Zammad MCP Server — Sicherheit

API-Token, Least-Privilege und Produktions-Checkliste für Zammad MCP.

Sicherheit

Der MCP-Server ist ein privilegierter API-Client für Zammad.

API-Token

  1. Eigenen Zammad-Nutzer oder Service-Account anlegen.
  2. Token mit minimaler Rolle erstellen.
  3. Nur in Umgebungsvariablen oder Secret Manager speichern.
  4. Regelmäßig rotieren.

Doku: Token-Zugang

Empfohlene Agenten-Policy

MCP_DENIED_TOOLS=delete_ticket,delete_user,delete_organization

Daten und DSGVO

Ticket-Inhalte fließen zwischen Ihrer Zammad-Instanz und dem MCP-Client-Host (z. B. Claude Desktop). Prüfen Sie interne Richtlinien, bevor Ticket-Text an externe LLM-Anbieter geht.

Produktions-Checkliste

  • Dedizierter Zammad-Nutzer mit Minimalrechten
  • MCP_DENIED_TOOLS für Agenten gesetzt
  • HTTPS für ZAMMAD_URL
  • Keine Tokens in Git
  • Token bei Leak in Zammad widerrufen

Meldungen

GitHub Security