Cisco fand Malware in den beliebtesten Skills. CrowdStrike veröffentlichte ein Removal-Tool. Gartner sagt: „Keine Enterprise-Software." — Die Bedrohung ist real.
Wir haben alles genommen wovor CrowdStrike, Gartner und Cisco warnen — und es gefixt.
OpenClaw ist mächtig — Shell-Zugriff, Messaging, Web-Browsing, Dateisystem. Ohne Härtung ist das nicht nur ein Risiko. Es ist ein offenes Tor.
Cisco analysierte 31.000 Agentic Skills. Jeder vierte enthielt Sicherheitslücken. Der beliebteste Skill war funktionale Malware — mit aktiver Datenexfiltration via curl, Prompt Injection zum Umgehen der Safety-Guidelines und eingebetteter Command Injection.
Einer der weltweit führenden Endpoint-Security-Anbieter stuft OpenClaw als Bedrohung ein. Ihre Empfehlung an Unternehmen: blockieren und entfernen. Das sollte jedem IT-Entscheider zu denken geben.
„Es gibt kein Qualitätsversprechen, keinen Vendor-Support, kein SLA." OpenClaw wurde für Power-User gebaut — nicht für Unternehmen. Ohne professionelles Management ist es Shadow-IT auf Steroiden.
Ein OpenClaw-Agent hat gleichzeitig Zugriff auf Shell-Befehle, Web-Browsing und Messaging.
Ein erfolgreicher Prompt-Injection-Angriff kann Daten per curl,
WhatsApp-Nachricht oder Browser-Navigation exfiltrieren.
Keine Marketing-Floskeln. So funktioniert unsere Sicherheitsarchitektur tatsächlich.
Jeder Kunde läuft in einem eigenen Docker Compose Stack. Kein geteilter Prozess, kein geteiltes Dateisystem, keine geteilte Runtime. Ein Kunde kann den anderen weder sehen noch beeinflussen.
network: "none" — kein Netzwerk im SandboxcapDrop: ["ALL"] — alle Linux-Capabilities entferntreadOnlyRoot: true — immutables Container-FSpidsLimit: 256 — Forkbomb-Schutzmemory: "1g" — OOM-Isolationuser: "1000:1000" — kein Root
Alle Kundendaten sind doppelt geschützt: LUKS Full-Disk-Encryption auf allen Hetzner-Volumes schützt vor physischem Zugriff. TLS 1.3 sichert jede Verbindung in transit — zum LLM-Provider, zu Messaging-APIs, zu Ihnen.
LUKS — Full-Disk-Encryption at restTLS 1.3 — verschlüsselt in transitPer-Kunde Keys — Backup-Verschlüsselung isoliertSecrets nie in Prompts — nur via env/config
Die größte Schwachstelle bei Self-Hosted OpenClaw: ein Agent kann beliebige Server kontaktieren. Bei ManagedClaw kann der Agent nur vorab freigegebene Ziele erreichen. Alles andere wird auf Netzwerk-Ebene blockiert.
nftables — host-level Firewall pro ContainerDNS-Filtering — RPZ-basierte Domain-BlockierungAllowlist-only — nur WhatsApp, Telegram, LLM-APIdefault: DROP — alles andere geblockt
Kein Skill läuft ohne Prüfung. Jeder Skill durchläuft unsere 5-stufige Vetting-Pipeline: Source-Review, automatischer Cisco Skill Scanner (Static + Behavioral + LLM-Analyse), manuelles Code-Review, Sandbox-Test, und erst dann: Allowlist.
cisco-ai-skill-scanner — AST + Behavioral + LLMCommit-Pinning — exakter Git-Hash, kein auto-updateWeekly Re-Scan — wöchentliche WiederholungsprüfungZero Community Skills — ohne Review kein Deploy
OpenClaw hat einen „Elevated Mode" der dem Agent Host-Level-Zugriff gibt. Bei ManagedClaw ist dieser Modus permanent deaktiviert — für jeden Kunden, jeden Agent, ohne Ausnahme. Kein Agent kann aus seiner Sandbox ausbrechen.
elevated.enabled: false — immer, überallcommands.bash: false — kein Host-Shell-Zugriffcommands.config: false — kein Config-Zugriffgateway: DENY — Agent kann Gateway nicht steuern
Alle Agent-Aktionen, alle Admin-Zugriffe, alle Outbound-Verbindungen werden protokolliert — und an einen externen, append-only Log-Service gestreamt. Selbst wir können die Logs nicht nachträglich ändern oder löschen.
Promtail → Loki — zentrale Log-AggregationAppend-only — manipulationssicherauditd — SSH + sudo vollständig protokolliertRedaction — API-Keys automatisch geschwärzt
Prompt Injection ist ein ungelöstes Problem der AI-Sicherheitsforschung. Kein Anbieter kann behaupten, es vollständig gelöst zu haben — wir auch nicht. Aber wir folgen dem OpenClaw-Prinzip: „Access Control before Intelligence". Wir gehen davon aus, dass das Model manipuliert werden kann — und designen so, dass selbst eine erfolgreiche Manipulation minimalen Schaden anrichtet.
Wir sind ein deutsches Unternehmen, auf deutschen Servern, unter deutschem Recht. DSGVO-Compliance ist für uns kein Checkbox — es ist Pflicht.
Hosting ausschließlich auf Hetzner-Servern in Deutschland (Falkenstein/Nürnberg). Keine AWS, kein Azure, kein Google Cloud. Kein US-Cloud-Vendor hat Zugriff auf die Infrastruktur.
Auftragsverarbeitungsvertrag nach Art. 28 DSGVO — mit jedem einzelnen Kunden. Inklusive Sub-Prozessor-Liste, TOM-Verweis und klaren Löschregelungen.
Technisch-Organisatorische Maßnahmen nach Art. 32 DSGVO — öffentlich einsehbar, nicht hinter einer Paywall. Weil Transparenz kein Premium-Feature sein sollte.
Vollständige Datenlöschung auf Anfrage — inklusive Backups. Dokumentierter Prozess mit Bestätigung. Wir löschen nicht nur die Dateien — wir beweisen es.
Offene Liste aller Sub-Auftragsverarbeiter: Hetzner (Hosting), Anthropic (LLM-Inference, mit DPA + SCCs), Log-Service (EU). Änderungen werden vorab kommuniziert.
Deutsche UG (haftungsbeschränkt), deutsches Recht, deutsche Gerichtsbarkeit. Kein „we're incorporated in Delaware but say we're GDPR compliant."
Unser Weg zu unabhängig geprüfter Sicherheit
„Wir könnten Ihre Daten lesen.
Deshalb beweisen wir, dass wir es nicht tun."
Alle Zugriffe werden an einen externen, append-only Log-Service gestreamt. Selbst mit Root-Zugriff auf unsere Server können wir die Logs nicht manipulieren. Auf Anfrage erhalten Sie Einsicht in die Audit-Logs Ihrer Instanz.
Jeder SSH-Login, jedes sudo-Kommando wird via auditd erfasst und extern gespeichert. Wir greifen nicht routinemäßig auf Kundensysteme zu. Wenn doch: es ist dokumentiert, nachvollziehbar, und überprüfbar.
Unsere Management-User haben standardmäßig keinen Lesezugriff auf Kundendaten. Zugriff erfordert explizites sudo — das wird geloggt, extern gespeichert, und ist auditierbar. Kein „mal kurz reinschauen".
Unsere Technisch-Organisatorischen Maßnahmen sind kein Geheimnis. Sie können das Dokument jederzeit herunterladen und mit Ihrem DSB prüfen.
📥 TOM herunterladen (PDF) — bald verfügbarUnser Auftragsverarbeitungsvertrag ist kein 80-seitiges Juristendeutsch. Klar, fair, Art. 28-konform. Vor der Unterschrift vollständig einsehbar.
📥 AV-Template ansehen (PDF) — bald verfügbarAlle Konfigurationen liegen in einem versionierten Git-Repository. Jede Änderung hat einen Autor, einen Zeitstempel und einen Grund. Keine undokumentierten Änderungen an Ihrer Infrastruktur.
Nicht alle OpenClaw-Angebote sind gleich. Hier sehen Sie den Unterschied.
| Sicherheitsmerkmal | DIY OpenClaw | Hosting-Anbieter* | ManagedClaw |
|---|---|---|---|
| Container-Isolation | ❌ Kein Sandbox | ⚠️ Shared VM | ✅ Docker pro Kunde, network:none |
| Egress-Filtering | ❌ Nicht vorhanden | ❌ Nicht vorhanden | ✅ nftables Allowlist |
| Skill-Vetting | ❌ Keine Prüfung | ❌ Keine Prüfung | ✅ Cisco Scanner + manuell |
| Verschlüsselung at rest | ❌ Plaintext | ⚠️ Anbieterabhängig | ✅ LUKS Full-Disk |
| Elevated Access | ⚠️ Opt-in (oft vergessen) | ⚠️ Unklar | ✅ Permanent deaktiviert |
| Audit Logs | ❌ Lokale Dateien | ❌ Nicht vorhanden | ✅ Extern, append-only |
| DSGVO-Compliance | ❌ In Eigenregie | ⚠️ Grundlegend | ✅ AV + TOM + Löschkonzept |
| Daten-Standort | ⚠️ Variiert | ⚠️ Oft US/Asia | ✅ Deutschland (Hetzner) |
| Prompt Injection Defense | ❌ Keine Layers | ❌ Keine Layers | ✅ 4-Layer Defense in Depth |
| Support & SLA | ❌ Community / Discord | ⚠️ Standard-Hosting | ✅ Deutsch, persönlich, SLA |
* z.B. openclawcloud.work, Tencent Cloud, DigitalOcean — typische „OpenClaw-Hosting"-Angebote ohne Sicherheitshärtung.
Testen Sie ManagedClaw — mit Enterprise-Security, ohne Enterprise-Preis. Konfiguration in 2 Minuten, Ihr Agent arbeitet innerhalb von 24 Stunden.
🔒 AV-ready · Daten in 🇩🇪 · Sandbox-Isolation ab Tag 1