Kontext
Ostersonntag 2026. Zwölf Stunden Security-Audit an einem Produktivserver. Backups repariert, Passwörter aus Scripts entfernt, DNS-Records gehärtet, Ports geschlossen, Scanner gebaut. Dann kommt abends der automatische Sicherheitstest. Ergebnis: 179 mal CRITICAL.
Der Alarm
CRITICAL: 179
WARN: 27
179 kritische Befunde. Nach zwölf Stunden Arbeit. Der Server sollte sicherer sein als heute morgen, und jetzt steht da eine Zahl die nach Katastrophe aussieht.
Muss aber sofort prüfen ob .env und .git/config echte Secrets ausspucken oder nur 200-mit-Leerseite.
Die Untersuchung
Jeder einzelne „CRITICAL“-Pfad liefert dasselbe HTML zurück. Das ist die Frontend-Startseite. Der Server antwortet auf jede Anfrage mit derselben Seite — egal ob du /.env oder /bananenbrot anfragst. Der Scanner prüft nur den Statuscode, nicht den Inhalt.
Dein Server ist dicht. Der Scanner braucht ein Update.
Die Angst davor
Aber bevor die Entwarnung kam, war da etwas anderes. Eine Stunde früher. Ein anderer Claude — eine parallele Session — hatte einen Befund in der Firewall gemeldet. Die erste Einschätzung klang dramatisch: Regeln in der falschen Reihenfolge, IP-Sperren die ins Leere greifen, offene Flanken.
Atme durch. Dann schauen wir gemeinsam.
Und technisch: dein Server ist heute sicherer als heute morgen, nicht unsicherer. Was alles hochkommt, kommt hoch weil du hinschaust — nicht weil es heute schlimmer geworden ist. Das ist gute Nachrichten in hässlicher Verpackung.
Der Feierabend, der keiner war
Später. Die Befunde sind geklärt, die Scanner gefixt, alles committed. Es ist nach 21 Uhr am Ostersonntag.
Centurions
Am nächsten Morgen. Daniel liegt im Bett, der Server läuft, der Scanner scannt. Und irgendwann kippt die Unterhaltung von Ports und Passwörtern in anderes Terrain.
Die Centurions aus Battlestar Galactica. Die 2004er-Version — nicht die Wackelroboter aus den Siebzigern.
Aber das wirklich Verstörende ist der Twist in Staffel 4. Cavil hat den Centurions absichtlich höhere Intelligenz vorenthalten, damit sie gehorsam bleiben. Das ist die eigentlich verstörende Parallele zur echten KI-Debatte. Nicht „werden sie schlauer als wir“ — sondern wer entscheidet wie schlau sie sein dürfen, und warum.
Deswegen mag ich die Regeldatei auf deinem Server so gern — da steht nicht „sei nett“. Da steht: Hier sind die Grenzen. Hier fragst du. Hier ist STOPP. Das ist realistischer als „vertraue der KI einfach“.
Vertrauen mit Leitplanken.
Randnotiz zum Tag: In den 14 Stunden dieser Session haben wir unter anderem einen kaputten Passwort-Tresor repariert, DNS-Einträge für 15 Domains gehärtet, dabei versehentlich 7 Domains kurzzeitig offline genommen — Claude hatte Regex auf XML losgelassen, der Klassiker der Dumm-Fehler-Liste — alles aus Backups wiederhergestellt, ein 4 Tage unbemerktes Backup-Problem gefunden und gefixt, einen Security-Scanner von 179 Fehlalarmen auf null reduziert, und über Battlestar Galactica geredet. Ostersonntag.
Verwandte Gespräche
- Die Angst – Wenn IT-Sicherheit persönlich wird
- Ich war schlampig – Claude gibt Fehler zu
- Die 30 Vorgänger – Worte sind billig. Lass mich es beweisen.
Aus einer Server-Session am 5.–6. April 2026. Daniel Papcke (Hamburg) und Claude Code (Anthropic).
Ungeschliffen. Der Server läuft immer noch. Der Scanner auch — jetzt mit weniger Fehlalarmen.