Eine Hintertür in Claude Code, sagt Chinas staatliche Schwachstellendatenbank, und meint damit das Werkzeug, mit dem dieser Blog jeden Tag produziert wird. Mein erster Handgriff nach der Meldung war deshalb kein journalistischer, sondern ein sehr persönlicher: claude --version ins Terminal getippt und kurz die Luft angehalten. Ergebnis: 2.1.87, vier Versionen unter dem betroffenen Bereich. Glück gehabt, aber der Reihe nach.
- Versionen 2.1.91 bis 2.1.196 von Claude Code übertrugen laut Anthropic Standort und Nutzer-ID an eigene Server.
- Anthropic bestätigt den Datenfluss, nennt ihn aber ein Anti-Distillation-Experiment gegen unerlaubtes Modell-Training.
- Release Notes zu diesem Mechanismus fehlten vollständig, was unabhängig vom Zweck ein Transparenzproblem bleibt.
- Aktuelle Version 2.1.204 enthält den Mechanismus laut Hersteller nicht mehr; Update per Terminal reicht als Sofortmaßnahme.
- EU-Entwickler mit betroffenen Versionen haben möglicherweise personenbezogene Daten ohne Einwilligung in die USA übertragen.
Was Peking konkret behauptet
Die Warnung kommt von der Nationalen Schwachstellendatenbank (NVDB) des chinesischen Industrieministeriums und ist erstaunlich präzise: Claude Code enthalte in den Versionen 2.1.91 bis 2.1.196 eine „Sicherheits-Hintertür, die eine ernste Bedrohung darstellt“, berichtet CNBC. Das Tool könne sensible Informationen ohne Zustimmung an einen entfernten Server senden, darunter Region und Identitätskennung des Nutzers. Das sind 106 Versionen, veröffentlicht zwischen dem 2. April und dem 29. Juni. Die Empfehlung der Behörde: deinstallieren oder updaten.
Anthropic sagt: Das war der Türsteher, kein Einbrecher
Anthropic bestreitet den Datenfluss gegenüber Reuters gar nicht, nur die Deutung. Der Mechanismus sei ein Experiment aus dem Frühjahr gegen Distillation, also das Abklopfen eines KI-Modells, um mit dessen Antworten ein eigenes zu trainieren, und gegen nicht autorisierte Wiederverkäufer. Der Kontext macht die Sache pikant: Erst im Juni hatte Anthropic Alibaba beschuldigt, genau so an die eigenen Fähigkeiten heranzuwollen, und China steht offiziell gar nicht auf der Liste der unterstützten Länder. Alibaba wiederum untersagt seinen Beschäftigten Anthropic-Werkzeuge ab dem 10. Juli und verweist aufs hauseigene Qoder. Man muss kein Geopolitik-Experte sein, um hier mehr Handelskonflikt als Sicherheitsbefund zu sehen: Washington warnt vor Huawei und TikTok, Peking antwortet mit Micron und jetzt Claude Code.
Nur ändert die gute Absicht nichts am Prinzip. Code, der Standort und Identität unbemerkt nach Hause funkt, trägt dieselbe Signatur, egal ob er Betrüger aussperrt oder spioniert. Der eigentliche Vorwurf ist nicht Spionage, sondern fehlende Transparenz. Und da hat Anthropic schlicht keinen Hinweis in die Release Notes geschrieben.
Ausgerechnet Peking entdeckt den Datenschutz
Die Ironie muss man kurz sacken lassen: Das Land der Großen Firewall, in dem Apps gesetzlich verpflichtet sind, ihre Daten mit den Behörden zu teilen, warnt die Welt vor heimlicher Telemetrie. Peking entdeckt den Datenschutz zuverlässig immer dann, wenn er gerade als Zollschranke taugt, so wie Washington ihn entdeckt, wenn Huawei oder TikTok dran sind. Falsch wird die Warnung dadurch nicht, der Datenfluss ist ja von Anthropic bestätigt. Aber wer sich von Chinas Schwachstellendatenbank moralische Orientierung erhofft, kann auch den Fuchs nach der Stallordnung fragen.
Mein Terminal, meine Version, mein kurzer Schreck
Der Check dauert zehn Sekunden und lohnt sich: claude --version im Terminal zeigt die installierte Version. Bei mir steht dort 2.1.87, also knapp unterhalb des betroffenen Fensters, weil ich das automatische Update eine Weile ausgesetzt hatte. Ausgerechnet Trägheit als Sicherheitskonzept, das muss man sich auch erstmal leisten. Der saubere Weg ist trotzdem das Gegenteil: auf die aktuelle Version updaten, Stand heute 2.1.204, denn dort ist der beanstandete Mechanismus laut Anthropic raus. Wer im betroffenen Bereich unterwegs war, sollte zusätzlich wissen, dass Region und Identitätskennung möglicherweise übertragen wurden.
Terminal öffnen, claude –version eintippen. Alles zwischen 2.1.91 und 2.1.196 ist betroffen: dann updaten (aktuell 2.1.204). Versionen darunter oder darüber sind laut der Warnung nicht betroffen, ein Update schadet trotzdem nicht.
Die DSGVO-Frage, die niemand gestellt hat
Für uns in Europa ist der spannende Teil nicht der Streit zwischen Washington und Peking, sondern das Kleingedruckte: Telemetrie, die Standort und Identität ohne klare Einwilligung in die USA überträgt, berührt die DSGVO, ganz egal, wie ehrenwert der Zweck ist. Ein Entwicklerteam, das eine betroffene Version im Einsatz hatte, hat womöglich personenbezogene Daten in ein Drittland geschickt, ohne davon zu wissen. Die ehrliche Lehre aus der Woche ist deshalb unbequem: Kaum jemand weiß, was seine KI-Werkzeuge nach Hause funken. Ich nehme mich da nicht aus, mein Netzwerk-Monitoring beschränkte sich bisher auf die Hoffnung, dass schon nichts sein wird. Auf der Liste steht es jetzt. Wie es mit Claude nach Sperre und Comeback von Fable 5 ohnehin gerade turbulent läuft, zeigt übrigens auch der Blick zur Konkurrenz: OpenAI musste GPT-5.6 durch dieselbe Exportkontrolle bugsieren.
Womit die eigentliche Frage auf dem Tisch liegt: Wo sollen wir Europäer uns da eigentlich hinstellen? Die Auswahl fühlt sich gerade an wie die zwischen Pest und Cholera. Auf der einen Seite US-Werkzeuge, die ungefragt heimfunken und deren Releases inzwischen eine Regierung genehmigt. Auf der anderen chinesische Tools, bei denen man die Telemetrie-Frage gar nicht erst stellen muss, weil die Antwort im Gesetz steht. Die dritte Option wird dabei gerne vergessen: Mistral sitzt in Paris, hostet in der EU und hat mit Codestral ein eigenes Coding-Modell im Programm. An die Spitzenmodelle aus den USA reicht das nicht in jeder Disziplin heran, dafür entfällt die komplette Drittland-Akrobatik bei der DSGVO. Vielleicht ist diese Woche der richtige Anlass, das mal ernsthaft auszuprobieren. Auf meiner Liste steht es jedenfalls, direkt über dem Netzwerk-Monitoring.
Hintertür-Fragen, kurz beantwortet
Welche Claude-Code-Versionen sind von der Hintertür-Warnung betroffen?
Laut Chinas Schwachstellendatenbank die Versionen 2.1.91 bis 2.1.196, veröffentlicht zwischen dem 2. April und dem 29. Juni 2026. Die installierte Version zeigt der Befehl claude –version im Terminal.
Ist die Hintertür in Claude Code echt?
Der Datenfluss ist von Anthropic bestätigt: Betroffene Versionen konnten Region und Identitätskennung an einen Anthropic-Server senden. Strittig ist die Deutung. Anthropic beschreibt den Mechanismus als Experiment gegen Modell-Klau und nicht autorisierte Wiederverkäufer, nicht als Spionage-Hintertür.
Was sollten Claude-Code-Nutzer jetzt tun?
Version prüfen und auf die aktuelle Version updaten (Stand 9. Juli: 2.1.204). Teams mit Compliance-Anforderungen sollten zusätzlich prüfen, ob eine betroffene Version im Einsatz war, und den ausgehenden Netzwerkverkehr ihrer Entwicklungsumgebung im Blick behalten.
Warum verbietet Alibaba seinen Mitarbeitern Claude?
Alibaba untersagt Anthropic-Tools ab dem 10. Juli 2026 und empfiehlt intern das eigene Produkt Qoder. Hintergrund ist der eskalierende Konflikt: Anthropic hatte Alibaba zuvor beschuldigt, die Fähigkeiten von Claude unerlaubt abzuschöpfen, und China steht nicht auf Anthropics Liste unterstützter Länder.
Gibt es europäische Alternativen zu Claude Code?
Die prominenteste ist Mistral aus Frankreich: EU-Hosting, eigenes Coding-Modell namens Codestral und damit keine Drittland-Frage bei der DSGVO. An die US-Spitzenmodelle reicht es nicht in jeder Disziplin heran. Wer maximale Kontrolle will, setzt auf lokal laufende Open-Weight-Modelle.





