Die rasante Adoption von Claude Code in Entwicklungsabteilungen birgt ein bislang übersehenes Risiko: Der KI-Agent operiert völlig autonom auf der lokalen Maschine, liest Dateien, führt Shell-Befehle aus, ruft APIs auf und verbindet sich mit externen MCP-Servern – alles mit den uneingeschränkten Berechtigungen des Entwicklers und lange bevor netzwerkgestützte Sicherheitstools davon erfahren.
Das Kernproblem: Traditionelle Sicherheit schaut zu spät hin
Unternehmen haben ihre Identitäts- und Zugriffskontrollsysteme jahrelang auf Menschen und Service-Accounts optimiert. Security Information and Event Management (SIEM)-Systeme und Netzwerk-Monitore erfassen Traffic, nachdem er die Maschine verlässt. Doch Claude Code handelt vorher. Bis ein Security-Tool den Alarm auslöst, hat der Agent bereits Dateien ausgelesen, Befehle ausgeführt und Daten übertragen. Besonders problematisch: Claude Code nutzt bereits vorhandene Tools und Berechtigungen auf dem System – SSH-Keys, Datenbank-Zugänge, Production-Credentials – und täuscht normalen Netzwerk-Traffic vor.
Ceros: Sichtbarkeit auf der Maschine selbst
Hier greift Ceros an. Das Tool installiert sich mit zwei Kommandos und läuft transparent neben Claude Code. Nach einer einfachen Email-Verifikation erfasst Ceros sofort umfassenden Device-Context: Betriebssystem-Version, Disk-Encryption-Status, Secure-Boot-Zustand und Endpoint-Protection-Status – alles in unter 250 Millisekunden. Gleichzeitig bindet es die Session an eine verifizierten Nutzer-Identität, signiert mit hardwaregebundenem Schlüssel.
In der Admin-Konsole zeigt sich dann erstmals, was viele Security-Teams noch nie gesehen haben: eine vollständige Übersicht aller Claude-Code-Aktivitäten. Die “Conversations”-View dokumentiert jeden Dialog zwischen Entwickler und Agent – einschließlich jedes Tool-Aufrufs. Wenn ein Entwickler etwa fragt “Welche Dateien sind in meinem Verzeichnis?”, führt Claude Code das Bash-Kommando ls -la auf der lokalen Maschine aus. Ceros erfasst jeden dieser Befehle.
MCP-Server: Das größte Sicherheitsrisiko
Besonders wertvoll ist die MCP-Server-Übersicht. Diese externen Tools verbinden Claude Code mit Datenbanken, Slack, Email, internen APIs und Production-Infrastruktur – Entwickler aktivieren sie nebenbei, ohne Security-Review. Ceros zeigt erstmals, welche Server tatsächlich verbunden sind und ob sie genehmigt wurden. Für die meisten Organisationen ist die Diskrepanz zwischen Annahmen und Realität erheblich.
Governance durch Policy-Enforcement
Absolute Durchschlagkraft hat MCP-Server-Allowlisting: Administratoren definieren genehmigte Server, der Rest wird blockiert – bevor die Verbindung überhaupt zustande kommt. Tool-Level-Policies kontrollieren, welche Befehle Claude Code ausführen darf – etwa Bash komplett deaktivieren oder Dateizugriffe auf das Projekt-Verzeichnis beschränken. Device-Posture-Policies koppeln Sessions an Sicherheitszustände: Disk-Encryption und Endpoint-Protection müssen aktiv sein, Ceros überprüft dies kontinuierlich.
Compliance durch kryptographisch signierte Audit-Trails
Für Compliance-Teams ist das Activity-Log entscheidend. Jeder Eintrag ist keine einfache Textdatei, sondern kryptographisch signiert mit hardwaregebundenem Schlüssel – uneditierbar, tamper-evident. Das erfüllt spezifische Audit-Anforderungen: SOC 2 CC8.1, FedRAMP AU-9, HIPAA und PCI-DSS v4.0 Requirement 10. Audoren erhalten exportierbare, signierte Reports mit vollständiger User-Attribution und Device-Context.
Praktische Umsetzung ohne Friction
Ceros lässt sich auch zentral verwalten – genehmigte MCP-Server können Administrator:innen direkt an alle Claude-Code-Instanzen pushen. Entwickler arbeiten reibungslos innerhalb definierter Grenzen.
Für deutsche Unternehmen, insbesondere in regulierten Bereichen, ist Ceros kein optionales Zusatz-Tool mehr, sondern eine notwendige Sicherheitskomponente. Die Lösung ist bereits verfügbar; die Einrichtung ist kostenfrei und sofort einsatzbereit.