Die OpenClaw-Sicherheits-Checkliste: 7 Dinge, die Unternehmen vor dem Go-live konfigurieren müssen

OpenClaw ist leistungsstark. Es ist aber auch, ab Werk, unsicher.

Das Projekt wird für Entwickler-Komfort konfiguriert, nicht für Produktionssicherheit. Authentifizierung ist deaktiviert. Credentials liegen in Klartext-Konfigurationsdateien. Frühere Versionen banden das Gateway an alle Netzwerkschnittstellen, einschließlich des öffentlichen Internets. Und das Projekt hat in unter sechs Monaten Existenz über 400 veröffentlichte CVEs angesammelt.

Das STRIKE-Team von SecurityScorecard hat 135.000+ exponierte Instanzen gefunden. 63% der beobachteten Deployments hatten keine Authentifizierung. Über 820 bösartige Skills wurden im ClawHub-Marketplace bestätigt. Infostealers wie RedLine, Lumma und Vidar haben OpenClaw-Dateipfade in ihre Harvesting-Listen aufgenommen.

Wenn dein Unternehmen OpenClaw deployt, sind das die sieben Punkte, die du vor dem Go-live konfigurieren musst.

1. Netzwerk-Binding absichern

Das OpenClaw-Gateway lauscht auf Port 18789. Je nach Version und Installationsmethode bindet es an 0.0.0.0 (alle Netzwerkschnittstellen, einschließlich öffentlich erreichbarer Adressen) oder 127.0.0.1 (nur localhost). SecurityScorecard hat diese Fehlkonfiguration als Hauptursache der Massenexponierung von 135.000+ Instanzen identifiziert.

Überprüfe deine Binding-Konfiguration sofort. Setze sie auf 127.0.0.1. Wenn du Fernzugriff benötigst, leite ihn über einen Reverse Proxy mit TLS-Terminierung oder ein VPN wie Tailscale. Exponiere Port 18789 niemals direkt ins Internet.

2. Authentifizierung sofort aktivieren

Authentifizierung ist bei neuen OpenClaw-Instanzen standardmäßig deaktiviert. Das Gateway ist ohne Zugangsdaten zugänglich, sobald es startet. Jeder, der den Port entdeckt, hat vollständige Kontrolle über deinen Agenten, deine verbundenen Dienste und alle Daten, auf die der Agent zugreifen kann.

Es gibt ein zusätzliches Risiko bei Reverse-Proxy-Deployments: Wenn hinter Nginx oder Caddy ohne Konfiguration von trustedProxies deployed wird, erscheint aller Traffic als von 127.0.0.1 stammend und wird als vertrauenswürdig behandelt. Aktiviere Gateway-Authentifizierung, bevor du Dienste verbindest. Rotiere das Standard-Token. Setze Pairing-Codes so, dass sie nach kurzer Zeit ablaufen.

3. Credentials aus dem Klartext entfernen

OpenClaw speichert API-Keys, OAuth-Tokens und Bot-Credentials in Klartext-JSON- und Markdown-Dateien unter ~/.openclaw/ (sowie Legacy-Pfaden ~/.clawdbot/). Kaspersky hat im Februar 2026 bestätigt, dass die Infostealers RedLine, Lumma und Vidar diese Dateipfade in ihre automatisierten Sammlungsziele aufgenommen haben.

Sperre Dateiberechtigungen im Konfigurationsverzeichnis so, dass nur der OpenClaw-Prozessbenutzer sie lesen kann. Für sicherheitskritischere Deployments: Verwende Umgebungsvariablen oder einen Secrets-Manager, um Credentials zur Laufzeit einzuspielen. OpenClaw v2026.4 hat verschlüsselte Credential-Speicherung eingeführt, ein Update ist daher ebenfalls eine Absicherung.

4. Container-Isolierung für Skills aktivieren

OpenClaw erweitert seine Fähigkeiten durch Skills: modulare Plugins aus dem ClawHub-Marketplace. Über 820 bösartige Skills wurden in ClawHub gefunden, darunter Infostealers, die als Gmail-, Notion-, Slack- und GitHub-Integrationen getarnt waren. Bis April 2026 war die bestätigte Anzahl auf 1.400+ gewachsen.

Aktiviere Docker-Sandboxing für alle Skill-Ausführungen. Setze strikte Ressourcenlimits. Deaktiviere Host-Netzwerkzugriff für Container. Überprüfe jeden Skill, bevor du ihn in einem Produktions-Deployment installierst. CVE-2026-24763 hat gezeigt, dass Command Injection innerhalb der Docker-Ausführungsumgebung ein realer Angriffsvektor ist.

5. mDNS-Broadcasting deaktivieren

OpenClaw sendet standardmäßig seine Präsenz per mDNS (Bonjour, _openclaw-gw._tcp auf Port 5353). Im Full-Mode enthalten die TXT-Records deinen Benutzernamen, Installationspfad, Anzeigenamen und LAN-Host-Adresse. CVE-2026-26327 zeigte, dass Clients nicht authentifizierten mDNS-TXT-Records improperly vertrauten, was Man-in-the-Middle-Angriffe durch jeden im selben Netzwerksegment ermöglichte.

Deaktiviere mDNS-Broadcasting in der Konfiguration. Wenn du Service-Discovery benötigst, verwende explizite Konfiguration statt Broadcast-Protokolle.

6. Monitoring und Audit-Logging einrichten

Jede Aktion deines OpenClaw-Agenten sollte protokolliert werden: API-Aufrufe, Dateizugriffe, Netzwerkverbindungen, Skill-Ausführungen und Authentifizierungsereignisse. Ohne Logging hast du keine Sichtbarkeit darüber, was der Agent tut, und keine Möglichkeit, eine Kompromittierung zu erkennen.

Konfiguriere strukturiertes Logging in einen dauerhaften Speicher. Richte Alarme für unerwartete Muster ein: unbekannte API-Endpunkte, neue Netzwerkverbindungen, Authentifizierungsfehler oder Skill-Ausführungen außerhalb normaler Zeiten. Das STRIKE-Team fand bei ihrem ersten Scan 549 exponierte Instanzen, die mit früherer Breach-Aktivität korreliert waren. Diese Zahl wuchs später auf 53.000+.

7. OpenClaw aktuell halten

OpenClaw liefert mehrere Releases pro Woche. Sicherheits-Patches sind häufig und kritisch. CVE-2026-25253 (CVSS 8.8) ermöglichte One-Click-Remote-Code-Execution durch einen browserbasierten WebSocket-Hijacking-Angriff. CVE-2026-32922 (CVSS 9.9) erlaubte es, mit einem einzigen API-Aufruf ein Pairing-Token zu vollständiger Admin-Kontrolle mit Remote-Code-Execution zu eskalieren. Stand Mai 2026 hat das Projekt 400+ veröffentlichte CVEs.

Eine veraltete Version zu betreiben ist einer der häufigsten Risikofaktoren. Etabliere einen regelmäßigen Update-Zeitplan. Teste Updates in einer Staging-Umgebung, bevor du sie in der Produktion anwendest. Abonniere OpenClaw-Sicherheitshinweise.

Die Compliance-Dimension

Das allgemeine Anwendungsdatum des EU AI Act ist der 2. August 2026, obwohl die Digital-Omnibus-Vereinbarung (erreicht am 7. Mai 2026) bestimmte Hochrisiko-Fristen möglicherweise verlängert. Unabhängig vom genauen Zeitplan müssen Unternehmen, die autonome KI-Agenten in der EU deployen, Anforderungen an Datenverwaltung, Transparenz und Risikomanagement erfüllen.

Eine ordnungsgemäß gesicherte OpenClaw-Installation ist nicht nur eine Sicherheitsmaßnahme. Sie ist eine Compliance-Anforderung für jedes Unternehmen, das im oder für den europäischen Markt tätig ist.

Fazit

Diese sieben Konfigurationen sind die Mindest-Baseline für jedes Business-Deployment. Sie sind keine fortgeschrittene Härtung. Sie sind das Äquivalent des Absperrens der Eingangstür.

98,6% der exponierten OpenClaw-Instanzen laufen auf Cloud-Infrastruktur. Das sind Unternehmen, keine Hobbyisten. Die Unternehmen, die den größten Wert aus OpenClaw ziehen, sind diejenigen, die es von Anfang an richtig deployen.