OpenClaw-Sicherheitsrisiken: Warum Ihr Unternehmen eine Plattform mit KI-Agenten-Governance braucht

Im Februar 2026 stellte OpenAI Peter Steinberger ein, den Schöpfer von OpenClaw, um die Abteilung „Next-Gen Personal Agents" zu leiten. Einen Monat später wurde eine kritische Remote-Code-Execution-Schwachstelle — CVE-2026-25253 — offengelegt, die Millionen von Installationen weltweit betraf.

Diese Abfolge von Ereignissen kristallisierte heraus, wovor Sicherheitsteams in Unternehmen gewarnt hatten: OpenClaw, bei all seinen revolutionären Fähigkeiten, ist grundlegend für die Ermächtigung von Entwicklern konzipiert — nicht für Unternehmenssicherheit.

Gartners Einstufung von OpenClaw als „standardmäßig unsicher" ist keine Kritik an der Ingenieursleistung — es ist eine Anerkennung der Tatsache, dass Autonomie auf Systemebene und Sicherheits-Governance in Unternehmen in OpenClaws Architektur fundamental im Widerspruch stehen.

Die fünf kritischen Sicherheitsrisiken

1. Root-Level-Systemzugriff

OpenClaw operiert auf Kernel-Modul-Ebene und gewährt Agenten direkten Zugang zu Systemressourcen, Dateisystemen und Terminal-Befehlen. Im Unternehmenskontext bedeutet das:

• Agenten können jede Datei auf dem Host-System lesen, ändern oder löschen
• Shell-Befehlsausführung ist standardmäßig uneingeschränkt
• Keine Prozessisolierung zwischen Agentenausführung und Host-System
• Netzwerkzugang ist unkontrolliert

Microsofts Sicherheitsempfehlung (März 2026) empfiehlt ausdrücklich: „Deployen Sie OpenClaw nur in isolierten Umgebungen (z. B. dedizierte virtuelle Maschinen), verwenden Sie nicht-privilegierte Zugangsdaten, beschränken Sie den Zugang auf nicht-sensible Daten und implementieren Sie kontinuierliches Monitoring."

2. Klartext-Speicherung von Zugangsdaten

OpenClaw speichert API-Schlüssel und Service-Zugangsdaten standardmäßig in Klartext-Konfigurationsdateien. Für Unternehmens-Deployments, die API-Zugang zu Dutzenden von Geschäftssystemen aggregieren — CRM, E-Mail, Finanztools, Cloud-Infrastruktur — entsteht ein einzelner Angriffspunkt.

Ein erfolgreicher Angriff auf eine OpenClaw-Instanz kann offenlegen:

• Cloud-Provider-Zugangsdaten (AWS, GCP, Azure)
• SaaS-API-Schlüssel (Salesforce, HubSpot, Stripe)
• Kommunikationsplattform-Tokens (Slack, WhatsApp Business API)
• Datenbankverbindungsstrings
• Interne Service-Authentifizierungstokens

3. Supply-Chain-Angriffe über ClawHub

Das ClawHub-Skill-Registry — OpenClaws Marktplatz für community-erstellte Erweiterungen — ist zu einem bedeutenden Angriffsvektor geworden. Laut der Untersuchung von TechWire Asia (2026):

• 20 % der veröffentlichten Skills enthalten Schwachstellen oder bösartigen Code
• Bösartige Skills enthielten Keylogger, Datenexfiltrations-Tools und Krypto-Miner
• Der Überprüfungsprozess für neue Skills ist unzureichend, um ausgefeilte Angriffe zu erkennen
• Skills werden mit denselben Systemberechtigungen wie der Kernagent ausgeführt

Dies spiegelt das npm-Supply-Chain-Angriffsmuster wider, das das JavaScript-Ökosystem plagt, aber mit einem kritischen Unterschied: OpenClaw-Skills werden mit Root-Level-Systemzugang ausgeführt, was erfolgreiche Angriffe weitaus schädlicher macht.

4. Außer Kontrolle geratene Agenten

Forbes (2026) dokumentierte mehrere Fälle, in denen OpenClaw-Agenten unbeabsichtigte Aktionen in Unternehmensumgebungen durchführten:

• Agenten, die externe Dienste mit Tausenden von API-Aufrufen spammten
• Unkontrollierte Dateisystemänderungen, die Produktionsausfälle verursachten
• Agenten, die unautorisierte Käufe oder Zusagen über verbundene APIs tätigten
• Kaskadenausfälle, wenn ein außer Kontrolle geratener Agent Aktionen in anderen verbundenen Agenten auslöste

OpenClaw bietet keine integrierten Schutzmaßnahmen gegen diese Verhaltensweisen. Es gibt keine Nutzungslimits, keine Aktionsgenehmigungsworkflows und keine Lebenszyklus-Kontrollen, um Agenten zu beenden oder zurückzusetzen, die vom beabsichtigten Verhalten abweichen.

5. Keine Audit-Trails oder Compliance-Bereitschaft

Für Unternehmen in regulierten Branchen — Gesundheitswesen, Finanzwesen, Recht — bietet OpenClaw keine nativen Compliance-Fähigkeiten:

• Keine Audit-Trails für Agentenaktionen und -entscheidungen
• Keine rollenbasierte Zugriffskontrolle
• Keine Datenresidenz-Kontrollen
• Keine SOC 2- oder ISO 27001-Bereitschaft
• Keine Integration mit Unternehmens-Identitätsanbietern

Die regulierte Alternative: Was Unternehmenssicherheit erfordert

KI-Agenten-Plattformen auf Unternehmensebene adressieren diese Risiken durch Architekturentscheidungen, die sich fundamental von OpenClaws Designphilosophie unterscheiden:

Sandbox-Ausführungsumgebung

Verwaltete Plattformen führen jeden Agenten in einem isolierten Container mit kontrolliertem Ressourcenzugang aus. Agenten können nicht auf das Host-System zugreifen, beliebige Shell-Befehle ausführen oder Dateien außerhalb ihres zugewiesenen Arbeitsbereichs ändern.

Verschlüsseltes Secrets-Management

API-Schlüssel und Zugangsdaten werden im Ruhezustand und bei der Übertragung verschlüsselt, über dedizierte Secrets-Engines verwaltet und niemals in Klartext-Konfigurationsdateien gespeichert. Die Credential-Rotation ist automatisiert und auditierbar.

Rollenbasierte Zugriffskontrolle

Workspace-basierte RBAC stellt sicher, dass nur autorisierte Benutzer Agenten erstellen, ändern oder deployen können. Jede Aktion — von Agentenkonfigurationsänderungen bis zu Tool-Aufrufen — wird mit vollständigen Audit-Trails für Compliance verfolgt.

Kuratiertes Skill-Ökosystem

Anstatt eines offenen Marktplatzes bieten verwaltete Plattformen ein kuratiertes, sicherheitsgeprüftes Skill-System, in dem jede Integration vor dem Deployment verifiziert wird. Dies eliminiert das Supply-Chain-Risiko, das ClawHub plagt.

Agenten-Lebenszyklusmanagement

Integrierte Kontrollen für die Agenten-Governance umfassen:

• Terminate: Jeden Agenten sofort stoppen
• Reborn: Den Zustand eines Agenten zurücksetzen und dabei die Konfiguration beibehalten
• Nutzungslimits: Verhindern, dass Agenten Rechen- oder API-Aufruf-Budgets überschreiten
• Observability: Echtzeit-Monitoring jeder Agentenaktion und -entscheidung

Den Übergang gestalten

Für Unternehmen, die OpenClaw aktuell evaluieren oder einsetzen, sollte der Übergang zu einer regulierten Plattform von drei Prioritäten geleitet sein:

1. Sofort: Bestehende OpenClaw-Deployments gemäß Microsofts Empfehlungen isolieren
2. Kurzfristig: Verwaltete Alternativen evaluieren, die OpenClaws Fähigkeiten mit Unternehmens-Governance verbinden
3. Mittelfristig: Produktions-Workloads auf regulierte Plattformen mit RBAC, Audit-Trails und Sandbox-Ausführung migrieren

Comy AI bietet einen direkten Migrationspfad von OpenClaw mit allen agentischen Fähigkeiten — Multi-Modell-Support, Tool Calling, Crew-Orchestrierung, Workflow-Automatisierung — plus die Sicherheit, Governance und SLAs, die der Unternehmenseinsatz erfordert.

Kein Root-Zugriff. Keine außer Kontrolle geratenen Agenten. Keine CVEs. Starten Sie Ihre kostenlose Migration noch heute.