Zammad MCP Server — Sicherheit
API-Token, Least-Privilege und Produktions-Checkliste für Zammad MCP.
Sicherheit
Der MCP-Server ist ein privilegierter API-Client für Zammad.
API-Token
- Eigenen Zammad-Nutzer oder Service-Account anlegen.
- Token mit minimaler Rolle erstellen.
- Nur in Umgebungsvariablen oder Secret Manager speichern.
- Regelmäßig rotieren.
Empfohlene Agenten-Policy
MCP_DENIED_TOOLS=delete_ticket,delete_user,delete_organization
Daten und DSGVO
Ticket-Inhalte fließen zwischen Ihrer Zammad-Instanz und dem MCP-Client-Host (z. B. Claude Desktop). Prüfen Sie interne Richtlinien, bevor Ticket-Text an externe LLM-Anbieter geht.
Produktions-Checkliste
- Dedizierter Zammad-Nutzer mit Minimalrechten
-
MCP_DENIED_TOOLSfür Agenten gesetzt - HTTPS für
ZAMMAD_URL - Keine Tokens in Git
- Token bei Leak in Zammad widerrufen
