Nutzt Ihre Website Drittanbieter-Dienste? Werden Sie in wenigen Minuten DSGVO-konform.

AWS WAF Captcha

Was macht AWS WAF Captcha?

AWS WAF Captcha ist die Captcha- und Challenge-Funktion von AWS WAF. Bei verdächtigen Anfragen wird ein sichtbarer oder unsichtbarer Test ausgeliefert, danach signiert AWS WAF ein Token, das der Browser für weitere Anfragen wiederverwendet.

AWS WAF Captcha ist eine vollständig verwaltete Challenge-Funktion von AWS Web Application Firewall. Trifft eine WAF-Regel zu, erhält der Besucher einen JavaScript-Test, der unsichtbar (Challenge) oder sichtbar (Captcha) sein kann. Nach Erfolg speichert AWS WAF ein signiertes Token in einem First-Party-Cookie, sodass der Nutzer für eine konfigurierbare Dauer nicht erneut geprüft wird. Die Funktion integriert sich mit CloudFront, Application Load Balancer, API Gateway und AppSync.

Was AWS WAF Captcha leistet

AWS WAF Captcha führt einen browserseitigen Test durch, der Headless-Browser, Automatisierung und Replay-Angriffe erkennt. Es erfasst Gerätesignale (User Agent, Bildschirm, Sprache, Zeitzone, Browser-APIs) und Verhaltenssignale (Mausbewegungen, Beschleunigungssensor auf Mobilgeräten). Das Ergebnis ist ein signierter JWT, der per aws-waf-token-Cookie an die AWS-WAF-Edge zurückfließt.

Cookies und erfasste Daten

Das Haupt-Cookie ist aws-waf-token, gesetzt auf Ihrer eigenen Domain als HttpOnly, Secure, SameSite=None. Standardlaufzeit: 5 Minuten für Challenge, bis zu 1 Tag für Captcha, frei konfigurierbar. AWS verarbeitet außerdem die IP, den User Agent, den URL-Pfad, die Challenge-Antwort und die vom JavaScript-Runtime erfassten Fingerprint-Signale.

DSGVO- und ePrivacy-Folgen

Das Captcha-Cookie kann nach Art. 5 Abs. 3 ePrivacy bzw. § 25 TTDSG als unbedingt erforderlich gelten, weil es direkt die Sicherheit des angefragten Dienstes gewährleistet. Verhaltenssignale sind personenbezogene Daten und stützen sich auf berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) mit dokumentierter Abwägung. AWS ist Auftragsverarbeiter nach Ihrem DPA. Erwähnen Sie AWS WAF Captcha in der Datenschutzerklärung.

Get GDPR compliant in 10 minutes

Free plan available · No credit card required

Try FlowConsent free

Hosting und Übermittlungen

AWS WAF läuft an Edge-Standorten nahe der Nutzer, auch in der EU. AWS als Unternehmen sitzt in den USA und betreibt die zentrale Control-Plane in US-Regionen. AWS nimmt am EU-US Data Privacy Framework teil und bietet Standardvertragsklauseln. Halten Sie den Transfermechanismus im Verarbeitungsverzeichnis fest.

Rechtskonforme Einbindung

Behandeln Sie AWS WAF Captcha als unbedingt erforderliches Sicherheitswerkzeug, das ohne vorherige Einwilligung läuft. Erklären Sie es transparent in der Datenschutzerklärung (Zweck, Signale, Speicherdauer, AWS als Auftragsverarbeiter, US-Transfer). Bieten Sie eine barrierefreie Alternative für Nutzer, die das Captcha nicht lösen. Halten Sie die Token-Laufzeit kurz und beschränken Sie das Cookie auf Ihre First-Party-Domain.

GDPR consent category

Essenziell

Websites using AWS WAF Captcha must obtain user consent under GDPR regulations.

Legal basisLegitimate interest (Art. 6(1)(f) GDPR) for fraud and bot prevention, with documented balancing test; the captcha token cookie can be considered strictly necessary for security

Risk levelmedium

Applicable regulationsGDPR, ePrivacy Directive, EU-US Data Privacy Framework, EDPB Guidelines 5/2020 on consent

DPIA considerations

Eine DSFA kann sinnvoll sein, wenn AWS WAF Captcha auf Consumer-Flows läuft, in denen es legitime Nutzer ausschließen könnte (Registrierung, Checkout, Passwort-Reset). Dokumentieren Sie die erfassten Signale (Maus, Beschleunigungssensor, Verhalten), die AWS-Speicherdauer, die EU-Residency-Wahl und das Beschwerdeverfahren für Nutzer, die das Captcha nicht lösen.

Sample consent text

Wir setzen AWS WAF Captcha ein, um diese Website vor automatisiertem Missbrauch zu schützen. Das Captcha setzt ein kleines Token-Cookie, das Sie für einige Stunden als Mensch erkennt. Es ist für die Sicherheit der Website unbedingt erforderlich und benötigt daher keine vorherige Einwilligung.

Technical details

Tracking methodJavaScript challenge served by AWS WAF on the same origin or a CloudFront distribution, with first party signed cookie and signal collection (mouse, sensors)

Server locationAWS edge locations chosen by the customer, including EU regions; backend correlation in AWS us-east-1

Data transferred outside the EUAWS WAF Captcha is part of AWS WAF. The challenge is served from AWS edge close to the visitor, but Amazon Web Services Inc (US) operates the service and some telemetry is processed in the United States. Transfers rely on the EU-US Data Privacy Framework (AWS is certified) and on Standard Contractual Clauses with a Transfer Impact Assessment.

Third-party domains contacted

*.awswaf.com*.tokens.awswaf.com*.cloudfront.net

Cookies placed

Name	Type	Duration	Purpose
aws-waf-token	http_cookie	Up to 1 day	First party HttpOnly Secure JWT issued after a successful Challenge or Captcha that proves the browser is not automated.
aws-waf-challenge	http_cookie	Session	Short lived state cookie used during the Challenge interstitial to track that the visitor is in the middle of solving a challenge.

AWS WAF Captcha ist ein essenzieller Dienst, aber Transparenz ist wichtig. Verwalten Sie Ihre gesamte Einwilligung mit FlowConsent.

Kostenlos starten Website scannen

Häufig gestellte Fragen

Welche Cookies setzt AWS WAF Captcha?

Das Haupt-Cookie ist aws-waf-token, ein First-Party-HttpOnly-Secure-Cookie, das den signierten JWT nach erfolgreichem Challenge oder Captcha speichert. Standardlaufzeit: 5 Minuten für Challenge, bis zu 1 Tag für Captcha, konfigurierbar.

Erfordert AWS WAF Captcha eine DSGVO-Einwilligung?

In der Regel nein. Das aws-waf-token-Cookie dient der Sicherheit und gilt nach Art. 5 Abs. 3 ePrivacy bzw. § 25 TTDSG als unbedingt erforderlich. Verhaltenssignale stützen sich auf das berechtigte Interesse an Betrugs- und Bot-Abwehr. Informieren Sie in der Datenschutzerklärung, statt eine Einwilligung einzuholen.

Was ist die Rechtsgrundlage für die Verarbeitung?

Berechtigtes Interesse nach Art. 6 Abs. 1 lit. f DSGVO an Betrugs- und Bot-Abwehr mit dokumentierter Interessenabwägung. Das Cookie selbst nutzt die Ausnahme für unbedingt erforderliche Cookies nach Art. 5 Abs. 3 ePrivacy.

Werden Daten außerhalb der EU übermittelt?

AWS WAF läuft an Edge-Standorten nahe dem Besucher, inklusive EU-Standorten. AWS Inc ist ein US-Unternehmen und betreibt die Control Plane in den USA. AWS ist im EU-US Data Privacy Framework zertifiziert und bietet SCCs.

Ist eine DSFA erforderlich?

Eine DSFA ist bei besonders kritischen Einsätzen (Finanzflüsse, Registrierung, Passwort-Reset) sinnvoll, in denen ein gescheitertes Captcha vulnerable Nutzer ausschließen könnte. Dokumentieren Sie Signale, Accessibility-Auswirkungen und Beschwerdeweg.

Wie binde ich AWS WAF Captcha rechtskonform ein?

Wenden Sie das Captcha nur auf Regeln an, die abusiver Traffic auslöst, nicht auf jede Anfrage. Halten Sie die Token-Laufzeit kurz, beschränken Sie es auf die First-Party-Domain, bieten Sie einen barrierefreien Alternativweg (manuelle Prüfung, E-Mail) für Nutzer ohne Captcha-Erfolg und beschreiben Sie das Tool in der Datenschutzerklärung.

Gibt es Alternativen zu AWS WAF Captcha?

Alternativen: Cloudflare Turnstile, hCaptcha, Friendly Captcha (EU), reCAPTCHA Enterprise, MTCaptcha, Arkose Labs und Datadome. Friendly Captcha und einige weitere minimieren Tracking und hosten Daten in der EU.

Wie aktualisiere ich meine Cookie-Richtlinie für AWS WAF Captcha?

Listen Sie das aws-waf-token-Cookie als unbedingt erforderliches Sicherheitscookie. Erklären Sie, dass AWS WAF Captcha gegen Bots und Betrug eingesetzt wird, nennen Sie AWS als Auftragsverarbeiter, die Transfergrundlage über das EU-US Data Privacy Framework und verlinken Sie die AWS-Datenschutzerklärung.

DSGVO-konform werden — FlowConsent kostenlos testen

mobileCta.note