135.000+ OpenClaw-Instanzen sind exponiert — Warum professionelle Installation entscheidend ist

Sicherheitsforscher haben eine Zahl veröffentlicht, die in der deutschen Tech-Community kaum Aufmerksamkeit bekommen hat: Über 135.000 OpenClaw-Instanzen sind aktuell ohne Authentifizierung über das öffentliche Internet erreichbar, verteilt auf 82 Länder (SecurityScorecard STRIKE-Team, Februar 2026). Jede davon gehört einem Unternehmen oder einer Einzelperson, die glaubt, ihren KI-Agenten sicher zu betreiben.

Das ist kein theoretisches Risiko. Wer eine dieser Instanzen findet (trivial mit dem richtigen Scan-Tool), kann Konfigurationsdaten einsehen, API-Schlüssel auslesen, Workflows verändern und im schlimmsten Fall auf alle Systeme zugreifen, mit denen der Agent verbunden ist. In der Praxis bedeutet das: Zugang zu E-Mails, CRM-Daten, internen Dokumenten und allem, was der Agent in eurem Namen verwaltete.

Die Zahlen: Was Sicherheitsforscher gefunden haben

Shodan und Censys, die beiden wichtigsten Internet-Scan-Dienste der Sicherheitsbranche, zeigen im März 2026 über 135.000 OpenClaw-Instanzen, die auf Standardports ohne jede Authentifizierung lauschen. 63% der beobachteten Deployments sind laut Bitsight verwundbar. Etwa 60% lassen sich eindeutig Unternehmen zuordnen: Domain-Namen, Firmen-E-Mails in den Konfigurationsdateien, Branding in den Interfaces.

Noch beunruhigender: Ein Großteil dieser Instanzen ist aktiv in Betrieb. Sie verarbeiten echte Kundendaten, senden E-Mails im Namen ihrer Betreiber und führen automatisierte Aktionen in Produktionssystemen aus. Kein Test-Setup, keine Entwicklungsumgebung. Produktionssysteme ohne Schutz.

Die durchschnittliche Zeit zwischen dem Öffnen einer Instanz für das Internet und dem ersten unautorisierten Zugriffsversuch beträgt laut Honeypot-Daten unter drei Minuten. Automatisierte Scanner suchen rund um die Uhr nach genau dieser Art von Schwachstellen.

Warum die Standardkonfiguration unsicher ist

OpenClaw wird mit einer Standardkonfiguration ausgeliefert, die für lokales Testen optimiert ist, nicht für den Produktionseinsatz. Das ist eine verständliche Designentscheidung: Die Einstiegsbarriere soll niedrig sein, damit Entwickler schnell ausprobieren können. Das Problem entsteht, wenn diese Test-Konfiguration direkt in die Produktion übernommen wird.

Konkrete Schwachstellen in der Standardkonfiguration: OpenClaw bindet standardmäßig an 0.0.0.0:18789, also jede Netzwerkschnittstelle einschließlich des öffentlichen Internets. Kein Passwortschutz auf der Web-UI, Credentials im Klartext in Konfigurationsdateien, keine HTTPS-Verschlüsselung für die API, kein Rate-Limiting gegen Brute-Force-Angriffe und keine Audit-Logs. Dazu kommen 820+ bösartige Skills in ClawHub, das entspricht 20% des gesamten Skill-Registers.

Viele Tutorials und YouTube-Guides zeigen die Installation von OpenClaw, ohne auf diese Sicherheitsaspekte einzugehen. Das Ergebnis: Tausende Unternehmen folgen Schritt-für-Schritt-Anleitungen, die eine funktionale aber fundamental unsichere Instanz erzeugen.

Was falsch konfigurierte Installationen riskieren

Das unmittelbare Risiko ist Datenverlust: Kundendaten, Geschäftsgeheimnisse, API-Keys für alle angebundenen Dienste. Aber das ist nur die erste Ebene. Ein kompromittierter KI-Agent ist besonders gefährlich, weil er nicht passiv ist. Er hat Schreibzugriff auf die Systeme, mit denen er verbunden ist. Ein Angreifer, der die Kontrolle über euren Agenten übernimmt, kann in eurem Namen E-Mails versenden, Dokumente verändern, Zahlungen auslösen und Kunden kontaktieren.

Der Reputationsschaden kann gravierender sein als der direkte finanzielle Verlust. Wenn euer Agent in eurem Namen schadhafte Inhalte an Kunden sendet, ist der Trust-Schaden schwer zu reparieren, unabhängig davon, ob ihr nachweisen könnt, dass ihr angegriffen wurdet.

DSGVO-Bußgelder: Bis zu 4% des Jahresumsatzes

Für deutsche Unternehmen kommt zum Sicherheitsrisiko ein rechtliches hinzu: Die DSGVO verpflichtet euch zum Schutz personenbezogener Daten durch technische und organisatorische Maßnahmen. Eine OpenClaw-Instanz ohne Authentifizierung, die Kundendaten verarbeitet, ist ein klarer Verstoß gegen Art. 32 DSGVO.

Die möglichen Bußgelder sind substanziell: bis zu 10 Millionen Euro oder 2% des weltweiten Jahresumsatzes für Verstöße gegen technische Schutzpflichten, bis zu 20 Millionen Euro oder 4% bei schwerwiegenderen Verstößen. Für ein Unternehmen mit 2 Millionen Euro Jahresumsatz bedeutet das ein Bußgeld-Risiko von bis zu 80.000 Euro. Hinzu kommen Meldepflichten: Ein Datenschutzvorfall muss innerhalb von 72 Stunden der zuständigen Aufsichtsbehörde gemeldet werden. Wer das versäumt, riskiert zusätzliche Sanktionen.

Was professionelle Installation anders macht

Eine professionell konfigurierte OpenClaw-Instanz unterscheidet sich in mehreren kritischen Punkten von einer Tutorial-Installation. Der erste ist Netzwerkisolierung: Der Agent läuft hinter einem Reverse Proxy, der eingehende Verbindungen filtert und nur legitime Zugriffe durchlässt. TLS-Verschlüsselung ist Standard, keine Option.

Credentials werden nie im Klartext gespeichert. Stattdessen kommt ein Secrets-Manager zum Einsatz (entweder HashiCorp Vault oder ein Cloud-nativer Dienst), der Schlüssel verschlüsselt ablegt und nur bei Bedarf freigibt. Audit-Logging erfasst jeden Zugriffsversuch, jede Aktion des Agenten und jede Konfigurationsveränderung. Container-Isolation verhindert, dass ein kompromittierter Agent auf das Host-System zugreifen kann.

Ein Monitoring-Setup erkennt Anomalien aktiv: ungewöhnliche Zugriffszeiten, unbekannte IP-Adressen, plötzliche Aktivitätsspitzen. Ein Agent, der um 3 Uhr nachts plötzlich Tausende E-Mails versendet, ist ein klares Warnsignal, das ein richtiges Monitoring-Setup rechtzeitig eskaliert.

Fazit

Die 135.000+ exponierten Instanzen sind kein Zeichen dafür, dass OpenClaw unsicher ist. Sie sind ein Zeichen dafür, dass Selbstinstallation ohne Sicherheitskenntnisse zu unsicheren Ergebnissen führt. OpenClaw ist eine mächtige Technologie. Mit Macht kommt Verantwortung für die richtige Konfiguration.

Wenn du OpenClaw für dein Unternehmen einsetzen möchtest, hast du zwei Optionen: Du investierst die Zeit, die Sicherheitsarchitektur selbst zu erlernen und umzusetzen. Oder du arbeitest mit jemandem zusammen, der das bereits für Produktionsumgebungen gemacht hat. In beiden Fällen solltest du die 135.000+ exponierten Instanzen in 82 Ländern als Mahnung verstehen: Sicherheit ist kein optionaler letzter Schritt.