AI Security

Wir haben aufgehört, API-Keys in Claude zu pasten – hier ist warum

20. Mai 2026·7 Minuten Lesezeit·Key Nest Redaktion

Die Szene, die jeder Dev schon einmal erlebt hat

Es ist Freitagnachmittag, das Deploy klemmt. Ein Kollege öffnet Claude oder Cursor und tippt: „Hier ist meine .env-Datei, was ist falsch konfiguriert?" – mit echten Schlüsseln. Drei Minuten später ist der Bug gefunden, das Wochenende gerettet, der API-Key Teil eines LLM-Logs, einer Trainingsmenge oder, im schlimmsten Fall, einer öffentlichen Chat-Sharing-URL.

Das ist kein hypothetisches Szenario. Sicherheitsforscher haben 2024 143.000 öffentlich zugängliche LLM-Chats ausgewertet und darin AWS-Access-Keys, Replicate-Tokens und mehr gefunden. Eine separate Analyse von 2,67 Milliarden archivierten Webseiten aus Common Crawl – also dem Datensatz, auf dem auch viele LLMs trainiert wurden – fand fast 12.000 valide Secrets, hartkodiert und frei zugänglich.

Warum das Problem mit KI-Tools dramatisch größer wird

Vor der LLM-Ära hatten Secrets ein paar Lecks: hartkodiert im Git-Repo, in der Slack-Nachricht „nur kurz für Tom", im Confluence-Wiki. Mit KI-Tools ist eine ganze neue Klasse hinzugekommen:

  • Prompt-Pastes: Devs kopieren ganze Config-Dateien oder Terminal-Outputs ins Chat-Fenster, um Hilfe zu bekommen.
  • Generierte Files: Das LLM echo-t die echten Schlüssel in eine vorgeschlagene Datei zurück – die dann unkommentiert ins Repo wandert.
  • Geteilte Chats: „Schau mal das hat Claude vorgeschlagen" + Link – und der Key ist öffentlich.
  • Agentische Tools: Cursor, Claude Code, Aider greifen auf Dateisysteme zu. Eine fehlkonfigurierte .cursorignore exfiltriert Secrets, bevor der Dev es merkt.

11 % aller Inhalte, die Mitarbeitende in ChatGPT eingeben, sind vertraulich. Die Mehrheit der Devs weiß das nicht – und auch die wenigsten Sicherheitsteams haben dafür eine Antwort.

Was eine geleakte Credential wirklich kostet

Die Branchenstudien zeichnen ein klares Bild:

  • Direkter Vorfallskostenrahmen: Eine veröffentlichte Analyse beziffert die durchschnittlichen Kosten eines API-Key-Vorfalls auf rund 650.000 US-Dollar. Das umfasst Engineering-Überstunden, Anwaltsberatung und PR-Krisenmanagement.
  • Service-Abuse-Schaden: Ein dokumentierter Fall – ein gestohlener Gemini-API-Key – verursachte in 48 Stunden 82.000 US-Dollar Compute-Kosten, bevor er bemerkt wurde.
  • Persistenz des Problems: Selbst wenn ein Leak bemerkt wird, bleiben laut GitGuardian 90 % der Schlüssel mindestens 5 Tage aktiv, weil Rotation aufwändig und oft unvollständig ist.

Für ein Team von 25 Personen mit 5 aktiven Entwickler:innen ergibt das, konservativ kalkuliert, eine erwartete jährliche Schadensexposition von 3.000–7.500 € – allein durch Credential-Leaks im KI-Kontext.

Die strukturelle Lösung: Model Context Protocol (MCP)

Anthropic hat im Herbst 2024 das Model Context Protocol als offenen Standard veröffentlicht. Die Idee: LLMs und KI-Agenten sprechen mit externen Werkzeugen über ein einheitliches Protokoll – ähnlich wie Browser über HTTP mit Servern reden. Mit MCP wird ein Passwort-Vault zu einem nativen Werkzeug für KI-Tools:

  1. Der Dev startet eine Aufgabe in Claude Code: „Deploye den Branch auf Staging."
  2. Claude erkennt: dafür wird der Staging-Deploy-Key gebraucht.
  3. Claude ruft den Vault über MCP: „Gib mir den Staging-Deploy-Key, scoped auf 15 Minuten."
  4. Der Vault prüft Berechtigungen, generiert einen kurzlebigen Token, gibt ihn zurück.
  5. Claude deployt. Nach 15 Minuten verfällt der Token automatisch.
  6. Im Audit-Log steht: „User X, via Claude, hat um 14:32 den Staging-Deploy ausgeführt."

Der echte Master-Schlüssel verlässt den Vault nie. Der Token, den Claude bekommt, ist auf Funktion und Zeit beschränkt. Wenn er trotzdem irgendwo geloggt wird, ist er nach 15 Minuten wertlos.

Was Teams konkret tun sollten

1. Bestandsaufnahme der heute genutzten KI-Tools

ChatGPT, Claude, Cursor, GitHub Copilot, Aider, Continue.dev, intern gehostete LLMs – welche davon laufen im Unternehmen?

2. Audit der bereits geleakten Secrets

GitGuardian, TruffleHog oder GitHub Secret Scanning durchlaufen lassen. Erfahrungsgemäß findet sich bei der ersten Prüfung immer etwas.

3. Vault mit MCP-Anbindung einführen

Ein Passwort-Vault, der nativ als MCP-Server fungiert. Key Nest unterstützt MCP ab dem Pro-Tarif – Setup in Cursor oder Claude Code dauert weniger als fünf Minuten.

4. Rotations-Disziplin durch kurzlebige Tokens

Statt langlebiger API-Keys ausschließlich mit kurzlebigen Tokens (max. einige Stunden) arbeiten.

5. Audit-Trail für KI-Zugriffe

Jeder Token-Bezug durch ein KI-Tool wird protokolliert.

Fazit

Wenn euer Team KI-Tools intensiv nutzt – und das wird die Mehrheit der Tech-Teams 2026 –, dann ist „API-Keys ins Prompt-Fenster pasten" das neue „Passwörter in Slack teilen". Strukturell unsicher, in der Größenordnung unterschätzt, mit einer klaren Lösung.

Key Nest probieren

Der sichere Passwort-Tresor für Teams. Zero-Knowledge, DSGVO-konform, Server in Deutschland. In Minuten startklar, ohne IT-Abteilung.

Tarife ansehen