KI-Agenten sicher einsetzen: Policy-as-Code mit NVIDIA OpenShell
AI Coding Agents sind mächtig — aber wie kontrollieren Sie, wohin Ihre Daten fliessen? NVIDIA OpenShell bietet Policy-as-Code für KI-Sicherheit.
KI-Agenten sicher einsetzen: Policy-as-Code mit NVIDIA OpenShell
Ihr Entwicklungsteam nutzt KI-Coding-Assistenten. Claude Code, GitHub Copilot, Codex — diese Werkzeuge steigern die Produktivität enorm. Aber wissen Sie, welche Netzwerkanfragen diese Assistenten im Hintergrund machen? Welche Dateien sie lesen? Wohin Ihr Code fliesst?
Grosse KI-Anbieter haben Sicherheitsmassnahmen: Anthropic und OpenAI halten SOC 2 Type II Zertifizierungen, bieten DPAs (Datenverarbeitungsverträge) und teilweise Zero Data Retention an. Das sind wichtige Grundlagen. Aber diese Schutzmassnahmen greifen auf Provider-Ebene — sie kontrollieren nicht, was vor dem Verlassen Ihrer Maschine passiert.
Die meisten Unternehmen setzen KI-Agenten ohne explizite Egress-Kontrolle ein. Der Agent operiert mit den Rechten des Entwicklers, aber ohne definierte Richtlinie, welche Endpunkte er erreichen darf.
NVIDIA OpenShell ändert das. Es ist eine Open-Source-Laufzeitumgebung, die KI-Agenten in isolierte Sandboxes einschliesst und durch deklarative YAML-Policies steuert: Policy-as-Code für KI-Agenten.
Warum traditionelle Containerisierung nicht reicht
Ein Docker-Container isoliert den Prozess, aber nicht die einzelnen Programme darin. Wenn der Container Internetzugang hat, dann hat jedes Programm im Container Internetzugang. npm install erreicht die Registry — aber curl erreicht ebenfalls jede beliebige Adresse.
Was fehlt, ist Per-Binary Egress Control: Netzwerkregeln, die pro Programm definieren, welche Endpunkte erreichbar sind. Die OWASP Foundation identifiziert dieses Problem in ihren «Top 10 for LLM Applications» (2025) als LLM06: Excessive Agency — KI-Agenten, die mit breiteren Rechten operieren als ihre Aufgabe erfordert.
OpenShell löst genau dieses Problem mit vier Komponenten:
- Gateway — Kontrollschicht, die den Sandbox-Lebenszyklus verwaltet
- Sandbox — Isolierter Container, in dem der KI-Agent unverändert läuft
- Policy Engine — Prüft jede ausgehende Verbindung: Welches Programm? Welches Ziel? Erlaubt oder blockiert.
- Privacy Router — Leitet Inferenz-Anfragen wahlweise an lokale LLMs oder Cloud-APIs weiter
Das Entscheidende: Die Policies werden ausserhalb des Agenten-Prozesses durchgesetzt. Der Agent kann sie nicht umgehen — selbst wenn er kompromittiert wird.
Policy-as-Code in der Praxis
Eine OpenShell-Policy definiert in wenigen Zeilen YAML, was ein KI-Agent darf:
Was diese Policy bewirkt:
npmkann nurregistry.npmjs.orgerreichen — keine andere Adresseghkann nurapi.github.comerreichen — mit eingeschränkten HTTP-Methodennodekann nurapi.anthropic.comerreichen — für die KI-Inferenz- Alle anderen Programme (
curl,wget, etc.) werden blockiert - Das Dateisystem ist auf das Projektverzeichnis beschränkt — kein Zugriff auf
~/.sshoder~/.aws
Unter der Haube nutzt OpenShell Landlock, ein Linux-Kernel-Sicherheitsmodul (verfügbar seit Linux 5.13, mit fortlaufenden Erweiterungen bis 6.12+), das die Dateisystem-Einschränkungen auf Kernel-Ebene durchsetzt — ohne Root-Rechte und mit vernachlässigbarem Performance-Overhead.
Wichtiger Hinweis: OpenShell befindet sich aktuell in der Alpha-Phase (Single-Player-Modus). Für einzelne Entwickler funktioniert es zuverlässig, Multi-User-Setups sind noch nicht produktionsreif. Landlock-Unterstützung ist Linux-only — auf macOS greift OpenShell auf Docker-Level-Isolation zurück.
Sichere KI-Integration fuer Ihr Unternehmen?
Als NVIDIA Connect Partner beraten wir Sie bei der Einfuehrung von KI-Agenten — von der Policy-Definition bis zum Rollout.
Was das für Schweizer Unternehmen bedeutet
Seit dem Inkrafttreten des neuen Datenschutzgesetzes (nDSG) am 1. September 2023 müssen Schweizer Organisationen wissen, wohin personenbezogene Daten fliessen. Wenn Ihre Codebasis personenbezogene Daten enthält (Kundendaten, PII, Gesundheitsdaten), können KI-Coding-Assistenten ohne explizite Egress-Kontrolle einen schwer nachvollziehbaren Datenfluss erzeugen — ein Compliance-Risiko, das viele Unternehmen noch nicht adressiert haben.
Hinweis: Das nDSG reguliert die Verarbeitung personenbezogener Daten, nicht jede Netzwerkanfrage generell. Die Relevanz hängt davon ab, ob Ihr Code tatsächlich solche Daten enthält.
Modellrechnung: Typisches Schweizer Softwareunternehmen
Ein mittelständisches Unternehmen mit 10 Entwicklern, die täglich KI-Coding-Assistenten nutzen:
- Ohne Egress-Kontrolle: Schätzungsweise 500+ Netzwerkanfragen pro Tag (bei ~50 Queries/Entwickler). Diese gehen an bekannte Endpunkte (Inferenz-API, Package-Registry), aber ohne explizite Policy fehlt die Nachvollziehbarkeit.
- Mit OpenShell Policy-as-Code: Exakt drei erlaubte Endpunkte (Inferenz-API, Package-Registry, GitHub). Alles andere wird blockiert und protokolliert. Vollständig auditierbar.
Für Unternehmen, die mit besonders sensiblen Daten arbeiten, bietet der lokale Inferenz-Modus eine zusätzliche Schutzschicht: Über den Privacy Router lassen sich alle KI-Anfragen an ein lokal betriebenes Sprachmodell (z.B. via Ollama) umleiten. Der Quellcode verlässt damit die Schweizer Infrastruktur zu keinem Zeitpunkt.
Die YAML-Policy wird im Git-Repository versioniert — genau wie der Quellcode selbst. Damit entsteht ein lückenloser Audit-Trail, der bei einer Datenschutz-Folgenabschätzung nach Art. 22 nDSG als Nachweis dienen kann.
Erste Schritte
Die Einrichtung dauert etwa 30 Minuten:
- Installieren:
uv tool install -U openshell(erfordert Docker) - Sandbox erstellen:
openshell sandbox create --policy policy.yaml -- claude - Audit-Modus starten: Policy mit
enforcement: auditerstellen — beobachten, welche Anfragen Ihre Agenten tatsaechlich machen. Mitopenshell logsdie blockierten Verbindungen analysieren. - Durchsetzen:
enforcement: enforceaktivieren und per Hot-Reload anwenden (openshell policy set) — kein Neustart noetig - Versionieren:
policy.yamlins Git-Repository einchecken
Fazit
KI-Coding-Assistenten sind leistungsstarke Werkzeuge — aber sie brauchen Leitplanken. NVIDIA OpenShell bietet mit Policy-as-Code einen pragmatischen Ansatz, der Produktivität und Sicherheit nicht als Gegensätze behandelt. Die deklarativen YAML-Policies sind einfach genug, um in 30 Minuten aufgesetzt zu werden, und robust genug, um Compliance-Anforderungen zu erfüllen.
Dies ist Teil 1 der Serie "KI-Agenten sicher einsetzen":
- Teil 1: Policy-as-Code mit NVIDIA OpenShell (dieser Artikel)
- Teil 2: Datenhoheit — KI-Agenten ohne Cloud betreiben (demnächst)
- Teil 3: KI-Agenten in der CI/CD-Pipeline sichern (demnächst)
Ausführliche englische Version mit zusätzlichen Code-Beispielen und Architektur-Diagrammen auf m3mo Bytes (Substack).
Mehmet Gökçe — Software & Data Engineer
Führt MEMOTECH mit Sitz in der Schweiz. Spezialisierung auf sichere KI-Integration und E-Commerce-Performance.
Hintergrund: 26 Jahre Enterprise-Erfahrung (Fortune-500 & Mittelstand)
Quellen
- NVIDIA (2026). «OpenShell Developer Guide.» docs.nvidia.com/openshell
- OWASP Foundation (2025). «Top 10 for Large Language Model Applications.» LLM06: Excessive Agency. owasp.org
- Schweizerische Eidgenossenschaft (2023). «Bundesgesetz über den Datenschutz (nDSG).» fedlex.admin.ch
- Salaün, M. (2021). «Landlock: unprivileged access control.» Linux Kernel Documentation. kernel.org
Mehmet Gökçe
Founder & CEO
Gründer von MEMOTECH mit über 28 Jahren Erfahrung. Spezialisiert auf E-Commerce-Lösungen und digitale Transformation für Schweizer KMU.