Bevor Sie loslegen, sollten Sie verstehen, was OpenClaw ist und warum es sinnvoll ist, die Lösung mit Docker Compose zu betreiben:

Schritt 1: Überblick und Entscheidung – Warum OpenClaw mit Docker?

  • OpenClaw ist ein autonomer KI-Agent, der verschiedene Aufgaben selbstständig ausführen kann. Hierzu zählen unter anderem die Möglichkeiten, Nachrichten zu verarbeiten, Dateien zu analysieren und Chat-Konversationen zu automatisieren.
  • OpenClaw kann auf Ihrem eigenen Server laufen, ist Open Source und bietet über 50 Integrationen (unter anderem WhatsApp, Telegram, Slack und Discord).
  • Die empfohlene, stabilste Art der Installation ist über Docker Compose, weil alle Abhängigkeiten automatisch isoliert verwaltet werden. Zudem können Sie diese später leichter updaten oder erweitern.

OpenClaw nutzt Docker als isolierte Umgebung. Über Docker Compose werden dann mehrere Container gleichzeitig gestartet, unter anderem Gateway, CLI, eventuell Sandbox und externe Tools, die zusammen das System bilden.

Hinweis

OpenClaw agiert in vielen Setups primär als Gateway- und Orchestrierungsdienst, der Messenger, Tools und Services mit einem großen Sprachmodell (LLM) verbindet. Wie autonom OpenClaw später arbeitet, hängt stark von Ihrer individuellen Konfiguration, wie den Netzwerk-Regeln, ab. Aus Sicherheits- und Erwartungsgründen sollten Sie insbesondere das Berechtigungsmanagement nach dem Least-Privilege-Prinzip planen und nur Zugriffe erlauben, die für Ihre Automatisierungen wirklich nötig sind.

Schritt 2: Den geeigneten Server finden

OpenClaw ist nicht einfach ein Chat-Bot, sondern ein autonom funktionierendes Tool, das auf Ihrem Server läuft und mit Programmen, Messengern und Services interagiert. Zum Beispiel können Sie die Software so nutzen, dass sie Kalender bedient, Dateien verwaltet und Meldungen sendet. Es ist aber auch möglich, Automationen anzustoßen oder ganze Entwickler-Workflows auszuführen.

Für die meisten Anwendungsfälle empfehlen sich insbesondere VPS-Setups, da diese eine kostengünstige und gleichzeitig leistungsfähige Basis für die OpenClaw-Docker-Kombination liefern. Noch praktischer ist es, wenn das VPS-Hosting auf n8n-Automatisierung zurückgreifen kann, da so die Verknüpfung von OpenClaw mit anderen Tools noch einfacher ist. Grundsätzlich gilt: Je anspruchsvoller Ihre Aufgaben sind, desto mehr RAM und CPU sollten Sie einplanen. Docker Compose und KI-Modelle benötigen Speicher für Images, Container-Logging und Datenpersistenz. Generell hängen die benötigten Ressourcen außerdem stark vom Workload und insbesondere davon ab, ob Sie ein Cloud-LLM nutzen oder die Modelle lokal betreiben. In der nachfolgenden Tabelle finden Sie als grobe Einordnung einige exemplarische Use Cases und die empfohlene VPS-Power.

Use Case Hauptfunktionen Empfohlene VPS-Ressourcen
Digitaler Alltags-Assistant Terminzusammenfassungen, Nachrichten, Kalender 4 vCores CPU, 4 GB RAM, 120 GB Festplattenspeicher
Workflow-Automatisierung & Dokumentation Dokumente erstellen, Daten verarbeiten, Dateiupload 6 vCores CPU, 8 GB RAM, 240 GB Festplattenspeicher
Developer-Produktivität & Remote-Automatisierung Tests, Builds, Logs, Shell-Tasks 8 vCores CPU, 16 GB RAM, 480 GB Festplattenspeicher
Free VPS Trial
vServer kostenlos testen für 30 Tage

Lassen Sie sich von den Vorteilen überzeugen. Probieren Sie Ihren Virtual Server ganz in Ruhe 30 Tage lang aus!

Schritt 3: Betriebssystem installieren und sichere Verbindung aufbauen

Bevor Sie Software wie OpenClaw mit Docker Compose installieren können, brauchen Sie ein Betriebssystem auf Ihrem Server. Für das OpenClaw-Setup bietet sich eine Linux-Distribution wie Ubuntu Server an. Installieren Sie also auf Ihrem VPS eine aktuelle Ubuntu-Version und stellen Sie anschließend eine gesicherte Verbindung zu Ihrem Server her, z. B. per SSH (Secure Shell). Achten Sie darauf, SSH-Zugänge mit Schlüsseln statt Passwörtern zu nutzen, damit Ihr Server vor unbefugten Zugriffen geschützt ist.

Hinweis

Dieses Tutorial zeigt einen funktionalen Standard-Setup für Test- und Entwicklungsumgebungen. Nutzen Sie die Standard-Konfiguration nicht unverändert öffentlich im Internet. Für produktive Systeme sollten Sie zusätzliche Härtungsmaßnahmen wie TLS/HTTPS-Absicherung über Reverse Proxy, zentrales Secrets-Management, Netzwerk-Isolation und Firewall-Regeln, Monitoring und Alerts sowie regelmäßige Backups von Daten und Konfigurationen realisieren.

Schritt 4: Docker und Compose installieren

Sobald Sie eine sichere Verbindung zu dem Server etabliert und Ihr gewünschtes Betriebssystem eingerichtet haben, können Sie Docker und Compose installieren. Zunächst sollten Sie hierfür das System auf den neuesten Stand bringen:

sudo apt update && sudo apt upgrade -y
sudo apt install -y ca-certificates curl gnupg lsb-release
bash

Danach fügen Sie den Docker-GPG-Schlüssel hinzu und richten das Repository ein:

sudo mkdir -p /etc/apt/keyrings
curl -fsSL https://download.docker.com/linux/ubuntu/gpg | sudo gpg --dearmor -o /etc/apt/keyrings/docker.gpg
echo \
    "deb [arch=$(dpkg --print-architecture) signed-by=/etc/apt/keyrings/docker.gpg] https://download.docker.com/linux/ubuntu \
    $(lsb_release -cs) stable" | sudo tee /etc/apt/sources.list.d/docker.list > /dev/null
bash

Aktualisieren Sie noch einmal die Paketliste und installieren Sie dann die Docker-Engine, die Docker-CLI (Kommandozeilen-Schnittstelle) und den Dienst „containerd“:

sudo apt update
sudo apt install -y docker-ce docker-ce-cli containerd.io
bash

Im letzten Schritt installieren Sie Docker Compose. Viele neue Systeme können hierfür auf das Plugin-System zurückgreifen:

sudo apt install -y docker-compose-plugin
bash

Alternativ laden Sie die Installationsdateien manuell herunter:

mkdir -p ~/.docker/cli-plugins
curl -SL https://github.com/docker/compose/releases/latest/download/docker-compose-linux-x86_64 \
    -o ~/.docker/cli-plugins/docker-compose
chmod +x ~/.docker/cli-plugins/docker-compose
bash

Den Erfolg der Installation können Sie mit dem folgenden Kommando überprüfen:

docker --version
docker compose version
bash
Bild: ION_DE_VPS_Fallback_960x320.png
Bild: ION_DE_VPS_Fallback_1200x1200.png

Schritt 5: OpenClaw-Repository klonen

Jetzt holen Sie sich den OpenClaw-Sourcecode, der auch die erforderliche Docker-Konfiguration enthält:

sudo apt install git -y
git clone https://github.com/openclaw/openclaw.git
cd openclaw
bash

Sie sehen in der Folge unter anderem eine Datei mit dem Namen „docker-setup.sh“ (Setup-Skript) und die Datei „docker-compose.yml“, die die Standard-Container beschreibt. In der letztgenannten YAML-Konfigurationsdatei sind unter anderem folgende Informationen verzeichnet:

  • openclaw-gateway: Der Hauptdienst, der OpenClaw startet
  • env_file: Diese Information sagt dem Container, wo die Umgebungsvariablen stehen
  • volumes: Dieser Eintrag sorgt dafür, dass Ihre Daten persistent gespeichert werden, statt im Container verloren zu gehen
  • ports: Öffnet den Dienst auf Port 18789, damit Sie später im Browser darauf zugreifen können

Schritt 6: Umgebungsvariablen anlegen und API-Keys eintragen

Damit OpenClaw weiß, welchen KI-Provider es nutzen soll, wie es mit externen Diensten kommuniziert und wie es sich authentifiziert, müssen Sie einige wichtige Einstellungen in einer .env-Datei hinterlegen. Dabei handelt es sich um eine ganz normale Textdatei, in der sensible Dinge wie API-Keys und Token stehen – und die niemals öffentlich gemacht werden sollte (z. B. nicht in Git-Repositorys). Schützen Sie die .env zusätzlich durch das Kommando chmod 600 .env mit restriktiven Dateirechten.

Schritt-für-Schritt: So erstellen Sie die .env-Datei

  1. Kopieren Sie das Beispiel-File, das bereits im Repository liegt, mit dem folgenden Kommando: cp .env.example .env
  2. Öffnen Sie die neue Datei zur Bearbeitung mit dem folgenden Befehl nano .env
  3. Sie sehen nun viele mögliche Platzhalter. Die wichtigsten Zeilen, die Sie in dieser Datei bearbeiten sollten, sind diese (die Werte wurden beispielhaft gewählt):
LLM_PROVIDER=anthropic
ANTHROPIC_API_KEY=sk-ihrapikey123xyz
GATEWAY_TOKEN=my_secure_gateway_token_abc
MODEL_VERSION=claude-4-5-sonnet-20260101
txt

LLM_PROVIDER definiert, welchen KI-Provider Sie nutzen wollen. Anthropic ist quasi der empfohlene Standard, aber natürlich können Sie hier auch eine beliebige andere Wahl treffen. Die dazu passenden API-Keys werden benötigt, damit OpenClaw und Docker Zugang zu den LLMs in der Cloud haben. GATEWAY_TOKEN sichert den Zugriff auf das Dashboard und mit MODEL_VERSION geben Sie schließlich die gewünschte Version des KI-Modells an, wie zum Beispiel Claude 4.5. Die konkreten Provider-Namen und Modellversionen ändern sich häufig, weshalb die hier verwendeten Werte lediglich als Beispiel dienen. Orientieren Sie sich an der jeweils aktuellen Dokumentation Ihres Providers.

Hinweis

Für produktive Setups sind Docker Secrets oder ein Passwort-Manager oft die bessere Wahl, als Keys im Klartext in Textdateien zu speichern.

Schritt 7: Setup-Skript ausführen

Nachdem Sie das OpenClaw-Repository geklont haben, finden Sie dort, wie bereits erwähnt, auch eine Datei mit dem Namen „docker-setup.sh“. Diese Datei ist ein Setup-Skript, das viele Aufgaben automatisiert, die Sie sonst manuell machen müssten. Es ist Teil der offiziellen Docker-Installationsempfehlung. Ohne das Skript müssten Sie selbst:

  • Docker-Images bauen
  • Docker-Compose-Konfigurationen anpassen
  • Umgebungsvariablen eintragen (falls Sie dies nicht wie beschrieben manuell in Schritt 6 erledigt haben)
  • Container starten

Das Setup-Skript nimmt Ihnen diese Arbeit ab und sorgt dafür, dass die Container korrekt installiert und konfiguriert werden. Um vorher zu prüfen, was das Skript genau macht, können Sie den Befehl less docker-setup.sh ausführen. Können Sie die Änderungen nachvollziehen, starten Sie es mit folgendem Terminal-Befehl:

./docker-setup.sh
bash

Während der Installation werden Sie interaktiv nach Setup-Optionen (Gateway-Modus, Provider, Tokens) gefragt. Beantworten Sie die Nachfragen wunschgemäß, um die Einrichtung von OpenClaw unter Docker abzuschließen.

Schritt 8: Docker Compose starten

Wenn die Compose-Dateien fertig sind, starten Sie alle Dienste. Mit dem folgenden Befehl laden Sie die Images, starten die relevanten Container und binden automatisch die benötigten Volumes ein:

docker compose up -d
bash

Um sicherzustellen, dass keine Fehler auftreten und alle Dienste korrekt hochgefahren wurden und funktionieren, aktivieren Sie einfach die Logging-Funktion, um in Echtzeit die Logs einzusehen:

docker compose logs -f
bash
Tipp

Die Logging-Funktion ist auch im späteren Live-Betrieb Ihrer OpenClaw-Docker-Installation wichtig. Auf diese Weise überwachen Sie Ressourcen (CPU/RAM/Disk) und Fehlerraten langfristig!

Schritt 9: Auf die Weboberfläche zugreifen

Sobald alles läuft, können Sie im Browser auf die Web-Administrations-Oberfläche zugreifen, indem Sie die URL http://IHRE_SERVER_IP:18789 aufrufen. Ersetzen Sie dabei den Bestandteil IHRE_SERVER_IP durch die IP-Adresse Ihres Servers. Über das OpenClaw-Dashboard können Sie nun unter anderem:

  • Chat-Konversationen starten
  • Ihre Agents konfigurieren
  • Pairing-Token für Clients bzw. Geräte erstellen

Wenn im Browser Fehlermeldungen wie „Unauthorized“ oder „Pairing required“ erscheinen, holen Sie sich einfach mit folgendem Befehl ein frisches Dashboard-Token:

docker compose run --rm openclaw-cli dashboard --no-open
bash

Anschließend genehmigen Sie den Prozess wie folgt:

docker compose run --rm openclaw-cli devices list
docker compose run --rm openclaw-cli devices approve <requestID>
bash
Tipp

Der Container startet nicht? Inspizieren Sie mit docker compose logs -f die Logs, um das Problem zu identifizieren oder überprüfen Sie die .env auf fehlende Keys oder Tippfehler. Falls der Port nicht erreichbar sein sollte, sind vermutlich Firewall-Einstellungen oder Sicherheitsgruppen anzupassen.

Schritt 10: OpenClaw-Docker-Instanz absichern

OpenClaw kann tief ins System eingreifen und Aufgaben ausführen. Das bedeutet: Wenn es ungeschützt im Internet agiert, könnte prinzipiell jede Person darauf zugreifen. Beachten Sie aus diesem Grund die folgenden Sicherheitsregeln:

  • Schützen Sie Ihren Server mit einer Firewall. Nur notwendige Verbindungen sollten erlaubt sein.
  • Öffnen Sie den OpenClaw-Port (standardmäßig 18789) nur, wenn nötig. Falls Sie den Zugriff öffentlich erlauben wollen, begrenzen Sie ihn am besten auf vertrauenswürdige IP-Adressen und erzwingen Sie die Verbindung über einen Reverse-Proxy mit HTTPS oder ein VPN.
  • Sichern Sie Ihre Container gezielt ab, indem Sie diese nach Möglichkeit ohne Root-Rechte starten, Dateisysteme `read-only`` betreiben und unnötige Berechtigungen entfernen. Nutzen Sie keine überflüssigen Host-Mounts und schränken Sie den Netzwerkzugriff so ein, dass nur erforderliche Ziele wie Messenger-APIs und LLM-Provider verfügbar sind.
  • Verwenden Sie die Token-basierte Authentifizierung. Das GATEWAY_TOKEN, das Sie in der .env-Datei gesetzt haben, dient dazu, unbefugte Zugriffe zu verhindern.
  • Achten Sie darauf, OpenClaw nicht als Root innerhalb des Containers auszuführen und beschränken Sie Berechtigungen durch Flags wie --read-only, --cap-drop=ALL und --security-opt=no-new-privileges, um mögliche Angriffsflächen zu reduzieren.
  • Erstellen Sie eine isolierte Docker-Netzwerkumgebung oder nutzen Sie Regeln, damit OpenClaw nur die wirklich benötigten externen Dienste erreichen kann (z. B. KI-Provider-APIs), statt uneingeschränkten Internetzugriff zu haben.
  • Achten Sie auf richtige Einstellungen in der OpenClaw-Sicherheitskonfiguration. Alle Authentifizierungsmechanismen sollten aktiviert und alle Gateway-Regeln für den Produktivbetrieb korrekt definiert sein.

In Linux-Systemen wie Ubuntu können Sie mithilfe der Uncomplicated Firewall (ufw) schnell einen guten Basis-Schutz aktivieren:

sudo ufw allow 22/tcp
sudo ufw allow 18789/tcp
sudo ufw enable
bash

Durch die Freigabe von TCP-Port 22 ermöglichen Sie den sicheren SSH-Zugang. TCP-Port 18789 ist der Standard-Port für OpenClaw, insofern Sie keinen anderen Port festgelegt haben. Wenn Sie den Port nicht gänzlich öffnen möchten, können Sie ihn auch nur für bestimmte IP-Adressen zulassen.

Tipp

Ein Beispiel für ein sicheres Verbindungssetup sieht wie folgt aus: Sie setzen einen Reverse Proxy wie NGINX, Traefik oder Caddy ein. Zusätzlich installieren Sie ein TLS-Zertifikat wie das kostenlose Let’s Encrypt. Zudem leiten Sie intern auf die Adresse localhost:18789 weiter. Sofern unterstützt, empfehlen sich außerdem die Einrichtung von Ratenbegrenzung, um die Zahl an Anfragen zu limitieren und Basic-Auth/OIDC, um die Authentifizierung zu verbessern.

Schritt 11: Messaging-Integrationen einrichten

OpenClaw kann sich mit verschiedenen Chat-Plattformen verbinden, darunter Slack, WhatsApp, Telegram und viele mehr. Auf diese Weise können Sie Ihren KI-Agenten direkt aus Ihrem Arbeits-Chat heraus steuern. Wenn Sie OpenClaw zum Beispiel mit Slack verbinden, agiert Ihr KI-Agent wie ein Slack-Bot. Sie können ihm dann im Team-Chat Fragen stellen oder Aufgaben schicken und er antwortet oder führt Aktionen aus.

Die Integration funktioniert dabei in etwa folgendermaßen (je nach Integration gibt es bei der Einrichtung leichte Unterschiede):

  1. Bot / Anwendung registrieren: Erstellen Sie einen Bot oder eine App im jeweiligen Service (z. B. Telegram, Slack, Discord). Typischerweise gelingt dies über das Entwickler-Portal des jeweiligen Dienstes. Am Ende erhalten Sie ein oder mehrere API-Tokens/Keys, mit denen Ihr Bot authentifiziert wird.
  2. Token / Keys in OpenClaw eintragen: Tragen Sie die API-Zugangsdaten (z. B. TELEGRAM_BOT_TOKEN, SLACK_BOT_TOKEN) in die OpenClaw-Konfigurationsdatei .env oder eine passende Konfigurationsschnittstelle ein.
  3. OpenClaw neu starten oder konfigurieren: Starten Sie OpenClaw neu, damit es die neuen Integrations-Einstellungen übernehmen kann.
  4. Pairing / Authentifizierung: Je nach Dienst müssen Sie den Bot oder die Verbindung einmalig autorisieren, z. B. über Pairing-Codes, OAuth-Flows oder Bestätigungslinks, die Ihnen der Dienst oder OpenClaw präsentiert.
  5. Testen: Senden Sie eine Testnachricht über den Bot bzw. Chat, um zu prüfen, ob OpenClaw korrekt reagiert.
Tipp

Behandeln Sie API-Tokens vertraulich, geben Sie nur nötige Berechtigungen, testen Sie die Verbindung direkt nach Einrichtung und führen Sie die Autorisierung (z. B. Pairing/OAuth) vollständig durch. Prüfen Sie bei Problemen die Logs und nutzen Sie für erste Tests besser einen privaten Channel bzw. Workspace.

Schritt 12: OpenClaw aktuell halten

Damit Sie immer die neuesten Funktionen des Tools nutzen können und aktuelle Bug-Fixes sowie Sicherheitsupdates installiert haben, ist es wichtig, dass Sie OpenClaw regelmäßig aktualisieren. Hierfür rufen Sie zunächst das Verzeichnis auf:

cd ~/openclaw
bash

Anschließend beziehen Sie die neueste Version mit dem folgenden Kommando:

git pull
docker compose pull
bash

Starten Sie Ihre OpenClaw-Docker-Instanz abschließend neu:

docker compose up -d
bash
Tipp

Planen Sie Backups der persistenten Volumes (Konfiguration, Tokens, relevante Daten), um im Ernstfall Sicherheitskopien für die Wiederherstellung Ihrer Projekte parat zu haben.

Zum Hauptmenü