Jeder Mitarbeiter erhält einen Agenten. Sind Sie bereit?

Das Problem

Ein Unternehmens-Tresor. Ein persönlicher Tresor pro Mitarbeiter.

Der Unternehmens-Tresor enthält gemeinsame Anmeldedaten – API-Schlüssel, Dienstkonten, Datenbankpasswörter. Geltungsbereich nach Team. Der persönliche Tresor jedes Mitarbeiters gehört ihm – seine Logins, seine Identitätsfelder, verschlüsselt mit seinem eigenen Hardware-Schlüssel.

Der Unternehmens-Tresor enthält keine Identitätsfelder. Hier werden keine persönlichen Daten gespeichert. Persönliche Tresore sind privat – das Unternehmen kann nicht darauf zugreifen. Per Design. Per Mathematik.

Von Anfang an bereichsbezogen

Öffnen Sie die Weboberfläche, erstellen Sie einen Agenten oder laden Sie ein Teammitglied ein, und weisen Sie einen Geltungsbereich zu. Jeder Akteur – Mensch oder Agent – sieht nur Einträge in seinem Geltungsbereich. Der Tresor prüft jede Anfrage und bedient oder verweigert sie. Zustandslos. Unter einer Millisekunde.

Der Deploy-Agent kann keine Entwickler-Anmeldedaten lesen. Der Support-Bot kann keine Deploy-Schlüssel lesen. Das Finanzteam sieht Stripe, aber nicht GitHub. Ihr Marketing-Mitarbeiter sieht die Social-Media-Logins, aber nicht die Produktionsdatenbank. Jeder Token kodiert genau, auf welche Einträge er zugreifen kann – nichts darüber hinaus, nichts Erschließbares.

Geltungsbereiche funktionieren für Personen und Agenten gleich. Ein neuer Mitarbeiter erhält einen Geltungsbereich im Unternehmens-Tresor, der seiner Rolle entspricht – Engineering, Finanzen, Betrieb. Er sieht, was seine Rolle erfordert. Wenn sich seine Rolle ändert, ändert sich der Geltungsbereich. Die Anmeldedaten nicht.

Menschen kommen und gehen. Anmeldedaten nicht.

Neuer Mitarbeiter beginnt am Montag – erstellen Sie seinen persönlichen Tresor, weisen Sie seine Rollengeltungsbereiche zu, und er arbeitet in wenigen Minuten. Keine gemeinsamen Passwörter zum Übergeben, kein Onboarding-Dokument mit „der Stripe-Schlüssel liegt im gemeinsamen Google Doc".

Jemand verlässt das Unternehmen am Freitag – widerrufen Sie seine Token in jedem gemeinsamen Tresor mit einem Klick. Sein persönlicher Tresor geht mit ihm. Die Anmeldedaten im Unternehmens-Tresor ändern sich nicht. Kein Rotationschaos. Kein „Haben wir den AWS-Schlüssel schon geändert?" Kein Notfall am Wochenende.

Das ist der Unterschied zwischen Passwort-Sharing und Anmeldedatenausstellung. Ein gemeinsamer Passworttresor bedeutet, dass jeder Abgang ein Rotationsereignis ist. Clavitor bedeutet, dass jeder Abgang ein Token-Widerruf ist – sofort, vollständig und für alle anderen im Team unsichtbar.

Jeder Zugriff zugeordnet

Jeder Zugriff auf Anmeldedaten wird protokolliert – welcher Agent, welche Person, welche Anmeldeinformation, wann und von wo. Wenn eine Sicherheitsprüfung fragt „Wer hat letzten Donnerstag auf die Produktionsdatenbank zugegriffen?", haben Sie die Antwort in Sekunden. Nicht „jemand mit dem gemeinsamen Passwort" – ein Name, ein Geltungsbereich, ein Zeitstempel.

Passwortrotationen werden auf dieselbe Weise verfolgt. Wenn sich eine Anmeldeinformation ändert, erfasst der Audit-Trail, wer die Rotation ausgelöst hat und welche Agenten den neuen Wert übernommen haben. Wenn eine Rotation eine Bereitstellung unterbricht, lässt sich die Ursache auf die genaue Änderung zurückverfolgen.

Dies läuft durchgehend, über jeden Tresor hinweg. Keine Konfiguration. Kein Opt-in. Das Audit-Protokoll ist Ihr Compliance-Nachweis und Ihr Werkzeug für die Vorfallsreaktion.

Drei Verschlüsselungsebenen

Der Unternehmens-Tresor enthält ausschließlich Felder auf Anmeldedatenebene. Keine Identitätsdaten, keine persönlichen Informationen, keine Karten oder Ausweise. Der persönliche Tresor jedes Mitarbeiters gehört ihm allein – verschlüsselt mit seinem eigenen Hardware-Schlüssel, für den Unternehmensadministrator nicht einsehbar. Per Design. Per Mathematik.