Wie Cloudflare das Web neu schreibt – und was das für Sie bedeutet

Es ist Dienstagmorgen, der 18. November 2025. Du rufst Twitter auf – und siehst eine Fehlermeldung. ChatGPT antwortet nicht. Der Shopify-Shop deiner Lieblings-Brand zeigt eine leere Seite. Du öffnest DownDetector, eine Seite die zeigt ob Webseiten oder Dienste verfügbar sind, um nachzuschauen, ob irgendetwas down ist – und merkst, dass DownDetector selbst nicht lädt. Sogar die Seite, die Ausfälle anzeigen soll, ist ausgefallen.

Kein Hackerangriff. Kein Staatstrojaner. Keine Hollywood-Storyline. Eine Konfigurationsdatei war doppelt so groß geworden wie vorgesehen. Das reichte. ^[1]

Das Unternehmen dahinter: Cloudflare. Ein Name, den viele nur aus Fehlermeldungen kennen – dabei läuft ein Großteil des modernen Webs schon lange über ihre Server.

Und das wird in Zukunft noch deutlich mehr sein.

Cloudflare? Kenn ich nicht – oder doch?

Stell dir vor, jemand fragt dich: „Welche Unternehmen kontrollieren das Internet?" Du nennst vielleicht Google, Amazon, Meta. Cloudflare fällt den meisten Menschen nicht ein – obwohl das Unternehmen laut W3Techs und Statista inzwischen rund 20 % aller Websites weltweit schützt und beschleunigt. ^[2] Der nächstgrößte Wettbewerber im Reverse-Proxy-Markt, Amazon CloudFront, kommt auf rund 1–2 %. ^[3]

Cloudflare sitzt zwischen dem Nutzer und der Website – als unsichtbarer Mittler, der Traffic filtert, beschleunigt, schützt. Wenn du eine Website aufrufst, die Cloudflare nutzt, passierst du zuerst deren Netzwerk. Du merkst es nur dann, wenn etwas schiefläuft: Diese charakteristisch gestaltete Fehlerseite mit dem Cloudflare-Logo kennt mittlerweile fast jeder.

Das Unternehmen startete 2009 als CDN mit DDoS-Schutz. Heute umfasst die Plattform unter anderem:

• Cloudflare Workers – eine serverlose Runtime, die Code direkt am Edge ausführt, näher am Nutzer als jeder klassische Rechenzentrumsserver
• Cloudflare R2 – Objektspeicher ohne Egress-Gebühren, als direktes Gegenangebot zu AWS S3
• Cloudflare Zero Trust – Netzwerksicherheit ohne VPN, für Unternehmen jeder Größe
• Workers AI – KI-Inferenz direkt auf dem globalen Edge-Netzwerk
• 1.1.1.1 – einer der meistgenutzten öffentlichen DNS-Resolver weltweit

Das ist kein Portfolio aus Zufallsprodukten. Das ist eine Plattformstrategie mit einem klaren Ziel.

Was Cloudflare gerade baut – drei Züge auf einmal

Zug eins: Next.js neu schreiben

Im März 2026 veröffentlichte Cloudflare ein Projekt, das die Entwickler-Community sofort aufwühlte: Vinext – eine experimentelle Alternative zu Next.js, einem der meistgenutzten React-Frameworks weltweit. Gebaut in einer Woche. Mit KI-Unterstützung. Für rund 1.100 US-Dollar in Token-Kosten. ^[5]

Das klingt absurd. Ist es aber nicht – denn es zeigt, wie fundamental sich Softwareentwicklung gerade verändert. Und es zeigt, was Cloudflares eigentliche Motivation ist.

Next.js hat ein strukturelles Deployment-Problem: Es wurde für Vercel gebaut. Wer es auf Cloudflare, AWS Lambda oder Netlify betreiben will, muss das Build-Output erst durch Adapter wie OpenNext transformieren – ein mühsamer Umweg, den niemand wirklich liebt. Vinext setzt auf Vite statt Turbopack und deployt direkt auf Cloudflare Workers. Erste Benchmarks zeigen: Apps bauen bis zu viermal schneller, Client-Bundles werden bis zu 57 % kleiner. ^[5] Das Projekt ist Open Source – und Cloudflare lädt andere Hosting-Plattformen aktiv ein, mitzumachen.

Was das bedeutet: Vercel hat ein Produkt gebaut, das Millionen Entwickler nutzen und das das Unternehmen profitabel macht – weil Next.js am besten auf Vercel läuft. Cloudflare greift dieses Ökosystem direkt an, verpackt es als Open-Source-Beitrag und setzt darauf, dass Entwickler den besseren Benchmarks folgen.

Zug zwei: Ein CMS gegen WordPress

Fast parallel brachte Cloudflare EmDash in die Beta: ein serverloses CMS auf Basis von Astro 6.0, geschrieben in TypeScript, gehostet auf – Überraschung – Cloudflare Workers.

Den Vergleich mit WordPress zieht Cloudflare selbst und offen: 96 % aller bekannten Sicherheitsprobleme auf WordPress-Sites gehen auf Plugins zurück. ^[6] Der Grund liegt in der Architektur: Ein WordPress-Plugin ist ein PHP-Skript mit direktem Zugang zu Datenbank, Dateisystem und dem kompletten Request-Kontext. Es läuft in derselben Umgebung wie der Rest der Site – ein Sicherheitsproblem, das sich über Jahrzehnte aufgebaut hat.

EmDash bricht mit diesem Modell. Jedes Plugin deployt als Dynamic Worker – ein isolierter Prozess mit exakt definierten Rechten. Was ein Plugin darf, steht in einem Manifest: bestimmte Content-Sammlungen lesen, E-Mails senden, HTTP-Requests an einen definierten Host schicken. Nicht mehr.

Zusätzlich unterstützt EmDash nativ das x402-Protokoll – einen offenen Standard, der auf dem HTTP-Statuscode 402 („Payment Required") basiert. Greift ein KI-Crawler auf geschützten Content zu, antwortet der Server mit 402. Der Crawler weiß damit: Hier gibt es Zugang – gegen Bezahlung. Das verbindet das CMS direkt mit dem dritten Zug. ^[6]

Zug drei: Das Bollwerk für Publisher gegen KI-Crawler

Am 1. Juli 2025 erklärte Cloudflare den „Content Independence Day" – und wurde damit nach eigenen Angaben zum ersten großen Infrastrukturanbieter, der KI-Scraping standardmäßig blockiert. ^[7] Neue Domains erhalten automatisch Schutz. Wer KI-Crawlern Zugang erlauben will, muss das aktiv aktivieren – Opt-in statt Opt-out.

Gleichzeitig startete Cloudflare die Privatbeta von Pay Per Crawl: ein Marktplatz, auf dem Publisher eigene Preise für den Crawler-Zugang festlegen können. KI-Unternehmen entscheiden: zahlen oder draußen bleiben. ^[7]

Das löst ein Problem, das viele Verlage kennen. Vor Pay Per Crawl gab es zwei Optionen: alles blockieren und auf Lizenzeinnahmen verzichten, oder alles durchlassen und nichts dafür bekommen. Wie das Nieman Journalism Lab der Harvard University berichtete, fehlte ein praktikabler dritter Weg. ^[7]

Seit Januar 2026 ist das AI Crawl Control Dashboard für alle zahlenden Cloudflare-Kunden verfügbar. Publisher können darin pro Crawler entscheiden: blockieren, zulassen oder 402 senden – mit einer individuellen Nachricht, die Lizenzierungsbedingungen kommuniziert. Laut Cloudflare senden Kunden bereits täglich über eine Milliarde solcher 402-Codes. ^[8]

Das Ziel: Betriebssystem für das Internet

Einzeln betrachtet sind Vinext, EmDash und Pay Per Crawl drei interessante Produktankündigungen. Zusammen sehen sie aus wie ein Schachzug, den man aus der Tech-Geschichte kennt.

Amazon startete als Online-Buchhändler. Dann kam AWS – ursprünglich gebaut, um interne Infrastruktur effizienter zu nutzen. Heute läuft darauf ein wesentlicher Teil der globalen Digitalwirtschaft. Das Muster: Erst unverzichtbare Infrastruktur bereitstellen, dann Wertschöpfung darüber stapeln.

Cloudflare macht dasselbe. Nur sitzt Cloudflare nicht im Backend – sondern zwischen dem Nutzer und jeder Website. Der Stack, den das Unternehmen gerade baut:

• Framework: Vinext – wie Apps gebaut werden
• CMS: EmDash – wie Content verwaltet wird
• Runtime: Workers – wo Code läuft
• Sicherheit: WAF, Zero Trust, Bot Management – wer Zugang bekommt
• Payments: x402 / Pay Per Crawl – was Zugang kostet
• KI-Inferenz: Workers AI, Dynamic Workers – wie KI-Code ausgeführt wird

Wenn dieser Stack vollständig ist, läuft ein Großteil des Webs auf einer einzigen Plattform – und diese Plattform gehört einem US-amerikanischen Unternehmen mit Hauptsitz in San Francisco.

Das Problem mit dem Mittler

Zurück zum 18. November 2025. Die Ereignisse dieses Tages illustrieren das Strukturproblem besser als jede Analyse.

Laut Cloudflares eigenem Post-Mortem-Bericht hatte eine Konfigurationsdatei des Bot-Management-Systems eine unvorhergesehene Größe erreicht – und damit ein internes Limit in Cloudflares Proxy-Software überschritten. Der Proxy crashte. Weil Cloudflares Netzwerk auf Anycast basiert und Konfigurationsänderungen über das interne System „Quicksilver" innerhalb von Sekunden global ausgerollt werden, propagierte der Fehler sofort weltweit. ^[9]

Betroffen waren: X (Twitter), ChatGPT, Shopify, Spotify, Discord, Zoom, Canva, IKEA, Uber, LinkedIn – und auch Claude.ai. Kiosk-Systeme bei McDonald's fielen aus. Kitas mussten auf Papier-Checklisten zurückgreifen. Kernkraftwerke konnten keine Besucherpässe mehr ausstellen. Und DownDetector, die Anlaufstelle bei Ausfällen, war selbst down – weil es auf Cloudflare läuft. ^[10]

Das ist kein Kuriosum. Das ist ein Systemfehler mit Ansage.

Knapp drei Wochen später, am 5. Dezember 2025, folgte der nächste Ausfall. Diesmal: etwa 25 Minuten, 28 % aller über Cloudflares Netzwerk geleiteten HTTP-Anfragen fehlerhaft. Wieder keine externe Attacke – eine interne Konfigurationsänderung, die einen schlafenden Bug in der Proxy-Software aktivierte. ^[11]

Cloudflare reagierte im Dezember mit der Ausrufung von „Code Orange: Fail Small" – einer unternehmensweiten Priorität, die alle anderen Projekte verdrängt. ^[12] Das Ziel: Konfigurationsänderungen künftig nicht mehr instantan global auszurollen, sondern schrittweise mit automatischen Validierungsgates – ähnlich wie bereits bei Software-Releases. InfoQ, das Fachmedium für Softwareentwicklung, fasste das strukturelle Problem treffend zusammen: Beide Vorfälle folgten demselben Muster – eine globale Konfigurationsänderung ohne Phasen-Rollout, die in Sekunden eine fehlerhafte Einstellung an hunderte Rechenzentren weltweit verteilte. ^[13]

Was du konkret im Blick behalten solltest

Kurzfristig: Framework-Markt in Bewegung

Vinext ist experimentell, aber nicht harmlos. Wenn es sich als stabiler Standard für Cloudflare Workers etabliert, verliert Vercel seinen zentralen Marktvorteil. Wer heute Teams aufbaut, die auf Next.js setzen, sollte verstehen, dass das Framework-Ökosystem gerade ernsthaft in Bewegung geraten ist.

Mittelfristig: Ob Pay Per Crawl ein echter Markt wird

Die entscheidende Frage ist nicht technisch, sondern ökonomisch: Zahlen OpenAI, Anthropic, Google und die anderen wirklich? Oder bauen sie Crawler-Architekturen, die Cloudflares Infrastruktur gezielt umgehen? Der x402-Standard ist offen – das ist gut. Aber offene Standards gewinnen nur, wenn die mächtigen Marktteilnehmer mitspielen.

Langfristig: Stack-Lock-in mit Ansage

Wer EmDash als CMS, Vinext als Framework und Workers als Runtime kombiniert, betreibt seinen gesamten Tech-Stack auf einer Plattform. Das ist effizient. Aber ein Wechsel bedeutet dann nicht nur ein anderes Hosting – sondern die parallele Migration von CMS, Framework, Sicherheitslogik und Zahlungsinfrastruktur. Das ist der Moment, in dem „bequem" zu „gefangen" werden kann.

Strukturell: Die europäische Perspektive

Cloudflare ist ein US-amerikanisches Unternehmen. Für Organisationen in Europa – besonders in regulierten Branchen wie Gesundheit, Finanzen oder öffentliche Verwaltung – ist die Abhängigkeit von US-amerikanischer Kerninfrastruktur kein abstraktes Datenschutzproblem. Der CrowdStrike-Ausfall im Juli 2024, der Flughäfen, Krankenhäuser und Banken weltweit traf, hat gezeigt: Konzentration von Infrastruktur bei wenigen Anbietern ist ein politisches und operatives Risiko zugleich. ^[10] Cloudflare ist nicht CrowdStrike – aber das Muster ist dasselbe.

Fazit: Wer das Web baut, formt seine Regeln

Cloudflare löst echte Probleme. Performance, Sicherheit, Bot-Management, ein CMS-Modell, das WordPress-Plugins sicher macht – das sind keine Marketingversprechen. Die Lösungen funktionieren, oft besser und günstiger als die Konkurrenz.

Aber Infrastruktur ist nie neutral. Wer die Schicht kontrolliert, über die Daten fließen, entscheidet mit, was das Web ist – welche Inhalte schnell laden, wer Crawler blocken darf, wie KI-Unternehmen für Daten bezahlen sollen, welche Standards sich durchsetzen.

Die Ausfälle vom November und Dezember 2025 waren kein Versagen eines überheblichen Unternehmens. Sie waren das unvermeidliche Ergebnis einer Architekturentscheidung: Wenn ein Unternehmen 20 % aller Websites der Welt durch sein Netzwerk leitet, hat ein Konfigurationsfehler keine lokale Wirkung mehr. Er hat globale.

Das ist die eigentliche Geschichte hinter Cloudflare. Die Frage ist nicht, ob Cloudflare gut oder schlecht ist. Die Frage ist: Was bedeutet es, wenn das Internet zunehmend von einer Infrastruktur abhängt, die von einem einzigen Unternehmen betrieben wird?

Diese Frage sollte jeder beantworten können, der eine Website betreibt, Content publiziert – oder einfach das Web nutzt.