Praxisleitfaden: Umgebungsvariablen und Secrets mit Claude Code verwalten

Man committet versehentlich einen API-Key auf GitHub und bekommt sofort kalte Füße — jeder Entwickler kennt das. 90% aller Secret-Leaks sind menschliches Versagen. Mit Claude Code lässt sich der gesamte Prozess — vom .env-Setup über Erkennung und Rotation bis zur Incident-Response — mechanisch absichern.

1. .env-Setup automatisieren

Neue Entwickler haben oft Mühe, alle Umgebungsvariablen zusammenzusuchen. Generiere sie aus .env.example.

claude -p "
Read .env.example and interactively create a .env for this project.

For each variable:
1. What it's for
2. Where to get it (with URLs)
3. Recommended local dev value
4. Required or optional

Confirm .env is gitignored before saving.
"

Beschleunigt das Onboarding neuer Entwickler drastisch.

2. Versehentliche Commits per Pre-Commit blockieren

Secrets abfangen, sobald jemand git commit ausführt.

claude -p "
Create .husky/pre-commit.

Requirements:
- Check staged files for:
  - AWS access keys: AKIA[0-9A-Z]{16}
  - Stripe: sk_live_[0-9a-zA-Z]{24}
  - GitHub PAT: ghp_[0-9a-zA-Z]{36}
  - Generic API-key-looking strings
- Reject commit and show file/line on detection
- Allow // secrets-ignore comment for false positives

Also compare with trufflehog and gitleaks, and
recommend a team-friendly setup.
"

gitleaks ist der Industriestandard — in Kombination mit Claude Code lassen sich Fundstellen automatisch beheben.

3. Bestehende Commit-Historie prüfen

Prüfe, ob alte Leaks noch vorhanden sind.

claude -p "
Scan the entire commit history for secrets:

1. Run gitleaks detect --source . --no-git
2. Categorize findings (active / already revoked / false positive)
3. For active leaks, show immediate rotation steps
4. Git history purge steps (git filter-branch or BFG Repo Cleaner)

Output to docs/security/secret-audit.md (treat as confidential).
"

:::message alert Geleakte Secrets = sofort widerrufen und rotieren

Auch wenn du die Historie säuberst: Forks und Caches haben den Wert mit hoher Wahrscheinlichkeit bereits. :::

4. .env.example synchron halten

.env.example automatisch aktualisieren, wenn sich .env ändert.

claude -p "
Compare .env and .env.example:

1. Vars in .env but not .env.example → add with placeholders
2. Vars in .env.example but not .env → propose removal if obsolete
3. Improve comments (purpose docs)
4. Confirm secret values remain as placeholders

Save .env.example in a git-diff-reviewable state.
"

5. Produktions-Secrets in einen Secrets Manager migrieren

Prod-Secrets aus .env nach AWS Secrets Manager / Cloudflare Secrets / Doppler überführen.

claude -p "
Migrate 10 production secrets from .env to AWS Secrets Manager:

1. aws secretsmanager create-secret commands
2. Least-privilege IAM read policy
3. App-side fetch code (with caching)
4. Deploy procedure (cut over from .env)
5. Rollback plan

Output Terraform definitions too.
"

Ziel: Keine Produktions-Secrets mehr im Code oder in Repos.

6. Regelmäßige Secret-Rotation planen

Alle 90 Tage — automatisch.

claude -p "
Design a script to auto-rotate API keys for Stripe, OpenAI, Resend every 90 days:

1. Issue new keys via each service's API
2. Save to Secrets Manager / Cloudflare Secrets
3. Trigger deploy to pick up new keys
4. Revoke old keys
5. Append to docs/security/rotation-log.md

Provide a monthly GitHub Actions schedule YAML.
"

Eine 90-Tage-Rotation ist ohnehin häufig eine Compliance-Anforderung.

7. Incident-Playbook für Leaks

Vorbereitet sein, damit im Ernstfall keine Panik aufkommt.

claude -p "
Write docs/security/incident-playbook.md for:

Scenario: AWS access key accidentally committed to a public GitHub repo

0-15 min:
- Revoke key in AWS Console
- Make the repo private

15 min - 1 hour:
- Check CloudTrail for unauthorized use
- Remove key from git history (git filter-branch)
- Issue new key, register in Secrets Manager

1 hour+:
- Notify security team
- Decide on customer disclosure

Include exact commands and designated owners.
"

Sicherheitsregeln in CLAUDE.md verankern

So wird das Verhalten von Claude Code selbst eingeschränkt.

## Secret Handling Rules

### Forbidden
- Hardcoding .env values in source code
- Logging API keys (including console.log)
- Putting secrets in comments
- Putting secrets in README / docs

### Required
- Update .env.example whenever API keys change
- Register new external service keys in Secrets Manager
- Pre-commit secret scan must pass

### AI Instructions
- Always use process.env.XXX for key values in generated code
- Never copy .env contents elsewhere
- Route secret-related changes through human review

Das reduziert die Wahrscheinlichkeit, dass Claude Code versehentlich einen Key hart einbrennt.

Anti-Patterns

❌ .env.example driftet auseinander

Neue Teammitglieder können die App nicht starten — Chaos. Halte beide Dateien synchron.

❌ API-Keys in Slack / Zoom teilen

Sie leben für immer in der Historie. Nutze Secret-Sharing-Tools (1Password / Doppler).

❌ Sensible Daten loggen

console.log(req.headers) legt den Authorization-Header offen. Aggressiv maskieren.

❌ “Wird schon keiner merken”

Bots finden und missbrauchen Keys innerhalb von 5 Sekunden. Betrachte jeden Commit als öffentlich.

Fazit

• .env interaktiv aufsetzen
• Pre-Commit erkennt Secret-Leaks
• Historische Commits auditieren
• .env.example synchron halten
• Prod-Secrets in einen Secrets Manager migrieren
• 90-Tage-Rotation automatisieren
• Incident-Playbook bereithalten
• KI-Verhalten in CLAUDE.md einschränken

Secret-Management ist ein systemisches Problem. Mit Claude Code wechselst du von Ad-hoc-Checks zu mechanischen Schutznetzen.

Verwandt: Security-Audit / Web Security Headers / Hooks-Leitfaden

Offizielle Dokumentation: Anthropic Claude Code / gitleaks