Agent 365 macht OpenClaw zu deinem Problem: 30-Min-Audit für IT-Admins

10 Min. Lesezeit Von AI Skills Directory

Microsoft Agent 365's Schatten-KI-Seite ging am 1. Mai live. Sie zeigt dir, welche Windows-Endpoints OpenClaw laufen lassen. Die Intune-Policy zum Blockieren? Noch nicht veröffentlicht. Hier ist, was du heute tun solltest.

Inhaltsverzeichnis

Microsoft Agent 365 ist gestern, am 1. Mai, in die allgemeine Verfügbarkeit gegangen. Tief in der GA-Ankündigung versteckt: eine Funktion, die die meisten DACH-IT-Admins diese Woche noch nicht eingeplant haben — die neue Schatten-KI-Seite im Microsoft 365 Admin Center, die OpenClaw auf Windows-Endpoints entdeckt. GitHub Copilot CLI und Claude Code folgen “in Kürze”.

Wenn du IT-Leitung im Mittelstand bist und OpenClaw bisher höflich ignoriert hast — das endete gestern. Microsoft zeigt dir jetzt, welche Windows-Geräte in deiner Flotte es laufen lassen, und gibt dir einen Knopf mit “Blockieren”. Die Seite sagt dir, welcher Nutzer, welches Gerät, welcher Pfad. Was sie dir nicht sagt, weil Microsoft es noch nicht veröffentlicht hat: die exakte Intune-CSP- / OMA-URI-Syntax, um die Blockade tatsächlich auszurollen.

Diese Lücke füllt dieses Audit. Dreißig Minuten, vier Abschnitte, heute deploybar — und konsequent im Rahmen von BSI-Grundschutz, NIS-2-Umsetzungsgesetz und EU-AI-Act gedacht.

Was sich am 1. Mai konkret geändert hat (90 Sekunden)

Microsoft Agent 365 erreichte am 1. Mai 2026 die GA. Darin begann die Schatten-KI-Seite genau eine Sache zu entdecken: OpenClaw, die populäre Open-Source-Lokalagent-Laufzeit, die Nutzern erlaubt, Claude (oder ein beliebiges LLM) an ihr Dateisystem, ihren Browser und ihre Anmeldedaten anzubinden. Per Microsofts GA-Ankündigung identifiziert die Seite “Aktivität lokaler Agenten auf Windows-Geräten” und ermöglicht Admins, “Richtlinien zum Blockieren gängiger OpenClaw-Ausführungsmethoden anzuwenden” — mit einem Klick, der ins Intune-Admin-Center führt.

Die Discovery ist am Frontier-Programm gegated. Per Microsoft Learn brauchst du eine Agent-365-Lizenz (15 USD pro Nutzer/Monat einzeln, oder gebündelt in Microsoft 365 E7 zu 99 USD/Nutzer/Monat — in der DACH-Berichterstattung üblicherweise als „rund 99 € pro Nutzer/Monat" gerahmt). E5 alleine schaltet das nicht frei.

Was als nächstes kommt, per derselben Ankündigung: Erkennungs-Coverage für GitHub Copilot CLI und Claude Code. Kein öffentlicher Zeitplan jenseits “in Kürze” — Microsoft Build läuft 2.-3. Juni, das ist die naturgemäße nächste Bühne.

Warum das mehr zählt als der übliche Feature-Drop: OpenClaw ist für KI-Agenten das, was Dropbox 2012 für File-Sharing war. Die Leute installieren es auf dem Arbeitsrechner, weil es sie schneller macht, und fragen nicht. Bis die IT-Sicherheit davon erfährt, hat es schon etwas Sensibles berührt. Cisco-Engineer @nik_kale nannte es “Schatten-KI 2.0 — voller Dateisystemzugriff, null Telemetrie, umgeht DLP/CASB”. Nicht falsch.

Das deutsche Framing dazu ist scharfgezogen. Bitkom-Studien zur Schatten-KI zeigen seit Monaten, dass Beschäftigte private KI-Tools “trotz Unternehmensrichtlinien” nutzen, mit steigender Tendenz. Das NIS-2-Umsetzungsgesetz weitet den Kreis regulierter Unternehmen in Deutschland von rund 4.500 auf etwa 30.000 Einrichtungen aus — und bringt Registrierungspflicht beim BSI plus persönliche Haftung der Geschäftsleitung mit sich. Wenn dein Unternehmen unter NIS-2 fällt, gehört “Wildwuchs von KI-Agenten” jetzt in das ISMS nach BSI-Grundschutz, nicht in den Backlog.

Warum Microsoft OpenClaw als erstes Tool gewählt hat

Microsoft hat das Bedrohungsmodell vor drei Monaten in seinem running-OpenClaw-safely-Beitrag dokumentiert. Die fünfstufige Kompromittierungs-Kette ist wichtig, weil jede der untenstehenden Intune-Policies auf eine dieser Stufen abbildet:

  1. Distribution — bösartige Skills werden in ClawHub veröffentlicht (das OpenClaw-Skill-Register).
  2. Installation — Skills werden ohne hinreichende Genehmigungs-Gates ausgeführt.
  3. State Access — Angreifer extrahieren Tokens, Anmeldedaten und Konfigurationsdaten.
  4. Privilege Reuse — gültiges Identitätsmaterial wird über legitime APIs verwendet.
  5. Persistence — Konfigurationsänderungen (OAuth-Zustimmungen, geplante Tasks, genehmigte Tools), die einen Reboot überleben.

Microsofts Klartext-Beurteilung der Laufzeit: “untrusted code execution mit persistenten Anmeldedaten — ungeeignet für Standard-Workstations.” Die empfohlene Haltung: dedizierte VM, dedizierte Anmeldedaten, regelmäßige Neuaufstellung als “erwartete Kontrolle, kein Incident-Response-Maßnahme”.

Das ist das Bedrohungsmodell. Jetzt das Audit.

Das 30-Minuten-IT-Admin-Audit

Öffne das Microsoft 365 Admin Center. Du brauchst Frontier-Programm-Zugang und Agent-365-Lizenzierung auf dem Tenant. Die Schatten-KI-Seite liegt innerhalb von Agent 365 (Microsoft hat die exakte Navigations-Breadcrumb noch nicht veröffentlicht — es ist die “Schatten-KI”-Kachel innerhalb der Agent-365-Steuerungsebene).

Minute 0-5: Discovery-Sweep ausführen

Klick auf die Schatten-KI-Seite. Microsoft Defender + Intune speisen das Inventar. Du siehst eine Tabelle: Gerätename, eingeloggter Nutzer, OpenClaw-Version, Installationspfad, Letzter-Gesehen-Zeitstempel.

Was zu notieren:

  • Gesamt-Instanz-Anzahl über die Flotte.
  • Top drei Abteilungen nach Instanz-Anzahl. Engineering wird dominieren; die Überraschung ist, wer noch.
  • Jedes Gerät, das OpenClaw außerhalb von C:\Users\<user>\.openclaw\ laufen lässt — das ist der Renamed-Binary- oder Persistence-Relocation-Fall.
  • Jeder Nutzer, der auf mehr als einem Gerät auftaucht — meist ein Power-User oder ein Service-Account mit geteilten Anmeldedaten.

Wenn du auf einer Flotte von 500+ Windows-Geräten null Instanzen findest, prüf doppelt, ob dein Discovery-Scope korrekt gesetzt ist (ist die richtige Gerätegruppe angeschlossen?). Null ist möglich, aber ungewöhnlich in jeder Organisation mit Engineers.

Minute 5-15: Allow / Deny / Monitor (pro Abteilung) entscheiden

Das ist kein tenantweiter Schalter. Drei Policy-Zonen, nach Abteilung gewählt, sind das brauchbare Pattern, auf das die meisten Sicherheits-Architekten diese Woche konvergiert sind.

Blockieren (Deny) — Anwenden auf: Finanzen, HR, Recht, Compliance, alles, was personenbezogene oder regulierte Daten berührt. Grund: Das OpenClaw-Bedrohungsmodell beinhaltet “gültiges Identitätsmaterial über legitime APIs verwendet” — was eine leise Art ist, zu sagen: “Dein KI-Agent wird deine echte Outlook-Session benutzen, um Mails zu senden, und du wirst es nicht im Audit-Log sehen.” Reguliertes Arbeiten verträgt das nicht — und unter NIS-2 wird das zur dokumentationspflichtigen Schwachstelle.

Monitor (Erlauben + Telemetrie) — Anwenden auf: Engineering, IT, Data Science. Grund: Blockieren triggert eine Schatten-IT-Reaktion (Devs lassen es auf privaten Laptops im Firmen-WLAN laufen, was strikt schlechter ist). Auf gemanagten Endpoints zulassen, alles über Defender-for-Endpoint-EDR loggen, und Entra-Agent-ID-Zuweisung verlangen.

Erlauben (Sanktioniert) — Anwenden auf: nur Entwickler-Sandbox-VMs. Grund: Microsofts eigene Deployment-Anleitung sagt, OpenClaw gehört auf eine dedizierte VM mit dedizierten Anmeldedaten und einem Wiederaufbauplan. Mach dieses Pattern verfügbar, deprecate jeden anderen Pfad.

Der zu vermeidende Fehler ist “überall blockieren, später regeln”. Die “Überall blockieren”-Position wird innerhalb von zwei Wochen revertiert, weil jemand in Engineering Zugriff auf ein Produktivitäts-Tool verliert, an die VP eskaliert, die an den CIO eskaliert, und du machst dieses Audit auf engerem Zeitplan nochmal.

Minute 15-25: Die vier Intune-Policies stagen

Microsofts Ankündigung sagt “Intune-Richtlinien verwenden”, veröffentlicht aber bislang keine konkrete CSP- / OMA-URI- / Configuration-Profile-Syntax dafür. Per Perplexity-verifizierter Microsoft-Learn-Recherche ist die Konfigurationsprofil-Syntax für OpenClaw-spezifisches Blockieren zum Zeitpunkt dieses Schreibens nicht dokumentiert. Die Policies unten sind also die deploybaren Patterns, auf die die IT-Admin-Community konvergiert — abgebildet auf Microsofts eigene Bedrohungsmodell-Stufen.

Policy 1 — Default-Installationspfad blockieren (Distribution + Installation Stages). Verwende Intune-Configuration-Profile → Settings Catalog → Defender → Attack Surface Reduction → Controlled Folder Access. Füge %USERPROFILE%\.openclaw\, C:\ProgramData\OpenClaw\ und alle benutzerdefinierten Enterprise-Software-Pfade, die deine Endpoints verwenden, der Liste der geschützten Ordner hinzu. Bricht die Standard-Installation, fängt aber renamed Binaries nicht — das ist Policy 2.

Policy 2 — Per Datei-Hash blockieren (Renamed-Binary-Fall). Verwende Intune → Endpoint Security → Attack Surface Reduction → Custom rules. Zieh den Hash von claude-code.exe, openclaw.exe und der jüngsten veröffentlichten Binary aus den OpenClaw-GitHub-Releases. Hash-basierte Policy überlebt eine Umbenennung in productivity-helper.exe. Erneuere die Hashes monatlich, weil OpenClaw schnell shippt.

Policy 3 — Geplante-Task-Persistenz blockieren (Persistence Stage). Verwende Intune → Compliance Policy → Custom Rule, die jede geplante Aufgabe markiert, deren Executable-Pfad zu *\.openclaw\* oder bekannten OpenClaw-Daemon-Namen passt. Als nicht konform markieren. Mit Conditional Access koppeln, das Sitzungs-Tokens widerruft, bis die Aufgabe entfernt ist.

Policy 4 — MCP-Server-Outbound-Traffic blockieren (State Access + Privilege Reuse). Verwende Microsoft Defender for Endpoint → Network Protection rules. Blockiere ausgehenden Traffic zu localhost-Ports, die häufig von OpenClaw-MCP-Servern verwendet werden (3000, 3333, 8080-8090) nur auf Geräten in den Block-Policy-Abteilungslisten. Das ist die lauteste der vier — rechne mit False Positives durch legitime Dev-Tools, die dieselben Ports nutzen — also halte es auf Finanzen-/HR-/Recht-Gerätegruppen begrenzt, nicht auf Engineering.

Wenn deine Org Defender for Cloud Apps fährt, push auch die OpenClaw-Cloud-API-Endpoints (api.openclaw.ai, claude.ai/api) in die Sanktioniert-/Nicht-sanktioniert-Listen je nach deiner Zonen-Entscheidung oben.

Minute 25-30: Vorbereitung für Claude Code und Copilot CLI

Dieselbe Schatten-KI-Seite wird Claude Code und GitHub Copilot CLI innerhalb von Wochen surfacen. Zwei Dinge heute zu tun, damit du das Audit nicht nochmal machen musst:

  1. Entra-Agent-ID-Conditional-Access-Policies jetzt einrichten. Per Microsoft-Entra-Agent-ID-Docs unterstützt Entra sowohl “Agent im Auftrag des Nutzers” (GA) als auch “Agent mit eigener Identität” (Preview). Steh die On-Behalf-Of-Policy jetzt auf — jeder KI-Agent erhält eine eindeutige Identität mit eigenem Conditional-Access-Scope. Wenn Claude Code im Schatten-KI-Inventar auftaucht, entscheidest du nicht über Blockieren — du entscheidest, welcher Entra-Agent-ID-Scope gilt. Diese Pattern ist genau das, was das BSI in seinen Mindeststandards für KI-Systeme als “rollenbasierten Zugriff für nicht-menschliche Identitäten” rahmt.

  2. Standardisierten “KI-Agent-Intake”-Bogen dokumentieren. Drei Fragen: welcher Agent, welche Abteilung, welcher Entra-Agent-ID-Scope. Wenn ein Entwickler Claude Code laufen lassen will, füllt er den Bogen aus. Der Bogen dauert dreißig Sekunden und holt dich aus dem “Jeder IT-Admin ist das KI-Komitee”-Pattern raus, das gerade dabei ist, deine Woche aufzufressen.

Was das für dich bedeutet

Wenn du IT-Admin in einer regulierten Org bist (Banken, Gesundheit, KRITIS-Versorgung, KMU im NIS-2-Scope): Die vier Intune-Policies oben sind nicht optional. Die “untrusted code execution mit persistenten Anmeldedaten”-Formulierung ist die Sprache, die deine BSI-Auditoren innerhalb von sechs Monaten verwenden werden. Roll die Block-Zone diese Woche aus, auch wenn du die Allow-Zone aufschiebst.

Wenn du CISO oder Sicherheits-Architekt bist: Die Schatten-KI-Seite ist deine Beweis-Basis für das nächste KI-Risiko-Rat-Meeting. Zieh den Discovery-Sweep, screenshote das Inventar und bring es mit. Diskutier Policy nicht abstrakt — diskutiere von der tatsächlichen Anzahl der Geräte deiner eigenen Flotte aus.

Wenn du SOC-Analyst bist: OpenClaw-Prozessnamen, Installationspfade und bekannte MCP-Server-Ports gehören diese Woche in deine Detection-Rules. Defender for Endpoint surfaceit die Discovery; deine SIEM-Korrelation soll die Verhaltensanomalien fangen (ein “OpenClaw”-Prozess, der API-Aufrufe zu Outlook im Namen eines Nutzers macht, der Outlook gerade nicht aktiv nutzt).

Wenn du Engineering-Manager mit OpenClaw-nutzendem Team bist: Die Antwort ist nicht “den Block bekämpfen”. Bau das sanktionierte VM-Pattern, das Microsoft selbst empfiehlt, hol dir eine dafür gescopte Entra-Agent-ID, und präsentiere das der Sicherheit. Du behältst die Produktivität, verlierst die Reibung.

Wenn du Frontier-Programm-Kunde in einem 50-Personen-Unternehmen bist: Die Schatten-KI-Seite zeigt vielleicht null oder eine Instanz, womit das Audit zehn Minuten statt dreißig dauert. Trotzdem laufen lassen, damit du die Baseline hast, bevor Claude Code landet.

Was dieses Audit nicht beheben kann

Fünf ehrliche Grenzen:

  1. Private Laptops im Firmen-WLAN. Die Schatten-KI-Seite sieht nur Intune-gemanagte Endpoints. Der nicht-gemanagte Laptop, den ein Dev von zuhause mitbrachte, lässt OpenClaw den ganzen Tag laufen, und du wirst es nie wissen.
  2. Mac und Linux. Die Discovery ist bei GA Windows-only. Mac- und Linux-Endpoints, die OpenClaw laufen lassen, erscheinen nicht. Wenn deine Engineering-Org Mac-lastig ist, ist das Inventar bestenfalls eine Teil-Sicht.
  3. OpenClaw in einer VM auf einem gemanagten Host. Defender sieht den Host, nicht die Gast-VM. Wenn ein Entwickler OpenClaw in Hyper-V oder WSL2 laufen lässt, siehst du vielleicht “WSL2-Prozessaktivität”, aber nicht die OpenClaw-Laufzeit selbst.
  4. MCP-Server, die extern gehostet werden. Die Network-Protection-Regel blockiert localhost-MCP-Ports. Ein MCP-Server, der auf dem Rechner eines Kollegen quer durchs Büro oder auf einer privaten Cloud-VM läuft, wird durch diese Policy nicht erfasst.
  5. Die “in Kürze”-Agenten. Claude Code und GitHub Copilot CLI sind noch nicht im Schatten-KI-Inventar. Bis sie es sind, hast du einen blinden Fleck für die zwei populärsten Alternativen.

Das Fazit

Die gestrige GA hat kein Vendor-Risiko hinzugefügt. Sie hat Sichtbarkeit zu einem Vendor-Risiko hinzugefügt, das du bereits hattest. Der Fünf-Minuten-Discovery-Sweep ist kostenlose Intelligence; die vier Intune-Policies sind heute mit den Patterns oben deploybar; und die Entra-Agent-ID-Vorarbeit zahlt Zinseszinsen, sobald Claude Code und Copilot CLI im Inventar landen.

Wenn du das Policy-Framework vertiefen willst — inklusive der Conditional-Access-Patterns für sanktionierte VM-KI-Agenten — sieh dir unsere Begleitanalyse zu Microsoft Agent 365’s 4-Modell-Bild für die Beschaffungs-Seite an, und unser Anthropic-vs-Pentagon-Vendor-Audit für die Upstream-Lieferkettenrisiko-Frage, die beeinflusst, ob Claude Code selbst sanktionierbar in DoD-Flow-Down-Verträgen bleibt — auch wenn die Frage für DACH-Mittelständler indirekter über Datenschutz- und Datentransfer-Klauseln einschlägt.

Für Team-Upskilling speziell zur KI-Agent-Sicherheit deckt unser AI Agent Security Kurs das Bedrohungsmodell durchgängig ab — die Intune-+-Defender-+-Entra-Patterns oben sind als Modul 4 enthalten.

Quellen

Echte KI-Skills aufbauen

Schritt-für-Schritt-Kurse mit Quizzes und Zertifikaten für den Lebenslauf