Schatten-KI
Was ist OpenClaw?
OpenClaw als Beispiel für unkontrollierte KI-Nutzung im Unternehmen: Risiken, Governance-Anforderungen und strukturierte Gegenmaßnahmen.
Was ist OpenClaw (ehemals Clawbot)?
OpenClaw ist ein quelloffenes KI-Agenten-Framework, das es ermöglicht, große Sprachmodelle mit alltäglichen Anwendungen zu verbinden – darunter WhatsApp, Telegram, Slack, E-Mail, Kalender und Browser. Es läuft lokal auf dem Rechner des Nutzers, benötigt keine Cloud-Infrastruktur und kann eigenständig Shell-Befehle ausführen.
Entwickelt wurde das Tool im November 2025 von Peter Steinberger, dem österreichischen Gründer von PSPDFKit, während eines Marokko-Aufenthalts – ursprünglich als persönlicher Reiseassistent. Nach der Open-Source-Veröffentlichung verbreitete es sich innerhalb weniger Wochen viral in der Entwickler-Community und wurde massenhaft auf Firmenrechnern installiert, häufig ohne Wissen der IT-Abteilung.
Der ursprüngliche Name Clawdbot wurde auf Betreiben von Anthropic geändert – das Unternehmen sah eine Kollision mit dem Markennamen „Claude“. Nach einem kurzen Zwischenstopp als Moltbot einigte sich Steinberger in Absprache mit Sam Altman auf den heutigen Namen OpenClaw.
Einordnung
Was bedeuten 265.000 GitHub Stars?
GitHub ist die zentrale Plattform von über 100 Millionen Software-Entwicklern weltweit. Ein „Star" ist kein beiläufiges Like, sondern bedeutet: Ein Fachpublikum hält dieses Projekt für so relevant, dass es beobachtet und eingesetzt werden soll. Entwickler vergeben Stars sparsam. OpenClaw hat React überholt und ist das meistgesternde Software-Projekt auf GitHub (Stand: März 2026), vor Projekten, an denen Hunderte Ingenieure bei Google, Facebook oder der Linux Foundation über Jahre gearbeitet haben.
| Projekt | Stars | Dauer bis 100K |
|---|---|---|
| 217K | ~12 Jahre | |
| 235K | ~8 Jahre | |
| 115K | ~10 Jahre | |
| 265K | ~2 Tage |
265.000 Stars (Stand: 06.03.2026), 1,5 Mio. erstellte KI-Agenten, 2 Mio. Besucher in einer Woche, und gleichzeitig 135.000 exponierte Instanzen im offenen Internet. Die Geschwindigkeit, mit der sich OpenClaw verbreitet hat, hat jede Kontrollmöglichkeit überholt.
Abschnitt 01
Der Anfang: Ein Hotelzimmer in Marokko
Im November 2025 saß Peter Steinberger, österreichischer Entwickler und Gründer von PSPDFKit (Exit über 100 Millionen US-Dollar), in einem Hotelzimmer in Marokko und baute in einer Stunde einen lokalen KI-Agenten. Der Bot konnte auf Dateien zugreifen, Shell-Befehle ausführen, Nachrichten über WhatsApp und Telegram verschicken, E-Mails verfassen, Kalendereinträge anlegen und eigenständig im Browser navigieren. Steinberger nannte ihn „Clawdbot“ und stellte den Quellcode auf GitHub unter einer Open-Source-Lizenz bereit.
Abschnitt 02
Virales Wachstum
Was folgte, war ein virales Wachstum, das selbst erfahrene Beobachter der Open-Source-Szene überraschte.
Mehr als 1,5 Millionen Nutzer erstellten eigene Agenten auf Basis des Codes. Die Raspberry-Pi-Community entdeckte OpenClaw als idealen Anwendungsfall für lokale KI auf Kleinstrechnern; Entwickler steuerten den Agenten per Smart Glasses freihändig, wie heise.de dokumentierte.
Abschnitt 03
Vom Markenstreit zum Open-Source-Projekt
Der Name änderte sich freilich mehrfach. Anthropic, Hersteller des Sprachmodells Claude, mahnte Steinberger wegen Markenähnlichkeit ab. Aus Clawdbot wurde Moltbot, aus Moltbot schließlich OpenClaw, wobei laut Lex Fridman Podcast Sam Altman (OpenAI) beim Rebrand half.
Der Namensstreit endete mit einer überraschenden Wendung: Steinberger wechselte im Februar 2026 zu OpenAI, wie heise.de und Die Presse berichteten. OpenClaw blieb als Open-Source-Projekt bestehen.
Abschnitt 04
Was die Geschichte für CISOs bedeutet
Für IT-Sicherheitsverantwortliche ist die Entstehungsgeschichte aufschlussreich, zumal sie ein Muster offenbart:
Und die Governance-Strukturen der Unternehmen, in denen diese Menschen arbeiten, erfahren davon, wenn überhaupt, Wochen später.
SECURAM hilft bei Bestandsaufnahme, Risikobewertung und KI-Governance. Sprechen Sie mit uns.
Was Unternehmen jetzt tun sollten — vier konkrete Schritte
Die gute Nachricht: OpenClaw lässt sich erkennen, und die Gegenmaßnahmen folgen etablierten Sicherheitsprinzipien. Wer bereits ein funktionierendes ISMS betreibt, muss keine neue Disziplin erfinden, wohl aber die bestehenden Kontrollen auf KI-Agenten ausweiten.
01
Bestandsaufnahme — Ist OpenClaw in Ihrem Netz?
Der erste Schritt ist eine gezielte Suche. Ein CASB (Cloud Access Security Broker) erkennt Zugriffe auf GenAI-Domains. Eine DNS-Analyse auf bekannte OpenClaw-Endpoints liefert Hinweise auf aktive Installationen. Wer öffentlich erreichbare Instanzen ausschliessen will, prueft per Shodan- oder Censys-Scan den Port 18789, den Standard-Listener von OpenClaw. Intern genügt eine EDR-Abfrage auf den Prozessnamen.
02
Policy — KI-Agenten explizit adressieren
Eine allgemeine IT-Nutzungsrichtlinie reicht nicht aus. Unternehmen benötigen eine AI Acceptable Use Policy, die KI-Agenten mit Systemzugriff explizit benennt und von passiven Chatbots abgrenzt. Die Kernregel lautet: Keine personenbezogenen Daten und keine Geschäftsgeheimnisse in öffentlichen GenAI-Diensten. Für Agenten mit Shell- und API-Zugriff gelten verschaerfte Anforderungen, vergleichbar mit privilegierten Zugaengen im klassischen Identity Management.
03
Detection — Mehrschichtige Erkennung aufbauen
Eine einzelne Kontrollschicht genügt nicht. Die Kombination aus CASB (Cloud-Traffic), DNS-Filterung (Domain-Zugriffe), DLP (Datenabfluss-Erkennung), EDR/MDM (Endpoint-Kontrolle für installierte Agenten und Browser-Extensions) sowie SSO/OAuth-Consent-Monitoring (neue App-Berechtigungen in Microsoft 365 oder Google Workspace) ergibt ein belastbares Erkennungsnetz. Entscheidend ist, dass die Signale korreliert und nicht isoliert betrachtet werden.
04
Genehmigungsprozess — Schnell für risikoarme Tools, streng für Agenten
Verbote allein erzeugen Umgehungsverhalten. Unternehmen, die produktiv mit KI arbeiten wollen, brauchen einen abgestuften Freigabeprozess: einen Fast-Track für risikoarme Anwendungen (etwa Übersetzungstools ohne Datenpersistenz) und strenge Gates für hochriskante Werkzeuge, insbesondere Agenten mit Systemzugriff wie OpenClaw, die eine vollständige Risikoanalyse nach ISO 27005 oder vergleichbaren Rahmenwerken erfordern.
Fallstudie Shadow-AI · Schwerpunkt: Schatten-KI
OpenClaw – Timeline
Von einem Reiseassistenten in Marokko zum größten Shadow-AI-Sicherheitsvorfall des Jahres – in weniger als drei Monaten.
Ein Österreicher, eine Stunde, ein Tool
UrsprungPeter Steinberger, Gründer von PSPDFKit (2021 für über 100 Mio. USD verkauft), auf Reisen zwischen Marrakesch und dem Atlasgebirge, verbindet WhatsApp mit einem KI-Tool, um bei schlechtem Internet Restaurants zu finden. Das Ergebnis: ein lokaler KI-Agent namens Clawdbot. Er open-sourct das Projekt. Entwickler weltweit bauen sofort weiter.
Anthropic schickt Anwaltspost – Namensstreit & Rebrand-Chaos
BrandingAnthropic fordert per Trademark-Abmahnung eine Umbenennung: „Clawdbot" verletze die Markenrechte an „Claude". Steinberger benennt das Projekt zunächst in Moltbot um, dann , nach Absprache mit Sam Altman (OpenAI), in OpenClaw. Direkt beim Rebrand: Das X-Konto wird von Krypto-Betrügern gekapert, GitHub-Repositories mit Malware kompromittiert. Steinberger: „I was close to crying. Everything's fucked."
OpenClaw wird Mainstream – 135.000 GitHub Stars in Wochen
Virales WachstumDas Tool läuft lokal auf dem Rechner, verbindet sich mit WhatsApp, Telegram, Slack, E-Mail, Kalender und Browser und kann eigenständig Shell-Befehle ausführen. Die „Getting Things Done"-Community adoptiert es massenhaft. Mitarbeiter installieren es auf Firmenrechnern, ohne Wissen der IT-Abteilung. Erste Sicherheitsforscher beginnen hinzuschauen.
Erste kritische Sicherheitslücken werden publik
SicherheitSlowMist findet einen Authentication-Bypass: API-Keys und private Chat-Verläufe ungeschützt. Sicherheitsforscher Jamieson O'Reilly findet per Shodan-Scan innerhalb von Sekunden über 900 exponierte Instanzen, allein durch Suche nach „Clawdbot Control" auf Port 18789. Ursache: Default-Konfiguration bindet den Listener an 0.0.0.0, jeder im Internet kann sich verbinden. Für ein Tool mit Root-Zugriff auf das Dateisystem eine katastrophale Voreinstellung.
Das volle Ausmaß: 135.000 exponierte Instanzen im offenen Internet
KritischVollständiger Security-Scan: 135.000+ exponierte Instanzen. 63 % anfällig für mindestens einen bekannten Exploit. Über 15.000 sofort per Remote Code Execution angreifbar. Viele der IP-Adressen: Firmennetzwerke. Exponierte Daten: Anthropic API-Keys, Telegram-Tokens, Slack-OAuth-Credentials, Salesforce- und GitHub-Zugänge. Palo Alto Networks bezeichnet OpenClaw als „größte Insider-Bedrohung 2026".
Meta verhängt internes Verbot – Kündigung bei Zuwiderhandlung
UnternehmensreaktionInterne Dokumente (via Wired): Ein Manager bei Meta verbietet OpenClaw auf allen Firmengeräten. Wer das Tool trotzdem installiert, riskiert die Kündigung. Besonders brisant: Zuckerberg hatte OpenClaw selbst genutzt und Steinberger abzuwerben versucht. Meta ist nicht allein; Microsoft und weitere Tech-Konzerne folgen mit eigenen Warnungen.
Lex Fridman Podcast: Übernahmeangebote – Steinberger geht zu OpenAI
EntscheidungIm Lex Fridman Podcast (Episode #491) bestätigt Steinberger: Sowohl Meta als auch OpenAI haben Übernahmeangebote gemacht: Zuckerberg via WhatsApp, Altman mit Rechenkapazität. Die genauen Summen sind nicht öffentlich bestätigt. Steinberger wählt OpenAI, nicht wegen des Geldes, sondern weil das Projekt Open Source bleiben muss. „I told them: I don't do this for the money. I want to have fun and have impact." OpenClaw zieht in eine unabhängige Foundation, Steinberger entwickelt bei OpenAI die nächste Generation persönlicher Agenten.
OpenClaw überholt React – meistgesterntes Software-Projekt auf GitHub
MeilensteinMit über 250.000 GitHub Stars überholt OpenClaw Metas React-Framework und wird zum meistgesternten Software-Projekt auf GitHub. React brauchte dafür über ein Jahrzehnt, OpenClaw weniger als vier Monate. Kein anderes Open-Source-Projekt hat jemals so schnell so viel Aufmerksamkeit erhalten. Für Sicherheitsverantwortliche bedeutet das: Die Verbreitungsdynamik hat jede manuelle Kontrolle überholt.
265.000 Stars und kein Ende – OpenClaw bleibt unkontrolliert
Status quoTrotz Verboten, CVEs und öffentlicher Warnungen: OpenClaw wird täglich neu installiert. 265.000 GitHub Stars machen es zum populärsten Software-Projekt auf der Plattform. Die meisten IT-Abteilungen haben keinen Überblick, ob und wo das Tool im eigenen Netz läuft. Laut IBM/Censuswide-Studie nutzen 80 % der Beschäftigten in größeren Unternehmen KI-Tools ohne Genehmigung; OpenClaw ist die aktuell sichtbarste Spitze eines strukturellen Problems.
EU AI Act greift vollständig – Shadow-AI wird zum Haftungsthema
RegulierungAb August 2026 müssen Unternehmen nachweisen können, welche KI-Systeme sie einsetzen, und dass diese den Anforderungen des EU AI Acts entsprechen. Wer Shadow-AI unkontrolliert im Einsatz hat, haftet. Tools wie OpenClaw, die autonom agieren, Daten verarbeiten und auf externe Dienste zugreifen, fallen direkt in den Anwendungsbereich. Fünf Monate bis zur Deadline.
* IBM / Censuswide-Studie, Nov. 2025: Unternehmen ab 500 Mitarbeitern.
OpenClaw in Ihrem Unternehmen?
Ob OpenClaw in Ihrem Unternehmen bereits im Einsatz ist und wie Sie Ihre KI-Governance darauf ausrichten, klären wir in einem kostenfreien Erstgespräch.
Ihr Ansprechpartner
Florian Priegnitz
Information Security Consultant · SECURAM Consulting GmbH
Information Security Consultant mit Schwerpunkt ISO 27001 und ISO 42001. Berät Unternehmen zu EU AI Act und AI Governance, von der Gap-Analyse bis zur operativen Umsetzung im laufenden Betrieb.
Unternehmensflyer
Alle Leistungen auf einen Blick als PDF zum Weitergeben.
SECURAM Consulting
Unternehmensflyer mit Leistungsportfolio, Beratungsansatz und Kontaktdaten.
Flyer herunterladenWarum OpenClaw ein Sicherheitsproblem ist — und kein gewöhnliches Tool
OpenClaw unterscheidet sich von herkömmlichen KI-Chatbots in einem entscheidenden Punkt: Es ist kein passives Frage-Antwort-System, sondern ein Agent mit weitreichendem Systemzugriff. Der Bot kann Dateien lesen, schreiben und löschen, Shell-Befehle ausführen, über APIs mit Drittdiensten kommunizieren und eigenständig im Browser agieren. Das macht ihn nützlich, und gleichzeitig zu einem der riskantesten Werkzeuge, die derzeit auf Firmengeräten laufen.
Die Sicherheitslage ist gut dokumentiert. Laut einer Analyse von Lasso Security waren im Februar 2026 mehr als 135.000 OpenClaw-Instanzen im offenen Internet erreichbar. 63 Prozent dieser Instanzen waren für mindestens einen bekannten Exploit anfaellig. Rund 15.000 Installationen liessen sich unmittelbar per Remote Code Execution (RCE) angreifen, mit einem CVSS-Score von 8.8, der nach gaengiger Klassifikation als „hoch“ gilt. heise.de berichtete im Februar 2026 über die Behebung von mehr als 60 Sicherheitsproblemen in einer einzigen Patch-Runde.
Die technischen Ursachen sind struktureller Natur. Astrix Security dokumentierte, dass OpenClaw in der Standard-Konfiguration seinen Listener auf 0.0.0.0 bindet, eine Einstellung, die den Dienst nicht nur lokal, sondern für jeden erreichbar macht, der die IP-Adresse kennt. API-Keys, Chat-Verlaeufe und Zugangsdaten lagen laut SlowMist-Analyse unverschluesselt im Dateisystem. Exponiert wurden unter anderem Anthropic-API-Schluessel, Telegram-Bot-Tokens, Slack-OAuth-Credentials sowie Zugangsdaten für Salesforce und GitHub.
Die Reaktionen der Branche spiegeln den Ernst der Lage. Meta untersagte seinen Mitarbeitern die Installation von OpenClaw auf Firmengeräten und drohte bei Zuwiderhandlung mit arbeitsrechtlichen Konsequenzen, wie Wired berichtete. Palo Alto Networks stufte KI-Agenten mit Systemzugriff als „größte Insider-Bedrohung 2026“ ein. Die Zeit titelte: „Mein KI-Assistent regelt das. Oder er raeumt mein Konto leer.“
Die Zahlen ordnen sich in einen größeren Befund ein. Laut einer IBM/Censuswide-Studie nutzen 80 Prozent der Beschäftigten in größeren Unternehmen KI-Tools ohne Genehmigung der IT-Abteilung. OpenClaw ist indes nicht die Ursache dieses Phänomens; es ist die sichtbarste Spitze. Ein Agent, der Shell-Zugriff mit Messaging-Integration kombiniert, macht das abstrakte Risiko „Schatten-KI“ greifbar: Hier lässt sich konkret benennen, welche Daten abfliessen, welche Systeme exponiert sind und welche Angriffsvektoren offenstehen.
Fazit: Das strukturelle Problem hinter dem Hype
OpenClaw ist ein Symptom, nicht die Ursache. Das eigentliche Problem liegt in einer Asymmetrie: Governance-Zyklen in Unternehmen (von der Risikoanalyse über die Policy-Erstellung bis zur technischen Umsetzung) dauern Monate. Der KI-Tool-Markt bewegt sich in Wochen. Solange diese Lücke besteht, werden Mitarbeiter Werkzeuge nutzen, die ihnen Produktivitätsgewinne versprechen, gleichwohl die IT-Abteilung sie noch nicht bewertet hat.
Die regulatorischen Fristen verschaerfen den Handlungsdruck. Ab August 2026 müssen Unternehmen nachweisen, welche KI-Systeme sie einsetzen, so verlangt es die Verordnung (EU) 2024/1689 (EU AI Act). Wer Schatten-KI unkontrolliert im Einsatz hat, riskiert nicht nur Datenverluste, sondern auch Haftungsfolgen für die Geschäftsführung (vgl. §43 GmbHG). Die Antwort liegt nicht im Verbot einzelner Tools, sondern in Governance-Strukturen, die mit dem Tempo des Marktes Schritt halten: genehmigte Alternativen, abgestufte Risikobewertung und technische Erkennung als Sicherheitsnetz.
Kontakt
Wir freuen uns auf Ihre Nachricht.
Kontaktdaten
20354 Hamburg
Direkter Kontakt
- Vertrieb: sales@securam-consulting.com
- Bewerbung: bewerbung@securam-consulting.com
Lieber direkt sprechen?
Buchen Sie ein kostenloses Erstgespräch.