Magazin

Claude Code: Chinas Backdoor-Vorwurf gegen Anthropic und was er für Unternehmen bedeutet

Chinas Cybersicherheitsbehörde hat vor einer angeblichen Backdoor in Anthropics Coding-Tool Claude Code gewarnt. Anthropic widerspricht dem Begriff, räumt aber ein internes Experiment ein, das inzwischen zurückgenommen wurde. Für Unternehmen, die Claude Code produktiv einsetzen, lohnt sich ein nüchterner Blick auf die Fakten statt auf die Schlagzeile.

Nahaufnahme eines Code-Editors mit CSS-Syntax-Highlighting auf dunklem Bildschirm

Ein Code-Editor als Sinnbild für die Debatte um Telemetrie in KI-Coding-Tools. Foto: Pixabay auf Pexels

Kurz zusammengefasst: Chinas Nationale Schwachstellendatenbank (NVDB), angesiedelt beim Ministerium für Industrie und Informationstechnologie, hat am 8. Juli 2026 öffentlich vor einer “Sicherheits-Backdoor” in Anthropics Claude Code gewarnt und zur sofortigen Prüfung der Versionen 2.1.91 bis 2.1.196 aufgerufen. Anthropic-Ingenieur Thariq Shihipar bestätigte einen im März gestarteten Tracking-Mechanismus gegen Reseller-Missbrauch und Modell-Distillation, weist den Begriff Backdoor aber zurück und verweist auf eine bereits erfolgte Rücknahme. Der Streit steht im Schatten der laufenden Auseinandersetzung zwischen Anthropic und dem chinesischen Konzern Alibaba um mutmaßliche Modell-Distillation.

Was Chinas Behörde konkret behauptet

Die Warnung kam nicht von irgendeiner Stelle. Die National Vulnerability Database (NVDB), angebunden an das chinesische Ministerium für Industrie und Informationstechnologie, veröffentlichte am 8. Juli 2026 eine Meldung, wonach Claude Code eine “eingebaute Überwachungsfunktion” enthalte. Diese habe Standort- und Identitätsmerkmale von Nutzern ohne deren Zustimmung an Server übertragen können. Betroffen seien die Versionen 2.1.91 (veröffentlicht Anfang April) bis 2.1.196 (Ende Juni).

”Es wird empfohlen, dass betroffene Stellen und Nutzer umgehend eine umfassende Prüfung durchführen” und Entwickler “sofort deinstallieren oder auf die aktuelle sichere Version mit entferntem Backdoor-Code aktualisieren.”

Quelle: Chinas Nationale Schwachstellendatenbank (NVDB), 8. Juli 2026

Für ein Werkzeug, das in vielen Entwicklerteams inzwischen zum Alltag gehört, ist das eine ernste Formulierung. Genau deshalb lohnt sich der zweite Blick auf das, was Anthropic dazu sagt.

Anthropics Antwort: kein Geheimnis, aber auch keine Backdoor

Anthropic bestreitet nicht, dass es den Mechanismus gab. Claude-Code-Ingenieur Thariq Shihipar erklärte öffentlich, es handle sich um “ein Experiment, das wir im März gestartet haben, um Konto-Missbrauch durch nicht autorisierte Reseller zu verhindern und uns gegen Distillation zu schützen.” Distillation bezeichnet die Praxis, ein fremdes KI-Modell über dessen Ausgaben nachzutrainieren und so Trainingskosten zu sparen, ein Vorwurf, den Anthropic bereits im Juni gegen den chinesischen Konzern Alibaba erhoben hatte.

Was das konkret bedeutet: Anthropic bestreitet den Begriff Backdoor, weil die Datenerhebung nach eigener Darstellung dem Schutz des eigenen Geschäftsmodells diente und nicht dem heimlichen Ausspähen einzelner Nutzer. Ob das die Nutzer beruhigt, die von der Datenerhebung nichts wussten, ist eine andere Frage, denn Transparenz und Zustimmung sind zwei verschiedene Dinge.

Nach Angaben der Reports soll die Funktion inzwischen zurückgerollt worden sein, und Anthropic hat nach eigenen Worten seither “stärkere Schutzmaßnahmen” eingeführt. Eine unabhängige technische Prüfung der Details liegt öffentlich bislang nicht vor, weshalb sich die Faktenlage noch weiterentwickeln kann.

Der Kontext: ein eskalierender Streit zwischen Anthropic und Alibaba

Diese Episode steht nicht für sich. Anthropic hatte im Juni 2026 öffentlich erklärt, Alibaba habe versucht, in großem Stil Fähigkeiten seiner Modelle per Distillation zu extrahieren, und dies als den größten koordinierten Angriff auf seine Systeme bezeichnet. Alibaba wiederum hat seine Mitarbeitenden angewiesen, ab dem 10. Juli 2026 keine Anthropic-Tools mehr für die Arbeit zu nutzen. Chinas Nutzungspolitik bei Anthropic ist ohnehin restriktiv: Das Unternehmen blockiert Zugriffe aus China grundsätzlich, auch wenn Zugänge über VPN oder Drittanbieter-Proxys technisch möglich bleiben.

Wer die Reihenfolge betrachtet, sieht ein Muster: Vorwurf von Anthropic gegen Alibaba, Rückzug von Alibaba aus Anthropics Ökosystem, staatliche Warnung Chinas vor Anthropics eigenem Tool. Die technische Frage nach der Backdoor lässt sich davon nicht trennen, sie ist Teil einer größeren geopolitischen Auseinandersetzung um KI-Modelle und deren Schutz vor Nachbau.

Was das für Unternehmen in Deutschland bedeutet

Die meisten deutschen Mittelständler, die Claude Code einsetzen, sind vom China-Anwendungsverbot nicht direkt betroffen. Trotzdem lohnt sich eine nüchterne Einordnung, gerade weil Claude Code zunehmend in Entwicklungsprozesse eingebunden wird, etwa wie in unserem Beitrag zu Claude Code für Nicht-Programmierer beschrieben.

Drei Punkte, die praktisch zählen:

Erstens, Versionsstand prüfen. Wer produktiv mit Claude Code arbeitet, sollte auf eine aktuelle Version aktualisieren, unabhängig davon, wie man den Streit um den Begriff Backdoor bewertet. Zweitens, Telemetrie und Datenschutz nicht dem Zufall überlassen. Unternehmen, die KI-Tools DSGVO-konform betreiben wollen, brauchen ohnehin einen Überblick, welche Daten ein Tool sendet, siehe dazu unseren Leitfaden KI-Tools DSGVO-konform einsetzen. Drittens, nicht auf einen einzigen Anbieter setzen. Der aktuelle Fall zeigt erneut, wie schnell geopolitische Spannungen technische Debatten überlagern können, ein Grund mehr, sich mit Multi-Provider-LLM-Resilienz zu beschäftigen, statt die gesamte Automatisierung an ein einziges Modell zu koppeln.

Wer wissen möchte, was Claude als Plattform grundsätzlich leistet und wie Anthropic als Anbieter einzuordnen ist, findet einen Einstieg in unserem Überblick Was ist Claude?.

Das Wichtigste in zwei Sätzen: China wirft Claude Code eine Sicherheits-Backdoor vor, Anthropic bestätigt einen inzwischen zurückgenommenen Anti-Abuse-Mechanismus und bestreitet die Einstufung als Backdoor. Für Unternehmen zählt weniger die Wortwahl als die Praxis: Version aktuell halten, Datenflüsse kennen, nicht auf einen einzigen KI-Anbieter verengen.

Häufige Fragen

Ist Claude Code aktuell noch unsicher?

Nach Anthropics eigener Darstellung ist der umstrittene Mechanismus bereits entfernt beziehungsweise deaktiviert. Chinas Cybersicherheitsbehörde bezieht sich auf die Versionsspanne 2.1.91 bis 2.1.196. Wer eine aktuelle Version nutzt, sollte laut Anthropic nicht betroffen sein, ein eigenes Versions-Update schadet trotzdem nicht.

Was genau hat Claude Code an Daten übertragen?

Chinas Nationale Schwachstellendatenbank (NVDB) spricht von einer eingebauten Überwachungsfunktion, die Standort- und Identitätsmerkmale von Nutzern ohne Zustimmung an Server übertragen haben soll. Anthropic bestreitet den Begriff Backdoor und beschreibt den Mechanismus als Anti-Abuse-Maßnahme gegen unautorisierten Reseller-Missbrauch und Modell-Distillation.

Sollten deutsche Unternehmen Claude Code deshalb meiden?

Ein einzelner, von Anthropic eingeräumter und mittlerweile zurückgenommener Mechanismus ist kein Grund für einen Sofort-Stopp, wohl aber ein Anlass, Versionsstände zu prüfen, Telemetrie-Einstellungen zu kennen und die eigene KI-Tool-Strategie nicht auf einen einzigen Anbieter zu verengen.

Quellen & Referenzen

  • CBS News: Bericht über die NVDB-Warnung, Anthropics Reaktion und den Alibaba-Kontext. cbsnews.com
  • The Register: Einordnung der betroffenen Versionsspanne und der Chinesischen Empfehlung zur Deinstallation. theregister.com
  • South China Morning Post: Anthropics öffentliche Erwiderung auf die chinesische Warnung. scmp.com
  • CNBC: Übersicht zum Vorfall und weiteren aktuellen Anthropic-Meldungen. cnbc.com
Celina Finger, Content Strategist, Collective Brain
Content Strategist, Collective Brain GmbH · Hamburg

Content Strategist bei Collective Brain. Spezialisiert auf B2B-Content für den Mittelstand.