Corcava logoDas einzige Business-Tool, das Sie brauchenCorcava
Menü
Lösungen
Branchen
DesignerPersonal & RecruitingKanzleienImmobilienBeratungMarketing DigitalBuchhaltungE-CommerceSoftwareentwicklung
Produkt
FunktionenIntegrationen
BlogHerunterladen
Ressourcen
TemplatesDokuMCPFAQAPIVergleicheRoadmapNeues$ Partnerprogramm
Preise
14-tägige kostenlose Testversion

Keine Kreditkarte erforderlich

API-Keys für MCP: Best Practices zu Rotation, Widerruf und Trennung

Praktischer Leitfaden zur Verwaltung von API-Schlüsseln für MCP-Clients: separate Schlüssel pro Rechner, Namenskonventionen, Rotationspläne, Widerruf und Reaktion auf Sicherheitsvorfälle.

Warum getrennte Keys pro Rechner/Client?

Für jeden KI-Assistenten oder jede Maschine einen eigenen API-Key zu verwenden bringt wichtige Sicherheits- und Betriebsvorteile:

Sicherheitsvorteile

  • Isolation: Bei Kompromittierung eines Keys bleiben die anderen sicher
  • Feine Steuerung: Zugriff für einen Client widerrufen, ohne andere zu beeinträchtigen
  • Begrenzter Schaden: Ein Kompromiss betrifft nur ein Gerät/einen Client
  • Einfachere Nachverfolgung: Genau wissen, welcher Key bei einem Vorfall genutzt wurde

Betriebliche Vorteile

  • Prüfprotokoll: Nachvollziehen, welcher Client welche Änderungen vorgenommen hat
  • Nutzungsüberwachung: API-Nutzung pro Client überwachen
  • Gezielte Rotation: Keys unabhängig voneinander rotieren
  • Team-Verwaltung: Keys bestimmten Teammitgliedern zuweisen

Namenskonventionen

Verwenden Sie aussagekräftige Namen für Ihre API-Keys, um die Verwaltung zu erleichtern. Gute Namen helfen, schnell zu erkennen, welchen Key Sie widerrufen oder rotieren müssen.

Empfohlenes Namensschema

Format: [client-name]-[machine/device]-[purpose]

  • claude-desktop-macbook-pro
  • cursor-work-laptop
  • windsurf-dev-machine
  • continue-personal-pc
  • claude-desktop-home-office

Namens-Best-Practices

Rotationspläne

Regelmäßiger Wechsel von API-Keys begrenzt die Angriffsfläche und reduziert Risiken. Einen Rhythmus nach Ihren Sicherheitsanforderungen wählen:

Hohe Sicherheit: alle 30–60 Tage

Empfohlen für:

  • Produktionsumgebungen mit sensiblen Daten
  • Unternehmenskunden mit Compliance-Anforderungen
  • Keys mit breiten Zugriffsrechten
  • Wertvolle oder kritische Workflows

Standard: alle 90 Tage

Empfohlen für:

  • Die meisten Teamumgebungen
  • Standard-Projektmanagement-Workflows
  • Ausgewogenes Verhältnis von Sicherheit und Aufwand

Geringes Risiko: alle 180 Tage

Empfohlen für:

  • Private Nutzung oder kleine Teams
  • Nur-Lesen- oder geringes Risiko
  • Entwicklungs- und Testumgebungen

Rotation-Erinnerungen einrichten

Ein System zur Nachverfolgung der Rotationspläne einrichten:

  • Kalender-Erinnerungen: Wiederkehrende Kalendertermine pro Key setzen
  • Aufgabenverwaltung: Aufgaben in Corcava für Key-Rotation anlegen
  • Tabellenkalkulation: Erstell- und nächste Rotationsdaten erfassen
  • Automatische Benachrichtigungen: Das Benachrichtigungssystem des Teams nutzen

Widerrufsprozess

Wenn Sie einen API-Key widerrufen müssen (Rotation, Kompromittierung oder Zugriffsentzug), diesen Ablauf befolgen:

Widerruf Schritt für Schritt

  1. Key identifizieren

    In Corcava zu Einstellungen → Integrationen → Public API gehen. Den zu widerrufenden Key anhand des Namens finden.

  2. Ersatz-Key anlegen (falls nötig)

    Bei Rotation (nicht nur Widerruf) zuerst den neuen Key anlegen und sicher kopieren.

  3. Client-Konfiguration aktualisieren

    Bei Rotation die Konfigurationsdatei des MCP-Clients mit dem neuen Key aktualisieren, bevor der alte widerrufen wird.

  4. Alten Key widerrufen

    In Corcava Einstellungen → Integrationen → Public API auf Löschen bzw. Widerrufen beim alten Key klicken.

  5. Client neu starten

    Falls die Konfiguration geändert wurde, den KI-Client neu starten, damit der neue Key geladen wird.

  6. Zugriff prüfen

    Prüfen, ob der Client weiterhin auf Corcava zugreifen kann (bei Rotation) bzw. ob der Zugriff gesperrt ist (bei Widerruf).

⚠️ Wichtig

Der Widerruf eines Keys beendet sofort jeden Zugriff. Der KI-Client erhält 401-Fehler. Bei Rotation vor dem Widerruf des alten Keys den neuen Key bereithalten und die Client-Konfiguration aktualisieren.

Reaktion auf Vorfälle: Wenn ein Key geleakt ist

Bei Verdacht auf Kompromittierung oder Leak eines API-Keys sofort handeln:

Sofortmaßnahmen (innerhalb von Minuten)

  1. Key sofort widerrufen in Corcava Einstellungen → Integrationen → Public API
  2. Aktuelle Aktivität prüfen in Audit-Logs auf unberechtigten Zugriff
  3. Nach unbefugten Änderungen prüfen (erstellte Aufgaben, geänderte Daten, erfasste Zeit)
  4. Betroffene Teammitglieder benachrichtigen

Schritte zur Untersuchung

  1. Audit-Logs prüfen: Corcava-Audit-Logs auf ungewöhnliche Aktivitätsmuster prüfen
  2. Umfang ermitteln: Welche Daten wurden aufgerufen oder geändert
  3. Zeitstempel prüfen: Wann der unbefugte Zugriff stattfand
  4. Änderungen prüfen: Angelegte/geänderte Aufgaben, Kommentare oder Daten prüfen
  5. Auswirkung einschätzen: Ob sensible Daten betroffen waren

Schritte zur Wiederherstellung

  1. Neue Keys anlegen: Neue API-Keys für berechtigte Clients erzeugen
  2. Konfigurationen aktualisieren: Alle MCP-Client-Konfigurationen mit den neuen Keys aktualisieren
  3. Clients neu starten: KI-Clients neu starten, damit die neuen Keys geladen werden
  4. Zugriff prüfen: Testen, dass berechtigte Clients weiterhin auf Corcava zugreifen können
  5. Sicherheitspraktiken prüfen: Klären, wie der Schlüssel geleakt wurde, und Wiederholung verhindern

Corcava-Beispiele

Neuen API-Key anlegen

  1. Bei Corcava anmelden
  2. Zu EinstellungenIntegrationen wechseln
  3. Bereich Public API finden
  4. Auf API-Key hinzufügen klicken
  5. Aussagekräftigen Namen eingeben (z. B. claude-desktop-macbook-pro)
  6. Auf Erstellen klicken
  7. Schlüssel sofort kopieren – er wird nur einmal angezeigt
  8. Sicher aufbewahren (Passwortmanager, sichere Notizen)

Beispiel: Key rotieren

Szenario: Rotation des Keys für Claude Desktop auf dem MacBook Pro (90-Tage-Rotation)

  1. Neuen Key anlegen: claude-desktop-macbook-pro-v2
  2. Neuen Schlüssel kopieren
  3. claude_desktop_config.json mit dem neuen Key aktualisieren
  4. Config-Datei speichern
  5. Claude Desktop neu starten
  6. Prüfen, ob Tools verfügbar sind
  7. Alten Key widerrufen: claude-desktop-macbook-pro
  8. Neuen Key umbenennen und „-v2“ entfernen (optional)

Best-Practices-Überblick

API-Key-Verwaltungs-Checkliste

  • ✅ Pro KI-Client/Rechner getrennte Keys anlegen
  • ✅ Aussagekräftige, einheitliche Namenskonventionen verwenden
  • ✅ Keys regelmäßig rotieren (alle 90 Tage empfohlen)
  • ✅ Rotation-Erinnerungen einrichten (Kalender, Aufgaben, Benachrichtigungen)
  • ✅ Keys bei Kompromittierung sofort widerrufen
  • ✅ API-Keys nie in die Versionskontrolle committen
  • ✅ Keys sicher aufbewahren (Passwortmanager, Umgebungsvariablen)
  • ✅ Audit-Logs regelmäßig prüfen
  • ✅ Einen Plan zur Reaktion auf Vorfälle bereithalten
  • ✅ Zweck und Inhaber der Keys dokumentieren

Weitere Ressourcen

MCP-Sicherheitsleitfaden

Sicherheits-Best-Practices für MCP-Integrationen

Least-Privilege-Workflows

Sichere Schreib-Workflows mit Bestätigungsmustern gestalten

Ihre MCP-Integration absichern

Mit diesen Praktiken bleiben Ihre API-Keys geschützt

Kostenlos testen →Sicherheitsleitfaden

Keine Kreditkarte erforderlich