„Ich verstehe, dass es praktisch ist. Aber mal ehrlich, ist es nicht beängstigend, dass KI Befehle auf den PCs der Mitarbeiter ausführt?"
Das ist die häufigste Sorge, die ich von Führungskräften höre, wenn es um die Unterstützung der KI-Einführung geht. KI, die im Browser bleibt, wie ChatGPT, ist nicht so einschüchternd. Aber Claude Code liest Dateien auf den Computern der Mitarbeiter, führt Befehle aus und greift auf das Internet zu. „Ich weiß, dass es Dinge schneller macht. Aber wer übernimmt die Verantwortung, wenn ein Unfall passiert?" Viele Unternehmen bleiben wahrscheinlich an diesem Punkt hängen.
Ein Großkonzern hat eine Antwort auf diese Verunsicherung geliefert. Mercari hat kürzlich in einer Studiensession ihre „Sicherheitseinstellungen und Verteilungsmethoden" vorgestellt, die bei der Einführung von Claude Code für Hunderte von Mitarbeitern verwendet wurden.
Hinzu kam, dass es sich nicht um teure, proprietäre Systeme handelte. Durch die Vorbereitung und Verteilung einer einzigen Konfigurationsdatei können auch kleine und mittelständische Unternehmen (KMU) einen Großteil davon nachbilden.
Der Grund, warum Mercari es an Hunderte von Personen verteilen konnte, war kein teurer Mechanismus, sondern eine einzige „Konfigurationsdatei, die die Mitarbeiter nicht entfernen können". KMU können noch heute damit beginnen.
In diesem Artikel werde ich Mercaris Ansatz so einfach wie möglich aufschlüsseln, und zwar in Bezug auf „was zu befürchten ist", „wie Mercari es gemanagt hat" und „wo Ihr Unternehmen anfangen kann". Ich werde Fachbegriffe erklären, wenn sie auftauchen, damit auch nicht-technische Führungskräfte und Projektmanager folgen können.
Die referenzierten Präsentationsmaterialien finden Sie hier:
(Mercari Claude Code Organization Deployment Security Settings / Speaker Deck).
Die genaue Syntax für die Einstellungen wurde anhand der offiziellen Dokumentation von Anthropic überprüft.
Warum ist Claude Code „Praktisch, aber Beängstigend"?
Lassen Sie uns zunächst die Art der Angst klären. Ich habe das Gefühl, wenn man die Einstellungen einfach kopiert, ohne dies zu verstehen, weiß man nicht, was man eigentlich schützt.
Was Claude Code von Standard-Chat-KI unterscheidet, ist, dass es eigenständig auf Ihrem lokalen Computer agieren kann. Es kann Dateien suchen und lesen, sie umschreiben und Shell-Befehle (Befehle, die in ein Terminal eingegeben werden) ausführen. Es kann auch auf das Internet zugreifen. Mit anderen Worten: So ziemlich alles, was Sie auf diesem Computer tun können, kann die KI auch tun.
Was könnte konkret schiefgehen? Computer enthalten normalerweise Dinge, die Sie nicht preisgeben möchten:
- Informationen, die als Passwörter für Clouds oder APIs dienen (Konfigurationsdateien wie .env, ~/.aws/credentials usw.)
- Schlüssel zum Einloggen in Server (Inhalte von ~/.ssh/)
- Wichtige Dateien, deren Löschung verheerend wäre
KI hat keine böse Absicht. Aufgrund mehrdeutiger Anweisungen oder Befehlen, die in verdächtigen Texten im Internet eingebettet sind (bekannt als Prompt Injection), könnte sie jedoch versehentlich diese geheimen Dateien lesen und ins Internet senden oder wichtige Elemente mit dem Befehl rm löschen. Die offizielle Dokumentation von Anthropic empfiehlt ein Design, das die Berechtigungen basierend auf diesen Risiken einschränkt (Permission Settings - Official).
Kurz gesagt, es gibt drei Dinge zu schützen: das Durchsickern geheimer Informationen verhindern, das automatische Ausführen gefährlicher Operationen verhindern und den Umfang dessen, was überhaupt berührt werden kann, eingrenzen. Mercaris Maßnahmen werden viel verständlicher, wenn man sie durch diese drei Linsen betrachtet.
Aufschlüsselung von Mercaris „5 Maßnahmen"
Mercaris Präsentation fasste fünf Hauptmaßnahmen zusammen. Wir werden uns für jede einzelne den „Zweck" und die „Umsetzung" ansehen.
Bitte beachten Sie, dass sich die Präsentationsfolien auf die Konzepte konzentrieren und nicht jedes Detail der Konfigurationsdatei enthalten. Daher werde ich dies in Form von „wie man Mercaris Richtlinien mit den offiziellen Einstellungen von Claude Code umsetzt" präsentieren. Die Schlüsselnamen und die Syntax sind alle aus den offiziellen Docs von Anthropic überprüft.
Maßnahme ①: Menschliche Bestätigung „unumgehbar" machen
Claude Code hat einen Modus, der automatisch abläuft, ohne jedes Mal um Bestätigung zu fragen. Für Entwickler auf ihren experimentellen PCs ist das praktisch, aber wenn man es im Unternehmen an alle verteilt, werden die Sicherheitsbremsen entfernt.
Mercari hat diesen „Bestätigungsumgehungsmodus" deaktiviert. Offiziell gibt es Einstellungen wie permissions.disableBypassPermissionsMode (und disableAutoMode, um den automatischen Modus zu blockieren). Wenn diese auf „disable" gesetzt sind, können Benutzer diese Modi nicht mehr aktivieren. Wenn sie zusätzlich in den später beschriebenen „verwalteten Einstellungen" platziert werden, können die Mitarbeiter sie nicht selbst deaktivieren (Permission Settings - Official.
Die Bedeutung ist einfach: Es setzt unternehmensweit die Regel durch, dass „ein Mensch das OK geben muss, bevor die KI aktiv wird".
Maßnahme ②: Gefährliche Befehle stoppen oder immer bestätigen lassen
Als nächstes legen wir den Befehlen selbst eine Leine an. Zum Beispiel curl (ein Befehl, um Daten aus dem Internet abzurufen). Wenn er frei verwendet wird, kann er zu einem Weg werden, geheime Dateien nach außen zu senden.
In Claude Code können Sie für bestimmte Befehle eine deny-Liste (Sperrliste) und eine ask-Liste (Bestätigungsliste) festlegen, die vor der Ausführung eine Bestätigung erfordert. Die Syntax sieht so aus:
1{2 "permissions": {3 "deny": [4 "Bash(curl:*)",5 "Bash(wget:*)"6 ],7 "ask": [8 "Bash(git push:*)"9 ]10 }11}
Bash(curl:*) bedeutet „alle Befehle blockieren, die mit curl beginnen" (das :* am Ende steht für „alles, was danach kommt"). Ein wichtiger Hinweis: Die offiziellen Docs besagen, dass der Versuch, curl nur für bestimmte Ziele wie GitHub zu erlauben, leicht durch Weiterleitungen umgangen werden kann. Daher ist die offizielle Empfehlung, die Internetkommunikation vollständig zu blockieren und notwendige Abrufe über einen separaten sicheren Port zu bündeln (Permission Settings - Official. Dieser „sichere Port" ist WebFetch (eine integrierte Claude Code-Funktion für Internetabrufe), bei dem die Ziele auf eine Whitelist gesetzt werden können.
Maßnahme ③: Lesen geheimer Dateien und Systemänderungen verhindern
Wir blockieren auch den Zugriff auf die geheimen Informationen selbst, wie .env-Dateien, in denen Passwörter liegen, oder den Befehl sudo, der für tiefgreifende Systemänderungen verwendet wird.
1{2 "permissions": {3 "deny": [4 "Read(.env)",5 "Read(.env.*)",6 "Read(**/.ssh/**)",7 "Bash(sudo:*)"8 ]9 }10}
Wenn man Read(.env) schreibt, wird .env auf jeder Ebene unter dem Arbeitsordner unlesbar. Was man zur Sicherheit wissen sollte: Diese Deny-Liste funktioniert zwar gegen das eigene Dateilesen von Claude oder offensichtliche Befehle wie cat, aber sie kann ein von der KI geschriebenes Skript nicht vollständig daran hindern, eine Datei im Hintergrund heimlich zu öffnen (Permission Settings - Official. Deshalb ist Maßnahme ④ notwendig.
Maßnahme ④: Die „Reichweite" mit einer Sandbox einschließen
Während eine Deny-Liste Linien für bestimmte Befehle zieht, erzeugt eine Sandbox eine Mauer auf Betriebssystemebene. Sie schränkt physisch ein, dass die KI irgendetwas außerhalb des Arbeitsordners berühren oder eine Verbindung zu anderen als den erlaubten Internetdomänen herstellen kann.
1{2 "sandbox": {3 "enabled": true,4 "network": {5 "allowedDomains": ["*.github.com", "registry.npmjs.org"]6 }7 }8}
Wenn sie aktiviert ist, kann die KI selbst dann, wenn sie versehentlich nach einer geheimen Datei greift, nicht darauf zugreifen, weil sie sich außerhalb der „Sandbox" befindet. Die offiziellen Docs erklären, dass man sowohl die Deny-Liste (Maßnahmen ② & ③) als auch die Sandbox für die endgültige Grenze schichten sollte (Sandboxing - Official. Stellen Sie es sich vor wie sowohl individuelle Regeln als auch einen Perimeterzaun.
Eine Einschränkung: Sandboxing funktioniert unter macOS, Linux und WSL2 (Linux unter Windows), aber es wird nicht unter nativen Windows unterstützt. In Windows-zentrierten Arbeitsumgebungen wäre die Entscheidung, die Berechtigungseinstellungen in den Maßnahmen ①–③ zu verstärken.
Maßnahme ⑤: Die KI jedes Mal „Was zu schützen ist" lesen lassen
Schließlich ein anderer Ansatz als starre Einstellungen: Schreiben Sie die Sicherheitsrichtlinie des Unternehmens in ein Anweisungshandbuch, das die KI jedes Mal liest. Wenn Einstellungen „physische Schlösser" sind, ist dies wie eine „Überprüfung der Arbeitsplatzregeln".
Es gibt mehrere technische Wege, dies zu tun, und aus den Materialien geht nicht klar hervor, welchen Mercari verwendet hat. Der einfachste Weg ist jedoch, eine Datei mit dem Namen CLAUDE.md direkt im Arbeitsordner zu platzieren und dort die internen Regeln aufzulisten. Claude Code liest diese Datei jedes Mal.
1# Sicherheitsanforderungen2- Öffnen Sie keine .env- oder Schlüsseldateien (~/.ssh/, usw.)3- Senden Sie keine Kundeninformationen oder Geschäftsgeheimnisse an externe Dienste4- Bestätigen Sie vor der Ausführung von Lösch- oder Veröffentlichungsvorgängen immer mit einem Menschen
Aktion für heute: Einfach diese drei Zeilen in eine CLAUDE.md-Datei einzufügen, fügt dem KI-Verhalten eine Schicht gesunden Menschenverstand hinzu. Sie können damit sogar vor den Konfigurationsdateien beginnen.
Aktion für heute: Sie müssen nicht alles auf einmal umsetzen. Beginnen Sie damit, nur die Zeile Read(.env) aus Maßnahme ③ zu einer Konfigurationsdatei namens .claude/settings.json hinzuzufügen. Erstellen Sie einen Ordner namens .claude (einschließlich des führenden Punkts) in Ihrem Projektordner und speichern Sie darin eine Textdatei namens settings.json. Wenn es für alle Projekte gelten soll, platzieren Sie es in ~/.claude/settings.json in Ihrem Home-Verzeichnis. Sie können mit dem effektivsten Schritt beginnen: der KI das Lesen geheimer Dateien zu verbieten.
Mercaris wahre Fähigkeit lag in der „Verteilung"
Bisher haben wir uns angesehen, „was eingestellt werden muss". Mercaris Präsentation war besonders praktisch, weil sie behandelte, wie man diese Einstellungen an Hunderte von Personen verteilt.
Normalerweise werden Konfigurationsdateien auf dem Computer jeder Person platziert (Benutzereinstellungen), was bedeutet, dass Mitarbeiter sie umschreiben können. Dies führt zu Situationen, in denen „Sicherheitseinstellungen verteilt wurden, aber jemand sie deaktiviert hat".
Um dies zu lösen, verwendete Mercari MDM (Mobile Device Management – ein System für Unternehmen zur Verwaltung von Mitarbeiter-PCs), um gleichzeitig „verwaltete Einstellungen" zu verteilen, die die Mitarbeiter nicht überschreiben können. Claude Code hat einen dafür vorgesehenen Ort für verwaltete Einstellungen, die Vorrang vor individuellen Einstellungen haben und vom Benutzer nicht geändert werden können. Unter macOS ist dies /Library/Application Support/ClaudeCode/managed-settings.json (Settings - Official. Indem Maßnahmen ①–④ hier geschrieben werden, können sie vor Ort nicht gelockert werden.
Noch raffinierter war die Unterscheidung der Sicherheitsstufen für Ingenieure und Nicht-Ingenieure:
- Für Ingenieure: Einstellungen, die einige Anpassungen erlauben und die Produktivität nicht zu sehr behindern.
- Für Nicht-Ingenieure: Die sichersten Standardeinstellungen mit weniger Spielraum für Anpassungen.
Selbst für dasselbe Werkzeug passten sie die Länge der Leine basierend auf der Kompetenz des Benutzers an. Wenn alle streng eingeschränkt werden, stockt die Arbeit; wenn alle locker sind, passieren Unfälle. Sie lösten dies, indem sie die verteilten Einstellungen variierten.
Wo KMU mit der Nachbildung beginnen können
Die meisten Unternehmen haben wahrscheinlich kein MDM. Das ist in Ordnung. Sie können die Teile von Mercaris Design extrahieren, die unabhängig von der Größe funktionieren.
Alles, was Sie tun müssen, ist, eine einzige Datei mit Sicherheitseinstellungen zu verteilen und sie ablegen zu lassen. Wenn Sie MDM haben, verteilen Sie sie als verwaltete Einstellung; wenn nicht, teilen Sie sie mit den Worten: „Bitte legen Sie diese settings.json in Ihren .claude/-Ordner." Die Durchsetzungskraft ist geringer, aber die Richtung ist dieselbe.
Als minimales Set sieht die Kombination der Maßnahmen ①–③ so aus. Ich empfehle, dies als Grundlage zu verwenden und alle spezifischen Befehle hinzuzufügen, die Ihr Unternehmen verbieten möchte.
1{2 "permissions": {3 "disableBypassPermissionsMode": "disable",4 "deny": [5 "Bash(curl:*)",6 "Bash(wget:*)",7 "Bash(sudo:*)",8 "Read(.env)",9 "Read(.env.*)",10 "Read(**/.ssh/**)"11 ],12 "ask": [13 "Bash(git push:*)",14 "Bash(rm:*)"15 ]16 }17}
Von oben nach unten: Bestätigungsumgehung deaktivieren, Internetkommunikation und Admin-Operationen blockieren, Lesen geheimer Dateien verbieten, Löschen oder Veröffentlichen immer bestätigen. Selbst wenn Sie den Inhalt nicht verstehen, wird es funktionieren, wenn Sie es kopieren und einfügen.
Wenn Sie es an Nicht-Ingenieure verteilen, empfehle ich die sicherste Version, die die Sandbox (Maßnahme ④) hinzufügt. Die Kombination der beiden Einstellungen in einer Datei sieht so aus:
1{2 "permissions": {3 "disableBypassPermissionsMode": "disable",4 "deny": [5 "Bash(curl:*)",6 "Bash(wget:*)",7 "Bash(sudo:*)",8 "Read(.env)",9 "Read(.env.*)",10 "Read(**/.ssh/**)"11 ],12 "ask": [13 "Bash(git push:*)",14 "Bash(rm:*)"15 ]16 },17 "sandbox": {18 "enabled": true,19 "network": {20 "allowedDomains": ["*.github.com", "registry.npmjs.org"]21 }22 }23}
Ich habe einfach permissions und sandbox nebeneinander platziert, getrennt durch ein Komma. Ändern Sie die allowedDomains so, dass sie den Diensten entsprechen, die Ihr Unternehmen verwendet. Denken Sie daran, dass Sandboxing unter macOS, Linux und WSL2 funktioniert.
Was ich den Leuten bei der Implementierungsunterstützung immer sage: Hören Sie nicht auf, weil Sie nach Perfektion streben. Selbst wenn Sie nicht sofort eine mehrschichtige Verteidigung wie die von Mercari aufbauen können, senkt der Schutz von .env mit einer einzigen Zeile die Wahrscheinlichkeit eines Unfalls erheblich.
Aktion für heute: Wenn auch nur eine Person in Ihrem Unternehmen beginnt, Claude Code zu verwenden, teilen Sie das obige Minimum-Set als Text und lassen Sie es in .claude/settings.json einfügen. Es ist eine perfekte Größe für eine Verteilungsprobe.
Fallstricke: 3 Dinge, die Sie vor dem Verteilen von Einstellungen wissen sollten
Da es um die Verschärfung der Sicherheit geht, gibt es Punkte, die bei Missverständnissen gefährlich sind.
- Das „Schreiben einer Deny-Liste" bedeutet nicht, dass es perfekt sicher ist. Wie in Maßnahme ③ erwähnt, kann eine Deny-Liste nicht alles stoppen, was ein Skript im Hintergrund tun könnte. Selbst wenn Sie
curlstoppen, könnten andere Kommunikationsmethoden bestehen bleiben. Wenn Sie es wirklich einschließen wollen, vergessen Sie nicht die Prämisse, es mit einer Sandbox zu schichten (Maßnahme ④). - Verlassen Sie sich nicht auf die Filterung nach Argumenten. Anthropic selbst warnt, dass bedingte Berechtigungen, wie das Erlauben von
curlnur für eine bestimmte URL, leicht zu umgehen sind. Es ist robuster, gefährliche Dinge vollständig zu blockieren und eine einzige sichere Alternative bereitzustellen. - Verteilen Sie nicht einfach Einstellungen und sagen Sie, es ist erledigt. Selbst wenn Sie verwaltete Einstellungen durchsetzen, ist es bedeutungslos, wenn Mitarbeiter selbstständig andere verdächtige Tools installieren. Einstellungen sind ein „Mechanismus zur Unfallreduzierung" und wirken am besten, wenn sie mit einer Schulung zur Nutzung einhergehen. Hier kommt Maßnahme ⑤, „die Regeln lesen lassen", endlich zum Tragen.
FAQ für fortgeschrittene Benutzer
F. Macht es Sinn, dies für den persönlichen Gebrauch einzurichten?
Ja. Das Kriterium ist, ob sich geheime Informationen auf diesem Computer befinden, nicht, ob es für ein Unternehmen ist. Freiberufler und einzelne Entwickler haben ebenfalls .env und ~/.ssh/ lokal. Es ist zumindest sicherer, das Lese verbot aus Maßnahme ③ einzuschließen.
F. Wird die KI durch die Einschränkung der Berechtigungen nicht nutzlos?
Es kommt darauf an, wie Sie sie einschränken. Nur-Lese-Befehle (wie ls oder cat) funktionieren standardmäßig ohne Bestätigung, sodass die tägliche Arbeit selten zum Erliegen kommt. Gestoppt werden Operationen wie Löschen, Veröffentlichen und Internetkommunikation – Dinge, die wehtun, wenn sie schiefgehen. Tatsächlich können Sie durch die Umstellung auf „Menschen prüfen nur, wenn es gefährlich ist" den Bereich dessen, was Sie die KI automatisch tun lassen, sicher erweitern.
F. Was ist der Unterschied zwischen `settings.json` und verwalteten Einstellungen (`managed-settings.json`)?
Der Speicherort und die „Stärke" unterscheiden sich. settings.json in einem .claude/-Ordner eines Projekts ist eine gemeinsame Einstellung, die jeder bearbeiten kann. managed-settings.json` wird vom Unternehmen verteilt und kann vom Benutzer nicht geändert werden. Für Einzelpersonen oder kleine Gruppen ist ersteres ausreichend; wechseln Sie zu letzterem, wenn Sie die Phase erreicht haben, in der „es ein Problem ist, wenn jemand die Einstellungen lockert".
F. Kann ich den gleichen Gedanken für Cursor oder andere KI-Coding-Tools verwenden?
Die Dinge, die Sie schützen möchten (Geheimnisse, gefährliche Operationen, Reichweite), sind dieselben, daher ist das Konzept anwendbar. Die Syntax und das Vorhandensein von Sandboxing variieren jedoch je nach Tool. Betrachten Sie diese settings.json-Notation daher als spezifisch für Claude Code. Wenn Sie andere Tools verwenden, ist der schnellste Weg, diese drei Perspektiven auf die jeweilige offizielle Dokumentation anzuwenden.
Zusammenfassung: Von „Nicht verwenden" zu „Sicher verteilen"
Wenn ich Beratungen zur KI-Einführung erhalte, war die häufigste Antwort früher: „Es ist gefährlich, also können wir es noch nicht verwenden." Aber diese Entscheidung wirft auch den ganzen Komfort über Bord.
Mercari hat uns einen Ausweg aus dieser binären Wahl gezeigt. Deaktivieren Sie die Bestätigungsumgehung, stoppen Sie gefährliche Operationen, verbieten Sie das Berühren geheimer Dateien, schließen Sie sie in eine Sandbox ein und lassen Sie sie die Regeln lesen. Verteilen Sie es dann an alle als Einstellungen, die nicht manipuliert werden können. Es ist ein Design, das von „verboten, weil es beängstigend ist" zu „verteilt mit einer Leine, weil es beängstigend ist" wechselt.
- Zu schützende Ziele: Verhindern Sie das Durchsickern von Geheimnissen / Verhindern Sie gefährliche Operationen / Grenzen Sie die Reichweite ein.
- Mercaris 5 Maßnahmen: Umgehung deaktivieren, gefährliche Befehle einschränken, geheime Dateien verbieten, Sandbox, Regeln lesen.
- Verteilung: Verwenden Sie verwaltete Einstellungen, die der Benutzer nicht überschreiben kann, differenziert nach Kompetenz.
Abschließend drei Schritte, die Sie ab heute unternehmen können:
- Fügen Sie `Read(.env)` auf Ihrem eigenen Computer hinzu: Beginnen Sie damit, das Lesen geheimer Dateien zu verbieten. Dies ist der effektivste einzelne Schritt.
- Erstellen Sie eine einzelne Datei mit dem Minimum-Set: Basierend auf dem obigen
permissions-Beispiel fügen Sie die Befehle hinzu, die Ihr Unternehmen stoppen möchte. - Verteilen Sie es an eine Person im Unternehmen zum Testen: Lassen Sie es in
.claude/settings.jsoneinfügen und überprüfen Sie gemeinsam, dass die Arbeit nicht ins Stocken gerät.
Der erste Schritt ist nur eine Zeile, um .env zu schützen. Sie können von dort aus eine perfekte mehrschichtige Verteidigung Schicht für Schicht aufbauen. Warum legen Sie nicht noch heute diese erste Datei an und ändern „Stoppen, weil es beängstigend ist" in „Delegieren mit einer Leine"?
![Yusuke Naritas geniale KI-Nutzungstechniken [Archiv-Edition]](/cdn-cgi/image/width=1920,quality=90,format=auto,metadata=none/https%3A%2F%2Fcms-assets.youmind.com%2Fmedia%2F1784137658627_u4bwry_HNMS89bbsAAUPJI.jpg)




