Wie man OpenClaw auf einem VPS selbst hostet (Produktionseinrichtung 2026)
OpenClaw hat in sechs Wochen von 9K auf 210K GitHub-Sterne zugelegt, was bedeutet, dass die Dokumentation mit den Anforderungen für den produktiven Einsatz noch nicht Schritt gehalten hat. Das Demo-Setup funktioniert. Das Setup, das Sie tatsächlich für den täglichen Gebrauch brauchen, erfordert sorgfältigere Arbeit, insbesondere bei den Messaging-Gateways und der Tool Sandbox.
Hier ist die Produktionsinstallation, die ich auf einem Hetzner CCX23 betreibe, inklusive der Fallstricke, vor denen die offiziellen Dokumente nicht warnen.
Checkliste vor der Installation
Sie benötigen:
- VPS mit Ubuntu 24.04 oder Debian 12
- Mindestens 16 GB RAM für den produktiven Einsatz (nur 8 GB für Demo oder Solo-Nutzung)
- 160 GB NVMe Speicher
- Einen Domainnamen, der auf Ihren VPS zeigt, für HTTPS
- API-Schlüssel für Ihren Model-Anbieter (OpenAI, Anthropic oder lokales Ollama)
- API-Token für die Messaging-Gateways, die Sie verwenden möchten
Die VPS-Größe ist hier wichtiger als bei vielen Tools, weil das MCP-Tool-Registry und die Gateway-Daemons von OpenClaw zusammenkommen. Der beste VPS für OpenClaw Guide erklärt die Spezifikationsberechnung im Detail.
Schritt 1: VPS bereitstellen und absichern
System aktualisieren und Voraussetzungen installieren:
sudo apt update && sudo apt upgrade -y
sudo apt install -y curl git ufw ca-certificates gnupg
Firewall zuerst konfigurieren:
sudo ufw allow ssh
sudo ufw allow 80/tcp
sudo ufw allow 443/tcp
sudo ufw enable
Docker gemäß den offiziellen Docker-Dokumenten installieren (nicht das Paket der Distribution verwenden, das hinterherhinkt):
curl -fsSL https://get.docker.com | sh
sudo usermod -aG docker $USER
newgrp docker
Docker prüfen:
docker run --rm hello-world
Schritt 2: OpenClaw klonen und konfigurieren
Das offizielle Repository klonen:
mkdir -p /opt
sudo git clone https://github.com/openclaw/openclaw.git /opt/openclaw
sudo chown -R $USER:$USER /opt/openclaw
cd /opt/openclaw
Beispiel-Konfiguration kopieren und bearbeiten:
cp .env.example .env
nano .env
Die wichtigsten Einstellungen, die geändert werden müssen:
POSTGRES_PASSWORD=<erstelle ein starkes Passwort>
[email protected]
ADMIN_PASSWORD=<erstelle ein weiteres starkes Passwort>
PUBLIC_DOMAIN=openclaw.deinedomain.com
MODEL_PROVIDER=openai
OPENAI_API_KEY=sk-...
Für das Datenbankpasswort ein zufälliges mit openssl rand -hex 24 generieren. Das gleiche für das Admin-Passwort. Keinesfalls Standardwerte verwenden, da OpenClaw-Deployments innerhalb von Stunden nach der Veröffentlichung auf geleakte Anmeldedaten untersucht werden.
Schritt 3: Container starten
docker compose pull
docker compose up -d
Der erste Start dauert 2 bis 5 Minuten, da die Postgres-Datenbank initialisiert und Migrationen ausgeführt werden. Logs beobachten:
docker compose logs -f openclaw
Auf Server listening on :8080 achten, um sicherzustellen, dass es läuft.
Schritt 4: Reverse Proxy einrichten
OpenClaw läuft intern auf Port 8080. Für HTTPS benutzt man Caddy davor. Caddy installieren:
sudo apt install -y caddy
Konfiguration /etc/caddy/Caddyfile:
openclaw.deinedomain.com {
reverse_proxy localhost:8080
}
Stellen Sie sicher, dass Ihr DNS-A-Record auf den VPS zeigt, dann Caddy neu laden:
sudo systemctl reload caddy
Caddy kümmert sich automatisch um Let’s Encrypt. Besuchen Sie https://openclaw.deinedomain.com und Sie sollten die OpenClaw-Login-Seite mit gültigem Zertifikat sehen.
Schritt 5: Ersteinrichtung via Web-UI
Mit den Admin-Zugangsdaten aus .env anmelden. Der Setup-Assistent fragt nach:
- Model-Anbieter-Konfiguration (automatisch erkannt, wenn in
.envgesetzt) - Name des ersten Workspaces
- Optional MCP-Tool-Integrationen (zuerst nur Dateisystem und Websuche)
- Erstes Benutzerkonto
Testen Sie, ob der Agent funktioniert: in einem Chat mit dem Standard-Workspace fragen Sie: „Was kannst du tun?” Der Agent sollte seine verfügbaren Tools beschreiben.
Wenn ein Fehler beim Model-Endpunkt erscheint, die Logs prüfen:
docker compose logs openclaw | grep -i error
Typische Probleme in dieser Phase:
- Falsches OpenAI-Key-Format (muss mit
sk-starten) - Model-Namen-Tippfehler (z.B.
gpt-4o-minioderclaude-3-5-sonnet-20241022, keine beliebigen Namen) - Rate-Limit auf Ihrem API-Konto, besonders bei kostenlosen OpenAI-Keys
Schritt 6: Messaging-Gateways hinzufügen
Hier zeigt OpenClaw, was es kann. Für WhatsApp Business:
- WhatsApp Business API-Konto erstellen (via Meta, Twilio oder 360dialog)
- Im OpenClaw-Admin: Integrationen → WhatsApp → Hinzufügen
- Zugangstoken und Telefonnummern-ID einfügen
- Webhook-URL konfigurieren:
https://openclaw.deinedomain.com/webhooks/whatsapp
Für Slack:
- Slack-App bei api.slack.com/apps erstellen
- Socket Mode und Event-Abonnements aktivieren
- In den Workspace installieren
- In OpenClaw: Integrationen → Slack → Hinzufügen, Bot-Token und App-Token einfügen
Für Telegram:
- Bot bei @BotFather erstellen, Token holen
- In OpenClaw: Integrationen → Telegram → Hinzufügen, Token einfügen
Jede Gateway erscheint als eigener Gesprächskanal in OpenClaw. Der gleiche Agent bedient alle Kanäle, mit Gesprächshistorie pro Nutzer pro Kanal.
Schritt 7: Tool-Registry absichern
Das MCP-Tool-Registry macht OpenClaw mächtig und bringt echte Sicherheitsbedenken mit sich. Die Standardkonfiguration erlaubt dem Agenten, neue Tools zur Laufzeit zu installieren - gut für Fähigkeiten, schlecht für Sicherheit in der Produktion.
Absichern durch Bearbeiten von .env:
TOOL_REGISTRY_MODE=allowlist
TOOL_REGISTRY_ALLOWLIST=filesystem,web-search,github,gmail
Nur erlaubte Tools können dann aufgerufen werden. Weitere hinzufügen, wenn geprüft. Neustarten:
docker compose restart openclaw
Schritt 8: Backup-Strategie
Die zwei Dinge, die bei einem VPS-Ausfall unbedingt gerettet werden müssen: die Postgres-Datenbank und das Filesystem-Volume.
Tägliches Backup per Cron hinzufügen:
sudo crontab -e
Und hinzufügen:
0 3 * * * cd /opt/openclaw && docker compose exec -T postgres pg_dump -U openclaw openclaw | gzip > /backup/openclaw-$(date +\%Y\%m\%d).sql.gz && find /backup -name "openclaw-*.sql.gz" -mtime +14 -delete
Läuft täglich um 3 Uhr morgens, dumpt Postgres und löscht ältere Backups nach 14 Tagen. Die Backups extern (S3, Backblaze, ein anderer VPS) spiegeln, um bei Katastrophen schnell wiederherzustellen.
Was als Nächstes kommt
Nachdem die Grundinstallation funktioniert, sind die nächsten Prioritäten meist:
- Weitere MCP-Tools hinzufügen, wenn sie als sicher verifiziert wurden
- Nutzerkonten und Berechtigungen für das Team konfigurieren
- Monitoring (Uptime Kuma funktioniert gut zusammen mit OpenClaw)
- Modellwahl je nach Workspace basierend auf Kosten und Qualität optimieren
Für VPS-Größenentwicklung bei steigendem Nutzung: siehe den Vergleich der besten VPS für OpenClaw. Für ergänzende selbstgehostete Tools decken die SelfHostVPS-Guides das breitere Ökosystem ab. --- END ---
Frequently asked questions
Wie lange dauert die OpenClaw-Installation tatsächlich?
Etwa 25 Minuten auf einem frischen Ubuntu 24.04 VPS mit dem Docker-Compose-Pfad. Die langsamste Phase sind die Container-Pulls (je nach Bandbreite Ihres VPS 10 bis 15 Minuten). Danach dauert die anfängliche Einrichtung über die Web-UI 5 bis 10 Minuten für den Model-Endpunkt, das Admin-Konto und die erste Messaging-Gateway-Konfiguration.
Brauche ich Docker oder kann ich OpenClaw nativ installieren?
Docker Compose ist der unterstützte und empfohlene Weg. Eine native Installation ist technisch möglich, indem man die Komponenten in der Compose-Datei nachahmt, aber die Sandbox-Isolation des Tools macht Docker in der Produktion effektiv erforderlich. Der Versuch, das MCP-Tool-Registry ohne Container-Isolation laufen zu lassen, schafft ernsthafte Sicherheitsprobleme. Verwenden Sie Docker.
Welche Ports muss OpenClaw auf dem VPS offen haben?
Port 443 für HTTPS-Zugang zur Web-UI (über Ihren Reverse Proxy). Intern nutzt OpenClaw 8080 für die API und 5432 für Postgres, diese sollten jedoch nicht öffentlich freigegeben sein. Die Messaging-Gateways (WhatsApp, Telegram, Slack) verwenden nur ausgehende Verbindungen und benötigen keine eingehenden Ports. Schränken Sie Ihre Firewall auf nur 22 (SSH) und 443 ein.
Wie aktualisiere ich OpenClaw nach der Installation, ohne meine Daten zu verlieren?
Das Standardmuster: Container stoppen, neue Images ziehen, neu starten. Das Postgres-Volume und der Dateispeicher-Volume bleiben bei Container-Updates bestehen. Immer vor einem Update einen Snapshot des VPS erstellen oder die Postgres-Datenbank sichern, insbesondere bei größeren Versionsupgrades. Die Release-Notes kennzeichnen alle Breaking Schema-Änderungen, die manuell migriert werden müssen.