Token & Sicherheit
Wie sicher ist metisBrain und wie verwalte ich mein Token?
Token-Format, Verwaltung, OAuth-Anmeldung, Serverstandort und was mit deinen Inhalten passiert.
Das brauchst du dafür
- Ein metisBrain-Konto mit bestätigter E-Mail-Adresse.
- Für Token-Aktionen: eine aktive Anmeldung im Dashboard.
Zwei Wege, eine Verbindung
Der MCP-Endpunkt https://metisbrain.de/api/mcp akzeptiert zwei Arten von Zugang. Welchen du brauchst, hängt allein vom Client ab.
- OAuth-Anmeldung: Claude und ChatGPT fügen metisBrain als Connector hinzu. Du meldest dich einmal an, bestätigst den Zugriff und brauchst kein Token abzutippen.
- Persönliches Token: Cursor, das VS-Code-Plugin, der Claude-Code-Hook und claude mcp add tragen dein Token selbst in die Konfiguration ein.
Wie das Token aussieht und wie es gespeichert wird
Dein persönliches Token beginnt mit mb_ und enthält danach 24 zufällig erzeugte Bytes in base64url-Schreibweise. Im Dashboard siehst du zur Wiedererkennung nur die ersten elf Zeichen als Präfix.
mb_9xK2mQ7pR4tVwZ1aB6cD8eF0
- Zum Nachschlagen speichert metisBrain nur den SHA-256-Hash des Tokens.
- Zusätzlich wird der Klartext mit AES-256-GCM verschlüsselt abgelegt, damit du ihn über Anzeigen erneut sehen kannst, statt ein neues erzeugen zu müssen.
- Pro Konto existiert genau ein Token. Ein neues ersetzt das alte.
Token erzeugen, anzeigen, neu erzeugen
Im Dashboard unter Schnittstellen findest du die Karte Chats aus Claude Code. Dort liegt die gesamte Token-Verwaltung.
- Token erzeugen: legt dein erstes Token an. Der Klartext wird direkt angezeigt.
- Anzeigen: holt das bestehende Token aus der verschlüsselten Ablage zurück, ohne es zu ändern. Alle Clients bleiben verbunden.
- Neu erzeugen: erstellt ein neues Token und überschreibt das alte. Das alte ist sofort ungültig, jeder Client, der es noch verwendet, bekommt ab dem nächsten Aufruf 401.
- Kopieren: legt den Wert in die Zwischenablage.
Token übergeben
Der Standardweg ist der Authorization-Header mit dem Präfix Bearer. Alternativ akzeptieren die Endpunkte den Header X-Api-Key.
Authorization: Bearer mb_DEIN_TOKEN
- Cursor: als headers-Eintrag in der MCP-Konfiguration.
- Claude Code: als --header beim Befehl claude mcp add.
- VS-Code-Plugin: über metisBrain: Verbinden. Das Token landet im SecretStorage von VS Code, nie in den Einstellungen.
- Claude-Code-Hook: als Umgebungsvariable METISBRAIN_TOKEN im Hook-Befehl.
Verbindung trennen
Trennen löscht dein Token vollständig. Der Vorgang verlangt eine zweite Bestätigung, damit er nicht versehentlich ausgelöst wird.
- Alle Clients, die dieses Token nutzen, verlieren sofort den Zugriff.
- Deine gespeicherten Chats, Notizen und Projekte bleiben unverändert erhalten.
- Ein neues Token stellt die Verbindung jederzeit wieder her.
Der OAuth-Weg im Detail
Fügst du metisBrain in Claude oder ChatGPT als Connector hinzu, läuft eine OAuth-2.1-Anmeldung mit PKCE (Verfahren S256). Der Client wird zur Anmeldung geleitet, du bestätigst den Zugriff, und der Client erhält ein Zugriffstoken.
- Der Autorisierungscode ist fünf Minuten gültig.
- Das Zugriffstoken ist 30 Tage gültig. Danach meldest du dich erneut an.
- Antwortet der Endpunkt mit 401, verweist er den Client per WWW-Authenticate auf die Metadaten unter /.well-known/oauth-protected-resource, damit die Anmeldung neu starten kann.
Wo deine Daten liegen
metisBrain läuft auf Servern in Deutschland bei der Hetzner Online GmbH. Das gilt auch für die Datenbank und den Objektspeicher, in dem deine Dateien liegen. Hetzner verarbeitet die Daten ausschließlich im Auftrag, auf Grundlage eines Auftragsverarbeitungsvertrags nach Art. 28 DSGVO.
- Übertragung ausschließlich verschlüsselt über TLS/HTTPS.
- Passwörter werden nur als kryptografischer Hash gespeichert, nie im Klartext.
- Sensible Zugangsdaten wie dein MCP-Token und hinterlegte API-Schlüssel liegen verschlüsselt (AES-256-GCM).
- Zugriff nur über eine restriktive Zugriffssteuerung.
- Zahlungsdaten verarbeitet ausschließlich Stripe. Vollständige Kartendaten werden bei metisBrain nicht gespeichert.
Was mit deinen Inhalten passiert
Gespeicherte Inhalte werden nicht zum Training von KI-Modellen verwendet. Nutzt du eine KI-Funktion, werden nur die dafür nötigen Inhalte an den jeweiligen Anbieter übermittelt, um die angeforderte Ausgabe zu erzeugen.
- Betroffen sind Zusammenfassungen, die Meeting-Transkription und die Kreuzprüfung.
- Beteiligte Anbieter sind Anthropic und, bei der Kreuzprüfung, OpenAI.
- Verbindest du deine eigene KI per MCP-Connector, liest sie dein Wissen mit deinen Werkzeugaufrufen. Was sie abruft, steuerst du über den Projekt-Scope.
Löschen und Auskunft
Löschst du dein Konto oder verlangst die Löschung, werden Inhalte und Kontodaten vollständig aus Datenbank und Objektspeicher entfernt: Notizen, Dateien, Projekte, Chats, Integrationen und die Login-Historie. Ausgenommen sind Daten mit gesetzlicher Aufbewahrungspflicht, etwa Rechnungen.
Dir stehen die Rechte auf Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit und Widerspruch zu. Eine formlose Nachricht an [email protected] genügt. Die vollständigen Angaben stehen in der Datenschutzerklärung.
Wenn es nicht klappt
Häufige Fragen
Kann metisBrain meine Notizen lesen?
Deine Einträge sind an dein Konto gebunden und nur über deine Anmeldung oder dein persönliches mb_-Token abrufbar. Zugriff auf personenbezogene Daten erhalten laut Datenschutzerklärung ausschließlich Stellen, die ihn zur Erfüllung des Vertrags oder gesetzlicher Pflichten benötigen, abgesichert durch eine restriktive Zugriffssteuerung. Zum Training von KI-Modellen werden deine Inhalte nicht verwendet.
Wo liegen meine Daten?
Auf Servern in Deutschland bei der Hetzner Online GmbH, einschließlich Datenbank und Objektspeicher für deine Dateien. Hetzner verarbeitet die Daten ausschließlich im Auftrag von metisBrain auf Grundlage eines Auftragsverarbeitungsvertrags nach Art. 28 DSGVO.
Werden meine Daten fürs KI-Training genutzt?
Nein. Deine in metisBrain gespeicherten Inhalte werden nicht zum Training von KI-Modellen verwendet. Nutzt du eine KI-Funktion wie Zusammenfassung, Meeting-Transkription oder Kreuzprüfung, werden nur die dafür erforderlichen Inhalte an den jeweiligen Anbieter (Anthropic, bei der Kreuzprüfung OpenAI) übermittelt, um die angeforderte Ausgabe zu erzeugen.
Was passiert mit dem alten Token, wenn ich ein neues erzeuge?
Das alte Token wird sofort ungültig, denn pro Konto gibt es genau ein Token und das neue überschreibt das alte. Jeder Client, der noch das alte Token verwendet, erhält beim nächsten Aufruf die Antwort 401. Trage das neue Token deshalb überall nach: Cursor, VS-Code-Plugin, Claude-Code-Hook und jede claude-mcp-Konfiguration.
Ich habe mein Token verloren. Muss ich ein neues erzeugen?
In der Regel nicht. metisBrain legt den Token-Klartext zusätzlich verschlüsselt ab, deshalb kannst du ihn im Dashboard unter Schnittstellen über Anzeigen erneut sichtbar machen, ohne bestehende Verbindungen zu unterbrechen. Nur wenn dein Token noch aus der Zeit vor der verschlüsselten Ablage stammt, bleibt Neu erzeugen der einzige Weg.