Kurz vorweg: Cloudflare ist kein Hosting-Anbieter, sondern ein Edge-Netzwerk vor Ihrer Infrastruktur. Für viele Schweizer KMU ersetzt es teure Hardware-Firewalls, klassische VPN-Lösungen und CDN-Add-ons der Hoster – zu Bruchteilen der Kosten. Der Schlüssel ist die saubere Konfiguration, korrektes Origin-Locking, und ein dokumentierter Datenschutz-Hinweis. Wer das ignoriert, holt sich revDSG- und Verfügbarkeits-Probleme.
Was Cloudflare für KMU im Kern leistet
CDN & Performance
Statische Inhalte werden weltweit gecacht – auch in Zürich. Browser laden schneller (LCP -30 bis -60%), Origin-Server entlastet. Argo, Smart Routing und Tiered Cache als kostenpflichtige Booster.
Security & DDoS
Layer 3/4/7 DDoS-Schutz bereits im Free-Plan unlimited. WAF mit OWASP-Regeln, Bot Management, Rate Limiting, Turnstile als datenschutzfreundliche CAPTCHA-Alternative.
Zero Trust & Tunnel
Cloudflare Tunnel ersetzt klassische Portfreigaben, Cloudflare Access ersetzt VPN für interne Webapps. Identity-aware Proxy mit Entra-ID/Google-Workspace-Integration.
8 typische Use Cases für Schweizer KMU
- Website schneller machen: Cloudflare CDN vor WordPress, Shopify (CNAME-Setup), eigener Webshop oder Static Site (SvelteKit, Next.js). Sofort messbare Verbesserung Core Web Vitals.
- DDoS-Schutz für Webshops & Buchungsplattformen: Hoster-DDoS-Schutz hört oft bei 1–5 Gbit/s auf. Cloudflare absorbiert mehrere Tbit/s im Free-Plan.
- WAF gegen OWASP-Top-10: Schutz vor SQL-Injection, XSS, Brute-Force, kompromittierten WordPress-Plugins. Managed Rulesets aktualisiert Cloudflare laufend.
- Cloudflare Tunnel statt offener Ports: Sicherer Zugriff auf interne Tools (NAS, Bexio-Self-hosted, Helpdesk, RDP-Gateway) ohne öffentliche IP, ohne Portfreigabe. Inkl. mTLS und Access-Policies.
- Cloudflare Access statt VPN: Mitarbeitende loggen sich mit Entra ID / Google Workspace per SSO ins interne Wiki, Admin-Panel, Drucker-Dashboard. Kein OpenVPN/WireGuard mehr nötig.
- Bot-Management gegen Scraper und KI-Crawler: Mit Regeln entscheiden, welche KI-Crawler (GPTBot, ClaudeBot etc.) erlaubt sind. Wertet Server-Last und Content-Rechte.
- Email Routing: Domain-E-Mails (info@firma.ch) ohne eigenen Mailserver auf bestehende Postfächer routen – ergänzt M365/Workspace ohne Zusatzlizenz.
- Workers + R2 als Lambda-Alternative: Edge-Compute, S3-kompatibler Storage ohne Egress-Gebühren. Praxis: Webhooks, Auto-Resize-Images, Edge-API für Mobile Apps.
Cloudflare-Pläne im Vergleich
| Plan | Preis | Wichtigste Inklusiv-Features | Geeignet für |
|---|---|---|---|
| Free | USD 0 | CDN, Free-SSL, DDoS L3/4/7, Basis-WAF (Managed Rules limitiert), 3 Page Rules, Email Routing, Tunnel (limitiert) | Kleine KMU, einzelne Marketing-Sites |
| Pro | USD 25/Mt | Erweiterte WAF (OWASP, Managed Rules), Image Optimization (Polish), Mobile Optimization, 20 Page Rules, Bot Fight Mode | KMU-Standard, WordPress, Webshops |
| Business | USD 250/Mt | PCI-DSS, eigenes SSL-Cert, Custom WAF Rules, 50 Page Rules, 100% Uptime SLA, Erweiterter Bot Management | E-Commerce mit Compliance |
| Enterprise | Auf Anfrage | Advanced DDoS, Argo Tunnel HA, dediziertes Routing, 24/7 Support, BYOIP | Grosse Plattformen, kritische SLA |
| Cloudflare One (Zero Trust) | Free bis 50 User, dann ab USD 7/User/Mt | Access, Tunnel, Gateway, CASB, Email Security, DLP | Remote-Work, VPN-Ersatz, sichere SaaS |
| Workers Paid | USD 5/Mt + Usage | 10M Anfragen, 100k KV Reads, Cron Triggers, Durable Objects | Edge-Apps, API-Logik |
| R2 Storage | USD 0.015/GB-Mt, kein Egress | S3-kompatibel, kein Egress-Pricing | Backup, Asset Storage, Media-Serving |
Für 80% der Schweizer KMU reicht die Kombination Free + Cloudflare One Zero Trust Free (bis 50 User). Wer eine zentrale Marketing-Plattform oder einen Webshop betreibt, fährt mit Pro für USD 25/Monat am wirtschaftlichsten. Business lohnt erst bei strikten Compliance-Anforderungen.
Cloudflare in 4 Wochen sauber einführen
Woche 1 – DNS & SSL umziehen
Domain-DNS bei Cloudflare delegieren (Nameserver-Wechsel beim Registrar). Inventur aller Subdomains, A/AAAA/CNAME/MX/TXT/SPF/DKIM/DMARC sauber migrieren. SSL-Mode auf "Full (strict)", HSTS aktivieren. Mail-Records dürfen nicht geproxied werden.
Woche 2 – Security & WAF aktivieren
Managed WAF (OWASP Core, Cloudflare Managed Rules), Bot Fight Mode, Rate Limiting für Login-Endpoints, Turnstile auf Formularen statt Google reCAPTCHA. IPv6 aktivieren, HTTP/3 erzwingen. Origin-Server per IP-Allowlist sperren (nur Cloudflare-IPs).
Woche 3 – Tunnel & Zero Trust
Cloudflare Tunnel auf internen Servern installieren (cloudflared), Hostname über Cloudflare exposed – ohne Portfreigabe. Access-Policy: nur Entra-ID-User mit MFA + Schweizer IP. Browser-Isolation für sensitive Apps.
Woche 4 – Monitoring & Doku
Analytics-Dashboard, Firewall Events, Logpush nach SIEM (optional). revDSG-Datenschutzhinweis ergänzen: Cloudflare als Auftragsbearbeiter dokumentieren, SCC + DPF erwähnen. Incident-Response-Playbook: was tun, wenn Cloudflare ausfällt (Bypass via DNS-Toggle).
Cloudflare vs. Alternativen für KMU Schweiz
| Lösung | Stärke | Schwäche | DACH-Eignung |
|---|---|---|---|
| Cloudflare | Allrounder, Free-Tier sehr stark, Edge-Compute, Zero Trust | US-Headquarter (DPF erforderlich), gelegentlich Major-Outages | Sehr hoch |
| Fastly | Hochperformant, Edge-Compute, gute API | Kein gratis Plan, technisch anspruchsvoller | Mittel (Enterprise) |
| Akamai | Marktführer Enterprise, riesiges Netz | Hochpreisig, schwerfällig für KMU | Niedrig (KMU) |
| Bunny.net (SI) | EU-Standorte, sehr günstig (CDN ab USD 0.01/GB) | Kein integriertes WAF/Zero Trust | Hoch (rein CDN) |
| AWS CloudFront + WAF + Shield | Tiefe AWS-Integration | Komplex, teure DDoS-Shield-Advanced | Mittel (AWS-Kunden) |
| Schweizer Hoster CDN-Addons (Hostpoint, Infomaniak) | Schweizer Vertrag, einfacher Zusammenkauf | Kein vollwertiges DDoS, kein Zero Trust | Mittel (Klein-KMU) |
Cloudflare & revDSG: was Sie dokumentieren müssen
- Cloudflare ist Auftragsbearbeiter im Sinn revDSG / GDPR. Auftragsbearbeitungs-Vertrag (DPA) ist Bestandteil der Cloudflare-AGB – herunterladen, ablegen.
- Datenübermittlung an die USA: Cloudflare ist DPF-zertifiziert. Im Datenschutzhinweis ausweisen: "Wir nutzen Cloudflare (USA), das nach DPF zertifiziert ist und Standardvertragsklauseln einsetzt".
- Datenstandort wählbar: Mit Cloudflare "Regional Services" auf EU oder DACH einschränken (Business/Enterprise). Für Free/Pro: Daten werden global gerouted, Logs werden anonymisiert.
- Cookies & Tracking: Cloudflare setzt nur ein __cf_bm-Bot-Management-Cookie (keine Marketing-Tracker) – das ist als technisch notwendig einstufbar. Im Cookie-Banner trotzdem erwähnen.
- Verzeichnis der Bearbeitungstätigkeiten: Eintrag "Cloudflare Inc., USA / EU – CDN/WAF/DDoS, Zweck: Sicherheit + Performance, Datenkategorien: IP, User-Agent, Referer, Cookie __cf_bm, Aufbewahrung: gem. Cloudflare-Policy".
- IPv6-Logs in Server-Logs: Wenn die Web-Server-Logs personenbezogen sind (IP), gilt das auch via Cloudflare. Logpush-Daten nicht länger als nötig speichern.
- Berechtigte Interessen: Sicherheit + Performance sind als berechtigtes Interesse argumentierbar. Bei Marketing-Cookies (z. B. Page Shield mit Browser-Telemetrie) ggf. Einwilligung erforderlich.
Typische Stolpersteine
- Mail-Records geproxied: Beim Aktivieren des Orange-Cloud-Toggles auf MX/Mail-Subdomains gehen Mails verloren. Pflicht: alle Mail-DNS (MX, SPF, DKIM, DMARC, autodiscover, mailtrap) als Grey Cloud (DNS-only).
- SSL-Mode "Flexible" eingestellt: Lockt Mixed-Content-Probleme und unverschlüsselten Origin-Traffic. Pflicht: "Full (strict)" mit gültigem Origin-Cert (Letsencrypt o. Hoster-Cert).
- Origin-Server nicht gesperrt: Wer Cloudflare bypassed, trifft den Origin direkt – DDoS landet trotzdem auf Ihrem Server. Pflicht: Firewall am Origin nur Cloudflare-IPs zulassen.
- Free-Plan auf bezahltem Bot-Management vermutet: Free hat Basis-Bot-Schutz. Echtes Bot-Management (mit Skore und Action-Logik) gibts erst ab Business / Enterprise / Bot Mgmt Add-on.
- Page Rules / Rules Engine mit Cache-Konflikten: Bei dynamischen Seiten (Login, Warenkorb) Cache umgehen, sonst sehen Kund:innen fremde Profile. Pflicht: Cache-Rules + "Bypass cache on cookie" für Sessions.
- Cloudflare DNS-only-Subdomains vergessen für CDN-Beschleunigung: WP-Admin, FTP, SFTP, MX bleiben oft Grey Cloud. Wer das nicht dokumentiert, wundert sich später warum eine Subdomain nicht profitiert.
- Zero-Trust Access ohne Identity Provider: Funktioniert auch standalone, aber Pflege wird Albtraum. Pflicht: Entra ID, Google Workspace oder Okta als IdP einbinden.
- Outage-Risiko ignoriert: 2024/2025 hatte Cloudflare einige Major-Outages. Notfallplan: DNS-Toggle (Grey Cloud) als Bypass dokumentieren. Wichtig: TTL der DNS-Einträge nicht zu hoch (300–600 s).
Fazit: Cloudflare ist das Schweizer-Taschenmesser für KMU
Für Schweizer KMU ersetzt Cloudflare 2026 mehrere klassische Bausteine: Hardware-Firewall, klassisches VPN, externer DDoS-Schutz, separater CDN-Vertrag. Free + Cloudflare One Free reicht für viele Setups vollständig. Pro für USD 25/Monat ist die effizienteste Sicherheits-Investition, die ein KMU im Web-Stack tätigen kann.
Wichtig bleibt: Cloudflare ergänzt einen Schweizer Hoster, ersetzt ihn nicht. Mit Hostpoint, Cyon oder Infomaniak als Origin, Cloudflare davor und einem sauberen Datenschutz-Hinweis bekommen Sie das Beste aus beiden Welten – Schweizer Datenhoheit am Origin, globalen Edge-Schutz vor der Tür.
Cloudflare sauber einführen
Wir migrieren Ihre Domain auf Cloudflare, härten DNS/SSL, konfigurieren WAF, ersetzen klassisches VPN durch Cloudflare Access, dokumentieren revDSG-konform und übergeben den Betrieb sauber an Ihre IT.
Beratung anfragen