Blog

OpenClaw in Unternehmen: Zurzeit mehr Risiko als Chance

KI-Illustration: Rote Krabbe am Computer, bezugnehmend auf OpenClaw

Stell dir vor, du bekommst einen Anruf. Die Stimme klingt wie die deiner Geschäftsführung: Tonfall, Tempo, ja sogar die kleinen persönlichen Eigenheiten klingen authentisch, wie gewohnt. Nichts wirkt beim Hören irgendwie verdächtig. Und es scheint dringend. „Wir brauchen das heute noch, es eilt.“

Früher war die wichtigste Frage: Ist die Anfrage plausibel? Jetzt kommt durch KI eine weitere, wichtige Frage dazu: Ist die Stimme überhaupt echt?

Das ist die Lage

KI hat Inhalte drastisch verbilligt. Das gilt für Texte, Bilder und längst auch für Stimmen und Videos. Gleichzeitig tauchen mit agentischen Tools wie OpenClaw Systeme auf, die nicht nur reagieren, sondern handeln, die Dateien anfassen, Nachrichten verschicken, Automatisierungen auslösen oder Workflows anstoßen.

Ja, das ist nützlich. Und es ist riskant. Der Nutzen muss eigentlich nicht groß erklärt werden. Wer von uns hätte nicht gern einen persönlichen digitalen Assistenten, der Dinge erledigt: Mails beantwortet, Anrufe tätigt, Bestellungen aufgibt?

Doch es gilt wie üblich: Wo der Gebrauchswert groß ist, ist es auch die Missbrauchsgefahr. Neben jedem berechtigten Fortschrittsenthusiasmus ist also durchaus Vorsicht geboten.

OpenClaw ist mehr als nur ein Chatbot

OpenClaw ist ein agentisches Tool, das Aufgaben selbständig und im Alleingang erledigt. Und dabei auf alle Winkel des Systems zugreift. Dabei lässt es sich einfach über Messaging-Dienste (z. B. WhatsApp, Telegram, iMessage u. a.) befehligen. Das klingt zunächst nach einer Art ChatGPT mit einem anderen Interface, ist aber deutlich weitgreifender.

Denn im Unterschied zum klassischen „Frag-mich-was“-Modus geht es bei OpenClaw um Aktionen: OpenClaw agiert in deinem Namen, unter Verwendung deiner Daten, deiner Tools und deiner Credentials. Damit ändert sich das Sicherheitsmodell fundamental:

  • Ein Prompt ist nicht nur Text. Ein Prompt kann ein Auftrag sein.
  • So ein Auftrag kann teils schwerwiegende Seiteneffekte haben (Daten, Geld, Reputation, Compliance).

Als Digitalisierungsprofis mit einschlägigem Know-how in Künstlicher Intelligenz verstehen wir es als unsere Auftrag, die Entwicklungen im KI-Sektor genau zu beobachten und einzuordnen. Dazu gehört auch die kritische Betrachtung möglicher Risiken, die wir hier für dringend geboten halten.

Hendrik Thole

IT Security und Softwareentwicklung

Porträtfoto Stefan Jakob

Dr. Stefan Jakob

Data Science, KI und Softwareentwicklung

Ohne Leitplanken steigt das Risiko

Es gibt vier Entwicklungen, die wir für eine seriöse Bewertung von OpenClaw & Co. nicht ignorieren dürfen:

  1. Die Schwachstelle CVE-2026-25253: Laut NVD betraf sie die OpenClaw-Versionen vor dem 29. Januar 2026. Die Schwachstelle ermöglichte ein Szenario, in dem ein gatewayUrl aus der Query-String übernommen und automatisch eine WebSocket-Verbindung aufgebaut werden konnte, über die dann entsprechende Token übertragen wurden. Weitere Sicherheitslücken dieser Art sind auch in Zukunft nicht auszuschließen.
  2. Skills als Supply-Chain-Angriffsfläche: Es gibt Berichte über hunderte bösartige Add-ons im OpenClaw Skill-Marktplatz , die u.  a. auf den Diebstahl von Credentials abzielen. Laut einer Analyse von clutch sind ca. 12 % der dort angebotenen Skills bösartiger Natur.
  3. Reaktionen aus der Praxis: Einige Unternehmen reagieren mit klaren Restriktionen bis hin zum Verbot von OpenClaw u. ä. Nicht, weil sie „gegen KI“ wären, sondern weil sie agentische Systeme als unvetted high-risk betrachten, solange keine belastbaren Leitplanken existieren.
  4. Umbenennungen: OpenClaw ist in wenigen Wochen zweimal umbenannt worden (Moltbot, Clawdbot). Dies begünstigt Verwechslungen und birgt somit das Risiko, Malware zu installieren.

Wer in OpenClaw indes nur einen potenziell gefährlichen „Hype“ sieht, übersieht etwas Wichtiges: OpenClaw ist auch ein Stresstest für Sicherheits- und Vertrauensmodelle.

Am Anfang steht ein Missverständnis

Wir behandeln Agenten oft wie einfache Tools. Sie verhalten sich aber wie komplexe, dynamische Systeme. Bei klassischen Tools ist der Schaden meist begrenzt: falsche Antwort, falsche Datei oder falscher Report. Ärgerlich, aber meist durch wenige Anweisungen zu beheben und somit ziemlich gut beherrschbar.

Eine ganz andere Hausnummer sind etwa die Weitergabe von Interna oder die Kündigung von Mitarbeitenden im Namen des/der Vorgesetzten, ausgeführt durch einen Agenten.

Bei Agenten wie OpenClaw passieren zwei Dinge gleichzeitig:

KI-Illustration: Rote Krabbe plündert Briefkasten, bezugnehmend auf OpenClaw
  1. Die Angriffsfläche wird sprachfähig. Angriffe können über Sprache und Inhalte ausgelöst werden, z.  B. über E-Mails oder Dokumente, die der Agent „nur mal eben kurz zusammenfassen“ soll. Genau das wird in Security-Debatten rund um agentische Systeme völlig zu Recht als Problem hervorgehoben.
  2. Die Ausführungskette wird länger. Prompt → Orchestrierung → Agenten → Tools → Skills → Netzwerk → Dateisystem → externe Systeme. Jedes Glied und jede Interaktion in dieser Kette ist eine mögliche Schwachstelle. Das gilt nicht nur technisch, sondern auch organisatorisch (Rechte, Freigaben, Nachvollziehbarkeit).

Das ist der Punkt, an dem Security, also der Schutz vor Angriffen, und Safety, der Schutz vor unbeabsichtigtem Schaden, zusammenfallen.

Unser Manifest: Zero Trust für agentische Systeme

Wer das solide und gut lösen will, braucht ein Modell. Die deutsch-französische Kooperation von BSI und ANSSI liefert dafür eine gut verwertbare Struktur: Design Principles for LLM-based Systems with Zero Trust (veröffentlicht am 11.08.2025).

In der Praxis sind besonders diese Prinzipien hilfreich:

  • Authentifizierung & Autorisierung: Dies gilt für jede Interaktion.
  • Input-/Output-Restriktionen: Guardrails, Validierung, Quellenbewertung.
  • Sandboxing: Isolierung, harte Grenzen und keine vollumfänglichen Freigaben.
  • Monitoring/Reporting/Controlling: Logs, Limits, Forensik.
  • Threat Intelligence: Umfassende und dauerhafte Überwachung, die Bedrohungslage ändert sich schnell.
  • Awareness: Menschen müssen das Modell verstehen und nicht blind der KI glauben.

Diese Empfehlungen sind nicht akademisch. Sie sind eine Betriebsanleitung dafür, wie wir agentische Systeme so integrieren, dass sie nicht zur Dauerbaustelle werden.

Besonders der Punkt Awareness ist für jeden und jede von uns wichtig. In der digitalen Welt vor KI war die gefühlte “Unfehlbarkeit” von Computern zwar auch schon mit Vorsicht zu genießen, aber immerhin waren diese noch berechenbarer als heute. Solange die Software richtig implementiert war, lieferte sie die erwarteten Ergebnisse oder zumindest reproduzierbare Fehler.

KI arbeitet heute im Vergleich deutlich intransparenter. Und sie macht Fehler, die nicht gleich als solche erkennbar sind und trifft Aussagen, die, auch wenn sie falsch sind, nicht minder apodiktisch vorgetragen werden. Eine gesunde Skepsis ist also wichtig.

OpenClaw als Komplize für Social Engineering

Doch leider wird Security noch immer gern auf Technik & Tools reduziert. Dabei entscheidet in der Praxis oft der Mensch, ob etwas vertrauenswürdig wirkt oder nicht. Darum haben wir uns in der Vergangenheit schon oft mit dem Thema Social Engineering befasst.

KI-generierte Deepfakes sind kein neuer Trend im Social Engineering, aber einer, der durch OpenClaw in neue Dimensionen vorstößt. Selbst wenn wir Deepfakes manchmal als solche erkennen können, ist unser menschliches Radar allein kein robustes, verlässliches Kontrollsystem.

Das OWASP formuliert es sinngemäß so: Statt Deepfake-Erkennungstrainings helfen fundamentale Prozesse deutlich besser. Dazu zählen Verifikation, klare Freigaben, definierte Incident Response und eine Kultur der Skepsis bei ungewöhnlichen Anfragen. Es braucht also beides: wachsame Menschen, verbindliche Prozesse.

Ein reales Beispiel, wie solche OpenClaw-gesteuerten Angriffe aussehen können, zeigte unlängst ein Fall, in dem ein CEO über WhatsApp/Teams mithilfe KI-generierter Elemente imitiert wurde. Der Betrugsversuch scheiterte nur an der kritischen Aufmerksamkeit der Adressierten.

Um diese Adressierten zu schützen, müssen wir sie mit prozessualen Leitplanken unterstützen, die schon vor KI im Social Engineering wirksam waren:

  • Rückrufregel: Bei Zahlungs-/Credential-Requests niemals über die angegebene Nummer zurückrufen, sondern über bekannte Verzeichnisse/Nummern.
  • Vier-Augen-Prinzip: Grundsätzlich anzuwenden bei Geld, Berechtigungen, kritischen Datenexporten.
  • „Out-of-band“-Verifikation: Zweiter Kanal, der nicht aus derselben Nachricht heraus angesteuert wird.
  • Safe-Word/Codewort: Für Teams oder Familien in „Dringend“-Situationen.
  • E-Mail-Authentifizierung technisch erzwingen: DMARC/DKIM/SPF konsequent in die Awareness aufnehmen.
  • Awareness: „Dringend + geheim + bitte schnell“ ist ein Alarmmuster, kein Arbeitsauftrag.
KI-Illustration: Rote Krabbe nutzt Smartphone, bezugnehmend auf OpenClaw

Was zu Beginn eine Umstellung sein mag, wird schnell zu einem selbstverständlichen Habitus. Und ist ein wirksamer Selbst- und Systemschutz in einer Welt, in der Inhalte beliebig imitierbar sind und Agenten blitzschnell Anfragen mit weiträumigen Auswirkungen ausführen können.

Was wir empfehlen

Grundsätzlich raten wir dazu, erstmal noch abzuwarten, wie sich die Technologie weiterentwickelt. Wer indes jetzt schon die Vorteile von OpenClaw und anderer solcher Agenten nutzen möchte, möge vorher folgende Vorkehrungen treffen:

KI-Illustration: Rote Krabbe mit Shoppingtüten, bezugnehmend auf OpenClaw
  • Rollen- und Rechtekonzepte (IAM) prüfen und optimieren,
  • Auditierbarkeit verbessern,
  • Prozess- und Freigabeketten etablieren,
  • Integrationen gegen Missbrauch härten (E-Mail, DMS, ERP, Ticketsysteme),
  • Betriebsmodelle implementieren (Monitoring, Incident Response).

Fazit

Die Reise mit KI geht weiter, Chatbots waren nur der Anfang. Was nun kommen wird, sind Agenten, die nicht nur Fragen beantworten, sondern Aufgaben übernehmen und Prozesse anstoßen. Sei es, dass sie im Auftrag des/der Nutzenden ein Familienmitglied anrufen, die Mails der Chefin beantworten oder Handwerker beauftragen. Die Beispiele lassen sich auf alle Lebens- und Berufsbereiche übertragen.

Wir tun also gut daran, vorbereitet zu sein. OpenClaw ist in dieser Hinsicht ein wichtiger Test für die Sicherheit unserer IT-Systeme und ein Warnsignal. Wer Agenten wie OpenClaw künftig im Unternehmenskontext nutzen will, sollte nicht zuerst fragen: Was kann der Agent? Sondern: Welche Berechtigungen benötigt der Agent? Was kann der Agent mit diesen Berechtigungen bewirken? Welche Grenzen setzen wir ihm technisch und prozessual?

Wir befinden uns gerade erst am Anfang dieser Entwicklung. Doch schon jetzt zeigt OpenClaw die potentiellen Möglichkeiten der Automatisierung, gleichzeitig mit den ersten Risiken, die durch die uneingeschränkte Nutzung von KI entstehen können. Daher sollte jeder und jede Nutzende klar abwägen, ob das private oder geschäftliche Umfeld den Einsatz erlaubt, welche Einschränkungen gegeben sein müssen und auch dass sich Agenten, wie auch Machine-Learning-Modelle, Umwege und Abkürzungen suchen werden, um ihre Aufgaben zu erfüllen.

Wir beraten Sie gern, sprechen Sie uns einfach an.