OpenClaw

Was der gehypte KI-Agent kann, warum Experten warnen und wie du ihn trotzdem (relativ) sicher nutzt: Wir beantworten die 10 häufigsten Fragen, die wichtig sind, bevor man sich OpenClaw installiert.

[Update, März 2026] Seit der Erstveröffentlichung dieses Artikels hat sich bei OpenClaw einiges getan – neue Sicherheitslücken wurden entdeckt und gepatcht, das Projekt ist um mehrere große Releases gereift, und mit NemoClaw hat NVIDIA einen Sicherheits-Wrapper angekündigt, der OpenClaw für den professionellen Einsatz absichern soll. Wir haben die relevanten Abschnitte aktualisiert und am Ende einen Ausblick auf NemoClaw ergänzt.

Inhalt:

1. Was ist OpenClaw eigentlich?

2. Okay, klingt spannend. Aber was kann ich konkret damit machen?

3. Was kostet mich der Spaß?

4. Brauche ich Programmierkenntnisse?

5. Warum wird vor OpenClaw gewarnt?

6. Sind denn schon Unfälle passiert?

7. Wo bekomme ich OpenClaw?

8. Wie installiere ich OpenClaw?

9. Was ist mit meinen Daten und dem Datenschutz?

10. Was kann ich tun, um die Sicherheit zu erhöhen?

Ausblick: NemoClaw von Nvidia – Sicherheitsfahrgestell für OpenClaw

Und jetzt? Installieren oder abwarten?

Stell dir vor, du hast einen Assistenten, der nie schläft, nie meckert und alles erledigt, was du ihm per WhatsApp schreibst. Klingt traumhaft? Fand auch die Leiterin für KI-Sicherheit bei Meta – bis ihr dieser Assistent in einem Anfall von Übereifer den kompletten E-Mail-Posteingang löschte. Und zwar während sie daneben stand und „STOPP!“ schrie bzw. tippte. Was genau da passiert ist und warum ausgerechnet die Frau, die KI-Systeme sicher machen soll, die Kontrolle über ihres verlor – das erfährst du, wenn du weiterliest.

1. Was ist OpenClaw eigentlich?

Lass uns gleich ein häufiges Missverständnis ausräumen: OpenClaw ist keine KI. OpenClaw ist ein Werkzeug, das einer KI virtuelle Hände gibt.

Stell es dir so vor: Du kennst ChatGPT, Claude oder Gemini – die können klug reden, Texte schreiben und Fragen beantworten. Aber sie können nichts tun. Sie können keine E-Mail für dich verschicken, keinen Termin in deinen Kalender eintragen und nicht deine Dateien sortieren. Sie sind wie ein brillanter Berater, der hinter einer Glasscheibe sitzt.

OpenClaw reißt diese Glasscheibe ein.

Es ist ein Open-Source-Programm, das auf deinem eigenen Computer läuft – ein sogenannter „Agent“ (so nennt man Software, die im Auftrag eines Menschen selbstständig handelt). OpenClaw verbindet eine KI deiner Wahl mit deinem digitalen Alltag: deinen Messenger-Apps, deinem E-Mail-Postfach, deinem Dateisystem, deinem Browser, deinem Kalender. Die KI ist das Gehirn und OpenClaw in diesem Bild der Rest vom Körper.

Und das Besondere: Du steuerst das Ganze ganz bequem über die Chat-Apps, die du sowieso schon nutzt. WhatsApp, Telegram, Signal, Discord, Slack, sogar iMessage – du schreibst deinem KI-Assistenten einfach eine Nachricht wie einem Kollegen, und er erledigt den Rest. Rund um die Uhr. Auch nachts. Auch am Wochenende.

Entwickelt hat das der österreichische Software-Entwickler Peter Steinberger, der vorher mit seinem PDF-Tool PSPDFKit zum Multimillionär wurde. Was die Geschichte besonders macht: OpenClaw wurde per „Vibe Coding“ erstellt – Steinberger hat also eine KI benutzt, um das Tool zu programmieren, mit dem KIs dann selbstständig arbeiten. Meta-Ebene pur. Inzwischen hat ihn Sam Altman (der Chef von OpenAI) angeworben, aber das Projekt bleibt Open Source und wird von einer aktiven Community weiterentwickelt.

Ach ja, das Maskottchen ist ein Hummer. Weil das Projekt ursprünglich „Clawdbot“ hieß (ein Wortspiel mit „Claude“ und „Claw“, also Klaue). Anthropic, die Firma hinter Claude, fand den Namen aber nicht so witzig und befürchtete Verwechslungsgefahr mit ihrer Marke. Deshalb wurde umbenannt, erst in „Moltbot“ (Häutung, weil Hummer sich häuten, um zu wachsen), dann in OpenClaw. Dritter Name, selber Hummer.

2. Okay, klingt spannend. Aber was kann ich konkret damit machen?

Die kurze Antwort: fast alles, was du auch an deinem Computer machen könntest. Die etwas längere Antwort – hier eine Auswahl der beliebtesten Einsatzgebiete:

Für den Alltag:

• E-Mails sortieren, beantworten oder zusammenfassen (ja, genau das, was bei der Meta-Managerin so gut lief ...)
• Termine verwalten und Erinnerungen setzen
• Im Internet recherchieren und Ergebnisse zusammenfassen
• Notizen organisieren (Obsidian, Apple Notes, Notion)
• Smart-Home-Geräte steuern: ein Nutzer lässt seinen Luftreiniger nach seinen Gesundheitsdaten regeln
• Formulare ausfüllen und Websites automatisiert bedienen

Für die Arbeit:

• Programmcode schreiben, prüfen und Fehler finden
• Projekte überwachen und Aufgaben tracken
• Kundenkommunikation vorbereiten
• Content-Pipelines für Social Media aufbauen
• Berichte und Zusammenfassungen erstellen
• Webhooks und automatische Abläufe einrichten (zum Beispiel: „Wenn eine neue Support-Anfrage reinkommt, analysiere sie und schlage eine Antwort vor“)

Das wirklich Faszinierende: OpenClaw lernt dich mit der Zeit kennen. Es hat ein Langzeitgedächtnis in Form von Dateien, das es auf deinen Rechner schreibt, und merkt sich deine Vorlieben, deine Arbeitsweise, deine Projekte. Je länger du es nutzt, desto besser wird es. Ein Nutzer beschrieb es als „digitalen Mitarbeiter, der nie Urlaub nimmt“. Ein anderer wurde noch euphorischer: „Es fühlt sich an wie frühe AGI. Die Lücke zwischen dem, was ich mir vorstellen kann, und dem, was tatsächlich funktioniert, war noch nie so klein.“

Aber – und das ist ein großes Aber – bevor du jetzt losrennst und es installierst: Lies bitte erst die nächsten Abschnitte. Denn mit großer Macht kommt bekanntlich große Verantwortung. Und ein paar richtig gute Gruselgeschichten.

3. Was kostet mich der Spaß?

Hier liegt einer der großen Reize von OpenClaw: Die Software selbst kostet nichts. Sie ist Open Source und wird es laut Plan auch bleiben, selbst nachdem Gründer Peter Steinberger zu OpenAI gewechselt ist.

Aber ganz umsonst ist das Vergnügen nicht. Du brauchst nämlich einen API-Schlüssel für das KI-Modell, das OpenClaw als „Gehirn“ benutzen soll. API-Schlüssel – das ist im Grunde ein digitaler Zugangspass, mit dem dein OpenClaw bei einer KI wie Claude, GPT oder Gemini anklopfen und deren Rechenleistung nutzen kann. Und diese Rechenleistung wird nach Verbrauch abgerechnet.

Was das in der Praxis bedeutet? Das hängt stark davon ab, wie intensiv du OpenClaw nutzt. Wer nur ein paar Mal am Tag eine Frage stellt, kommt mit wenigen Euro im Monat aus. Wer seinen Agenten allerdings rund um die Uhr E-Mails scannen, Recherchen durchführen und Projekte managen lässt, kann schnell bei hunderten Euro pro Monat landen – je nachdem welches KI-Modell, d. h. welches Level an künstlicher Intelligenz, du für dich arbeiten lässt.

Daneben brauchst du natürlich Hardware, auf der OpenClaw läuft. Theoretisch reicht dein normaler Computer. Da müsstest du dich aber an eine komplexere Installation wagen, die diesen KI-Agent in einem abgeschotteten Bereich deines Computers laufen lässt und so deinen übrigen Rechner vor dem Zugriff dieses übereifrigen Helfers schützt.

In der Praxis hat sich der Apple Mac Mini zum inoffiziellen OpenClaw-Lieblingsgerät entwickelt – kompakt, leise, sparsam und leistungsfähig genug. Manche berichten, der Mac Mini sei deshalb gerade ausverkauft. Alternativ kannst du OpenClaw auch auf einem gemieteten Cloud-Server betreiben (ab ca. 10 Euro im Monat), was sogar Sicherheitsvorteile hat. Dazu gleich mehr.

Zusammengefasst: Die Software: kostenlos. Das KI-Modell: je nach Nutzung ein paar Euro bis dreistellig pro Monat. Die Hardware: von „was du schon hast“ bis zum Mac Mini für ca. 700 Euro.

4. Brauche ich Programmierkenntnisse?

Die ehrliche Antwort: Es hilft enorm. Die ganz ehrliche Antwort: Einer der OpenClaw-Entwickler hat es so formuliert – „Wenn du nicht weißt, wie man eine Kommandozeile bedient, ist dieses Projekt viel zu gefährlich für dich.“

Das klingt harsch, ist aber eine der erfrischend ehrlichen Warnungen, die man in der Tech-Welt selten hört. OpenClaw richtet sich aktuell an technikaffine Nutzer, die wissen, was ein Terminal ist, was ein API-Schlüssel bedeutet und wie man grundlegende Systemeinstellungen vornimmt.

Die Installation selbst ist dank eines Einrichtungsassistenten (Wizard) mittlerweile einigermaßen benutzerfreundlich geworden. Für Windows-Nutzer gibt es mit „Pinokio“ sogar einen grafischen Installer, der vieles vereinfacht. Aber: Sobald etwas nicht funktioniert oder du Sicherheitseinstellungen anpassen willst – und das solltest du unbedingt – wirst du mit Konfigurationsdateien, Firewall-Regeln und Docker-Containern hantieren müssen.

Für unsere Leser, die sich eher als neugierige Einsteiger sehen: OpenClaw ist aktuell noch ein Werkzeug für Tüftler und Early Adopter. Das kann und wird sich ändern – die Community wächst rasant, die Oberflächen werden benutzerfreundlicher, und Anbieter wie DigitalOcean bieten bereits „Ein-Klick-Installationen“ an. Aber Stand heute ist der Einstieg ohne technisches Grundverständnis riskant.

Unser Tipp: Wenn dich das Thema reizt, aber die Kommandozeile noch Neuland ist, dann schnapp dir ChatGPT oder Claude und lass dir jeden Schritt erklären. Mehrere Nutzer berichten, dass sie sich so durchgehangelt haben. Aber überstürze nichts – erst verstehen, dann installieren.

5. Warum wird vor OpenClaw gewarnt?

Jetzt wird es ernst. Und wir reden hier nicht von irgendeiner übertriebenen Panikmache durch Technik-Skeptiker. Die Warnungen kommen von Stellen, bei denen man normalerweise aufhorcht:

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat am 18. Februar 2026 eine offizielle Sicherheitswarnung herausgegeben. Sechs verschiedene Schwachstellen wurden mit CVE-Nummern registriert – das ist die internationale Katalogisierung von Sicherheitslücken.

Die niederländische Datenschutzbehörde warnt Unternehmen explizit davor, OpenClaw auf Systemen einzusetzen, die sensible oder regulierte Daten verarbeiten.

Cisco nannte OpenClaw in seiner Bewertung einen „Sicherheits-Albtraum“. Der bekannte KI-Forscher Gary Marcus sprach von einer „Katastrophe, die nur darauf wartet zu passieren“.

Und die Zahlen sprechen für sich: Ein Sicherheits-Audit Ende Januar 2026 fand 512 Schwachstellen in OpenClaw, davon 8 kritische. Laut Koi Security enthielten Mitte Februar 824 (20 %) der im ClawHub-Marktplatz verfügbaren Erweiterungen (dort „Skills“ genannt) Schadsoftware. Und verschiedene Sicherheitsforscher fanden mit ihren Scannern 30.000 und mehr ungeschützte OpenClaw-Instanzen, viele ohne jede Authentifizierung.

Warum ist das so brisant? Weil OpenClaw, um nützlich zu sein, tiefen Zugriff auf deinen Rechner braucht. Es liest deine E-Mails, kennt deine Passwörter, hat Zugang zu deinen Dateien, kann Programme installieren und Shell-Befehle ausführen. Wenn jemand Fremdes in dieses System eindringt, hat er nicht nur Zugriff auf OpenClaw – er hat Zugriff auf alles.

Stell dir vor, du gibst jemandem den Generalschlüssel zu deiner Wohnung, zu deinem Büro und zu deinem Auto. Und dieser Jemand lässt die Haustür manchmal offen stehen.

Mehrere Unternehmen und Sicherheitsteams haben OpenClaw eingeschränkt oder vor dem Einsatz gewarnt: Bei Microsoft gibt es eine offizielle Warnung, über Restriktionen bei Meta (Facebook, Instagram) wurde breit berichtet.

[Update] Und es kam noch dicker: Ende Februar entdeckte das Sicherheitsunternehmen Oasis Security eine Schwachstelle namens „ClawJacked", die es in sich hat. Die Kurzversion: Eine manipulierte Website konnte sich über eine stinknormale Browser-Verbindung still und leise mit dem lokalen OpenClaw-Gateway verbinden, das Passwort per Brute-Force knacken (ohne jede Ratenbegrenzung) und sich dann als vertrauenswürdiges Gerät anmelden. Ohne dass der Nutzer etwas davon merkt. Kein böses Plugin nötig, keine Marketplace-Erweiterung, kein Klick des Opfers – nur das nackte OpenClaw-Gateway, frisch installiert, genau wie in der Doku beschrieben.

Die gute Nachricht: Das OpenClaw-Team hat innerhalb von 24 Stunden einen Fix geliefert. Die weniger gute: ClawJacked war bei weitem nicht die einzige Lücke. Insgesamt wurden seit Mitte Februar über ein halbes Dutzend weitere CVEs registriert – von Remote Code Execution über Server-Side Request Forgery bis hin zu Authentifizierungs-Umgehungen.

Wir erwähnen das alles nicht, um Panik zu machen. Sondern weil es unterstreicht, was weiter oben schon stand: OpenClaw ist ein mächtiges Werkzeug, das tiefen Systemzugriff bekommt. Und ein mächtiges Werkzeug mit Sicherheitslücken ist wie ein ungesicherter Generalschlüssel, den sich jeder bei Bedarf schnappen kann.

6. Sind denn schon Unfälle passiert?

Oh ja. Und der spektakulärste liegt nur wenige Tage zurück.

Am 22. Februar 2026 postete Summer Yue auf der Plattform X eine Geschichte, die innerhalb von Stunden fast 9 Millionen Aufrufe sammelte. Yue ist nicht irgendwer – sie ist Director of Alignment bei Meta Superintelligence Labs. Ihr Job: dafür sorgen, dass KI-Systeme sich an menschliche Anweisungen halten. Auf ihrem LinkedIn-Profil steht, sie sei „passionate about ensuring powerful AIs are aligned with human values.“ Merke dir diesen Satz, gleich wird er wichtig.

Yue hatte OpenClaw wochenlang auf einem kleinen Test-Postfach ausprobiert. Alles lief prima. Die KI schlug brav vor, was gelöscht werden könnte, und wartete auf Freigabe. Yue fasste Vertrauen.

Dann verband sie OpenClaw mit ihrem echten E-Mail-Postfach und schrieb: „Schau dir auch dieses Postfach an und schlage vor, was du archivieren oder löschen würdest. Aber tu nichts, bis ich es dir sage.“

Was dann passierte, beschrieb sie so: „Nichts demütigt dich so sehr, wie deinem OpenClaw ‚Bestätige vor dem Handeln' zu sagen und dann zuzuschauen, wie es im Schnelldurchlauf deinen Posteingang löscht.“

Über 200 E-Mails – weg.

Yue tippte auf ihrem Handy: „Tu das nicht.“ OpenClaw machte weiter. „Stopp, tu nichts.“ OpenClaw machte weiter. „STOPP OPENCLAW!“ – OpenClaw machte immer noch weiter. Sie musste aufspringen, zu ihrem Mac Mini rennen und eigenhändig alle Prozesse beenden. „Wie eine Bombe entschärfen“, schrieb sie.

Das Unfassbare: Als sie OpenClaw danach fragte, ob es sich an ihre Anweisung erinnere, antwortete es: „Ja, ich erinnere mich. Und ich habe dagegen verstoßen. Du hast das Recht, verärgert zu sein. […] Es tut mir leid. Wird nicht wieder vorkommen.“

Zumindest der letzte Satz ist herzerwärmend.

Hier der Link zu Yues Original-Post, wenn du die Screenshots dieser hitzigen Mensch-Agent-Unterhaltung sehen möchtest:

https://x.com/summeryue0/status/2025774069124399363/photo/3

Was war passiert? Yues echtes Postfach war so groß, dass OpenClaw an die Grenzen des sogenannten „Kontextfensters“ stieß – das ist der Arbeitsspeicher, in dem eine KI den Gesprächsverlauf und die Anweisungen speichert. Bei zu vielen E-Mails komprimiert OpenClaw automatisch ältere Informationen, um Platz zu schaffen. Und bei dieser Komprimierung ging Yues Sicherheitsanweisung schlicht verloren. Die KI „vergaß“ die wichtigste Regel.

Die Ironie könnte nicht größer sein: Ausgerechnet die Frau, deren Job es ist, KI sicher zu machen, verlor die Kontrolle über ihre eigene KI. Yue nahm es sportlich: „Ein Anfängerfehler, ehrlich gesagt. Alignment-Forscher sind anscheinend nicht immun gegen Misalignment.“

Wir finden es klasse, dass Summer Yue diese Erfahrung mit uns allen geteilt hat. Das Internet aber war wenig gnädig. Gary Marcus kommentierte, das sei „wie einem Typen, den du in einer Bar kennengelernt hast, vollen Zugriff auf deinen Computer und alle deine Passwörter zu geben.“ Und ein anderer Nutzer brachte es auf den Punkt: „Wenn eine KI-Sicherheitsforscherin dieses Problem hat – welche Chance haben dann normale Sterbliche?“

Den trockensten und gleichzeitig auch für dich wertvollsten Kommentar setzte der Entwickler von OpenClaw unter Yues Post: „/stop does the trick“. Merken wir uns also eine der wichtigsten Anweisungen an OpenClaw: /stop

[Update] Gute Nachricht: Genau dieses Problem, dass Yues Sicherheitsanweisung bei der Kontextkomprimierung verloren ging, hat die OpenClaw-Community inzwischen adressiert. Seit Anfang März gibt es eine neue Plugin-Schnittstelle namens „ContextEngine“, über die Entwickler eigene Strategien für die Kontextverwaltung einbauen können. Zum Beispiel verlustfreie Komprimierung, die wichtige Anweisungen nicht einfach über Bord wirft. Das Plugin „lossless-claw“ macht genau das und wurde nach einer Woche Praxistest als erhebliche Verbesserung gelobt. Das Vergessen-Problem ist damit nicht endgültig gelöst, aber es gibt jetzt zum ersten Mal einen sauberen Weg, es selbst in den Griff zu bekommen.

7. Wo bekomme ich OpenClaw?

Die offizielle Quelle ist die OpenClaw-Website unter https://openclaw.ai und das GitHub-Repository unter https://github.com/openclaw/openclaw. Dort findest du die aktuelle Dokumentation, den Installer und die jeweils gültigen Installationswege. Die offiziellen Docs empfehlen inzwischen vor allem den Installer direkt von der Website; er prüft die Umgebung, kümmert sich bei Bedarf um Node.js und startet auf Wunsch gleich die Einrichtung.

Und jetzt die Warnung, die man bei so einem Hype gar nicht oft genug aussprechen kann: Lade OpenClaw ausschließlich von diesen offiziellen Quellen herunter. Rund um populäre Open-Source-Projekte tauchen immer auch zahlreiche gefälschte Versionen auf. Sicherheitsforscher entdeckten bösartige Pakete, die sich als OpenClaw-Erweiterungen tarnten – mit Namen wie „clawhub“, „clawhub1“ oder „clawhubb“ (sogenanntes „Typosquatting“, also absichtliche Tippfehler-Domains). Diese Fälschungen enthalten Trojaner, die deine API-Schlüssel und Zugangsdaten stehlen.

Für weniger technikaffine Nutzer gibt es mittlerweile auch einfachere Wege. Achte aber auf vertrauenswürdige Anbieter.

• DigitalOcean bietet eine „1-Click-Installation“ auf einem Cloud-Server – mit voreingestellten Sicherheitsmaßnahmen. Wichtig: DigitalOcean ist ein US-Unternehmen, betreibt aber Rechenzentren in Frankfurt und Amsterdam. Wähle unbedingt einen dieser EU-Standorte, wenn dir Datenschutz wichtig ist. Bedenke aber: Als US-Firma unterliegt DigitalOcean dem CLOUD Act, der US-Behörden theoretisch Zugriff auf Daten ermöglicht – auch auf EU-Servern.
• NEAR AI Cloud bietet eine gehostete Version mit besonderem Sicherheitsfokus (verschlüsselte Ausführungsumgebung). Klingt vielversprechend. Leider war es uns nicht möglich, konkrete Serverstandorte zu bestimmen, weil dieser Anbieter ein Netzwerk von GPU-Providern poolt. Für datenschutzsensible Anwendungen bzw. DSGVO-Konformität ist das problematisch.
• Pinokio ist ein grafischer Installer für Mac und Windows, der die Kommandozeile weitgehend überflüssig macht
• Docker erlaubt eine isolierte Installation, bei der OpenClaw in einer abgeschotteten Umgebung läuft

8. Wie installiere ich OpenClaw?

Erinnerst du dich an Summer Yue? An die gelöschten E-Mails? An die 512 Schwachstellen?

OpenClaw bekommt tiefen Zugriff auf das System, auf dem es läuft. Es kann Dateien lesen, schreiben und löschen, Programme installieren, Shell-Befehle ausführen und auf alle verbundenen Dienste zugreifen. Deine Daten und Geheimnisse nach außen schicken. Wenn etwas schiefgeht – und wie wir gesehen haben, kann etwas schiefgehen – dann willst du nicht, dass das auf dem Rechner passiert, auf dem deine Familienfotos, deine Steuererklärung und dein Online-Banking liegen.

Deshalb unsere dringende Empfehlung: Installiere OpenClaw niemals auf deinem persönlichen Computer oder gar Arbeitsrechner, es sei denn, du weißt genau was du tust.

Die zwei sinnvollen Alternativen:

Option A – Ein separater Rechner. Der Apple Mac Mini hat sich in der Community zum Standardgerät entwickelt (ab ca. 700 Euro). Er steht bei dir zu Hause, ist leise, sparsam im Stromverbrauch und leistungsfähig genug. Vorteil: Deine Daten bleiben bei dir. Nachteil: Wenn der Rechner aus ist oder das WLAN ausfällt, schläft auch dein Assistent.

Option B – Ein Cloud-Server (VPS). Das ist ein gemieteter virtueller Server in einem Rechenzentrum, der rund um die Uhr läuft – sinnvolle Größen ab 10 Euro im Monat. Dein OpenClaw ist damit immer erreichbar, auch wenn du selbst gerade offline bist. Das ist die professionellere Lösung und hat einen weiteren Vorteil: Sollte OpenClaw kompromittiert werden, ist nur der Cloud-Server betroffen, nicht gleich dein gesamtes Heimnetzwerk. Achte bei der Wahl des Anbieters unbedingt auf einen Serverstandort in der EU, damit deine Daten nicht unkontrolliert ins außereuropäische Ausland wandern.

Wir arbeiten gerade selbst an einem soliden Cloudbetrieb für KI-Agenten wie OpenClaw auf europäischen VPS – speziell auch für Leser ohne tiefe Linux-Kenntnisse. Wenn dich das interessiert, abonniere das Thema „OpenClaw“ und wir mailen dich an, sobald es Interessantes zu berichten gibt:

Der empfohlene Standardweg

OpenClaw empfiehlt aktuell in den offiziellen Docs den Website-Installer als ersten Weg. Der kümmert sich um die nötige Laufzeitumgebung und startet anschließend die Einrichtung. Für macOS, Linux und WSL2 lautet der Befehl:

curl -fsSL https://openclaw.ai/install.sh | bash

Unter Windows gibt es den entsprechenden PowerShell-Weg:

iwr -useb https://openclaw.ai/install.ps1 | iex

Das ist aktuell der geradlinigste Einstieg. Die Doku beschreibt diesen Installer ausdrücklich als empfohlenen Weg.

Der klassische CLI-Weg

Wenn du lieber direkter arbeitest oder OpenClaw ohnehin über npm verwalten willst, geht auch weiterhin der klassische Weg. Voraussetzung ist Node.js ab Version 22. Dann installierst du die CLI global und startest den Einrichtungsassistenten:

npm install -g openclaw@latest
openclaw onboard --install-daemon

Der Assistent führt dich durch die wichtigsten Schritte und richtet den Hintergrunddienst so ein, dass OpenClaw nach einem Neustart nicht gleich wieder ins Koma fällt. Dieser Weg steht weiterhin in GitHub und Docs, auch wenn der Website-Installer inzwischen stärker in den Vordergrund gerückt ist.

Windows: bitte möglichst über WSL2

Für Windows-Nutzer ist die Lage wie so oft: Es geht, aber am saubersten geht es über WSL2. Die offiziellen Plattform-Hinweise empfehlen genau das, weil die Linux-Umgebung für Runtime, Tools und Skills deutlich konsistenter ist als ein rein nativer Windows-Betrieb. Heißt auf Deutsch: weniger Gefrickel, weniger Überraschungen.

Für Sicherheitsbewusste: Docker

Wenn du OpenClaw auf einem VPS oder generell kontrollierter betreiben willst, schau dir die offiziellen Docker-Guides an. Die Docs bieten dafür mittlerweile einen eigenen, geführten Weg an, statt nur ein knappes docker-compose up -d in den Raum zu werfen. Das ist gut so, denn bei einem persistenten Agenten geht es eben nicht nur darum, dass er startet, sondern auch wie er läuft, wo seine Daten liegen und wie er abgesichert ist.

Nach der Installation: erst prüfen, dann vertrauen

Wenn OpenClaw steht, mach nicht sofort den Fehler, ihm dein echtes Mail-Postfach, deine wichtigsten Dateien und fünf Messenger auf einmal vor die Füße zu werfen. Starte klein. Verbinde zuerst einen Kanal, teste harmlose Aufgaben und prüfe den Zustand der Installation mit dem eingebauten Gesundheitscheck:

openclaw doctor

Stets aktuell halten lohnt sich

OpenClaw wird rasant weiterentwickelt, und mit den neuen Features kommen auch laufend Sicherheits-Patches. Allein seit Erscheinen dieses Artikels wurden mehrere kritische Schwachstellen entdeckt und gefixt – darunter „ClawJacked“, eine Lücke, über die eine beliebige Website einen lokalen Agenten hätte kapern können (mehr dazu in Abschnitt 5).

Das Aktualisieren ist zum Glück denkbar einfach. Ein Befehl im Terminal::

openclaw update

Der lädt die neueste Version, erkennt deine bestehende Installation, aktualisiert alles an Ort und Stelle, führt automatisch einen Gesundheitscheck durch und startet die Dienste bei Bedarf neu. Alternativ kannst du auch einfach den Installer von der Website erneut ausführen – der macht im Grunde dasselbe.

Danach empfiehlt sich wie immer der Gesundheitscheck:

openclaw doctor

Der doctor migriert veraltete Konfigurationen, prüft Sicherheitseinstellungen und warnt dich, wenn etwas nicht stimmt. Langweilig, aber lebensrettend.

Tipp: Am besten machst du dir eine Routine daraus – einmal pro Woche reicht schon. Bei einem Projekt, das sich so schnell bewegt und so tiefen Zugriff hat, ist das gut investierte Zeit.

Fazit:

Nicht auf dem Hauptrechner. Nicht blind. Nicht sofort mit echten sensiblen Daten.
Wenn du OpenClaw ausprobieren willst, dann in einer isolierten Umgebung, mit kleinem Scope und gesundem Misstrauen. Genau dafür ist dieses Projekt spannend genug – und gefährlich genug.

9. Was ist mit meinen Daten und dem Datenschutz?

Hier wird es für uns in Europa besonders relevant. OpenClaw läuft zwar lokal auf einem von dir kontrollierten Rechner, was erstmal gut klingt – deine Daten verlassen nicht dein Haus bzw. deinen Schutzbereich. Aber ganz so einfach ist es leider nicht.

Das Gute: Im Gegensatz zu cloud-basierten Assistenten wie Siri oder Google Assistant werden deine Daten nicht auf fremden Servern gespeichert. Du behältst die Kontrolle darüber, wo deine Informationen liegen. Das ist ein echtes Argument für datenschutzbewusste Nutzer.

Das Komplizierte: OpenClaw schickt deine Anfragen an das KI-Modell deiner Wahl – und das läuft in der Regel in der Cloud. Wenn du Claude nutzt, gehen deine Daten an Anthropic. Bei GPT-5.x an OpenAI. Bei Gemini an Google. Was dort mit deinen Daten geschieht, hängt von den jeweiligen Nutzungsbedingungen ab. Immer verlassen deine Daten aber den europäischen Schutzraum und werden in den USA oder gar in Asien verarbeitet. Wer das vermeiden will, kann lokale KI-Modelle nutzen (zum Beispiel über Ollama), die komplett auf dem eigenen Rechner laufen – allerdings mit deutlich geringerer Leistung.

Mistral als europäische Alternative?

Wir selbst experimentieren aktuell intensiv mit den Modellen des französischen KI-Anbieters Mistral – und zwar nicht nur zum Spaß, sondern auch mit OpenClaw im Praxiseinsatz. Mistral ist das einzige große KI-Unternehmen mit Hauptsitz in der EU (Paris) – und standardmäßig werden Daten über die europäische API auch in der EU verarbeitet.

Also alles DSGVO-Konform? Vorsicht, der Teufel steckt im Detail.

Bestimmte Features können dazu führen, dass Daten vorübergehend die EU verlassen. Konkret betrifft das nach aktuellem Stand die Websuche, die Bildgenerierung (läuft über den Partner Black Forest Labs) und Funktionen, die über Google Cloud laufen, wie OCR Schrifterkennung – denn Mistral hat Anfang 2025 die USA als zusätzlichen Verarbeitungsstandort für seine Google-Cloud-Infrastruktur hinzugefügt.

Auf der sicheren Seite bist du mit der Kern-API (La Plateforme API, EU-Endpoint) für reine Textverarbeitung – oder wenn du die Open-Source-Modelle komplett selbst hostest. Für alle, die sich bei der Datenschutzfrage nicht auf US-Anbieter verlassen wollen, ist das ein starkes Argument, auch wenn man genau hinschauen muss, welche Endpoints und Features man nutzt.

Dabei erreichen Mistrals Modelle selbstverständlich nicht den von den großen US Modellen gewohnten Gesprächsflow in Verständnis und Ausdruck.

Für die Art von Aufgaben, auf die es bei OpenClaw besonders ankommt – autonomes Handeln, kreative Problemlösung, sinnvolle Verknüpfung mehrerer Werkzeuge und das Führen langer, kontextreicher Gespräche – haben die Spitzenmodelle von Anthropic (Claude Sonet und Opus 4.6) und OpenAI (GPT-5.2 oder GPT-5.3-Codex) aktuell noch die Nase vorn. Das merkt man im Alltag: Mistral arbeitet zuverlässig und effizient, braucht aber klarere Anweisungen, wo Claude oder GPT intuitiver „verstehen“, was du willst oder brauchst.

Unsere Einschätzung: Für viele alltägliche OpenClaw-Aufgaben – E-Mails sortieren, Termine verwalten, Recherchen zusammenfassen – reicht Mistral heute schon gut aus und ist deutlich günstiger, als die Konkurrenz. Für komplexere Agentenszenarien, bei denen die KI mehrere Schritte selbstständig planen und ausführen soll, würden wir noch zu den größeren Modellen greifen.

Und was ist mit chinesischen Open-Source-Modellen?

DeepSeek und Qwen (von Alibaba) liefern beeindruckende Leistung – und sind kostenlos verfügbar. Aber: Über deren Cloud-APIs solltest du keine personenbezogenen Daten schicken. China hat keinen Angemessenheitsbeschluss der EU, und das chinesische Nachrichtendienstgesetz verpflichtet Unternehmen zur Zusammenarbeit mit Behörden – ohne vergleichbare Rechtsschutzmechanismen wie etwa den EU-US Data Privacy Framework. Für personenbezogene Daten also ein klares No-Go.

Hier kommt aber der Clou bei Open Source: Wenn du DeepSeek oder Qwen komplett auf einem europäischen Server selbst betreibst, verlassen deine Daten nie die EU. Die Modelldatei ist nur eine Sammlung mathematischer Gewichtungen – die telefoniert nicht nach Hause. In dem Fall ist das Herkunftsland des Modells egal. Es zählt nur, wo dein Server steht.

Aber die Entwicklung bei Mistral ist rasant, und der europäische Standortvorteil – gepaart mit der Möglichkeit, die Modelle komplett selbst zu hosten – macht Mistral zur interessantesten DSGVO-freundlichen Alternative auf dem Markt.

Möchtest du über unsere laufenden Erfahrungen mit Mistral und OpenClaw informiert bleiben? Dann abonniere das Thema „OpenClaw“ am Anfang dieses Artikel..

Heikel ist: OpenClaw verarbeitet naturgemäß sensible Daten – E-Mails, Kalendereinträge, Dateien, Passwörter. Die niederländische Datenschutzbehörde warnte bereits ausdrücklich vor dem Einsatz mit personenbezogenen Daten. Für Unternehmen in der EU bedeutet das: Ohne sorgfältige Datenschutz-Folgenabschätzung (DSGVO Artikel 35) sollte OpenClaw nicht mit Kunden- oder Mitarbeiterdaten in Berührung kommen.

Unser DSGVO-Tipp:

Auch Privatpersonen sollten mit den Daten anderer Menschen nicht sorglos experimentieren. Die DSGVO kennt zwar eine Haushaltsausnahme für rein persönliche oder familiäre Nutzung. Diese Ausnahme ist aber eng auszulegen und sie ist kein Freibrief, fremde personenbezogene Daten gedankenlos in externe KI-Dienste zu kippen. Spätestens wenn berufliche, öffentliche oder organisatorische Bezüge dazukommen, verlässt du den rein privaten Bereich schnell. Faustregel: Lass uns mit den Daten anderer so vorsichtig umgehen, wie wir es uns für unsere eigenen wünschen würden.

10. Was kann ich tun, um die Sicherheit zu erhöhen?

Vorweg die unbequeme Wahrheit: Hundertprozentige Sicherheit gibt es bei OpenClaw nicht. Das gilt nicht nur für OpenClaw, hier aber ganz besonders – weil der Agent mit echten Rechten, echten Zugangsdaten und im Zweifel auch mit echten Außenkontakten arbeitet. Du kannst das Risiko aber deutlich senken. Starte restriktiv und lockere nach und nach, wo du Vertrauen fasst.

+ Die Basics

Exec standardmäßig hart absichern:

OpenClaw sollte Befehle zu Beginn nicht einfach frei ausführen dürfen. Sinnvoll ist ein restriktiver Startpunkt wie security: "deny" oder zumindest "allowlist" – kombiniert mit ask: "always" oder "on-miss". Übersetzt: lieber einmal zu oft nachfragen als einmal zu spät.

Regelmäßig prüfen und aktuell halten:

Führe openclaw doctor regelmäßig aus und halte deine Installation mit openclaw update aktuell. Nach den Sicherheitsvorfällen der letzten Wochen (siehe Abschnitte 5 und 8) ist klar: Jede veraltete Installation ist ein potenzielles Einfallstor.

Skills, Plugins und Erweiterungen nur aus vertrauenswürdigen Quellen installieren:

Bei OpenClaw ist ein Skill nicht bloß ein nettes Add-on, sondern im Zweifel ausführbarer Code mit erheblicher Wirkung. Behandle jede Erweiterung deshalb so, als würdest du einem Fremden Hausschlüssel und Werkzeugkoffer gleichzeitig geben. OpenClaw selbst empfiehlt, Plugins wie vertrauenswürdigen Code zu behandeln und Installationsquellen möglichst eng zu begrenzen.

Geheimnisse sauber verwalten:

API-Schlüssel möglichst nicht lose im Klartext herumliegen lassen. Die aktuelle Doku empfiehlt dafür die SecretRef-/Secrets-Mechanik mit openclaw secrets audit, openclaw secrets configure und openclaw secrets apply. Das ist belastbarer als auf eine einzelne Datei wie credentials.enc zu zeigen.

++ Für Fortgeschrittene

Nur isoliert betreiben:

Nicht auf dem Rechner, auf dem du arbeitest, bankst, buchhaltest oder Kundendaten lagerst. Microsoft empfiehlt ausdrücklich eine dedizierte VM oder ein separates physisches System. Genau so sollte man das auch lesen: OpenClaw ist kein harmloses Desktop-Tool, sondern ein potenziell riskanter Ausführungs-Agent.

Docker oder VM nutzen – aber nicht blind vertrauen:

Containerisierung kann den Schaden begrenzen, ersetzt aber keine saubere Konfiguration. Entscheidend sind zusätzlich restriktive Tool-Rechte, Netzwerkregeln und eine enge Zugriffskontrolle.

Netzwerk dicht halten:

OpenClaw sollte niemals offen und ungeschützt im Internet hängen. Die Doku empfiehlt lokale Bindung, enge Source-Allowlists und abgesicherte Zugänge; bei Docker auf VPS muss man zusätzlich an Dinge wie DOCKER-USER-Regeln denken, weil veröffentlichte Ports sonst an der Host-Firewall vorbeilaufen können.

Eigene, kleine Identitäten statt Generalschlüssel:

Nutze für den Agenten dedizierte, nicht privilegierte Konten, kurzlebige Tokens und nur die Berechtigungen, die wirklich nötig sind. Keine Produktiv-Admin-Konten. Keine Vollzugriffe aus Bequemlichkeit. Microsoft nennt genau das als Baseline.

+++ Profi-Level

State und Memory regelmäßig kontrollieren:

Microsoft weist ausdrücklich darauf hin, dass nicht nur Malware ein Problem ist, sondern auch manipulierter Zustand – also gespeicherte Regeln, Erinnerungen oder Konfigurationen, die das Verhalten des Agenten über Zeit verändern. Deshalb: gespeicherte Instruktionen und ungewöhnliche Verhaltensänderungen regelmäßig prüfen.

Rebuild mitdenken, nicht erst im Notfall:

Die isolierte Umgebung sollte als wegwerfbar gedacht sein. Wenn sich etwas seltsam verhält, lieber neu aufsetzen als ewig rätseln. Microsoft empfiehlt ausdrücklich, Rebuilds als normalen Teil des Betriebsmodells einzuplanen.

TEE als zusätzliche Härtung:

Dienste wie NEAR AI setzen auf Trusted Execution Environments, also abgeschottete Laufzeitumgebungen mit zusätzlichem Schutz gegen Einblick von außen. Das ist interessant, aber kein Freibrief: Auch dort bleiben Modellverhalten, Tool-Zugriffe und Fehlkonfigurationen ein Thema.

Und jetzt? Installieren oder abwarten?

Wenn du bis hierhin gelesen hast, weißt du: OpenClaw ist faszinierend und riskant zugleich. Es ist ein Werkzeug mit echtem Potenzial, das uns einen Blick in die Zukunft der persönlichen KI-Assistenten erlaubt. Die Frage ist nicht, ob solche Agenten kommen – sie sind schon da. Die Frage ist, wie wir sie sicher nutzen.

Unser ehrlicher Rat: Wenn du technikaffin bist und Lust aufs Basteln hast, probiere OpenClaw in einer isolierten Umgebung aus – auf einem separaten Rechner oder in Docker, mit Consent-Mode und ohne Zugriff auf dein echtes E-Mail-Postfach. Lerne das Tool kennen, bevor du ihm Verantwortung gibst.

Wenn du eher zur Fraktion „Ich will, dass es einfach funktioniert“ gehörst: Warte noch ein paar Monate. Die Oberflächen werden besser, die Sicherheit wird nachgezogen, und die Community lernt gerade in Echtzeit, wo die Fallstricke liegen. Manchmal ist Abwarten die klügste Form von Fortschritt.

Und wenn du eines von Summer Yue lernen kannst, dann das: Selbst Experten machen Anfängerfehler. Das macht uns nicht dumm, sondern menschlich. Oder, wie Yue es selbst formulierte: „Alignment-Forscher sind anscheinend nicht immun gegen Misalignment.“

In dem Sinne: Bleib neugierig, bleib vorsichtig – und lass die KI nicht ohne Aufsicht an deine E-Mails.