Unternehmenssicherheit für Claude: Ein praktischer Leitfaden zur Unternehmensführung für Entwicklungsteams

Einführung

Acht von zehn Fortune-10-Unternehmen verwenden Claude inzwischen, und über 300.000 Unternehmen setzen es in der Produktion ein. Zwei CVEs im vergangenen Jahr haben bewiesen, dass ein geklontes Repo alles ist, was man braucht, um API-Schlüssel zu exfiltrieren oder Code auszuführen, bevor überhaupt ein Vertrauensdialogfeld erscheint.

Claude verfügt über drei Benutzeroberflächen — Web, Desktop und CLI — und jede hat eine andere Angriffsfläche. Die Webversion läuft in einer Browser-Sandbox, die Desktop-App stellt eine Verbindung zu lokalen Tools her und Claude Code sitzt auf den Terminals Ihrer Entwickler mit den gleichen Berechtigungen wie deren Benutzerkonten. Sie kann Dateien lesen, Bash-Befehle ausführen und eine Verbindung zu externen Diensten herstellen.

Die meisten Sicherheitsleitfäden für Unternehmen behandeln diese Schnittstellen als eine Sache, sind es aber nicht. Claude gut zu regieren bedeutet, auf jeder Oberfläche die richtigen Kontrollen anzuwenden, und nicht pauschale Richtlinien, die Entwickler zu stark einschränken oder Lücken hinterlassen. In den folgenden Abschnitten wird erklärt, wie das geht.

Identitäts- und Zugriffskonfiguration

SSO sollte live sein, bevor du Claude an einen einzigen Entwickler übergibst — nicht danach und schon gar nicht „bald“.

Claude unterstützt SAML 2.0 und OIDC mit Okta, Azure AD (Entra ID), Auth0 und Google Workspace, und Sie können all das über die Claude Admin Console verwalten (siehe Anleitung zur Einrichtung). Drei Einstellungen sind in dieser Phase am wichtigsten.

Wichtige SSO-Konfigurationsschritte

• Aktivieren Sie „SSO erforderlich für Konsole“ und „SSO erforderlich“ für Claude. Beide Einstellungen erzwingen eine SSO-basierte Authentifizierung und erben MFA von Ihrem Identitätsanbieter.
• Beanspruchen Sie Ihre Unternehmens-E-Mail-Domains über Domain Capture. Sobald der Anmeldeversuch aktiv ist, wird jeder Anmeldeversuch mit einer Firmenadresse automatisch zum Unternehmensarbeitsbereich weitergeleitet. So wird verhindert, dass Mitarbeiter auf allen Benutzeroberflächen zu privaten Konten zurückkehren.
• Ordnen Sie Ihre Identity Provider (IdP) -Gruppen Claude-Rollen zu. Der primäre Eigentümer erhält vollen Administratorzugriff, einschließlich Abrechnung. Der Administrator verwaltet Benutzer, Richtlinien und Auditprotokolle, hat aber keinen Einfluss auf die Abrechnung. Das Mitglied verwendet Claude im Rahmen der vom Administrator definierten Richtlinien.

Wenn Sie jemandem in Ihrem IdP den Zugriff auf Web, Desktop und CLI sperren, wird sofort der Zugriff auf Web, Desktop und CLI unterbrochen.

API-Schlüsselverwaltung

SSO verarbeitet interaktive Anmeldungen, während API-Schlüssel alles andere erledigen — Claude-Code-Sitzungen, CI/CD-Pipelines und jegliche Automatisierung, die außerhalb eines Browsers auf die API trifft.

Sie sollten Schlüssel über die Admin Console ausgeben, da Entwickler niemals persönliche Schlüssel in einem Unternehmenskontext verwenden sollten. Speichern Sie sie in AWS Secrets Manager, HashiCorp Vault oder Azure Key Vault, wechseln Sie sie vierteljährlich ab und widerrufen Sie sie sofort, wenn ein Sicherheitsproblem vermutet wird oder jemand das Team verlässt.

Zugriffs- und Verkehrsrouting modellieren

Nach der Identität besteht die nächste Ebene aus Modellzugriff und Verkehrsrouting. Sie benötigen Antworten auf zwei Fragen: Welche Modelle können Entwickler verwenden und wohin fließt ihr Claude-Verkehr eigentlich?

Den Modellsatz einschränken

Eine einfache Zulassungsliste in der Admin-Konsole verhindert, dass Entwickler zu teureren oder nicht genehmigten Modellen wechseln:

{
  "allowedModels": ["claude-sonnet-4-5", "claude-haiku-4-5"]
}

Weiterleitung des Datenverkehrs über ein Gateway

Den Claude-Verkehr durch deinen eigenen leiten LLM-Gateway ermöglicht es Ihnen, Anfragen auf Netzwerkebene zu überprüfen, zu protokollieren und zu verwalten. Sie können diese Umgebungsvariablen auf Entwicklercomputern festlegen, um loszulegen:

export ANTHROPIC_BASE_URL=https://your-gateway.internal.corp
export HTTPS_PROXY=https://proxy.your-company.com:8080

Ein wichtiges Detail ist, dass diese Variablen nur für Claude Code und Claude Desktop gelten. Das Web-Routing wird auf Organisationsebene über die Admin-Konsole gesteuert.

Durchsetzung von Routing-Richtlinien auf allen Entwicklercomputern

Das Setzen von Variablen auf einer Maschine ist einfach, aber es auf 100 Maschinen zu tun und sicherzustellen, dass niemand sie ändert, ist die eigentliche Herausforderung.

Sie können Routing-Richtlinien auf den Computern der Entwickler auf drei Arten durchsetzen:

1. MDM//Endpunktverwaltete Einstellungen drücken Sie ein managed-settings.json Datei auf jeden Computer über Jamf, Kandji oder Intune. Claude Code liest die Datei beim Start ohne Netzwerkabhängigkeit, und die Einstellungen sind auf Betriebssystemebene manipulationssicher. Der Nachteil ist, dass MDM nur auf unternehmenseigenen Geräten funktioniert.
2. Serververwaltete Einstellungen (Betaversion) liefert die Konfiguration von den Servern von Anthropic, wenn sich Entwickler authentifizieren. Es ist keine Dateibereitstellung erforderlich, und der Ansatz funktioniert auf BYOD-Geräten. Der Haken ist, dass die Durchsetzung nur auf der Clientseite erfolgt, sodass ein Entwickler mit Sudo daran herummanipulieren kann. Der Ansatz ist auch nicht mit der benutzerdefinierten ANTHROPIC_BASE_URL kompatibel. Wenn Sie also über ein Gateway routen, ist diese Option ausgeschlossen.
3. Direkter Cloud-Anbieter leitet Claude Code an Ihr AWS Bedrock- oder Google Vertex-Konto weiter. Der Datenverkehr bleibt dank Cloud-nativer Auditprotokollierung in Ihrer VPC, der Nachteil ist jedoch die Bindung an einen einzigen Anbieter und die komplexe IAM-Setup.

Verwendung eines zentralisierten Gateways für Routing mit mehreren Anbietern

Anstatt jeden Anbieter einzeln zu konfigurieren, TrueFoundry KI-Gateway bietet Ihnen eine einzige Proxy-Ebene zwischen Claude Code und all Ihren Modelanbietern. Sie können Claude Code mit einer Variablen darauf hinweisen:

export ANTHROPIC_BASE_URL=https://<your-truefoundry-gateway-url>

Von dort aus fügen Sie Anbieterkonten im Gateway-Dashboard hinzu, und Claude Code erreicht sie alle — Anthropic, Bedrock, Vertex — über einen einzigen Endpunkt. Virtuelle Modelle ermöglicht es Ihnen, eine einzige Modell-ID zu erstellen, die mit gewichteter oder latenzbasierter Logik zwischen Anbietern weitergeleitet wird, und Sie können den Anbieter wechseln, ohne die Client-Konfiguration zu berühren.

Das Gateway erzwingt auch Ratenbegrenzungen, Budgetgrenzen, und Zutrittskontrolle bei jeder Anfrage, bevor sie den Anbieter erreicht.

Lokaler Toolzugriff und Sandboxing

Der Fehler, den die meisten Teams machen, besteht darin, alle drei Benutzeroberflächen gleich zu behandeln, obwohl sie sich in dem, was sie anfassen können, grundlegend unterscheiden.

Claude.ai (Netz)

Da die Weboberfläche keinen lokalen Code ausführt, besteht das Hauptrisiko in der Datenexfiltration durch Eingabeaufforderungen und der Schatten-IT von privaten Konten. Domain Capture löst das zweite Problem.

Klassifizieren Sie zunächst Claude.ai als SaaS-Tool eines Drittanbieters in Ihrem Tools zur Verhinderung von Datenverlust (DLP) und KI-Sicherheitstools und wenden Sie dieselben Steuerelemente an, die Sie auf Google Docs oder Notion anwenden würden. Mit der Admin-Konsole können Sie auch Datei-Uploads einschränken, Artifacts deaktivieren und die Aufbewahrung von Konversationen kontrollieren.

Claude Schreibtisch

Die Desktop-App führt standardmäßig keine beliebigen Shell-Befehle aus, aber lokale Toolintegrationen ermöglichen es Entwicklern, Claude mit Skripten, Dateisystemen und anderen Ressourcen zu verbinden. Sie sollten jedes Tool vor der Genehmigung überprüfen und vor der Ausführung eine ausdrückliche menschliche Bestätigung für alles einholen, was Schreibzugriff hat. Es ist auch wichtig, die App mithilfe von MDM-erzwungener automatischer Aktualisierung auf dem neuesten Stand zu halten.

Claude Code (CLI)

Claude Code hat die breiteste Angriffsfläche der drei Interfaces. Es kann .env-Dateien, SSH-Schlüssel und Anmeldeinformationen lesen, beliebige Bash-Befehle im Benutzerkontext des Entwicklers ausführen und Code und Kontext zur Verarbeitung an die Server von Anthropic senden.

Die folgende Baseline managed-settings.json blockiert die gefährlichsten Operationen:

{
  "permissions": {
    "disableBypassPermissionsMode": "disable",
    "deny": [
      "Bash(curl:*)", "Bash(wget:*)",
      "Read(**/.env)", "Read(**/.env.*)",
      "Read(**/secrets/**)", "Read(**/.ssh/**)",
      "Read(**/credentials/**)"
    ],
    "ask": ["Bash(git push:*)", "Write(**)"]
  },
  "allowManagedPermissionRulesOnly": true,
  "allowManagedHooksOnly": true,
  "transcriptRetentionDays": 14
}

Hier ist, was jede Tasteneinstellung bewirkt:

• DisableByPassPermissionsMode verhindert, dass Entwickler --dangerously-skip-permissions verwenden, um Sicherheitskontrollen außer Kraft zu setzen.
• AllowManagedPermissionRulesOnly sperrt Berechtigungsüberschreibungen auf Projekt- und Benutzerebene vollständig.
• Ablehnungsregeln blockieren Operationen vollständig, ohne dass eine Überschreibung möglich ist.
• Für Ask-Regeln ist vor jeder Ausführung eine ausdrückliche Genehmigung durch den Entwickler erforderlich.

Eine weitere Sache, die es wert ist, hervorgehoben zu werden: Claude Code sollte unter keinen Umständen als Root ausgeführt werden.

Natives Sandboxing aktivieren

Claude Codes native Sandbox erzwingt die Dateisystem- und Netzwerkisolierung auf Betriebssystemebene und verwendet Seatbelt unter macOS und Bubblewrap unter Linux. Die eigenen internen Tests von Anthropic ergaben, dass Sandboxing reduziert Genehmigungsaufforderungen um 84% bei gleichzeitiger Beibehaltung stärkerer Ausführungsgrenzen. Sie sollten es für alle Entwickler aktivieren:

{
  "sandbox": {
    "enabled": true,
    "network": { "httpProxyPort": 8080, "socksProxyPort": 8081 }
  }
}

Die Sandbox verhindert die Änderung von Dateien auf Systemebene, blockiert den Kontakt mit Domänen, die Sie nicht zugelassen haben, und begrenzt den Explosionsradius von Prompt-Injection-Angriffen. Sie sollten außerdem „allowUnSandboxedCommands“: false setzen, um die Escape-Hatch zu schließen, durch die Befehle außerhalb der Sandbox ausgeführt werden könnten.

MCP-Serververwaltung

MCP-Server Verbinde Claude mit externen Datenbanken, APIs und SaaS-Tools, und jeder neue Server, den ein Entwickler hinzufügt, erweitert die Angriffsfläche. Ohne zentrale Steuerung sind Anmeldeinformationen unübersichtlich, ungeprüfte öffentliche Server laufen auf den Computern der Entwickler und es gibt keinen Prüfpfad darüber, welche Tools aufgerufen wurden oder welche Daten zurückgegeben wurden.

Die Lösung besteht darin, den gesamten MCP-Zugriff über ein zentrales Gateway zu leiten und nur diese Gateway-URL zuzulassen.

Was TrueFoundry MCP Gateway bietet

TrueFoundry MCP-Gateway wickelt die unternehmensweite MCP-Governance über eine einzige Kontrollebene ab:

• Zentralisierte MCP-Registrierung Dadurch können Sie alle zugelassenen Server an einem Ort registrieren und verwalten, sodass Entwickler eine Verbindung zum Gateway herstellen, anstatt einzelne Serververbindungen lokal zu verwalten.
• Einheitliche Authentifizierung wobei sich Entwickler einmal mit einem TrueFoundry-API-Schlüssel oder einem IdP-Token (Okta, Azure AD, Auth0) authentifizieren und das Gateway verarbeitet ausgehende Authentifizierung zu jedem Downstream-Server.
• Rollenbasierte Zugriffskontrolle das regelt, welche Benutzer und Teams auf welche Server und Tools zugreifen können, und erzwingt die Least-Privilegien vom Dashboard aus.
• Steuerung auf Tool-Ebene damit können Sie einzelne Tools auf einem Server deaktivieren oder Tools von mehreren Servern zu einem aggregieren virtueller MCP-Server das macht nur eine genehmigte Teilmenge pro Team verfügbar.
• Leitplanken die bei Toolaufrufen Prüfungen vor der Ausführung, Blockierung in Echtzeit und Validierung nach der Ausführung durchführen.
• Voll Prüfpfad wobei jeder Toolaufruf anhand von Benutzerattributionen, Anforderungs-/Antwort-Nutzlasten und Latenzdaten verfolgt wird.

Sie können es in managed-settings.json sperren:

{
  "allowedMcpServers": [
    { "serverUrl": "https://truefoundry-mcp-gateway.your-company.com/*" }
  ],
  "strictKnownMarketplaces": []
}

Das leere StrictKnownMarketplaces-Array blockiert alle MCP-Installationen von Marketplace-Quellen. Auf verwalteten Geräten können Sie eine managed-mcp.json-Datei per MDM bereitstellen, um Maschinen mit zugelassenen Servern vorab zu starten. Nach der Bereitstellung können Entwickler keine Server mehr hinzufügen, als in der Datei definiert sind.

Aufbewahrung und Einhaltung von Vorschriften

Anthropic behält zwar Eingabeaufforderungen und Ergebnisse standardmäßig bei, um die Sicherheit und Qualität zu verbessern, aber Sie haben drei Hebel, um die Aufbewahrung zu kontrollieren.

Aufbewahrungseinstellungen nach Schnittstelle

Für Claude.ai können Sie die Aufbewahrung auf maximal 30 Tage festlegen unter Einstellungen der Organisation > Daten und Datenschutz. Verwenden Sie für Claude Code die Einstellung transcriptRetentionDays in managed-settings.json mit einem Wert von 7-14 Tagen als sinnvolle Standardeinstellung.

Keine Datenspeicherung (ZDR)

Für regulierte Workloads sollten Sie Folgendes anfordern ZDR über Ihr Claude-Account-Team. ZDR verhindert, dass Anthropic Eingabeaufforderungen oder Ausgaben speichert, die über das hinausgehen, was für die Bearbeitung der Anfrage erforderlich ist, aber dafür ist ein vertraglicher Zusatz erforderlich. Sie sollten PHI oder andere regulierte Daten erst verarbeiten, wenn das Addendum unterzeichnet und bestätigt wurde, dass es aktiv ist.

Compliance-Rahmenbedingungen

• SOC 2 Typ II Die Zertifizierung befindet sich im Besitz von Anthropic und ist unter NDA erhältlich. Ihre Verantwortung umfasst die dokumentierten Verfahren zur Bereitstellung/Aufhebung der Bereitstellung, die Aufbewahrung von Protokollen über 90 Tage und eine aktuelle Risikobewertung des Anbieters.
• HIPAA Die Einhaltung der Vorschriften erfordert ZDR und eine obligatorische menschliche Überprüfung aller Ergebnisse, die Patientendaten betreffen, sowie einen vollständigen Audit-Trail für jede PHI-Interaktion.
• DSGVO Einhaltung erfordert Datenresidenz (AWS-Regionen der EU oder Vertex mit Private Service Connect), dokumentierte Löschworkflows über die Compliance-API und Ablehnungsregeln zum Blockieren personenbezogener Daten enthaltender Inhalte.

Auditprotokollierung und Kostenkontrolle

Sie sollten Auditprotokolle regelmäßig in Ihr SIEM exportieren und sie für SOC 2 mindestens 90 Tage oder für regulierte Branchen länger aufbewahren. Was erfasst werden muss, ist je nach Schnittstelle unterschiedlich:

• Netz erfordert die Protokollierung von Sitzungsstart-/Endereignissen, Datei-Uploads und Konversationsmetadaten.
• Desktop erfordert die Protokollierung von MCP-Serververbindungen, Toolaufrufen und externen Serviceaufrufen.
• CLI erfordert die Protokollierung von Toolaufrufen, Dateizugriffsmustern, der Ausführung von Shell-Befehlen und verweigerten Aktionen.

Wenn Claude Verkehr durchfließt TrueFoundry KI-Gateway, jede Anfrage wird mit vollständiger Benutzerzuweisung sowohl für LLM- als auch für MCP-Anfragen verfolgt. Ein einheitliches Dashboard bietet Echtzeit-Metriken, und alle Traces werden über Folgendes nach Grafana, Datadog oder Splunk exportiert Telemetrie öffnen.

Administratoren können auch konfigurieren OpenTelemetrie-Einstellungen nativ in der verwalteten Einstellungsdatei für den direkten Telemetrieexport von Claude Code.

Die Kosten müssen monatlich festgesetzt werden Ausgabenlimits pro Benutzer und pro Team in der Admin-Konsole. Ohne diese Obergrenzen kann eine falsch konfigurierte Pipeline Ihr Budget über Nacht überbeanspruchen. Aufschlüsselungen pro Benutzer und Modell eignen sich für Chargeback-Berichte, die Erkennung von Anomalien und vieles mehr Beobachtbarkeit der KI-Kosten.

Fazit

Die Absicherung von Claude ist nicht eine Entscheidung, sondern eine ganze Reihe von Entscheidungen — Identität, Modellrouting, Sandboxing, MCP-Governance, Datenspeicherung, Auditprotokollierung und Kostenkontrolle — die je nach Schnittstelle unterschiedlich angewendet werden. Die Webversion benötigt DLP-Kontrollen und Domain-Erfassung. Die Desktop-App muss von Tool zu Tool überprüft werden. Claude Code benötigt eine Managed-Settings.json mit gesperrtem Zugriff, die über MDM mit aktiviertem nativem Sandboxing bereitgestellt wird.

Allen dreien ist gemeinsam, dass Sie den Verkehr und den MCP-Zugriff über ein zentrales Gateway leiten sollten, das Sie kontrollieren. Ein Endpunkt, ein Richtliniensatz und ein Audit-Trail. TrueFoundry KI-Gateway bietet diese Ebene sowohl für den LLM-Verkehr als auch für die MCP-Server-Governance mit integrierter Zugriffskontrolle, Ratenbegrenzung, Leitplanken und Beobachtbarkeit.

Beginnen Sie noch heute mit SSO und Domainerfassung, setzen Sie dann verwaltete Einstellungen für Ihre gesamte Flotte durch und leiten Sie alles über ein Gateway weiter, das Sie kontrollieren. Die CVEs sind echt, und die Bekanntheit wächst mit jedem Entwickler, der Claude Code öffnet.

Häufig gestellte Fragen

Was ist managed-settings.json und warum ist das wichtig?

Die Datei managed-settings.json setzt unternehmensweite Claude-Code-Richtlinien durch, die Entwickler nicht außer Kraft setzen können. Administratoren stellen sie über MDM auf Pfaden auf Systemebene unter macOS oder Linux bereit und sie steuert Berechtigungen, Modellzugriff, MCP-Server-Zulassungslisten und die Sandbox-Konfiguration.

Können Entwickler die Sicherheitseinschränkungen von Claude Code umgehen?

Ja, es sei denn, du blockierst es. Die Einstellung „disableByPassPermissionsMode“: „disable“ verhindert die Verwendung des Flags --dangerously-skip-permissions, und „allowManagedPermissionRulesOnly“: true stellt sicher, dass nur Regeln auf Systemebene gelten.

Funktioniert Claude Code Sandboxing sowohl unter macOS als auch unter Linux?

Claude Code verwendet Seatbelt auf macOS und Bubblewrap auf Linux für Dateisystem- und Netzwerkisolierung auf Betriebssystemebene. Die internen Tests von Anthropic ergaben, dass Sandboxing die Anzahl der Eingabeaufforderungen um 84% reduziert und gleichzeitig strengere Ausführungsgrenzen eingehalten werden.

Wie verhindere ich, dass Entwickler eine Verbindung zu nicht zugelassenen MCP-Servern herstellen?

Setzen Sie allowedMCPServers in managed-settings.json so, dass Allowlist nur Ihre Gateway-URL erlaubt ist, und setzen Sie strictKnownMarketplaces auf ein leeres Array, um Marketplace-Installationen zu blockieren. Stellen Sie eine managed-mcp.json-Datei über MDM bereit, um Computer vorab mit nur Ihren zugelassenen Servern zu versorgen.

Was ist Zero Data Retention und wann brauche ich es?

ZDR verhindert, dass Anthropic Eingabeaufforderungen oder Ausgaben speichert, die über das hinausgehen, was für die Bearbeitung jeder Anfrage erforderlich ist. Sie benötigen es, bevor Sie regulierte Daten verarbeiten können, wie z. B. PHI gemäß HIPAA, und es ist eine vertragliche Ergänzung durch Ihr Claude-Account-Team erforderlich.