Brauche ich Programmierkenntnisse?

Nein, grundlegende Computerkenntnisse reichen aus. Wir führen dich Schritt für Schritt durch die Einrichtung des Servers und die Installation via Kommandozeile. Alle Befehle kannst du einfach kopieren (Copy-Paste).

Welche laufenden Kosten entstehen?

Du benötigst einen Hetzner Cloud Server (CX22 für ca. 5€ im Monat). Dazu kommen die API-Kosten für KI-Modelle wie Claude oder OpenAI nach Verbrauch. Für reines OpenClaw Hosting fallen keine weiteren Kosten an.

Ist der Kurs auch für Mac/Windows nutzbar?

Ja, OpenClaw läuft auf einem Linux-Server (Hetzner). Du kannst deinen Server von jedem Betriebssystem (Mac, Windows, Linux) aus verwalten.

Wie lange habe ich auf den Kurs Zugriff?

Du erhältst lebenslangen (Lifetime) Zugriff auf alle Inhalte. Auch wenn wir Module aktualisieren, zahlst du keinen Cent extra.

Ist OpenClaw DSGVO konform?

Indem du OpenClaw auf deinem eigenen Server in Deutschland (z.B. Hetzner) hostest, hast du die volle Kontrolle über deine Daten. Im Kurs gibt es ein eigenes Modul zum Thema DSGVO & Datensicherheit.

Aktualisiert für 2026

KI-Server selbst einrichten:
vom leeren VPS zum laufenden Agenten in 90 Minuten

Du willst OpenClaw oder einen Claude-Agenten auf einem eigenen Server betreiben, ohne Cloud-Abo, ohne Vendor-Lock-in und DSGVO-konform? Diese Anleitung führt dich in 9 Phasen zum produktiv laufenden System. Geprüft auf Hostinger KVM und Hetzner Cloud, mit Copy-Paste-Befehlen und ohne Geschwurbel.

Der 90-Minuten-Plan im Überblick

Die Anleitung ist in 9 Phasen à 10 Minuten getaktet. Du kannst sie an einem Stück durchziehen oder über zwei Sessions verteilen. Wichtig ist, dass du die Reihenfolge einhältst: jede Phase bereitet die nächste vor, vor allem die Sicherheits-Phasen 4 bis 6 sind nicht verhandelbar, bevor irgendwas Produktives auf dem Server läuft.

0110 Min

VPS bestellen & SSH-Key vorbereiten

Hoster auswählen, KVM/CX-Plan buchen, lokal einen ed25519-Key erzeugen und Public-Key beim Provider hinterlegen.

0210 Min

Erste SSH-Verbindung & root-Passwort tauschen

Per ssh root@deine-ip einloggen, System aktualisieren, root-Passwort sofort wechseln.

0310 Min

Neuen User mit sudo anlegen

Linux-Best-Practice: nie als root arbeiten. User anlegen, sudo geben, SSH-Key kopieren.

0410 Min

SSH absichern (no-root, no-password)

/etc/ssh/sshd_config härten: PermitRootLogin no, PasswordAuthentication no, optional Port-Wechsel.

0510 Min

UFW-Firewall scharf schalten

Default deny incoming, OpenSSH erlauben, später Ports für OpenClaw/HTTPS bei Bedarf freigeben.

0610 Min

fail2ban installieren

Brute-Force-Versuche automatisch sperren. Out-of-the-box-Konfig für SSH funktioniert sofort.

0710 Min

Node.js 22 LTS via NodeSource

Aktuelles Node.js mit npm installieren. Distro-Pakete sind oft veraltet, NodeSource ist die saubere Quelle.

0810 Min

OpenClaw installieren & Wizard durchklicken

Globalen npm-Install, Setup-Wizard ausführen, Anthropic-Key hinterlegen, erstes Health-Check-Run.

0910 Min

Telegram-Bot anlegen & pairen

BotFather → Token holen → in OpenClaw eintragen → /pair-Code im Chat senden. Erster Hello-World mit deinem Agenten.

Vorbereitung: VPS bestellen

Bevor du eine einzige Zeile Code schreibst, brauchst du einen Server. Für 90 Prozent aller Leser dieser Anleitung ist Hostinger KVM 2 die richtige Wahl: 8 GB RAM, 100 GB NVMe, Standort Frankfurt, 1-Click-Ubuntu-22.04 und ein Panel auf Deutsch. Wer schon einen Hetzner-Account hat oder bewusst CLI-affin ist, fährt mit Hetzner Cloud CX22 ebenfalls ausgezeichnet.

Achte beim Bestellen auf drei Dinge: Standort EU, Image Ubuntu 22.04 LTS oder neuer und SSH-Key direkt im Bestellprozess hinterlegen statt root-Passwort per Mail zu akzeptieren. Wenn dein Hoster zwingend ein root-Passwort schickt: Phase 2 wechselt es sofort.

Schritt 1: SSH-Key generieren (10 Min)

Auf deinem lokalen Rechner (macOS, Linux oder WSL2 unter Windows) erzeugst du ein Schlüsselpaar. Ein Private-Key bleibt bei dir, der Public-Key landet auf dem Server. Damit ist ein Login ohne Passwort möglich und gleichzeitig deutlich sicherer.

ssh-keygen -t ed25519 -C "openclaw@deinrechner" -f ~/.ssh/openclaw_ed25519

Wähle eine sinnvolle Passphrase. Den Public-Key zeigst du dir mit cat ~/.ssh/openclaw_ed25519.pub an und fügst ihn im Hoster-Panel beim Anlegen des Servers ein. Hostinger und Hetzner haben dafür beide ein eigenes SSH-Keys-Menü.

Wichtig: Wenn du mehrere Server verwaltest, lege einen Eintrag in ~/.ssh/config an. Das spart dir das ewige Tippen der IP und definiert pro Host den richtigen Key.

# ~/.ssh/config
Host openclaw
  HostName 1.2.3.4
  User claw
  IdentityFile ~/.ssh/openclaw_ed25519
  IdentitiesOnly yes

Schritt 2: Erste SSH-Verbindung & root-Passwort tauschen (10 Min)

Sobald der Hoster dir die IP des Servers bestätigt hat, loggst du dich ein. Wenn du den SSH-Key bereits beim Bestellen hinterlegt hast, geht das ohne Passwort:

ssh -i ~/.ssh/openclaw_ed25519 root@1.2.3.4

Beim ersten Login akzeptierst du den Server-Fingerprint mit yes. Direkt danach bringst du das System auf Stand und wechselst, falls vom Hoster vergeben, das root-Passwort:

apt update && apt upgrade -y
passwd

Wenn das Update Kernel- oder libc-Pakete betrifft, fragt das System nach einem Reboot. Mach den Reboot jetzt sofort. Es ist der einzige Punkt der Anleitung, an dem du dem Server eine Minute alleine lässt.

Schritt 3: Neuen User anlegen + sudo-Rechte (10 Min)

Direkt als root zu arbeiten ist eine schlechte Idee, selbst auf deinem privaten Server. Ein Tippfehler in einem rm-Befehl löscht sonst dein Betriebssystem. Lege einen Standard-User an, gib ihm sudo, und kopiere deinen SSH-Key in dessen Profil:

adduser claw
usermod -aG sudo claw

mkdir -p /home/claw/.ssh
cp /root/.ssh/authorized_keys /home/claw/.ssh/
chown -R claw:claw /home/claw/.ssh
chmod 700 /home/claw/.ssh
chmod 600 /home/claw/.ssh/authorized_keys

Teste den neuen User in einer zweiten Shell, ohne die root-Session zu schließen. Erst wenn der Login als claw funktioniert und du dort mit sudo whoami ein root bekommst, machst du in Schritt 4 weiter. Solltest du dich aussperren, hilft dir die noch offene root-Session, den Fehler zu finden.

Schritt 4: SSH absichern (10 Min)

Jetzt schließt du die häufigsten Angriffsvektoren: root-Login per SSH und Passwort-Authentifizierung. Beides braucht ein produktiver KI-Server nicht. Editiere die SSH-Config:

sudo nano /etc/ssh/sshd_config

# diese drei Werte setzen
PermitRootLogin no
PasswordAuthentication no
PubkeyAuthentication yes

Speichern (Strg-O, Enter, Strg-X), dann SSH-Dienst neu laden:

sudo systemctl reload ssh

Optional, aber empfohlen für maximale Ruhe in den Logs: SSH-Port von 22 auf eine hohe Zahl wechseln, etwa 2222. Damit verschwinden 99 Prozent der Bot-Logins. Dafür in der Config Port 2222 setzen, später in UFW erlauben und in deiner ssh-config-Datei den Port-Eintrag ergänzen.

Schritt 5: UFW-Firewall (10 Min)

Default deny incoming, default allow outgoing. UFW (Uncomplicated Firewall) macht genau das mit drei Befehlen sauber. Reihenfolge ist wichtig: erst SSH erlauben, dann erst aktivieren, sonst sperrst du dich aus.

sudo apt install ufw -y

sudo ufw default deny incoming
sudo ufw default allow outgoing
sudo ufw allow OpenSSH
# falls du den Port gewechselt hast:
# sudo ufw allow 2222/tcp

sudo ufw enable
sudo ufw status verbose

HTTP/HTTPS, OpenClaw-Webhooks oder Reverse-Proxy-Ports ergänzt du später, wenn der jeweilige Service tatsächlich da ist. Eine Firewall, die alles offen lässt, ist nutzlos. Eine Firewall mit zehn unbenutzten Allow-Regeln auch.

Schritt 6: fail2ban gegen Brute-Force (10 Min)

Selbst mit Pubkey-Only-SSH und unüblichem Port klopfen Bots im Sekundentakt. fail2ban liest die Logs und sperrt IPs nach X erfolglosen Versuchen automatisch. Out-of-the-box-Profil für sshd reicht für 95 Prozent der Setups.

sudo apt install fail2ban -y
sudo systemctl enable fail2ban
sudo systemctl start fail2ban
sudo fail2ban-client status sshd

Falls du strenger sein willst, kopiere /etc/fail2ban/jail.conf nach jail.local und reduziere maxretry von 5 auf 3 sowie bantime auf 1 Stunde. Mehr braucht ein OpenClaw-Server in der Praxis nicht.

Schritt 7: Node.js 22 LTS installieren (10 Min)

Ubuntu liefert in den eigenen Repos häufig veraltete Node-Versionen. Für OpenClaw und Claude-Code-Tools brauchst du mindestens Node 20, besser 22 LTS. NodeSource ist die offizielle und saubere Quelle:

curl -fsSL https://deb.nodesource.com/setup_22.x | sudo -E bash -
sudo apt install -y nodejs

node -v
npm -v

Du solltest v22.x.x für Node und etwas in Richtung 10.x für npm sehen. Falls nicht, hat dein System eine ältere Version vorinstalliert. In dem Fall vorher sudo apt purge nodejs npm ausführen und dann das NodeSource-Setup wiederholen.

Pro-Tipp: Wenn du parallel auch andere Node-Tools betreibst, ist nvm als User-Installation eleganter. Für einen reinen OpenClaw-Server reicht das System-Node aber, weil ein Major-Update sowieso nur einmal pro Jahr ansteht.

Schritt 8: OpenClaw installieren (10 Min)

OpenClaw kommt als globales npm-Paket. Der Setup-Wizard fragt dich durch alle wichtigen Konfigurationen und legt einen User-Datenordner unter ~/.openclaw an.

npm install -g openclaw

openclaw init
# beantworte die Fragen:
#  - Anthropic API-Key (sk-ant-...)
#  - bevorzugtes Claude-Modell (Sonnet 4.7 ist Default)
#  - Speicher-Pfad (Default reicht)

openclaw doctor

doctor ist OpenClaws eingebauter Health-Check. Er prüft Node-Version, Schreibrechte, API-Key-Konnektivität und Skill-Pfade. Wenn alle Häkchen grün sind, ist dein KI-Server technisch einsatzbereit.

API-Key sicher ablegen: niemals in Git, niemals in ungeschützten Backup-Ordnern. OpenClaw speichert ihn standardmäßig in einer mit chmod 600 geschützten Config-Datei. Wer mehrere Projekte trennen will, nutzt pro Projekt einen Sub-Account in der Anthropic-Konsole.

Schritt 9: Telegram-Bot anbinden (10 Min)

Telegram ist der einfachste Erst-Channel für deinen Agenten: kostenlos, schnell, mit klarer API. Die Anbindung dauert real 5 bis 7 Minuten.

In Telegram nach @BotFather suchen und dort /newbot senden.
Bot-Name und Bot-Username vergeben. Der Username muss auf _bot enden.
BotFather schickt dir einen Token im Format 123456:ABC-DEF.... Genau diesen Token kopierst du, ohne Leerzeichen vorne oder hinten.
Auf dem Server openclaw channel:add telegram ausführen und den Token einfügen.
openclaw start starten und im Telegram-Chat mit deinem neuen Bot /start senden. OpenClaw schickt dir einen Pairing-Code, den du auf dem Server bestätigst.

openclaw channel:add telegram
# Token einfügen (kein Leerzeichen!)

openclaw start
# in Telegram: /start senden, Pairing-Code bestätigen

Sobald der Bot dir antwortet, hast du einen funktionierenden KI-Server mit Messenger-Anbindung. Glückwunsch. Das ist exakt der Punkt, an dem 95 Prozent der Cloud-Bot-Anbieter ihre Pricing-Page schalten und dich monatlich zahlen lassen wollen.

Troubleshooting: häufige Stolpersteine

SSH-Key wird nicht akzeptiert (Permission denied, publickey)

Meist falsche Datei-Rechte. Im Home-Verzeichnis deines Users: chmod 700 ~/.ssh und chmod 600 ~/.ssh/authorized_keys. Zweite Ursache: du hast den Key auf dem Client mit Passphrase erzeugt, aber kein ssh-agent läuft. Mit ssh-add ~/.ssh/openclaw_ed25519 lädst du ihn manuell.

Node-Version-Konflikt mit alter Distro-Version

Wenn node -v trotz NodeSource-Setup eine 18er- oder 20er-Version anzeigt, liegt eine ältere Distro-Variante im Pfad. Saubere Lösung: sudo apt purge nodejs npm libnode-dev, dann sudo apt autoremove und das NodeSource-Setup wiederholen.

Telegram-Token enthält Leerzeichen oder Zeilenumbruch

Klassiker: beim Copy-Paste aus dem BotFather-Chat rutscht ein Leerzeichen am Ende mit. OpenClaw beschwert sich dann mit 401 Unauthorized. Token im Editor öffnen, Whitespace vorne und hinten entfernen, neu setzen.

fail2ban hat dich selbst ausgesperrt

Passiert beim Einrichten gerne, wenn du mehrfach fehlerhaft versuchst, dich einzuloggen. Lösung: über die Web-Konsole des Hosters (Hostinger Browser-Terminal, Hetzner Cloud Konsole) ohne SSH einloggen und sudo fail2ban-client unban <DEINE_IP> ausführen. Danach saubere Anmeldung mit Key.

openclaw doctor meldet API-Key-Fehler

Prüfe in der Anthropic-Konsole, ob der Key noch aktiv ist und ein Budget hat. Häufiger Fehler: Trial-Kontingent abgelaufen oder Key auf einer einzelnen Workspace beschränkt, aus der deine Anfragen nicht kommen. Neuen Key mit Workspace-All erzeugen und mit openclaw config:set anthropic.apiKey sk-ant-... setzen.

UFW blockiert OpenClaw-Webhook

Wenn du eine externe Inbound-Verbindung brauchst (z. B. Webhook für CRM-Integration), musst du den Port explizit öffnen: sudo ufw allow 8081/tcp. Vorher überlegen, ob ein Reverse-Proxy mit HTTPS davor (Caddy oder Nginx) nicht die saubere Lösung ist.

Was du jetzt noch fehlt: DSGVO & Persistenz

Mit dieser Anleitung steht ein technisch sauberer und gehärteter KI-Server. Für den produktiven Business-Einsatz fehlen drei Bausteine: ein Auftragsverarbeitungsvertrag mit Hoster und Anthropic, dokumentierte technisch-organisatorische Maßnahmen und eine systemd-Unit, damit OpenClaw jeden Reboot automatisch überlebt. Die Module 4 und 6 des Kurses gehen genau darauf ein.

→ Modul 4: Server-Setup & systemd → Modul 6: DSGVO & Sicherheit

Häufige Fragen zur KI-Server-Einrichtung

Wie lange dauert das Setup eines KI-Servers wirklich?

Wenn du der Anleitung folgst und den VPS-Account schon hast, brauchst du circa 90 Minuten. Davon entfallen ungefähr 30 Minuten auf reine Wartezeiten (Provisionierung, npm-Installs, apt-Update). Wer zum ersten Mal einen Linux-Server berührt, sollte 2 bis 3 Stunden einplanen, nimmt sich aber damit auch die Zeit wirklich zu verstehen, was passiert.

Brauche ich Linux-Vorkenntnisse für die Einrichtung?

Hilfreich, aber nicht zwingend. Du musst SSH öffnen können, einen Texteditor wie nano bedienen und Copy-Paste in einem Terminal beherrschen. Alle Befehle in dieser Anleitung sind 1:1 kopierbar. Den Rest erklärt das Kursmodul Linux-Grundlagen ausführlicher, wenn du tiefer einsteigen willst.

Welcher Hoster ist für Anfänger im DACH-Raum am einfachsten?

Hostinger KVM 2 mit Frankfurt-Standort ist die anfängerfreundlichste Wahl. Deutsche Oberfläche, 1-Click-Ubuntu-22.04, Snapshots inklusive und in 5 Minuten online. Hetzner Cloud CX22 ist die zweite gute Option, aber dev-fokussierter und ohne Hand-Holding. AWS Lightsail ist für reine OpenClaw-Setups überdimensioniert.

Wie viel kostet der Betrieb pro Monat?

Realistisch landest du zwischen 25 und 110 Euro pro Monat. Davon sind ungefähr 5 bis 13 Euro VPS-Kosten und 20 bis 90 Euro Claude-Kosten, je nachdem ob du Claude Pro, Claude Max oder Pay-per-Use über die Anthropic-API nutzt. Für reine Privatnutzung reichen oft 25 bis 30 Euro im Monat.

Ist das DSGVO-konform für mein Unternehmen?

Ja, wenn du drei Punkte abdeckst: Server-Standort in der EU (Frankfurt oder Falkenstein), Auftragsverarbeitungsvertrag mit dem Hoster und Anthropic, sowie technisch-organisatorische Maßnahmen. Letztere bestehen genau aus dem, was diese Anleitung dich macht: SSH-Härtung, Firewall, fail2ban, Logging. Modul 6 des Kurses behandelt das Thema vollständig.

Kann ich denselben Server für mehrere KI-Agenten nutzen?

Absolut. Ein KVM 2 mit 8 GB RAM trägt locker 3 bis 5 OpenClaw-Instanzen mit unterschiedlichen Channels und Skill-Profilen. Sobald du RAG, lokale Embeddings oder rechenintensive Skills laufen lässt, ist KVM 4 mit 16 GB die bessere Wahl. Der Sprung von einem auf mehrere Agenten kostet dich keinen zusätzlichen Server.

Was passiert bei einem Reboot oder Stromausfall?

Mit systemd als Process-Manager startet OpenClaw beim Boot automatisch wieder. Modul 4 des Kurses zeigt dir, wie du eine systemd-Unit anlegst, die deinen Agenten dauerhaft am Leben hält und bei Crashes automatisch neu startet. Bei Hostinger und Hetzner kommt der Server in der Regel binnen Minuten wieder.

Lies als Nächstes

WhatsApp-KI-Bot DSGVO-konform

Eigener WhatsApp-Bot auf deinem frisch eingerichteten Server.

Hosting-Vergleich: Hetzner vs. Hostinger vs. AWS

Welcher VPS passt zu deinem KI-Setup im DACH-Raum?

Modul 2: Installation & Konfiguration

Tieferer Einstieg in OpenClaw-Skills, Profile und Channels.

Modul 3: Dein erster KI-Mitarbeiter

Vom installierten Server zum echten Workflow-Helfer.