MEMOTECH
HomeBlog Overview
Securing AI Agents with Policy-as-Code - MEMOTECH Blog Hero Image
AI & Automation

KI-Agenten sicher einsetzen: Policy-as-Code mit NVIDIA OpenShell

AI Coding Agents sind mächtig — aber wie kontrollieren Sie, wohin Ihre Daten fliessen? NVIDIA OpenShell bietet Policy-as-Code für KI-Sicherheit.

MEMOTECH Team
23.03.2026
5 Min Lesezeit

Ihr Entwicklungsteam nutzt KI-Coding-Assistenten. Claude Code, GitHub Copilot, Codex — diese Werkzeuge steigern die Produktivität enorm. Aber wissen Sie, welche Netzwerkanfragen diese Assistenten im Hintergrund machen? Welche Dateien sie lesen? Wohin Ihr Code fliesst?

Die meisten Unternehmen setzen KI-Agenten ohne jede Egress-Kontrolle ein. Das ist so, als würden Sie einem neuen Mitarbeiter am ersten Arbeitstag uneingeschränkten Zugang zu allen Systemen geben — ohne VPN, ohne Zugriffsrichtlinie, ohne Code-Review.

NVIDIA OpenShell ändert das. Es ist eine Open-Source-Laufzeitumgebung, die KI-Agenten in isolierte Sandboxes einschliesst und durch deklarative YAML-Policies steuert: Policy-as-Code für KI-Agenten.

Warum traditionelle Containerisierung nicht reicht

Ein Docker-Container isoliert den Prozess, aber nicht die einzelnen Programme darin. Wenn der Container Internetzugang hat, dann hat jedes Programm im Container Internetzugang. npm install erreicht die Registry — aber curl erreicht ebenfalls jede beliebige Adresse.

Was fehlt, ist Per-Binary Egress Control: Netzwerkregeln, die pro Programm definieren, welche Endpunkte erreichbar sind. Die OWASP Foundation identifiziert dieses Problem in ihren «Top 10 for LLM Applications» (2025) als LLM06: Excessive Agency — KI-Agenten, die mit breiteren Rechten operieren als ihre Aufgabe erfordert.

OpenShell löst genau dieses Problem mit vier Komponenten:

  • Gateway — Kontrollschicht, die den Sandbox-Lebenszyklus verwaltet
  • Sandbox — Isolierter Container, in dem der KI-Agent unverändert läuft
  • Policy Engine — Prüft jede ausgehende Verbindung: Welches Programm? Welches Ziel? Erlaubt oder blockiert.
  • Privacy Router — Leitet Inferenz-Anfragen wahlweise an lokale LLMs oder Cloud-APIs weiter

Das Entscheidende: Die Policies werden ausserhalb des Agenten-Prozesses durchgesetzt. Der Agent kann sie nicht umgehen — selbst wenn er kompromittiert wird.

Policy-as-Code in der Praxis

Eine OpenShell-Policy definiert in wenigen Zeilen YAML, was ein KI-Agent darf:



Was diese Policy bewirkt:


    

  • npm kann nur registry.npmjs.org erreichen — keine andere Adresse
    • 

  • gh kann nur api.github.com erreichen — mit eingeschränkten HTTP-Methoden
    • 

  • node kann nur api.anthropic.com erreichen — für die KI-Inferenz
    • 

  • Alle anderen Programme (curl, wget, etc.) werden blockiert
    • 

  • Das Dateisystem ist auf das Projektverzeichnis beschränkt — kein Zugriff auf ~/.ssh oder ~/.aws
    • 



Unter der Haube nutzt OpenShell Landlock, ein Linux-Kernel-Sicherheitsmodul (verfügbar seit Linux 5.13), das die Dateisystem-Einschränkungen auf Kernel-Ebene durchsetzt — ohne Root-Rechte und mit vernachlässigbarem Performance-Overhead.
Sichere KI-Integration fuer Ihr Unternehmen?
Als NVIDIA Connect Partner beraten wir Sie bei der Einfuehrung von KI-Agenten — von der Policy-Definition bis zum Rollout.
Unverbindlich
24h Antwortzeit
Persönlicher Kontakt
Jetzt kostenlose Analyse anfordern →
30 Min Erstgespräch • Quick-Scan • Follow-up Detail-Analyse
Was das für Schweizer Unternehmen bedeutet


Seit dem Inkrafttreten des neuen Datenschutzgesetzes (nDSG) am 1. September 2023 müssen Schweizer Organisationen wissen, wohin personenbezogene Daten fliessen. KI-Coding-Assistenten, die beliebige Netzwerkanfragen stellen können, schaffen einen unkontrollierten Datenfluss — ein Compliance-Blindspot, den viele Unternehmen noch nicht adressiert haben.


Modellrechnung: Typisches Schweizer Softwareunternehmen


Ein mittelständisches Unternehmen mit 10 Entwicklern, die täglich KI-Coding-Assistenten nutzen:


    

  • Ohne Egress-Kontrolle: 500+ unkontrollierte Netzwerkanfragen pro Tag. Jede davon könnte potenziell Quellcode, API-Keys oder Kundendaten nach aussen senden. Sie wissen es schlicht nicht.
    • 

  • Mit OpenShell Policy-as-Code: Exakt drei erlaubte Endpunkte (Inferenz-API, Package-Registry, GitHub). Alles andere wird blockiert und protokolliert. Vollständig auditierbar.
    • 



Für Unternehmen, die mit besonders sensiblen Daten arbeiten, bietet der lokale Inferenz-Modus eine zusätzliche Schutzschicht: Über den Privacy Router lassen sich alle KI-Anfragen an ein lokal betriebenes Sprachmodell (z.B. via Ollama) umleiten. Der Quellcode verlässt damit die Schweizer Infrastruktur zu keinem Zeitpunkt.


Die YAML-Policy wird im Git-Repository versioniert — genau wie der Quellcode selbst. Damit entsteht ein lückenloser Audit-Trail, der bei einer Datenschutz-Folgenabschätzung nach Art. 22 nDSG als Nachweis dienen kann.


Erste Schritte


Die Einrichtung dauert etwa 30 Minuten:


    

  1. Installieren: uv tool install -U openshell (erfordert Docker)
    2. 

  2. Sandbox erstellen: openshell sandbox create --policy policy.yaml -- claude
    3. 

  3. Audit-Modus starten: Policy mit enforcement: audit erstellen — beobachten, welche Anfragen Ihre Agenten tatsächlich machen. Mit openshell logs die blockierten Verbindungen analysieren.
    4. 

  4. Durchsetzen: enforcement: enforce aktivieren und per Hot-Reload anwenden (openshell policy set) — kein Neustart nötig
    5. 

  5. Versionieren: policy.yaml ins Git-Repository einchecken
    6. 



Fazit


KI-Coding-Assistenten sind leistungsstarke Werkzeuge — aber sie brauchen Leitplanken. NVIDIA OpenShell bietet mit Policy-as-Code einen pragmatischen Ansatz, der Produktivität und Sicherheit nicht als Gegensätze behandelt. Die deklarativen YAML-Policies sind einfach genug, um in 30 Minuten aufgesetzt zu werden, und robust genug, um Compliance-Anforderungen zu erfüllen.




Dies ist Teil 1 der Serie "KI-Agenten sicher einsetzen":


    

  • Teil 1: Policy-as-Code mit NVIDIA OpenShell (dieser Artikel)
    • 

  • Teil 2: Datenhoheit — KI-Agenten ohne Cloud betreiben (demnächst)
    • 

  • Teil 3: KI-Agenten in der CI/CD-Pipeline sichern (demnächst)
    • 



Ausführliche englische Version mit zusätzlichen Code-Beispielen und Architektur-Diagrammen auf m3mo Bytes (Substack).




Mehmet Gökçe — Software & Data Engineer


Führt MEMOTECH mit Sitz in der Schweiz. Spezialisierung auf sichere KI-Integration und E-Commerce-Performance.


Hintergrund: 26 Jahre Enterprise-Erfahrung (Fortune-500 & Mittelstand)


GitHub · LinkedIn




Quellen


    

  • NVIDIA (2026). «OpenShell Developer Guide.» docs.nvidia.com/openshell
    • 

  • OWASP Foundation (2025). «Top 10 for Large Language Model Applications.» LLM06: Excessive Agency. owasp.org
    • 

  • Schweizerische Eidgenossenschaft (2023). «Bundesgesetz über den Datenschutz (nDSG).» fedlex.admin.ch
    • 

  • Salaün, M. (2021). «Landlock: unprivileged access control.» Linux Kernel Documentation. kernel.org
    • 

#KI-Sicherheit#AI Agents#Policy-as-Code#OpenShell#Datenschutz#nDSG#DevSecOps
MEMOTECH Team
MEMOTECH Team
Founder & CEO
Gründer von MEMOTECH mit über 26 Jahren Erfahrung. Spezialisiert auf E-Commerce-Lösungen und digitale Transformation für Schweizer KMU.
Weitere Artikel
Performance & Skalierung
Warum Ihr Online-Shop langsam ist: Die versteckte MySQL-Bremse
In 80% der Fälle ist die Datenbank falsch indexiert. Jede Sekunde Ladezeit kostet 7% Conversion. Die Lösung: 2 Stunden Arbeit statt neuer Hardware.
Read More
Performance & Skalierung
Shopware Performance-Optimierung 2025: So beschleunigen Schweizer Online-Shops Ladezeiten und erhöhen Umsatz
Shopware-Shops mit Ladezeiten über 3 Sekunden verlieren 50% potenzielle Käufer. Entdecken Sie praxiserprobte Performance-Strategien speziell für Schweizer E-Commerce.
Read More
AI & Automation
Apertus: Warum die Schweiz gerade die Zukunft der offenen KI definiert hat
Während die Welt über OpenAI, Google und Meta diskutiert, hat die Schweiz mit Apertus das erste vollständig offene Large Language Model veröffentlicht – einen Gegenentwurf zur Corporate AI.
Read More