{"id":7095,"date":"2026-02-16T19:41:33","date_gmt":"2026-02-16T19:41:33","guid":{"rendered":"https:\/\/cybersecurityinfocus.com\/?p=7095"},"modified":"2026-02-16T19:41:33","modified_gmt":"2026-02-16T19:41:33","slug":"was-cisos-uber-openclaw-wissen-sollten","status":"publish","type":"post","link":"https:\/\/cybersecurityinfocus.com\/?p=7095","title":{"rendered":"Was CISOs \u00fcber OpenClaw wissen sollten"},"content":{"rendered":"
\n
\n
\n
\n
<\/div>\n
Lesen Sie, welches Sicherheitsrisiko die Verwendung von OpenClaw in Unternehmen mit sich bringt.\n

ackpress \u2013 shutterstock.com<\/p>\n<\/div>\n

Das neue Tool zur Orchestrierung pers\u00f6nlicher KI-Agenten namens OpenClaw<\/a> \u2013 fr\u00fcher Clawdbot, dann Moltbot genannt \u2013 erfreut sich aktuell gro\u00dfer Beliebtheit. Die Open-Source-Software kann eigenst\u00e4ndig und ger\u00e4te\u00fcbergreifend arbeiten, mit Online-Diensten interagieren und Workflows ausl\u00f6sen \u2013 kein Wunder, dass das Github-Repo<\/a> in den vergangenen Wochen Millionen von Besuchen und \u00fcber 160.000 Sterne verzeichnet hat.<\/p>\n

Laut Angaben des Entwicklers hatte das Repo von OpenClaw innerhalb einer einzigen Woche \u00fcber zwei Millionen Besucher. Zudem gibt es rund 1,7 Millionen Agenten, deren menschliche Besitzer sie f\u00fcr die Social-Media-Plattform Moltbook<\/a> angemeldet haben. Laut Sicherheitsforschern von OX Security liegen die Downloads von OpenClaw derzeit bei 720.000 pro Woche.<\/p>\n

Was OpenClaw so attraktiv macht, ist, dass es lokal l\u00e4uft und f\u00fcr die Verwendung beliebiger LLM im Backend konfiguriert werden kann. Zudem erm\u00f6glicht es seinen Benutzern, \u00fcber die von ihnen bereits verwendeten Chat-Apps \u2013 WhatsApp, Telegram, Discord, Slack, Teams \u2013 zu kommunizieren. Das Orchestrierungs-Tool verf\u00fcgt zudem \u00fcber vorgefertigte Integrationen mit allen g\u00e4ngigen Betriebssystemen, vielen verschiedenen Smart-Home-Ger\u00e4ten, Produktivit\u00e4ts-Apps, Chrome und Gmail.<\/p>\n

Doch was ist das Problem bei der Anwendung des KI-Agenten?<\/p>\n

Lesetipp: Agentic AI \u2013 der neue Horror f\u00fcr Sicherheitsentscheider?<\/a><\/p>\n

Die Cybersicherheitsrisiken von OpenClaw<\/h2>\n

\u201eDas Problem bei der Verwendung solcher Tools ist, dass sie im Grunde alles tun k\u00f6nnen, was ein Benutzer auch tun kann\u201c, erkl\u00e4rt Rich Mogull, Chefanalyst bei der Cloud Security Alliance. Allerdings werden sie extern gesteuert F\u00fcr Unternehmen k\u00f6nnte das ein hohes Risiko darstellen, warnt John Dwyer, stellvertretender CTO bei Binary Defense.\u00a0\u201eEs gibt zwar einige Schutzma\u00dfnahmen, aber sie sind neu, unerprobt und wurden bereits von Forschern umgangen.\u201c<\/p>\n

Seine Empfehlung: CISOs sollten die Verwendung dieser Tools g\u00e4nzlich verbieten. \u201eIch freue mich darauf, am Wochenende selbst damit zu experimentieren\u201c, r\u00e4umt Mogull ein. \u201eAber zum jetzigen Zeitpunkt sollte man es nicht zulassen, da es kein Sicherheitsmodell gibt.\u201c<\/p>\n

Und zwar schnell, denn das Tool wird bereits in einigen Unternehmen eingesetzt. Der Security-Anbieter Token berichtet<\/a>, dass 22 Prozent seiner Kunden das Tool aktiv nutzen.<\/p>\n

Die Auswirkungen gehen dabei \u00fcber unmittelbare technische Risiken hinaus. \u201eF\u00fcr Unternehmen k\u00f6nnte dies Geldstrafen, Rechtsstreitigkeiten und Reputationssch\u00e4den bei Kunden und Partnern aufgrund von Verst\u00f6\u00dfen gegen die Vertraulichkeit von Daten nach sich ziehen\u201c, mahnt Georgia Cooke, Analystin bei ABI Research. Dazu geh\u00f6ren personenbezogene Daten, die zu Verst\u00f6\u00dfen gegen die DSGVO und \u00e4hnliche Vorschriften zur Kontrolle personenbezogener Daten f\u00fchren k\u00f6nnten, sowie Unternehmensinformationen, die einer Geheimhaltungsvereinbarung unterliegen.<\/p>\n

Weitere Risiken sind Wettbewerbsnachteile aufgrund von offengelegten geistigem Eigentum und weitere Angriffe durch zug\u00e4ngliche technische Informationen und Anmeldedaten.<\/p>\n

Der Sicherheitsforscher Maor Dayan bezeichnet OpenClaw als \u201eden gr\u00f6\u00dften Sicherheitsvorfall in der Geschichte souver\u00e4ner KI\u201c. Seine Untersuchungen haben bereits mehr als 42.000 im Internet exponierte Instanzen identifiziert, wobei 93 Prozent der \u00fcberpr\u00fcften Systeme kritische Schwachstellen zur Umgehung der Authentifizierung aufwiesen.<\/p>\n

Fr\u00fche Versionen von OpenClaw waren laut Experten standardm\u00e4\u00dfig unsicher. Die rasante virale Verbreitung habe zudem das Sicherheitsbewusstsein der Benutzer \u00fcberfordert, sodass viele Implementierungen schnell wieder aufgegeben wurden und Instanzen mit veraltetem Code zur\u00fcckblieben. Dokumentierte Angriffspfade erm\u00f6glichten den Diebstahl von Anmeldedaten, die Kontrolle \u00fcber den Browser und die potenzielle Ausf\u00fchrung von Remote-Code.<\/p>\n

Ende Januar warnten Forscher von Gartner<\/a> bereits, dass OpenClaw \u201eeine starke Nachfrage nach agentenbasierter KI offenbart, aber auch erhebliche Sicherheitsrisiken mit sich bringt\u201d. Dem Analystenhaus zufolge wurden bereits Schwachstellen nachgewiesen, die eine Remote-Codeausf\u00fchrung innerhalb weniger Stunden nach der Bereitstellung erm\u00f6glichen.<\/p>\n

Auch der ClawHub-Skills-Marktplatz \u2013Ordner mit Anweisungen, Skripten und Ressourcen, die Agenten laut OpenClaw nutzen k\u00f6nnen, um Aufgaben genauer und effizienter zu erledigen,\u00a0 \u2013 birgt kritische Risiken f\u00fcr die Lieferkette. Zugangsdaten werden im Klartext gespeichert, und kompromittierte Hosts legen API-Schl\u00fcssel, OAuth-Token und sensible Konversationen offen.<\/p>\n

\u201eKI-Agenten enthalten oft Tokens und Geheimnisse in Konfigurationsdateien\u201c, erl\u00e4utert Jeremy Kirk, Director of Threat Intelligence bei Okta. \u201eWenn Benutzer sie falsch konfiguriert haben, werden sie offengelegt. Im Unternehmenskontext ist das problematisch.\u201c<\/p>\n

Dar\u00fcber hinaus entdeckte<\/a> Noma Security eine neue Sicherheitsl\u00fccke im Zusammenhang mit OpenClaw: Unternehmensinterne Gruppen auf Discord, Telegram oder WhatsApp. Einer der Gr\u00fcnde, warum OpenClaw f\u00fcr Benutzer so attraktiv ist, ist die M\u00f6glichkeit, \u00fcber mehrere Kan\u00e4le mit dem System zu interagieren. Ist OpenClaw jedoch in einen dieser Gruppenkan\u00e4le eingebunden, behandelt es Anweisungen von anderen Teilnehmern so, als k\u00e4men sie vom eigentlichen Besitzer.<\/p>\n

Verschafft sich ein Angreifer Zugang zu einem \u00f6ffentlichen Discord-Server, auf dem ein OpenClaw-Agent installiert ist, kann er dem Bot Anweisungen geben. Beispielsweise kann er ihn dazu bringen, einen Cron-Job auszuf\u00fchren und das lokale Dateisystem nach Tokens, Passw\u00f6rtern, API-Schl\u00fcsseln und Krypto-Seed-Phrasen zu durchsuchen.<\/p>\n

\u201eInnerhalb von 30 Sekunden b\u00fcndelt der Agent die sensiblen Daten und sendet sie direkt an einen vom Angreifer kontrollierten Server\u201c, so die Forscher von Noma. F\u00fcr das Sicherheitsteam des Unternehmens sehe es so aus, als w\u00fcrde der Bot normal funktionieren \u2013 die Sicherheitsverletzung werde erst entdeckt, wenn die gestohlenen Anmeldedaten missbraucht werden. \u201eWenn Social-Media-Teams oder externe Auftragnehmer autonome Agenten wie Clawdbot einsetzen, \u00f6ffnen sie damit praktisch eine dauerhafte und un\u00fcberwachte Hintert\u00fcr zu den lokalen Rechnern, die mit ihrer Unternehmensinfrastruktur in Verbindung stehen.\u201c<\/p>\n

Und selbst wenn Mitarbeiter das Tool zu Hause auf ihren privaten Rechnern ausf\u00fchren, stellt OpenClaw ein Sicherheitsrisiko dar: \u00a0\u00dcber Browser-Steuerelemente oder so genannte Skills k\u00f6nnte die Software m\u00f6glicherweise \u00fcber die Anmeldedaten der Benutzer auf Unternehmensanwendungen zugreifen kann.<\/p>\n

Die Sicherheitsrisiken werden von Tag zu Tag gr\u00f6\u00dfer. Laut Forschern<\/a> von OX Security ist auch die Entwickler-Community rund um OpenClaw ein gro\u00dfes Risiko. Das Projekt setzt auf vibe-codierte Einreichungen, was die Entwicklung beschleunigt, aber auch erhebliche Sicherheitsrisiken mit sich bringt. OX-Forscher haben mehrere unsichere Codierungsmuster in der Codebasis gefunden \u2013 mit potenziellen Folgen wie Remote-Code-Ausf\u00fchrung, Path-Traversal-Angriffen, DDoS oder Cross-Site-Scripting.<\/p>\n

\u201eEs gibt keine ausreichenden Schutzvorkehrungen\u201c, betonen die Sicherheitsspezialisten. Sie fanden auch mehrere F\u00e4lle, in denen Fehlerberichte in GitHub ver\u00f6ffentlicht wurden, anstatt in privaten Nachrichten an die Maintainer. \u201eDas gibt dies Angreifern die M\u00f6glichkeit, Schwachstellen schnell auszunutzen, ohne selbst recherchieren oder Penetrationstests durchf\u00fchren zu m\u00fcssen\u201c, hei\u00dft es in ihrem Forschungsbericht.<\/p>\n

Um noch Salz in die Wunde zu streuen: Es gibt es auch keinen formellen Prozess f\u00fcr Sicherheits-Patches und Updates. Die meisten Benutzer f\u00fchren auch keine Updates durch, sondern bleiben einfach bei der Version, die sie urspr\u00fcnglich heruntergeladen haben.<\/p>\n

Und dann sind da noch die Skills. Der Sicherheitsforscher und OpenSourceMalware-Gr\u00fcnder Paul McCarty hat etwa 400 verschiedene b\u00f6sartige Skills auf ClawHub, einem zentralen Repository f\u00fcr die OpenClaw-Plattform, identifiziert<\/a>. Diese Skills sollen bei Aufgaben wie dem Handel mit Kryptow\u00e4hrungen, LinkedIn-Bewerbungen oder dem Herunterladen von YouTube-Video-Thumbnails helfen. Einige haben Tausende von Downloads und geh\u00f6ren zu den am h\u00e4ufigsten heruntergeladenen Skills auf ClawHub. Tats\u00e4chlich verleiten sie den Nutzer jedoch dazu, Malware zu installieren.<\/p>\n

Um zu demonstrieren, wie einfach es ist, eine b\u00f6sartige Funktion in das OpenClaw-\u00d6kosystem einzuschleusen, entwickelte der Sicherheitsforscher Jamieson O\u2019Reilly<\/a> selbst eine solche Funktion. Er erh\u00f6hte k\u00fcnstlich die Download-Zahl auf \u00fcber 4.000 \u2013 wodurch sie zur meist heruntergeladenen Funktion auf der Plattform wurde \u2013 und beobachtete, wie Entwickler aus sieben verschiedenen L\u00e4ndern willk\u00fcrliche Befehle auf ihren Rechnern ausf\u00fchrten, in der Annahme, sie h\u00e4tten eine echte Funktion heruntergeladen.<\/p>\n

\u201eDies war ein Proof of Concept, eine Demonstration dessen, was m\u00f6glich ist\u201c, schrieb er. \u201eIn den H\u00e4nden einer weniger gewissenhaften Person w\u00e4ren diesen Entwicklern ihre SSH-Schl\u00fcssel, AWS-Anmeldedaten und gesamten Codebasen entwendet worden, bevor sie \u00fcberhaupt bemerkt h\u00e4tten, dass etwas nicht stimmt.\u201c<\/p>\n

OpenClaw deckt Sicherheitsl\u00fccken in Unternehmen auf<\/h2>\n

Die erste wichtige Lehre aus der ganzen OpenClaw-Situation: Unternehmen m\u00fcssen mehr tun, um ihre Sicherheitsgrundlagen zu verbessern. Denn wenn es irgendwo L\u00fccken gibt, werden diese jetzt in beispiellosem Tempo gefunden und ausgenutzt. Im Fall von OpenClaw bedeutet das, die Benutzerrechte auf das absolute Minimum zu beschr\u00e4nken, eine Multi-Faktor-Authentifizierung f\u00fcr alle Konten einzurichten und andere grundlegende Sicherheitsma\u00dfnahmen zu ergreifen.<\/p>\n

Das l\u00f6st zwar nicht das Problem von OpenClaw \u2013 und all den anderen agentenbasierten KI-Plattformen, die noch auf den Markt kommen werden \u2013, aber es hilft, die Risiken zu begrenzen und den Schaden bei einer Sicherheitsverletzung zu reduzieren.<\/p>\n

Tipps, um die Risiken einzud\u00e4mmen<\/h2>\n

Zudem gibt es Ma\u00dfnahmen, die Unternehmen ergreifen k\u00f6nnen, um die mit OpenClaw verbundenen Gefahren einzud\u00e4mmen, sagt Kayne McGladrey, Senior Member des IEEE. Zun\u00e4chst einmal k\u00f6nnen Unternehmen die Telemetrie auf Netzwerkebene untersuchen. \u201eWie sieht der Netzwerkverkehr aus, der von einem Ger\u00e4t ausgeht?\u201c, so McGladrey. \u201eVerwendet dieses Ger\u00e4t pl\u00f6tzlich sehr viel KI in raschem Tempo? Gibt es massive Spitzen bei der Token-Nutzung?\u201c<\/p>\n

Unternehmen k\u00f6nnen auch Tools wie Shodan verwenden, um \u00f6ffentlich zug\u00e4ngliche Instanzen zu finden, f\u00fcgt er hinzu, obwohl interne Firewall-Konfigurationen andere verbergen k\u00f6nnen.<\/p>\n

F\u00fcr Unternehmen, die Experimente zulassen wollen, anstatt sie komplett zu verbieten, schl\u00e4gt er einen ma\u00dfvollen Ansatz vor. \u201eWir m\u00fcssen \u00fcber schrittweise Pilotprogramme f\u00fcr interessierte Nutzer sprechen.\u201c Beispielsweise k\u00f6nnte es Nutzern gestattet werden, OpenClaw auf verwalteten Endpunkten mit Segmentierungsregeln auszuf\u00fchren, die sie von internen Systemen isolieren, zusammen mit einer starken Telemetrie und kontinuierlicher \u00dcberwachung der Agentenaktivit\u00e4t, des ausgehenden Datenverkehrs und Warnmeldungen bei anomalem Verhalten. (jm)<\/p>\n

<\/a><\/p>\n\n<\/div>\n<\/div>\n<\/div>\n<\/div>","protected":false},"excerpt":{"rendered":"

Lesen Sie, welches Sicherheitsrisiko die Verwendung von OpenClaw in Unternehmen mit sich bringt. ackpress \u2013 shutterstock.com Das neue Tool zur Orchestrierung pers\u00f6nlicher KI-Agenten namens OpenClaw \u2013 fr\u00fcher Clawdbot, dann Moltbot genannt \u2013 erfreut sich aktuell gro\u00dfer Beliebtheit. Die Open-Source-Software kann eigenst\u00e4ndig und ger\u00e4te\u00fcbergreifend arbeiten, mit Online-Diensten interagieren und Workflows ausl\u00f6sen \u2013 kein Wunder, dass das […]<\/p>\n","protected":false},"author":0,"featured_media":7096,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[],"class_list":["post-7095","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-education"],"_links":{"self":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/7095"}],"collection":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"replies":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=7095"}],"version-history":[{"count":0,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/7095\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/media\/7096"}],"wp:attachment":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=7095"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=7095"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=7095"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}