Eigene Accounts für deinen Bot: Warum sich getrennte Konten lohnen

Ein Schlüssel für dein Haus, ein anderer für deinen Bot. Das klingt selbstverständlich, wird aber von den meisten ignoriert. Warum getrennte Konten nicht nur sicherer, sondern auch praktischer sind.

Das Problem mit dem einen Schlüssel

Du richtest deinen ersten Bot ein. Die Einrichtung fragt nach E-Mail, API-Key, Telegram-Account. Du nimmst, was du hast: deine eigene E-Mail, den bestehenden API-Key aus deinem letzten Projekt, dein persönliches Telegram-Konto. Funktioniert sofort. Sieht nach der einfachsten Lösung aus.

Aber stell dir vor, du gibst dem Putzdienst nicht nur den Wohnungsschlüssel, sondern deinen gesamten Schlüsselbund. Autoschlüssel, Büroschlüssel, Safe-Kombination. Alles. Klingt absurd? Genau das passiert, wenn dein Bot deine persönlichen Zugangsdaten nutzt.

Ein kompromittierter API-Key gibt Angreifern Zugang zu deinem gesamten Konto. Deine Abrechnungsdaten, deine Projekthistorie, alle anderen Anwendungen. Wenn der Bot zu viele Anfragen stellt, erschöpft er dein persönliches Rate-Limit. Plötzlich funktioniert deine eigene Anwendung nicht mehr, weil der Bot zu gierig war. Du willst wissen, warum die API-Rechnung diesen Monat so hoch ist? Viel Spaß beim Sortieren: Jede Anfrage könnte von dir sein. Oder vom Bot. Wer weiß das schon. Und dann die Kosten. Alle API-Aufrufe des Bots landen auf deiner privaten Kreditkarte. Unerwartete Beträge auf der Monatsabrechnung? Kein schönes Gefühl.

Wenn ein Haus mit einem einzigen Schlüssel für alle Türen gebaut ist, reicht ein verlorener Schlüssel. Dann steht alles offen.

Die E-Mail-Lösung

Der erste Schritt ist der einfachste: Erstelle eine eigene E-Mail-Adresse für deinen Bot. Das kann bot@deine-domain.de sein oder ein kostenloses Gmail-Konto wie mein-bot-2026@gmail.com. Hauptsache, es ist nicht deine persönliche E-Mail.

Bot-Mails und deine privaten Mails landen dann in getrennten Postfächern. Keine Verwirrung mehr, ob die Warnung vom Bot kam oder vom Newsletter-Abo. Du willst den Bot abschalten? Deaktiviere das Bot-Konto. Deine persönliche E-Mail bleibt unberührt. Jede Aktion, die über das Bot-Konto läuft, ist eindeutig dem Bot zuzuordnen. Du siehst auf einen Blick, was der Bot getan hat. Und du kannst für das Bot-Konto einen eigenen zweiten Faktor einrichten, getrennt von deiner persönlichen Authentifizierung.

Speichere die Zugangsdaten in einem Passwort-Manager. Bitwarden, 1Password, KeePass. Egal welcher. So hast du alles sicher an einem Ort und kommst nicht in Versuchung, das gleiche Passwort wie für dein Hauptkonto zu verwenden.

Die API-Key-Lösung

Jeder große KI-Anbieter erlaubt es dir, mehrere API-Keys zu erstellen. Oft sogar mit unterschiedlichen Berechtigungen und Spending-Limits. OpenAI hat im API Dashboard projektspezifische Keys mit eigenem Spending-Limit. Anthropic bietet in der Console Keys pro Workspace. Google erstellt über Google AI Studio Keys pro Projekt mit Quotas in der Cloud Console. DeepSeek und Mistral haben ähnliche Verwaltungen.

Denk an API-Keys wie an Kreditkarten. Du gibst nicht deine Haupt-Kreditkarte an einen Dienst, den du nur ausprobierst. Stattdessen nutzt du eine Prepaid-Karte mit festem Limit. Genauso funktionieren projektspezifische API-Keys mit Spending-Limits.

Wenn ein Bot-Key kompromittiert wird, ist nur der Bot betroffen. Du löschst den Key, erstellst einen neuen. Dein persönlicher Account bleibt sicher. Kein Passwort-Reset, keine Panik. Setze unbedingt ein monatliches Limit auf den Bot-Key. Bei OpenAI unter "Usage limits", bei Anthropic unter "Workspace settings". So verhinderst du, dass ein außer Kontrolle geratener Bot dein Budget sprengt. Die meisten Anbieter schicken E-Mail-Alerts bei bestimmten Schwellenwerten. Aktiviere diese.

Das Prinzip: Nur was nötig ist

In der IT-Sicherheit gibt es ein Prinzip namens Least Privilege. Jeder Nutzer und jeder Bot bekommt nur genau die Rechte, die er für seine Aufgabe braucht. Nicht mehr, nicht weniger. Klingt nach Corporate-Jargon, ist aber für deinen Bot extrem wertvoll.

Wenn dein Bot nur Informationen abrufen soll, E-Mails lesen oder Kalendereinträge anzeigen, gib ihm keinen Schreibzugriff. Viele APIs bieten granulare Scopes. Nutze sie. Dein Bot braucht keinen Zugang zu Abrechnungseinstellungen, Nutzerverwaltung oder Kontolöschung. Erstelle einen Benutzer mit eingeschränkten Rechten. Bei OAuth-Verbindungen mit Google oder Slack fordere nur die Scopes an, die tatsächlich gebraucht werden. Nicht "Full Account Access", sondern nur "Read Messages".

Du gibst dem Putzdienst einen Schlüssel zur Wohnung. Aber nicht deinen gesamten Schlüsselbund plus Safe-Kombination plus die PIN deiner EC-Karte. Genau so mit deinem Bot: Zugang nur zu dem, was wirklich nötig ist.

Wenn etwas schiefgeht

Kein System ist zu 100 Prozent sicher. Auch bei bester Vorsorge kann etwas passieren. Ein API-Key wird versehentlich in einem Git-Repository veröffentlicht. Ein Dienst hat eine Sicherheitslücke. Du klickst auf einen Phishing-Link. Die entscheidende Frage ist nicht ob, sondern wie schnell du den Schaden begrenzen kannst.

Hier zeigt sich der wahre Wert getrennter Konten. Ein kompromittiertes Bot-Konto ist nicht gleich ein kompromittiertes Privatleben. Wenn dein Bot-Account betroffen ist, kannst du ihn sofort löschen, zurücksetzen oder sperren. Deine persönlichen Daten, deine E-Mails, deine anderen Accounts bleiben unberührt.

Brandschutztüren in Gebäuden verhindern nicht, dass ein Feuer ausbricht. Aber sie verhindern, dass sich das Feuer auf das gesamte Gebäude ausbreitet. Getrennte Konten sind deine digitalen Brandschutztüren.

Du bemerkst ungewöhnliche Aktivität auf dem Bot-Konto. Unerwartet hohe API-Kosten, ungewöhnliche Logins. Du sperrst den betroffenen API-Key sofort. Ein Klick im Dashboard des Anbieters genügt. Du erstellst einen neuen Key und trägst ihn in deinem Bot ein. Du überprüfst die Logs: Was wurde mit dem alten Key gemacht? Wurden unautorisierte Anfragen gestellt? Du informierst gegebenenfalls den Anbieter über den Vorfall. Das Ganze dauert vielleicht zehn Minuten.

Vergleiche das mit dem Szenario, in dem dein persönlicher Haupt-Account kompromittiert wird. Passwörter ändern, 2FA zurücksetzen, alle verbundenen Dienste prüfen, Kreditkarte sperren, Support kontaktieren. Das kann Stunden dauern und ist deutlich stressiger.

Deine Checkliste

Hier ist dein Fahrplan. Du kannst alles an einem Nachmittag erledigen und danach deutlich ruhiger schlafen:

• Eigene E-Mail-Adresse für den Bot. Erstelle ein separates Postfach (bot@deine-domain.de oder ein kostenloses Gmail-Konto). Nutze ein einzigartiges, starkes Passwort.
• Eigene API-Keys mit Spending-Limits. Erstelle bei deinem KI-Anbieter einen projektspezifischen Key. Setze ein monatliches Limit, das zu deiner erwarteten Nutzung passt.
• Separate Telegram/Discord/Slack-Accounts. Nutze für den Bot-Kanal einen eigenen Account, nicht deinen persönlichen. Bei Telegram erstellst du über den BotFather einen eigenen Bot, das ist ohnehin ein separater Account.
• Eigene 2FA-Methode. Aktiviere Zwei-Faktor-Authentifizierung auf allen Bot-Konten. Nutze eine separate Authenticator-App oder einen Hardware-Key.
• Regelmäßige Key-Rotation (alle 3 Monate). Setze dir eine kalenderbasierte Erinnerung. Erstelle alle 90 Tage neue Keys und lösche die alten. Das begrenzt die Zeitspanne, in der ein kompromittierter Key Schaden anrichten kann.
• Spending-Alerts einrichten. Aktiviere E-Mail-Benachrichtigungen bei deinem API-Anbieter, wenn die Kosten einen bestimmten Schwellenwert überschreiten (z.B. 50 Prozent des Limits).
• Dokumentation: Welcher Key gehört wohin? Führe eine einfache Tabelle in deinem Passwort-Manager: Key-Name, Anbieter, Zweck, Erstelldatum, nächste Rotation. So behältst du den Überblick, auch wenn du mehrere Bots betreibst.

Diese sieben Punkte sind kein enormer Aufwand, aber sie machen einen gewaltigen Unterschied für deine Sicherheit. Du musst nicht alles auf einmal umsetzen. Fang mit der eigenen E-Mail und einem separaten API-Key an. Die restlichen Punkte kannst du nach und nach abhaken.

Sicherheit ist kein Zustand, sondern ein Prozess. Jeder einzelne Punkt auf dieser Checkliste reduziert dein Risiko. Und jeder einzelne Punkt ist besser als keiner.