Amazon Bedrock AgentCore + OpenClaw: KI-Assistenten sicher im Unternehmen betreiben

Amazon Bedrock AgentCore + OpenClaw: DSGVO-konformer KI-Assistent für Slack/Telegram — MicroVM-Isolation pro Nutzer, kein Datenabfluss, in 4–8 Wochen produktiv.

Amazon Bedrock AgentCore + OpenClaw: KI Assistenten sicher im Unternehmen betreiben

<p data speakable Amazon Bedrock AgentCore ist Amazons verwaltete Laufzeitumgebung für KI Agenten — mit isolierten MicroVMs pro Nutzer, sodass kein Mitarbeiter auf den Kontext oder die Dokumente eines anderen zugreifen kann. Für mittelständische Unternehmen ist das relevant, weil viele Teams bereits KI Tools wie ChatGPT unkontrolliert nutzen, ohne IT Freigabe und ohne Datenschutz Kontrolle. In Kombination mit OpenClaw entsteht ein KI Assistent, der per Slack oder Telegram antwortet, tatsächlich Aufgaben ausführt (E Mails, Kalender, Dokumente) und dabei Daten ausschließlich in der eigenen AWS Region eu central 1 verarbeitet — typischerweise in 4–8 Wochen produktiv.</p

AWS hat ein Referenz Projekt veröffentlicht, das zeigt, wie man OpenClaw auf AgentCore betreiben kann — mit isolierten MicroVMs pro Nutzer. In diesem Artikel erkläre ich, warum das für Unternehmen relevant ist und was die Architektur konkret leistet.

Das Problem: KI Tools ohne Kontrolle

Viele Unternehmen stehen vor einem Dilemma: Mitarbeiter nutzen bereits KI Tools wie ChatGPT oder Copilot – aber auf eigene Faust, ohne IT Freigabe und ohne Kontrolle darüber, welche Daten dabei nach außen gehen.

Gleichzeitig scheitern interne KI Projekte häufig an einer Grundsatzfrage: Wie betreibe ich einen KI Assistenten, der auf unsere internen Daten zugreift, ohne dabei Sicherheits und Compliance Anforderungen zu verletzen?

Die klassischen Ansätze haben Schwächen. Ein zentral gehosteter Chatbot teilt sich Ressourcen und Kontext zwischen allen Nutzern – ein potenzielles Datenleck. Separate Instanzen pro Nutzer sind teuer und aufwändig zu verwalten. Externe SaaS Lösungen bedeuten, dass Ihre Daten Ihr Netzwerk verlassen.

Was OpenClaw mitbringt

OpenClaw positioniert sich als „The AI that actually does things" – und das trifft es gut. Im Gegensatz zu reinen Chatbots ist OpenClaw ein Agent, der eigenständig Aktionen ausführen kann:

Messenger Integration. OpenClaw ist nativ in Telegram, Slack, Discord, WhatsApp und weitere Plattformen integriert. Ihre Mitarbeiter müssen kein neues Tool lernen – sie schreiben einfach in den Chat, den sie ohnehin nutzen.

Echte Aufgaben statt nur Antworten. Der Agent kann E Mails senden, Kalendereinträge erstellen, Dateien lesen und schreiben, Websites durchsuchen und Shell Befehle ausführen. Das geht weit über ein Q&A System hinaus.

Persistentes Gedächtnis. OpenClaw merkt sich Kontext und Präferenzen über Sitzungen hinweg. Wenn ein Mitarbeiter am Montag ein Thema bespricht, kann er am Mittwoch nahtlos daran anknüpfen.

50+ Integrationen. Von GitHub über Gmail bis Obsidian – über das ClawHub Ökosystem stehen Community Skills bereit, die den Agenten beliebig erweiterbar machen.

Open Source. Der gesamte Code liegt auf GitHub und kann eingesehen, angepasst und selbst gehostet werden. Keine Black Box, kein Vendor Lock in.

Warum AgentCore als Infrastruktur?

OpenClaw lokal auf einem Laptop zu betreiben ist einfach. Aber für ein Unternehmen mit 50 oder 200 Mitarbeitern braucht es eine andere Lösung. Hier kommt Amazon Bedrock AgentCore ins Spiel.

Das AWS Referenzprojekt zeigt, wie OpenClaw als Unternehmens Agent deployt wird – mit einer Architektur, die speziell für Multi User Szenarien gebaut ist:

Jeder Nutzer läuft in einer eigenen MicroVM. Wenn Mitarbeiter A eine Frage stellt, läuft die Verarbeitung in einer komplett getrennten virtuellen Maschine. Mitarbeiter B hat keinen Zugriff auf den Kontext, die Dokumente oder den Chatverlauf von A – nicht durch einen Software Bug, nicht durch eine Fehlkonfiguration, nicht durch einen gezielten Angriff.

Persistenter Workspace über S3. Trotz der Isolation geht nichts verloren. Das .openclaw/ Verzeichnis jedes Nutzers wird automatisch mit einem eigenen S3 Namespace synchronisiert. Sessions werden nahtlos wiederhergestellt.

Automatische Skalierung. Bei geringer Nutzung fährt das System herunter. Bei hoher Last startet es neue MicroVMs. Sie zahlen nur für tatsächliche Nutzung.

Token Budgetierung. Pro Nutzer oder Team lassen sich tägliche Limits für KI Anfragen definieren. DynamoDB trackt die Nutzung, CloudWatch Alarme warnen bei Überschreitung. Das verhindert unkontrollierte Kosten und gibt der IT volle Transparenz.

Die Architektur im Überblick

Das Referenzprojekt besteht aus 7 CDK Stacks, die eine vollständige Infrastruktur aufspannen:

Telegram/Slack Webhook → API Gateway → Router Lambda → AgentCore Runtime (MicroVM pro Nutzer) → Bedrock Claude

Dazu kommen VPC Isolation, KMS Verschlüsselung, Secrets Manager für Tokens, CloudTrail für Audit Logs und EventBridge für geplante Aufgaben. Alles als Infrastructure as Code – reproduzierbar, versioniert und auditierbar.

Besonders interessant: Das System nutzt Identity Resolution über DynamoDB. Egal ob ein Nutzer über Telegram oder Slack schreibt – er wird dem gleichen Workspace zugeordnet. Ein Gespräch kann im Büro per Slack beginnen und unterwegs per Telegram fortgesetzt werden.

Welche Anwendungsfälle werden damit möglich?

Die Kombination aus OpenClaws Fähigkeiten und AgentCores Isolation öffnet Türen für Szenarien, die mit herkömmlichen Ansätzen schwierig umzusetzen sind:

Interner Wissens Assistent. Mitarbeiter fragen per Slack: „Welche Kündigungsfrist gilt bei Vertragstyp C?" – und bekommen eine Antwort aus Ihren internen Dokumenten. Jeder sieht nur die Dokumente, für die er berechtigt ist.

Automatisierte Routineaufgaben. Ein Vertriebsmitarbeiter schickt dem Bot ein Foto einer Visitenkarte, und der Kontakt wird automatisch im CRM angelegt. Eine Buchhalterin leitet eine Rechnung per E Mail weiter, und die Daten werden extrahiert und ins ERP übertragen.

Geplante Berichte. Über EventBridge lassen sich wiederkehrende Aufgaben konfigurieren: „Erstelle jeden Montag eine Zusammenfassung der offenen Angebote." Der Agent sammelt die Daten, generiert den Bericht und schickt ihn automatisch in den gewünschten Kanal.

Multimodale Verarbeitung. OpenClaw verarbeitet nicht nur Text, sondern auch Bilder (JPEG, PNG, WebP bis 3,75 MB). Mitarbeiter können Fotos von Dokumenten, Whiteboards oder Produkten schicken und der Agent analysiert sie direkt.

Sicherheit und Compliance

Für Unternehmen im deutschen Mittelstand sind Sicherheit und Datenschutz keine optionalen Features. Die Kombination aus AgentCore und selbst gehostetem OpenClaw adressiert die wichtigsten Anforderungen:

Daten bleiben in Ihrer AWS Region. Sie wählen eu central 1 (Frankfurt) und Ihre Daten verlassen nie die EU. Verschlüsselung durchgängig. KMS Verschlüsselung für Daten im Ruhezustand, TLS für Daten in Bewegung. Audit Trail. CloudTrail protokolliert jeden API Aufruf. Sie wissen jederzeit, wer wann was gefragt hat. Netzwerk Isolation. Der Agent läuft in einer privaten VPC mit definierten Endpunkten – kein offener Internetzugang. Open Source = Transparenz. Im Gegensatz zu proprietären Lösungen können Sie den gesamten Code einsehen und prüfen. Kein Vertrauen auf Zusicherungen – Sie sehen selbst, was mit Ihren Daten passiert.

Was das für die Praxis bedeutet

Das AWS Referenzprojekt ist ein Startpunkt – kein fertiges Produkt zum Einschalten. Es muss an Ihre Systemlandschaft angepasst werden: Welche Messenger nutzen Ihre Teams? Welche Datenquellen soll der Agent anbinden? Wie werden Berechtigungen geregelt?

Ein typisches Projekt sieht so aus:

1. Analyse – Welche internen Prozesse eignen sich für einen KI Assistenten? Wo liegt der größte Hebel? 2. Architektur – Messenger Anbindung, Datenquellen, Berechtigungskonzept, Token Budgets. 3. Implementierung – CDK Stacks anpassen, OpenClaw Skills konfigurieren, Identity Resolution einrichten. 4. Go Live – Rollout an eine Pilotgruppe, Feintuning der Prompts, Monitoring der Nutzung und Kosten.

Der gesamte Prozess dauert je nach Komplexität 4 bis 8 Wochen .

Fazit

Die Kombination aus OpenClaw und Amazon Bedrock AgentCore schließt eine Lücke, die viele Unternehmen frustriert: die zwischen „Mitarbeiter nutzen ChatGPT unkontrolliert" und „wir haben ein eigenes KI System, das unsere Compliance Anforderungen erfüllt".

OpenClaw bringt die Agent Fähigkeiten mit – Messenger Integration, Aufgabenausführung, persistentes Gedächtnis. AgentCore liefert die Infrastruktur – MicroVM Isolation, S3 Workspace, Token Budgetierung, Audit Logging. Zusammen ergibt das einen KI Assistenten, der sowohl leistungsfähig als auch sicher ist.

Überlegen Sie, ob ein KI Assistent Ihre internen Prozesse vereinfachen könnte?

In einem kostenlosen 15 Minuten Erstgespräch klären wir gemeinsam, welcher Anwendungsfall für Ihr Unternehmen den größten Nutzen bringt – und ob AgentCore die richtige Plattform dafür ist.

Kostenloses Erstgespräch buchen

Quellen & Weiterführende Links

OpenClaw – Open Source KI Agent – „The AI that actually does things" AWS Sample: Host OpenClaw on Amazon Bedrock AgentCore – Referenzarchitektur mit 7 CDK Stacks OpenClaw GitHub Repository – Quellcode und Community Skills Amazon Bedrock – Übersicht – Foundation Models in Ihrer AWS Region AWS CDK v2 – Developer Guide – Infrastructure as Code Firecracker MicroVMs – Sichere, leichtgewichtige Virtualisierung AWS CloudTrail – Audit Logging für Compliance AWS KMS – Schlüsselverwaltung und Verschlüsselung AWS Secrets Manager – Verwaltung von Zugangsdaten Amazon DynamoDB – NoSQL Datenbank für Nutzerverwaltung

Vitalij Bojatschkin – AI & Cloud Engineer

Weiterlesen

• Zur Blog-Uebersicht
• Leistungen & Use Cases