Warum eine Interstitial-Challenge-Seite unvermeidlich ist

TLS-Fingerprinting erkennt Bots anhand der ersten Bytes einer Verbindung. Jahrelang hat das funktioniert. 2023 hat Chrome die vorherrschende Fingerprinting-Methode gebrochen, und eine Reihe von Spoofing-Tools füllte die Lücke. Passive Erkennung stoppt moderne Scraper nicht mehr. Die Alternative: den Client zwingen, Code auszuführen, bevor Inhalte ausgeliefert werden.

Dieser Artikel baut auf unserem Primer zum TLS-Fingerprinting auf: [TLS-Fingerprinting erklärt](/de/learn/tls-fingerprinting-explained).

Das Fingerprinting-Wettrennen ist vorbei

JA3 funktionierte, indem es Cipher-Suites und TLS-Erweiterungen hashte. Dann begann Chrome, die Reihenfolge seiner TLS-Erweiterungen zu randomisieren. Ein Chrome-Client mit 16 Erweiterungen in zufälliger Reihenfolge erzeugt 16 Fakultät verschiedene JA3-Hashes — rund 20,9 Billionen. Stamus Networks stellte fest: "JA3 has been rendered useless for identifying clients and user agents" (Stamus Networks, 2024).

JA4 löste das Sortierungsproblem. Aber Tools wie curl-impersonate, uTLS und Noble TLS reproduzieren echte Browser-Handshakes aus Skripten. Der Fingerprint ist nicht mehr etwas, das der Client übermittelt. Es ist etwas, das er wählt.

Wie Spoofing heute aussieht

DataDome fand 2024: "It has become easier to forge all kinds of signals, including low-level signals that used to be difficult to forge consistently." Nur 15,82 % der Bots, die Chrome imitierten, wurden erkannt. 83 % der einfachen curl-basierten Bots blieben unentdeckt (DataDome, 2024). CAPTCHA-Lösungsdienste kosten jetzt 0,80 $ pro 1.000 Lösungen — runter von 3 $ im Jahr 2018 (DataDome, 2024).

Passive Erkennung reicht nicht

95 % der fortgeschrittenen Bot-Angriffe bleiben unerkannt (DataDome, 2024). Fast zwei von drei Unternehmen sind selbst gegen einfache Bots völlig ungeschützt. Ein System, das nur auf die vom Client gesendeten Signale vertraut, vertraut dem Angreifer.

Was eine Challenge-Seite tut

Eine Interstitial-Challenge kehrt den Ansatz um. Statt zu fragen *was bist du?* fragt sie *was kannst du?*

Cloudflares Turnstile führt im Hintergrund nicht-interaktive Tests aus: Proof-of-Work, Proof-of-Space, Web-API-Prüfungen und Browser-Quirk-Erkennung. Die durchschnittliche Challenge-Zeit sank von 32 Sekunden auf rund eine Sekunde (Cloudflare, 2024). Das Anubis-Projekt, genutzt von Arch Wiki, GNOME, FFmpeg und UNESCO, setzt auf SHA-256-Challenges, die Browser in Millisekunden lösen, aber für Botnets kumulativ teuer werden.

Die robots.txt-Illusion

Nur 37 % der Top-10.000-Domains haben überhaupt eine robots.txt-Datei (Cloudflare, 2025). 30 % der KI-Bot-Scrapes in Q4 2025 haben robots.txt-Berechtigungen ignoriert (Tollbit, 2025). 42 % der ChatGPT-User-Scrapes griffen auf Inhalte zu, die sie explizit blockiert hatten (Tollbit, 2025). robots.txt ist ein Hinweisschild. Eine Challenge-Seite ist ein Schloss.

Was das für Content-Schutz bedeutet

TLS-Fingerprinting ist fälschbar, robots.txt wird ignoriert, und passive Erkennung verfehlt 95 % der fortgeschrittenen Bots. Das einzige Signal, das ein Bot nicht fälschen kann, ist eines, das er auf Anfrage erzeugt — in einer Umgebung, die Sie kontrollieren. Centinel kombiniert Challenge-basierte Verifizierung mit 1.600+ Crawler-Fingerprints und Verhaltenserkennung auf mehreren Ebenen.