← Zurück zum Glossar
websicherheit

CrowdSec

Open-Source-Sicherheitslösung, die Angriffe erkennt und durch kollektive Intelligenz einer globalen Community blockiert — eine moderne Alternative zu fail2ban mit crowd-basierter Bedrohungsintelligenz.

Aktualisiert: 23. Februar 2026

Was ist CrowdSec?

CrowdSec ist eine quelloffene Sicherheitslösung, die auf zwei Ebenen arbeitet: Lokal erkennt sie Angriffsmuster in Log-Dateien (ähnlich wie fail2ban) und reagiert automatisch. Global teilt sie anonymisierte Angreifer-IP-Adressen mit einer weltweiten Community — und bezieht im Gegenzug deren aggregierte Bedrohungsintelligenz. Eine IP-Adresse, die heute einen Server in Japan angreift, wird morgen automatisch auf deinem Server in Deutschland geblockt, bevor sie überhaupt einen Angriff startet.

Dieses kollektive Modell ist der entscheidende Unterschied zu klassischen Sicherheitswerkzeugen: CrowdSec schützt nicht nur dich, es lernt aus den Angriffen auf alle teilnehmenden Systeme weltweit. Das Open-Source-Projekt wurde 2020 gegründet und wächst auf eine der größten dezentralen Bedrohungsdatenbanken im Web-Sicherheitsbereich.

Kurzprofil CrowdSec

Kurzprofil CrowdSec

  • Typ: Schutzmaßnahme (IDS/IPS — Intrusion Detection & Prevention System)
  • Lizenz: Open Source (MIT)
  • Architektur: Agent (Erkennung) + Bouncer (Durchsetzung) + LAPI (Local API)
  • Bedrohungen: Brute-Force, DDoS, Scanning, Exploits
  • Integration: Docker, Traefik, Nginx, Apache, WordPress, fail2ban-kompatibel
  • Website: crowdsec.net

Wie funktioniert CrowdSec?

CrowdSec besteht aus drei Kernkomponenten, die zusammen das Sicherheitssystem bilden:

1. Der Agent (Erkennung) Der CrowdSec-Agent liest kontinuierlich Log-Dateien und analysiert sie anhand von konfigurierbaren Scenarios (Erkennungsregeln). Ein Scenario beschreibt ein Angriffsmuster: z.B. "mehr als 10 fehlgeschlagene Login-Versuche innerhalb von 30 Sekunden von derselben IP". Trifft ein Scenario zu, erstellt der Agent eine Entscheidung (Decision).

Beispiel-Scenario aus der CrowdSec-Community:

# wordpress-bf.yaml
type: leaky
name: crowdsecurity/wordpress-bf
description: "Detect WordPress brute force"
filter: evt.Meta.log_type == 'http_access-log' && evt.Parsed.status == '200'
groupby: evt.Meta.source_ip
capacity: -10
leakspeed: "10s"
blacklist_duration: 4h
labels:
  service: http
  type: bruteforce
  remediation: true

2. Der Bouncer (Durchsetzung) Bouncers sind separate Komponenten, die die Entscheidungen des Agents durchsetzen. Ein Traefik-Bouncer prüft bei jeder HTTP-Anfrage, ob die Quell-IP in der Sperrliste steht und gibt einen 403-Fehler zurück. Ein firewall-Bouncer fügt gesperrte IPs direkt in iptables ein. Die Trennung von Erkennung und Durchsetzung macht das System modular und flexibel.

3. Die CrowdSec LAPI (Local API) Die Local API verbindet Agent und Bouncers. Mehrere Agents können eine gemeinsame LAPI nutzen — ideal für Multi-Server-Setups. Über die LAPI werden auch die anonymisierten Signale mit der globalen CrowdSec-Community ausgetauscht.

Globale Community-Intelligenz: Jede CrowdSec-Instanz, die ein Angriffssignal erkennt und als solches bestätigt, meldet die Angreifer-IP an den zentralen CrowdSec-Server. Dieser aggregiert die Meldungen und macht sie als CTI (Cyber Threat Intelligence) Blockliste verfügbar. Nutzer mit kostenlosen API-Schlüssel erhalten Zugriff auf diese Community-Blockliste.

CrowdSec in der WordPress-Praxis

Für WordPress-Server ist CrowdSec besonders wertvoll, weil es auf mehreren Ebenen gleichzeitig schützt:

Typische WordPress-Angriffe, die CrowdSec erkennt:

  • Brute-Force gegen /wp-login.php und xmlrpc.php
  • WordPress-Schwachstellen-Scanner (erkennbar an charakteristischen URL-Mustern)
  • Credential Stuffing
  • HTTP-Flooding (DDoS auf Applikationsebene)
  • Vulnerability Scanning

Typisches Setup mit Traefik (Docker):

# docker-compose.yml (vereinfacht)
services:
  crowdsec:
    image: crowdsecurity/crowdsec
    volumes:
      - /var/log:/var/log:ro
      - crowdsec-data:/var/lib/crowdsec/data
    environment:
      COLLECTIONS: "crowdsecurity/traefik crowdsecurity/wordpress"

  traefik:
    image: traefik
    # ...

  bouncer-traefik:
    image: fbonalair/traefik-crowdsec-bouncer
    environment:
      CROWDSEC_BOUNCER_API_KEY: ${CROWDSEC_BOUNCER_KEY}
      CROWDSEC_AGENT_HOST: crowdsec:8080

Wichtig: Bouncers kommunizieren mit der LAPI über einen API-Key. Jeder Bouncer benötigt einen eigenen, mit cscli bouncers add my-bouncer erstellten Key.

CrowdSec-CLI Cheatsheet

Häufige cscli-Befehle

# Status und Entscheidungen
cscli decisions list                    # aktuelle Sperren
cscli alerts list --since "1h"          # Alarme der letzten Stunde

# IP manuell sperren / freigeben
cscli decisions add --ip 1.2.3.4 --duration 24h
cscli decisions delete --ip 1.2.3.4

# Allowlist (z.B. eigene IP dauerhaft freigeben)
cscli decisions add --ip 10.0.0.1 --type allowlist --duration 87600h

# Metriken
cscli metrics

Was passiert, wenn CrowdSec fehlt?

Ohne CrowdSec oder eine vergleichbare Lösung ist ein WordPress-Server darauf angewiesen, dass Angriffe erst dann erkannt werden, wenn sie auf Anwendungsebene aufschlagen. Das kostet Ressourcen: Jeder Login-Versuch erzeugt eine PHP-Anfrage, eine Datenbankabfrage und eine Antwort. Tausende Brute-Force-Versuche pro Minute können einen Server spürbar verlangsamen oder bei schwacher Hardware komplett überlasten.

Ohne automatische Blockierung können auch niedrigschwellige Angriffe (langsames Scanning, verteilte Brute-Force) für Monate unbemerkt laufen. Kompromittierte Admin-Zugänge werden oft erst Wochen später entdeckt.

Häufige Fragen

Was ist der Unterschied zwischen CrowdSec und fail2ban? fail2ban ist lokal, CrowdSec ist kollektiv. fail2ban reagiert nur auf Angriffe, die es selbst beobachtet hat. CrowdSec schützt auch vor IPs, die andere Server angegriffen haben — noch bevor sie den eigenen Server erreichen. Zudem ist CrowdSec modularer aufgebaut und einfacher in Docker-Umgebungen zu integrieren.

Sind die an CrowdSec übermittelten Daten datenschutzrechtlich unbedenklich? CrowdSec überträgt nur Angreifer-IP-Adressen und den erkannten Angriffstyp — keine Inhaltsdaten, keine Nutzerdaten. IP-Adressen gelten in der EU als personenbezogene Daten. CrowdSec argumentiert, dass angreifende IPs kein schützenswertes Interesse an Anonymität haben. Die rechtliche Bewertung ist nuanciert; CrowdSec bietet auch Betrieb ohne Community-Sharing an (vollständig lokaler Modus).

Kann CrowdSec einen laufenden DDoS-Angriff stoppen? CrowdSec ist primär für das Erkennen und Blockieren von Scans, Brute-Force und Low-Rate-Angriffen ausgelegt. Bei volumetrischen DDoS-Angriffen mit Hunderten Gigabit Traffic ist ein Upstream-Schutz (CDN, DDoS-Mitigation-Dienst) notwendig — CrowdSec allein ist dann überfordert, weil der Traffic die Netzwerkkapazität bereits erschöpft, bevor der Bouncer reagieren kann.

Verwandte Begriffe

CIDR
start call_