.

Veröffentlicht: 14.07.2026 ·Aktualisiert: 14.07.2026 ·6 Min Lesezeit
Cloudflare startet Precursor: Verhaltensbasierte Bot-Erkennung über die gesamte SitzungMit KI erstellt

Cloudflare hat mit Precursor ein neues clientseitiges Verifikationssystem vorgestellt, das die Bot-Erkennung auf die gesamte Nutzersitzung ausdehnt. Bisherige Schutzmechanismen wie CAPTCHAs oder Cloudflares eigener CAPTCHA-Ersatz Turnstile prüfen vor allem einzelne kritische Aktionen wie Logins oder Checkouts. Precursor hingegen sammelt kontinuierlich Verhaltenssignale, sobald ein Besucher mit einer Webanwendung interagiert. Das Ziel: Automatisierte Zugriffe auch dann zu identifizieren, wenn sie in kurzen Momentaufnahmen menschlich wirken. Cloudflare beschreibt die Bot-Abwehr als ein adversarisches Spiel: Angreifer passen sich an, Verteidiger reagieren, und der Zyklus wiederholt sich. Mit der Kombination aus globaler Netzwerktransparenz – täglich über eine Billion analysierte Anfragen und Einblick in mehr als 20 Prozent des Webs – und clientseitigen Signalen will das Unternehmen die Oberhand behalten. Turnstile, das sich von einem CAPTCHA-Ersatz zu einer risikobasierten Managed Challenge entwickelt hat, wird inzwischen fast drei Milliarden Mal pro Tag auf sensiblen Endpunkten wie Login, Registrierung und Checkout ausgeführt. Doch diese punktuellen Prüfungen lassen eine Lücke: Sie zeigen nicht, wie sich Menschen und Bots über die gesamte Nutzerreise hinweg verhalten. Genau diese Lücke soll Precursor schließen.

Verhaltensanalyse über die gesamte Sitzung

Precursor ist ein optionales Add-on zu Turnstile und Teil des Enterprise Bot Management. Es basiert auf einem dynamisch injizierten JavaScript, das kontinuierlich Verhaltenssignale sammelt, während Besucher mit einer Anwendung interagieren. Die technische Umsetzung erfolgt in mehreren Schichten:

Injektion und Sammlung: Sobald Precursor für eine Anwendung aktiviert ist, fügt Cloudflare automatisch ein kompaktes, obfuskiertes Skript in die HTML-Antworten ein – ohne zusätzliche Konfiguration, Netzwerkverbindungen oder Drittanbieter-Einbindungen. Das injizierte Precursor-Bundle wird für jede Antwort dynamisch zusammengestellt und soll die Seitenlogik der gehosteten Webanwendung nicht beeinträchtigen. Das Skript registriert leichtgewichtige Event-Listener für Zeigerbewegungen, Tastaturaktivität, Fokuswechsel und Sichtbarkeitsänderungen. Die erfassten Ereignisse werden in ein kompaktes Format serialisiert und im Speicher zwischengespeichert. In regelmäßigen Abständen werden die gepufferten Daten an die Auswertungsebene von Cloudflare gesendet.

Auswertung: Auf den Edge-Servern werden die eingehenden Nutzdaten deserialisiert und von einer Reihe von Evaluatoren analysiert. Ein Dispatcher führt eine Reihe von Evaluatoren auf den Eingabedaten aus, die jeweils die für sie relevanten Precursor-Ströme lesen und Signale in eine gemeinsame Erkennungsregistrierung einbringen können. Die Evaluatoren gleichen Daten ab: Sie prüfen beispielsweise, ob Zeigeraktivität mit der Dauer der Seitensichtbarkeit korreliert oder ob Tastaturereignisse nur dann auftreten, wenn ein Textfeld fokussiert ist. Diese Informationen werden zu einzelnen Signalen verdichtet, die in die Gewichtung der Bot-Erkennung einfließen.

Sitzungsintegration: Precursor arbeitet sitzungsbasiert, das heißt, die gesammelten Daten akkumulieren sich über die gesamte Sitzung. Ein Bot kann seine Verhaltenssignatur daher nicht durch einfaches Neuladen der Seite oder einen neuen Challenge-Durchlauf zurücksetzen. Zusätzlich fließen Sitzungsmetadaten in nachgelagerte Erkennungsschichten ein, etwa für Shadow-Mode-Heuristiken, den Abgleich von vorhergesagtem und tatsächlichem Sitzungsabschluss sowie Sitzungsverzögerungs-Heuristiken. Diese edge-seitigen Beobachtungen werden protokolliert, um die Erkennung zu verbessern und den Bot-Score einer Sitzung dynamisch anzupassen.

Menschliche Bewegungsmuster als Erkennungsmerkmal

Moderne Automatisierung ist zunehmend in der Lage, in kurzen Intervallen legitim zu erscheinen. Bots können JavaScript ausführen, echte Browser-Umgebungen nutzen und einzelne CAPTCHAs ohne Verdacht zu erregen bestehen. Was jedoch schwer zu replizieren bleibt, ist konsistentes menschliches Verhalten über einen längeren Zeitraum. Precursor setzt genau hier an und macht das Verhalten selbst zu einem verlässlichen Signal.

Cloudflare illustriert den Unterschied am Beispiel von Mausbewegungen. Menschliche Bewegungen sind durch biomechanische und kognitive Faktoren geprägt: Die Drehung des Handgelenks führt zu bogenförmigen Bahnen, die kognitive Verarbeitung verursacht messbare Verzögerungen zwischen dem Sehen eines Elements und dem Klicken, und selbst die ruhigste Hand weist ein physiologisches Zittern auf. Bots hingegen bewegen sich oft in linearen Interpolationen oder mathematisch idealen Bézierkurven und klicken mit einer Präzision, die Menschen nicht erreichen können. Selbst wenn sie menschliche Fehler simulieren, fehlt ihnen der Rhythmus, der sich nur über eine gesamte Sitzung hinweg zeigt.

Ein von Cloudflare gezeigtes Beispiel einer Maus-Automatisierungsbibliothek zeigt perfekt gerade Linien, eine ständige Rückkehr zum Ursprung und eine gleichbleibende Geschwindigkeit. Ein menschlicher Nutzer auf derselben Seite produziert dagegen unregelmäßige Pfade, kleine Korrekturen und Überschwinger sowie deutliche Variationen in Geschwindigkeit, Timing und Richtung. Einzeln betrachtet mögen diese Interaktionen plausibel wirken, doch über den Verlauf einer Sitzung treten die Unterschiede klar zutage. Precursor erfasst und bewertet diese Verhaltenssignaturen kontinuierlich.

Datenschutz durch Design: Nur Muster, keine Inhalte

Die umfassende Erfassung von Nutzerinteraktionen wirft unweigerlich Datenschutzfragen auf. Cloudflare betont, dass Precursor von Grund auf mit Blick auf den Datenschutz entwickelt wurde. Die Event-Listener erfassen nur die minimal notwendigen Informationen, um menschliche von automatisierten Mustern zu unterscheiden. So wird Tastaturaktivität beispielsweise ausschließlich als Timing und Rhythmus erfasst, nicht als die tatsächlich gedrückten Tasten. Verhaltenssignale werden zudem als aggregierte Muster ausgewertet und nicht mit Benutzerkonten, Login-Identitäten oder dauerhaften Profilen verknüpft. Die Daten werden intern von Cloudflares Bot-Erkennungssystemen verarbeitet und sind weder in Kunden-Dashboards einsehbar noch einzelnen Nutzern zuordenbar.

Trotz dieser Vorkehrungen bleibt der Ansatz datenschutzrechtlich nicht unumstritten. Die tiefe Integration in die Interaktionen der Besucher und die fortlaufende Analyse ihres Verhaltens könnten von Datenschützern kritisch gesehen werden, auch wenn Cloudflare versichert, keine personenbezogenen Profile zu erstellen.

Neue Einblicke: Sitzungsbasierte Security Analytics

Parallel zur Einführung von Precursor erweitert Cloudflare seine Security Analytics um sitzungsbasierte Ansichten. Statt wie bisher nur einzelne HTTP-Anfragen zu betrachten, können Administratoren nun komplette Besucherreisen analysieren. Die neuen Dashboards sollen Antworten auf Fragen liefern wie: Wie sieht eine typische Sitzung auf meiner Seite aus? Wo weichen Sitzungen vom erwarteten Verhalten ab? Welche Sitzungen zeigen im Zeitverlauf Anzeichen von Automatisierung?

Diese Analysen erfassen auch das Verhalten zwischen den Requests – eine Information, die mit herkömmlichen, auf einzelne Anfragen beschränkten Metriken nicht sichtbar ist. Precursor speist seine Daten direkt in bestehende Systeme wie den Bot-Score, Challenge-Entscheidungen und Sicherheitsregeln ein und ermöglicht so eine feinere Steuerung der Schutzmaßnahmen.

Zwischen Hoffnung und Kritik: Erste Praxiserfahrungen

In der Cloudflare-Community auf Reddit wird Precursor bereits rege diskutiert – mit gemischten Reaktionen. LessAdvisor5241 in r/CloudFlare äußert ironisch: „Ich kann nicht anders, als zu denken, dass ihre Analyse des menschlichen Mausverhaltens Bot-Designern tatsächlich helfen wird, Bots noch menschlicher zu machen 😅“ – eine Befürchtung, die das ewige Katz-und-Maus-Spiel der Bot-Abwehr unterstreicht.

Ambitious-Flower-641 in r/CloudFlare berichtet von praktischen Problemen: „Ich habe es abgeschaltet. Anders als bei Super Bot Fight Mode und anderen Optionen sah ich bei Precursor nichts. Legitime Bots wurden herausgefordert, die noch nie bei einem anderen Sicherheitsprodukt auffällig waren. Sogar meine eigene Whitelist-IP auf eingeloggten Frontends wurde ständig herausgefordert oder es liefen Skripte von Precursor, die niemals hätten auftreten sollen.“ Offenbar führte die neue Erkennung bei diesem Nutzer zu einer Flut von Fehlalarmen.

j5kDM3akVnhv in r/CloudFlare weist auf eine wichtige Konfigurationshürde hin: „Aus der Doku: Wenn man Precursor aktiviert, sollte man JavaScript Detections (JSD) deaktivieren. Das geht wohl nur per API und nicht über das Dashboard. Keine Ahnung, warum das nicht automatisch passiert.“ Diese technische Hürde könnte die Einführung für weniger versierte Anwender erschweren.

Precursor wird derzeit eingeführt und kann über das Cloudflare-Dashboard aktiviert werden. Bis zur allgemeinen Verfügbarkeit im Laufe des Jahres ist die Nutzung kostenlos, danach wird die Funktion Teil des kostenpflichtigen Enterprise Bot Management.

Ähnliche Artikel