Kontakt

OpenClaw: Durchbruch und Sicherheitsrisiko

  • 13.03.2026
  • Thomas Poett
OpenClaw: KI-Agent

Weitere Artikel

Zur Übersicht

OpenClaw: Agentische Automatisierung

Zwischen Durchbruch und Sicherheits-GAU.

Ein Kommentar zur neuen Ära der KI-Agenten.

Bei OpenClaw handelt es sich um ein selbst gehostetes, lokal ausgerichtetes Agent-Gateway, dass sich zwischen Ihren Messaging-Apps und Ihrem Betriebssystem einfügt und dann in Ihrem Namen Aktionen ausführt. Genau das macht es so spannend – und genau deshalb kann es zu einem katastrophalen Sicherheitsvorfall führen, wenn Sie es unbedacht einsetzen.

Die ernste Warnung: Wenn Bequemlichkeit zum Kompromiss wird.

Das Versprechen ist simpel: Senden Sie eine Nachricht an einen Assistenten in Apps wie WhatsApp, Slack, Telegram, Signal, iMessage, oder Teams, und er „erledigt tatsächlich Dinge“. In der Praxis bedeutet dies Zugriff auf Dateien, Browser, Terminals und Konten.

Sicherheitsteams müssen hier die Alarmglocken hören:

  • Ungefilterte Eingaben: Befehle kommen über Messenger-Oberflächen (DMs, Gruppenchats, Anhänge).
  • Weitreichende Rechte: Agenten benötigen oft lokale Berechtigungen für Shell-Befehle oder Installationen.
  • Supply-Chain-Risiko: Das Ökosystem lebt von Drittanbieter-Plugins („Skills“).

„Einen KI-Agenten mit Shell-Zugriff laufen zu lassen ist heikel; ein perfekt sicheres Setup gibt es nichtOpenClaw Sicherheitsdokumentation.

Keine Hypothese: Die Risiken sind real

  • Malware auf ClawHub: Forscher fanden bereits hunderte bösartige Skills, die als nützliche Add-ons getarnt waren, tatsächlich aber Anmeldedaten stehlen (Infostealer).
  • Exponierte Kontrollserver: Fehlkonfigurierte oder offen zugängliche Control-Server im Internet führen zum Verlust von Gesprächsverläufen und Zugangsdaten.
  • Skills/Add-ons können sich als harmlose Dokumentation tarnen (häufig im Markdown-Format): Ein Skill kann wie eine harmlose Readme-Datei aussehen, aber funktional als Ausführungsmechanismus dienen. Die Grenze zwischen Dokumentation und Laufzeit verschwimmt.

Die harte Wahrheit für Unternehmen.

Wenn OpenClaw auf einem Unternehmensendpunkt mit SSO-Sitzungen oder Passwortmanagern läuft, behandeln Sie es bitte wie:

  1. Eine unbekannte Binärdatei aus dem Netz.
  2. Ein Remote-Admin-Tool.
  3. Einen ungeprüften Plugin-Marktplatz.
  4. Ein unberechenbares (nicht-deterministisches) LLM.

OpenClaw: Einordnung und Funktionalität.

Trotz der erheblichen Sicherheitsrisiken dient OpenClaw als Referenzprojekt für die praktische Umsetzung von Agentic Automation. Es demonstriert die technische Verknüpfung von Sprachmodellen mit operativen Systemumgebungen.

Funktionsumfang und Anwendungsbereiche:

  • Schnittstellen-Automatisierung: Aufgaben wie Terminplanung, Report-Erstellung oder das Management von Pull Requests lassen sich direkt über Chat-Befehle anstoßen.
  • Kontextverwaltung: Durch persistenten Speicher kann der Agent Informationen über längere Zeiträume vorhalten und in laufende Prozesse integrieren.
  • Strukturierung von Arbeitsbereichen: Durch Multi-Agent-Routing lassen sich Identitäten und Berechtigungen auf spezifische Aufgabenbereiche eingrenzen.

 

Fazit zur Schatten-IT:

OpenClaw markiert eine Entwicklung, bei der sich „Shadow AI“ wandelt: War es bisher die rein informative Nutzung von ChatGPT, ermöglicht diese Technologie nun den Einsatz autonomer Tools, die mit aktiven Benutzerrechten in die Unternehmensinfrastruktur eingreifen.

Unsere Empfehlung: OpenClaw wie potenziell feindlichen Code behandeln.

Wenn Sie mit OpenClaw experimentieren möchten, sollten Sie eine Grundregel unbedingt beachten: Arbeiten Sie ausschließlich in einer vollständig isolierten Umgebung.

  • Netzwerk: Nur in einem Gast-VLAN oder Labor-VPC ohne Firmenkontakt.
  • Hardware: Nur auf dedizierten Rechnern oder Einweg-VMs.
  • Daten: Keine echten E-Mail-Postfächer, keine synchronisierten Cloud-Laufwerke.
  • Accounts: Keine Passwortmanager-Integration, keine Produktionstoken.

 

Kontroll-Stack für Unternehmen (Governance).

 

Falls Ihr Unternehmen KI-Agenten einsetzen möchte, benötigen Sie eine stabile technische Grundlage:

  1. Zero Trust: Gehen Sie davon aus, dass es ein Datenleck bei den Anmeldedaten gibt und Prompts manipuliert werden.
  2. Transparenz (EDR): Überwachen Sie aktiv, wo Agent-Gateways und Prozesse laufen.
  3. Data Loss Prevention (DLP): Nutzen Sie Tools wie Microsoft Purview, um zu verhindern, dass Agenten sensible Daten sehen oder exfiltrieren.
  4. SASE & Segmentierung: Nutzen Sie Cato SASE oder ähnliche für ausgehenden Datenverkehr.
  5. Secrets Management: Alle API-Keys gehören in einen Vault (z.B. Azure Key Vault) mit menschlicher Genehmigung.
  6. Menschlicher „Kill-Switch“ & HITL Genehmigungen: Eine Notfallfunktion, die das Tool sofort deaktiviert. Dabei werden Token widerrufen, der Netzwerkzugriff blockiert und der Gateway-Dienst gestoppt, um jegliche weitere Aktivität zu unterbinden. HITL (Human-in-the-Loop) als verpflichtendes Freigabeverfahren durch Menschen für alle Aktionen mit externen Auswirkungen.

Fazit.

Verpassen Sie nicht den Anschluss, aber bewahren Sie einen kühlen Kopf. KI-Agenten werden die Art, wie wir arbeiten, revolutionieren. Bauen Sie die Governance jetzt auf, bevor der erste „Schattenagent“ zum meldepflichtigen Vorfall wird.

Quellen & weiterführende Informationen: The Verge, AP News, Business Insider, welt.de, GitHub, Information Age.

Sprechen Sie uns an.
Wir freuen uns auf Ihre Nachricht.

Thomas Pött Portrait
Thomas Pött
Head of Cloud Services
+49 89 2000669 20
vertrieb@if-tech.de

*“ zeigt erforderliche Felder an

Einwilligung*