Sichere Installation — der einzig richtige Weg

Jetzt wird’s technisch — aber nicht kompliziert. Die Installation entscheidet über deine Sicherheit. Mach es richtig, und du hast eine solide Basis. Mach es falsch, und du bist eine von 135.000+ offenen Instanzen im Internet.

🔄 Quick Recall: In der letzten Lektion hast du die Kosten (13-105 EUR/Monat) und Sicherheitsrisiken geprüft. Jetzt installierst du OpenClaw so, dass die Risiken kontrollierbar bleiben.

Regel Nummer 1: Nie ohne Docker

Docker erstellt einen abgeschotteten Container — wie ein Raum mit kontrollierten Türen. OpenClaw kann nur das sehen und tun, was du explizit erlaubst.

BSI IT-Grundschutz SYS.1.6 (Containerisierung) ist der deutsche Standard für sichere Container-Nutzung. Unsere Installation orientiert sich daran.

Die 5-Schichten-Absicherung

Jede Schicht schließt eine Angriffsfläche. Zusammen machen sie OpenClaw deutlich sicherer.

✅ Quick Check: Die Standard-Installation bindet an 0.0.0.0 — was bedeutet das? (Antwort: Deine Instanz ist für JEDEN im Internet erreichbar. Ändere sofort auf 127.0.0.1, damit nur dein lokaler Computer zugreifen kann.)

Installation Schritt für Schritt

# 1. Ordner erstellen
mkdir ~/openclaw && cd ~/openclaw

# 2. docker-compose.yml erstellen (siehe unten)

# 3. Starten
docker compose up -d

# 4. Onboarding
docker exec -it openclaw openclaw onboard --install-daemon

Gehärtete docker-compose.yml:

services:
  openclaw:
    image: openclawai/openclaw:latest
    container_name: openclaw
    ports:
      - "127.0.0.1:18789:18789"  # Schicht 1: Nur lokal
    user: "node"                   # Schicht 2: Nicht root
    cap_drop:
      - ALL                        # Schicht 3: Keine Privilegien
    read_only: true                # Schicht 4: Read-Only
    tmpfs:
      - /tmp:size=100M             # Kleiner Temp-Bereich
    environment:
      - GATEWAY_TOKEN=dein-32-zeichen-zufalls-token  # Schicht 5
    volumes:
      - ./data:/app/data           # Nur der Data-Ordner beschreibbar
    restart: unless-stopped

NIEMALS den One-Liner verwenden: curl -fsSL https://openclaw.ai/install.sh | bash — das gibt OpenClaw uneingeschränkten Zugriff auf deinen Host.

Self-Hosting auf Hetzner (DSGVO-konform)

Für die DSGVO-konforme Variante: OpenClaw auf einem deutschen Server hosten.

1. Hetzner Cloud-Server erstellen (CX22, 4 EUR/Monat, Rechenzentrum Nürnberg/Falkenstein)
2. Docker installieren auf dem Server
3. Gehärtete docker-compose.yml deployen (wie oben)
4. Reverse Proxy (Caddy oder Nginx) für verschlüsselten Zugriff

OpenClaw hat eine offizielle Hetzner-Anleitung unter docs.openclaw.ai/install/hetzner.

✅ Quick Check: Dein Nachbar sagt: „Ich habe OpenClaw einfach mit dem One-Liner installiert und es läuft super!" Was sagst du? (Antwort: Der One-Liner gibt OpenClaw vollen Host-Zugriff ohne Docker-Isolation. Das ist wie die Haustür offen lassen. Mindestens die 5-Schichten-Absicherung nutzen.)

Nach der Installation: Erster Sicherheitscheck

# Prüfe, ob nur lokal erreichbar
docker port openclaw
# Sollte zeigen: 127.0.0.1:18789

# Prüfe, ob als nicht-root läuft
docker exec openclaw whoami
# Sollte zeigen: node (nicht root)

# Prüfe Capabilities
docker inspect openclaw --format='{{.HostConfig.CapDrop}}'
# Sollte zeigen: [ALL]

Key Takeaways

• Ohne Docker hat OpenClaw vollen Systemzugriff — Docker-Isolation ist Pflicht
• 5-Schichten-Absicherung: Nur lokal (127.0.0.1), nicht root, keine Privilegien, Read-Only, starkes Token
• BSI IT-Grundschutz SYS.1.6 ist der deutsche Standard für Container-Sicherheit
• Self-Hosting auf Hetzner (ab 4 EUR/Monat) hält Daten in Deutschland
• Den One-Liner NIEMALS verwenden — das ist die unsicherste Installationsmethode

Up Next

In der nächsten Lektion führst du dein erstes Gespräch mit OpenClaw — sicher, kontrolliert und mit den richtigen Starteraufgaben.