Zum Inhalt springen

Über ByeBot — Privacy‑CAPTCHA aus Deutschland

ByeBot ist ein DSGVO-konformes CAPTCHA aus Deutschland. Gebaut als Alternative zu reCAPTCHA und hCaptcha, mit einem klaren Fokus auf technische Robustheit. Kein Datenabfluss in die USA, keine Cookies, kein Tracking.

Ich bin Leon Weinmann. Mitte 2024 untersuchte ich in meiner Masterarbeit nicht-interaktive CAPTCHA-Systeme, mit Fokus auf deutsche DSGVO-konforme Anbieter. Im selben Jahr stellte ich die Ergebnisse beim G DATA Study2Protect Award vor — die erste öffentliche Analyse deutscher CAPTCHA-Anbieter abseits von Big-Tech-Lösungen wie reCAPTCHA oder hCaptcha. Anfang 2026 habe ich die Erkenntnisse in einer erneuten Analyse deutscher DSGVO-CAPTCHAs bestätigt — fast zwei Jahre später hat sich an der Lage nichts geändert. Genau diese Lücke schließt ByeBot. Rechtlich sauber wie deutsche Anbieter, technisch auf dem Niveau der US-Konkurrenz.

Die Entwicklung begann Ende 2025, der öffentliche Release folgt Mitte 2026. Bots werden über Browser-Fingerprinting und Verhaltensanalyse erkannt. Spam und automatisierte Anfragen werden durch Proof-of-Work, Time-to-Pass, Rate Limiting und interaktive Challenges abgewehrt. Gehostet ausschließlich in Deutschland, ohne Nutzer-Tracking.

Wer steckt hinter ByeBot

Mein Name ist Leon Weinmann. Ich bin Software-Entwickler, Pentester und Red-Teamer — und Gründer von ByeBot.

2019 begann ich mein Informatik-Studium an der Hochschule Niederrhein. Programmieren brachte ich mir während des Studiums selbst bei, zu einer Zeit, in der KI als Hilfsmittel für Code noch nicht existierte. Meine Bachelorarbeit war ein in C geschriebener Wrapper für die OpenSSL-Bibliothek, der deren Nutzung in Anwendungen deutlich vereinfacht — über 17.000 Zeilen Code: CryptoWrap.

Ab dem sechsten Semester arbeitete ich parallel bei KPMG im Bereich Cybersecurity und führte dort Penetration Tests in unterschiedlichsten Bereichen durch, am häufigsten auf Webanwendungen. Ab 2022 studierte ich zusätzlich Cyber Security Management, ebenfalls an der Hochschule Niederrhein, und schloss 2024 mit dem Master ab. Seitdem arbeite ich bei der thyssenkrupp AG als Red Teamer und Penetration Tester und verantworte dort maßgeblich die Entwicklung der internen Offensive-Security-Tools, die in zahlreichen Engagements zum Einsatz kommen.

Seit über sechs Jahren entwickle ich Software, in den letzten Jahren überwiegend in Rust. Das komplette Backend von ByeBot ist in Rust implementiert. Für Red-Team-Operations habe ich ein vollwertiges Command-&-Control-Framework geschrieben, das im Umfang etablierten Frameworks nicht nachsteht. Es bleibt Closed Source — ein öffentlich bekanntes C2 wäre trivial über Detection-Signaturen zu erkennen.

In meinem Blog (shigshag.com) schreibe ich über Offensive-Security-Themen. Dazu gehört ein AMSI-Bypass, der öfter referenziert wird, sowie die Tools Zetsu, Tenten und Phantom-Proxy.

Mit CAPTCHAs beschäftige ich mich seit 2024. Meine Masterarbeit und eine Fortsetzung der Analyse 2026 untersuchten die Sicherheit nicht-interaktiver CAPTCHA-Systeme, darunter deutsche DSGVO-konforme Anbieter, und dokumentierten Schwächen in der clientseitigen Bot-Erkennung.

Externe Profile

Direkter Kontakt

info@byebot.de · info@luvionlabs.de

Was unterscheidet ByeBot

ByeBot ist rund um die Bereiche aufgebaut, die für die praktische Robustheit eines CAPTCHAs am wichtigsten sind — clientseitige Härtung, mehrschichtige Erkennung, Konfigurierbarkeit und DSGVO-konformes Hosting in Deutschland.

Starke JavaScript-Obfuskierung

Die clientseitige Logik eines CAPTCHAs läuft im Browser und ist damit potenziell inspizierbar. Ohne Obfuskierung lässt sich die Erkennungslogik auslesen und gezielt umgehen. ByeBot legt daher einen bewussten Schwerpunkt auf einen ausgereiften clientseitigen Obfuskierungs-Stack.

Mehrschichtige Bot-Erkennung

Einzelne Signale sind leicht zu täuschen — besonders dann, wenn der clientseitige Code eines CAPTCHAs nicht obfuskiert ist und umgeschrieben werden kann. ByeBot kombiniert daher Proof-of-Work, Time-to-Pass, Verhaltensanalyse und optionale interaktive Challenges. Proof-of-Work allein hält hardware-optimierten Angriffen nur bedingt stand: mit spezialisierter Rechenleistung lassen sich PoW-Challenges schneller lösen, als ein naiver Aufbau einplant. Erst die Kopplung an Time-to-Pass entwertet reine Rechenleistung als Angriffsvektor, weil zusätzlich eine natürliche Nutzerzeit erwartet wird. Wer eine Schicht aushebelt, scheitert an der nächsten.

Fünf Widget-Modi

Betreiber wählen pro Website zwischen Click (Checkbox mit Hintergrund-Challenge), Auto (unsichtbar im Hintergrund), Interactive (sichtbare Challenge für höchste Erkennungsstärke), Invisible (ohne UI) und Demo (Sandbox zum Testen). Keine Einheitslösung, sondern die passende Balance zwischen Sicherheit und UX pro Anwendungsfall.

Umfangreiche Konfigurationsoptionen

PoW-Schwierigkeit, Time-to-Pass, Schwierigkeitsgrad interaktiver Challenges, IP-Whitelisting, IP-Blacklisting, Rate-Limiting und Geoblocking sind alle direkt im Dashboard einstellbar — manuell oder automatisch an das aktuelle Traffic-Verhalten angepasst. Jede dieser Einstellungen ist in jeder Preisstufe verfügbar, ohne Feature-Gating.

Dashboard mit Echtzeit-Analysen

Validierungen, Traffic-Muster, Bot-Aktivität und Erfolgsraten in einem einzigen Dashboard, in Echtzeit. Betreiber sehen direkt, was ByeBot auf ihrer Website blockiert — ohne Export, ohne externe Auswertung, ohne zusätzliche Tools.

Alle Features inklusive

Keine Feature-Gates, keine Enterprise-Aufschläge. Die Preisstufen unterscheiden sich nur in Volumen (Validierungen pro Monat, Anzahl Websites, Stats-Historie), nie im Funktionsumfang.

Zusammen spiegeln diese Schichten wider, was ich aus meiner Forschung zur CAPTCHA-Sicherheit mitgenommen habe: DSGVO-konforme, in Deutschland gehostete Verarbeitung mit der technischen Robustheit zu verbinden, die man von einem modernen Bot-Schutz erwartet.

Warum Deutschland, warum DSGVO-nativ

Big-Tech-CAPTCHAs wie Google reCAPTCHA und Cloudflare Turnstile werden in der Regel kostenlos eingebunden — bezahlt wird mit den Daten der eigenen Besucher. Das ist nicht nur ein Privacy-Problem. Es ist ein Compliance-Problem, das die Betreiber der einbindenden Websites trifft.

Das Geschäftsmodell der kostenlosen US-CAPTCHAs

Google reCAPTCHA und Cloudflare Turnstile werden von US-Unternehmen betrieben. Sobald ein Besucher eine Website mit eingebettetem CAPTCHA aufruft, stellt sein Browser automatisch Anfragen an Server dieser Anbieter — in der Regel Server in den USA. Bei jeder Anfrage werden mindestens IP-Adresse, User-Agent und Referrer übertragen. Das geschieht, bevor der Besucher irgendeine Auswahl treffen kann.

Was mit diesen Daten auf Anbieterseite passiert, entzieht sich der Kontrolle des Websitebetreibers. Es gilt als branchenweit anerkannt, dass Besucher-Interaktionen bei solchen Diensten in das Training anbietereigener KI-Modelle und in übergreifende Auswertungen einfließen. Google selbst bestätigt dies für reCAPTCHA — das Bot-Scoring basiert auf maschinellem Lernen, das aus den Interaktionen echter Besucher auf jeder einbindenden Website gespeist wird. Bei Cloudflare Turnstile ist die Datenverarbeitung weniger dokumentiert, was im Zweifel nicht weniger riskant ist, sondern lediglich weniger transparent. Für welche konkreten Zwecke die Daten letztlich genutzt werden, lässt sich von außen nicht überprüfen.

Das rechtliche Problem: Schrems II

Seit dem Schrems-II-Urteil des EuGH vom Juli 2020 ist die Übermittlung personenbezogener Daten in die USA nur noch unter zusätzlichen Schutzmaßnahmen zulässig. Standard Contractual Clauses allein reichen nach Einschätzung des Europäischen Datenschutzausschusses in vielen Fällen nicht aus, weil US-Überwachungsgesetze wie FISA 702 den dortigen Anbietern den Zugriff staatlicher Stellen ermöglichen. Deutsche Datenschutzbehörden haben den Einsatz von Google reCAPTCHA ohne Einwilligung der Besucher wiederholt als problematisch eingestuft. In der Praxis wird diese Einwilligung selten korrekt eingeholt — oder die Consent-Banner werden gar nicht erst gesetzt.

Was DSGVO-nativ konkret bedeutet

ByeBot läuft ausschließlich auf deutschen Servern der Hetzner Online GmbH, einem DSGVO-konformen EU-Anbieter. Die Verarbeitung findet vollständig innerhalb Deutschlands statt — keine Übertragung an Dritte, keine Übermittlung in die USA oder andere Drittländer. Nutzerbezogene Daten werden, sofern überhaupt gespeichert, nur temporär als Hash abgelegt.

Kontakt & Feedback

Geschäftliche Anfragen, Partnerschaften, Presse

Support und technische Fragen

Bug-Reports und Feature-Wünsche lassen sich am schnellsten über das Feedback-Widget im Kunden-Dashboard einreichen.

Häufige Fragen

Wer steht hinter ByeBot?

ByeBot wird von Leon Weinmann entwickelt, einem Software-Entwickler und Red-Teamer aus Deutschland. Werdegang und externe Profile finden sich weiter oben im Abschnitt Wer steckt hinter ByeBot.

Ist ByeBot Open Source?

Nein. ByeBot ist ein kommerzielles Produkt. Backend und Erkennungslogik sind bewusst Closed Source — eine öffentlich dokumentierte Bot-Erkennung wäre für Angreifer trivial zu umgehen. Dieser Ansatz ist im CAPTCHA-Segment Standard.

Wie finanziert sich ByeBot?

Ausschließlich über die Abonnements zahlender Kunden. Kein VC-Funding, keine Investoren, kein Datenverkauf, kein Werbegeschäft. Das Geschäftsmodell ist bewusst so angelegt, dass die Kundenrechnung die einzige Einnahmequelle bleibt.

Warum heißt die Firma Luvion Labs und nicht ByeBot GmbH?

Luvion Labs UG (i.G.) ist als Dachgesellschaft angelegt, um auch zukünftige Produkte unter einer einheitlichen juristischen Struktur bündeln zu können. ByeBot ist das erste und aktuell einzige Produkt unter diesem Dach.