Über ByeBot — Privacy‑CAPTCHA aus Deutschland
ByeBot ist ein DSGVO-konformes CAPTCHA aus Deutschland. Gebaut als Alternative zu reCAPTCHA und hCaptcha — und zugleich als technisch stärkere Alternative zu bestehenden deutschen DSGVO-CAPTCHAs. Kein Datenabfluss in die USA, keine Cookies, kein Tracking.
Ich bin Leon Weinmann. Mitte 2024 untersuchte ich in meiner Masterarbeit nicht-interaktive CAPTCHA-Systeme, mit Fokus auf deutsche DSGVO-konforme Anbieter. Im selben Jahr stellte ich die Ergebnisse beim G DATA Study2Protect Award vor — die erste öffentliche Analyse deutscher CAPTCHA-Anbieter abseits von Big-Tech-Lösungen wie reCAPTCHA oder hCaptcha. Anfang 2026 habe ich die Erkenntnisse in einer erneuten Analyse deutscher DSGVO-CAPTCHAs bestätigt — fast zwei Jahre später hat sich an der Lage nichts geändert. Genau diese Lücke schließt ByeBot. Rechtlich sauber wie deutsche Anbieter, technisch auf dem Niveau der US-Konkurrenz.
Die Entwicklung begann Ende 2025, der öffentliche Release folgt Mitte 2026. Bots werden über Browser-Fingerprinting und Verhaltensanalyse erkannt. Spam und automatisierte Anfragen werden durch Proof-of-Work, Time-to-Pass, Rate Limiting und interaktive Challenges abgewehrt. Gehostet ausschließlich in Deutschland, ohne Nutzer-Tracking.
Wer steckt hinter ByeBot
Mein Name ist Leon Weinmann. Ich bin Software-Entwickler, Pentester und Red-Teamer — und Gründer von ByeBot.
2019 begann ich mein Informatik-Studium an der Hochschule Niederrhein. Programmieren brachte ich mir während des Studiums selbst bei, zu einer Zeit, in der KI als Hilfsmittel für Code noch nicht existierte. Meine Bachelorarbeit war ein in C geschriebener Wrapper für die OpenSSL-Bibliothek, der deren Nutzung in Anwendungen deutlich vereinfacht — über 17.000 Zeilen Code: CryptoWrap.
Ab dem sechsten Semester arbeitete ich parallel bei KPMG im Bereich Cybersecurity und führte dort Penetration Tests in unterschiedlichsten Bereichen durch, am häufigsten auf Webanwendungen. Ab 2022 studierte ich zusätzlich Cyber Security Management, ebenfalls an der Hochschule Niederrhein, und schloss 2024 mit dem Master ab. Seitdem arbeite ich bei der thyssenkrupp AG als Red Teamer und Penetration Tester und verantworte dort maßgeblich die Entwicklung der internen Offensive-Security-Tools, die in zahlreichen Engagements zum Einsatz kommen.
Seit über sechs Jahren entwickle ich Software, in den letzten Jahren überwiegend in Rust. Das komplette Backend von ByeBot ist in Rust implementiert. Für Red-Team-Operations habe ich ein vollwertiges Command-&-Control-Framework geschrieben, das im Umfang etablierten Frameworks nicht nachsteht. Es bleibt Closed Source — ein öffentlich bekanntes C2 wäre trivial über Detection-Signaturen zu erkennen.
In meinem Blog (shigshag.com) schreibe ich über Offensive-Security-Themen. Dazu gehört ein AMSI-Bypass, der öfter referenziert wird, sowie die Tools Zetsu, Tenten und Phantom-Proxy.
Mit CAPTCHAs beschäftige ich mich seit 2024. In meiner Masterarbeit fand ich eine kritische Sicherheitslücke bei einem etablierten deutschen Anbieter. Die Fortsetzung der Analyse 2026 erweitert die Untersuchung auf weitere Anbieter und dokumentiert für jeden eine Methode, die Bot-Erkennung zu umgehen.
Externe Profile
- GitHub: github.com/ShigShag
- LinkedIn: linkedin.com/in/leon-weinmann-b8b657227
- Blog (ShigShag): shigshag.com
Direkter Kontakt
Was unterscheidet ByeBot
Deutsche DSGVO-CAPTCHAs sind in der Regel rechtlich sauber, aber technisch angreifbar — genau das hat meine Analyse 2024 gezeigt und die Fortsetzung 2026 bestätigt. ByeBot ist gezielt an den Punkten aufgebaut, an denen die bestehenden Anbieter schwach sind.
Starke JavaScript-Obfuskierung
Die clientseitige Logik eines CAPTCHAs läuft im Browser und ist damit potenziell inspizierbar. Ohne Obfuskierung lässt sich die Erkennungslogik auslesen und gezielt umgehen. Alle von mir untersuchten deutschen DSGVO-Anbieter setzen entweder keine oder nur schwache Obfuskierung ein — Stand April 2026 ist ByeBot das einzige DSGVO-konforme CAPTCHA mit einem ausgereiften Obfuskierungs-Stack. Details und Belege in der öffentlichen Analyse.
Mehrschichtige Bot-Erkennung
Einzelne Signale sind leicht zu täuschen. In meiner Analyse konnte ich für jeden untersuchten deutschen Anbieter einen Bypass entwickeln — per Regex den nicht obfuskierten JavaScript-Code so umschreiben, dass jeder Client als legitim eingestuft wird. Die Regex-Muster selbst bleiben unveröffentlicht, der Ansatz funktioniert bei jedem Anbieter ohne JS-Obfuskierung. ByeBot kombiniert stattdessen Proof-of-Work, Time-to-Pass, Verhaltensanalyse und optionale interaktive Challenges. Viele Anbieter verlassen sich allein auf Proof-of-Work, was hardware-optimierten Angriffen nicht standhält: mit spezialisierter Rechenleistung werden PoW-Challenges schneller gelöst als vom Service eingeplant. Erst die Kopplung an Time-to-Pass entwertet reine Rechenleistung als Angriffsvektor, weil zusätzlich eine natürliche Nutzerzeit erwartet wird. Wer eine Schicht aushebelt, scheitert an der nächsten.
Fünf Widget-Modi
Betreiber wählen pro Website zwischen Click (Checkbox mit Hintergrund-Challenge), Auto (unsichtbar im Hintergrund), Interactive (sichtbare Challenge für höchste Erkennungsstärke), Invisible (ohne UI) und Demo (Sandbox zum Testen). Keine Einheitslösung, sondern die passende Balance zwischen Sicherheit und UX pro Anwendungsfall.
Die meisten Konfigurationsoptionen im DSGVO-Segment
PoW-Schwierigkeit, Time-to-Pass, Schwierigkeitsgrad interaktiver Challenges, IP-Whitelisting, IP-Blacklisting, Rate-Limiting und Geoblocking sind alle direkt im Dashboard einstellbar — manuell oder automatisch an das aktuelle Traffic-Verhalten angepasst. Bei Big-Tech-Anbietern stehen diese Optionen hinter Enterprise-Tarifen, bei anderen deutschen DSGVO-Alternativen fehlen sie komplett.
Dashboard mit Echtzeit-Analysen
Validierungen, Traffic-Muster, Bot-Aktivität und Erfolgsraten in einem einzigen Dashboard, in Echtzeit. Betreiber sehen direkt, was ByeBot auf ihrer Website blockiert — ohne Export, ohne externe Auswertung, ohne zusätzliche Tools.
Alle Features inklusive
Keine Feature-Gates, keine Enterprise-Aufschläge. Die Preisstufen unterscheiden sich nur in Volumen (Validierungen pro Monat, Anzahl Websites, Stats-Historie), nie im Funktionsumfang.
Jede dieser Schichten schließt eine Lücke, die ich in meiner Forschung zu deutschen CAPTCHA-Anbietern dokumentiert oder praktisch ausgenutzt habe. Das Ergebnis: DSGVO-Konformität wie bei deutschen Anbietern, Erkennungsqualität und Konfigurationstiefe wie bei den US-Platzhirschen.
Warum Deutschland, warum DSGVO-nativ
Big-Tech-CAPTCHAs wie Google reCAPTCHA und Cloudflare Turnstile werden in der Regel kostenlos eingebunden — bezahlt wird mit den Daten der eigenen Besucher. Das ist nicht nur ein Privacy-Problem. Es ist ein Compliance-Problem, das die Betreiber der einbindenden Websites trifft.
Das Geschäftsmodell der kostenlosen US-CAPTCHAs
Google reCAPTCHA und Cloudflare Turnstile werden von US-Unternehmen betrieben. Sobald ein Besucher eine Website mit eingebettetem CAPTCHA aufruft, stellt sein Browser automatisch Anfragen an Server dieser Anbieter — in der Regel Server in den USA. Bei jeder Anfrage werden mindestens IP-Adresse, User-Agent und Referrer übertragen. Das geschieht, bevor der Besucher irgendeine Auswahl treffen kann.
Was mit diesen Daten auf Anbieterseite passiert, entzieht sich der Kontrolle des Websitebetreibers. Es gilt als branchenweit anerkannt, dass Besucher-Interaktionen bei solchen Diensten in das Training anbietereigener KI-Modelle und in übergreifende Auswertungen einfließen. Google selbst bestätigt dies für reCAPTCHA — das Bot-Scoring basiert auf maschinellem Lernen, das aus den Interaktionen echter Besucher auf jeder einbindenden Website gespeist wird. Bei Cloudflare Turnstile ist die Datenverarbeitung weniger dokumentiert, was im Zweifel nicht weniger riskant ist, sondern lediglich weniger transparent. Für welche konkreten Zwecke die Daten letztlich genutzt werden, lässt sich von außen nicht überprüfen.
Das rechtliche Problem: Schrems II
Seit dem Schrems-II-Urteil des EuGH vom Juli 2020 ist die Übermittlung personenbezogener Daten in die USA nur noch unter zusätzlichen Schutzmaßnahmen zulässig. Standard Contractual Clauses allein reichen nach Einschätzung des Europäischen Datenschutzausschusses in vielen Fällen nicht aus, weil US-Überwachungsgesetze wie FISA 702 den dortigen Anbietern den Zugriff staatlicher Stellen ermöglichen. Deutsche Datenschutzbehörden haben den Einsatz von Google reCAPTCHA ohne Einwilligung der Besucher wiederholt als problematisch eingestuft. In der Praxis wird diese Einwilligung selten korrekt eingeholt — oder die Consent-Banner werden gar nicht erst gesetzt.
Was DSGVO-nativ konkret bedeutet
ByeBot läuft ausschließlich auf deutschen Servern der Hetzner Online GmbH, einem DSGVO-konformen EU-Anbieter. Die Verarbeitung findet vollständig innerhalb Deutschlands statt — keine Übertragung an Dritte, keine Übermittlung in die USA oder andere Drittländer. Nutzerbezogene Daten werden, sofern überhaupt gespeichert, nur temporär als Hash abgelegt.
Kontakt & Feedback
Geschäftliche Anfragen, Partnerschaften, Presse
Support und technische Fragen
Bug-Reports und Feature-Wünsche lassen sich am schnellsten über das Feedback-Widget im Kunden-Dashboard einreichen.
Häufige Fragen
Wer steht hinter ByeBot?
ByeBot wird von Leon Weinmann entwickelt, einem Software-Entwickler und Red-Teamer aus Deutschland. Werdegang und externe Profile finden sich weiter oben im Abschnitt Wer steckt hinter ByeBot.
Ist ByeBot Open Source?
Nein. ByeBot ist ein kommerzielles Produkt. Backend und Erkennungslogik sind bewusst Closed Source — eine öffentlich dokumentierte Bot-Erkennung wäre für Angreifer trivial zu umgehen. Dieser Ansatz ist im CAPTCHA-Segment Standard.
Wie finanziert sich ByeBot?
Ausschließlich über die Abonnements zahlender Kunden. Kein VC-Funding, keine Investoren, kein Datenverkauf, kein Werbegeschäft. Das Geschäftsmodell ist bewusst so angelegt, dass die Kundenrechnung die einzige Einnahmequelle bleibt.
Warum heißt die Firma Luvion Labs und nicht ByeBot GmbH?
Luvion Labs UG (i.G.) ist als Dachgesellschaft angelegt, um auch zukünftige Produkte unter einer einheitlichen juristischen Struktur bündeln zu können. ByeBot ist das erste und aktuell einzige Produkt unter diesem Dach.