metisBrain
AnmeldenJetzt testen
← Übersicht
Referenz

Token & Sicherheit

Wie sicher ist metisBrain und wie verwalte ich mein Token?

Token-Format, Verwaltung, OAuth-Anmeldung, Serverstandort und was mit deinen Inhalten passiert.

Lesezeit ~6 Min · 9 Schritte · Stand 13. Juli 2026

Das brauchst du dafür

  • Ein metisBrain-Konto mit bestätigter E-Mail-Adresse.
  • Für Token-Aktionen: eine aktive Anmeldung im Dashboard.

Zwei Wege, eine Verbindung

Der MCP-Endpunkt https://metisbrain.de/api/mcp akzeptiert zwei Arten von Zugang. Welchen du brauchst, hängt allein vom Client ab.

  • OAuth-Anmeldung: Claude und ChatGPT fügen metisBrain als Connector hinzu. Du meldest dich einmal an, bestätigst den Zugriff und brauchst kein Token abzutippen.
  • Persönliches Token: Cursor, das VS-Code-Plugin, der Claude-Code-Hook und claude mcp add tragen dein Token selbst in die Konfiguration ein.
Beide Wege führen zum selben Wissensraum. Du kannst sie parallel nutzen.

Wie das Token aussieht und wie es gespeichert wird

Dein persönliches Token beginnt mit mb_ und enthält danach 24 zufällig erzeugte Bytes in base64url-Schreibweise. Im Dashboard siehst du zur Wiedererkennung nur die ersten elf Zeichen als Präfix.

Aufbau (Beispielwert, kein echtes Token)
mb_9xK2mQ7pR4tVwZ1aB6cD8eF0
  • Zum Nachschlagen speichert metisBrain nur den SHA-256-Hash des Tokens.
  • Zusätzlich wird der Klartext mit AES-256-GCM verschlüsselt abgelegt, damit du ihn über Anzeigen erneut sehen kannst, statt ein neues erzeugen zu müssen.
  • Pro Konto existiert genau ein Token. Ein neues ersetzt das alte.

Token erzeugen, anzeigen, neu erzeugen

Im Dashboard unter Schnittstellen findest du die Karte Chats aus Claude Code. Dort liegt die gesamte Token-Verwaltung.

  • Token erzeugen: legt dein erstes Token an. Der Klartext wird direkt angezeigt.
  • Anzeigen: holt das bestehende Token aus der verschlüsselten Ablage zurück, ohne es zu ändern. Alle Clients bleiben verbunden.
  • Neu erzeugen: erstellt ein neues Token und überschreibt das alte. Das alte ist sofort ungültig, jeder Client, der es noch verwendet, bekommt ab dem nächsten Aufruf 401.
  • Kopieren: legt den Wert in die Zwischenablage.
Nach Neu erzeugen musst du das Token überall neu eintragen: Cursor, VS-Code-Plugin, Claude-Code-Hook und jede claude-mcp-Konfiguration.

Token übergeben

Der Standardweg ist der Authorization-Header mit dem Präfix Bearer. Alternativ akzeptieren die Endpunkte den Header X-Api-Key.

HTTP-Header
Authorization: Bearer mb_DEIN_TOKEN
  • Cursor: als headers-Eintrag in der MCP-Konfiguration.
  • Claude Code: als --header beim Befehl claude mcp add.
  • VS-Code-Plugin: über metisBrain: Verbinden. Das Token landet im SecretStorage von VS Code, nie in den Einstellungen.
  • Claude-Code-Hook: als Umgebungsvariable METISBRAIN_TOKEN im Hook-Befehl.
Beim Hook steht das Token im Klartext in ~/.claude/settings.json. Diese Datei gehört nicht in ein Repository und nicht in einen Screenshot.

Verbindung trennen

Trennen löscht dein Token vollständig. Der Vorgang verlangt eine zweite Bestätigung, damit er nicht versehentlich ausgelöst wird.

  • Alle Clients, die dieses Token nutzen, verlieren sofort den Zugriff.
  • Deine gespeicherten Chats, Notizen und Projekte bleiben unverändert erhalten.
  • Ein neues Token stellt die Verbindung jederzeit wieder her.

Der OAuth-Weg im Detail

Fügst du metisBrain in Claude oder ChatGPT als Connector hinzu, läuft eine OAuth-2.1-Anmeldung mit PKCE (Verfahren S256). Der Client wird zur Anmeldung geleitet, du bestätigst den Zugriff, und der Client erhält ein Zugriffstoken.

  • Der Autorisierungscode ist fünf Minuten gültig.
  • Das Zugriffstoken ist 30 Tage gültig. Danach meldest du dich erneut an.
  • Antwortet der Endpunkt mit 401, verweist er den Client per WWW-Authenticate auf die Metadaten unter /.well-known/oauth-protected-resource, damit die Anmeldung neu starten kann.
Der OAuth-Weg berührt dein persönliches mb_-Token nicht. Neu erzeugen wirkt sich nicht auf verbundene Connectoren aus, und ein abgelaufenes OAuth-Token macht dein mb_-Token nicht ungültig.

Wo deine Daten liegen

metisBrain läuft auf Servern in Deutschland bei der Hetzner Online GmbH. Das gilt auch für die Datenbank und den Objektspeicher, in dem deine Dateien liegen. Hetzner verarbeitet die Daten ausschließlich im Auftrag, auf Grundlage eines Auftragsverarbeitungsvertrags nach Art. 28 DSGVO.

  • Übertragung ausschließlich verschlüsselt über TLS/HTTPS.
  • Passwörter werden nur als kryptografischer Hash gespeichert, nie im Klartext.
  • Sensible Zugangsdaten wie dein MCP-Token und hinterlegte API-Schlüssel liegen verschlüsselt (AES-256-GCM).
  • Zugriff nur über eine restriktive Zugriffssteuerung.
  • Zahlungsdaten verarbeitet ausschließlich Stripe. Vollständige Kartendaten werden bei metisBrain nicht gespeichert.

Was mit deinen Inhalten passiert

Gespeicherte Inhalte werden nicht zum Training von KI-Modellen verwendet. Nutzt du eine KI-Funktion, werden nur die dafür nötigen Inhalte an den jeweiligen Anbieter übermittelt, um die angeforderte Ausgabe zu erzeugen.

  • Betroffen sind Zusammenfassungen, die Meeting-Transkription und die Kreuzprüfung.
  • Beteiligte Anbieter sind Anthropic und, bei der Kreuzprüfung, OpenAI.
  • Verbindest du deine eigene KI per MCP-Connector, liest sie dein Wissen mit deinen Werkzeugaufrufen. Was sie abruft, steuerst du über den Projekt-Scope.

Löschen und Auskunft

Löschst du dein Konto oder verlangst die Löschung, werden Inhalte und Kontodaten vollständig aus Datenbank und Objektspeicher entfernt: Notizen, Dateien, Projekte, Chats, Integrationen und die Login-Historie. Ausgenommen sind Daten mit gesetzlicher Aufbewahrungspflicht, etwa Rechnungen.

Dir stehen die Rechte auf Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit und Widerspruch zu. Eine formlose Nachricht an [email protected] genügt. Die vollständigen Angaben stehen in der Datenschutzerklärung.

Aus Sicherheitsgründen speichert metisBrain bei Registrierung und Anmeldung IP-Adresse, Zeitpunkt und den verwendeten Client. Diese Login-Historie dient der Abwehr unbefugter Zugriffe.

Wenn es nicht klappt

Das VS-Code-Plugin meldet: Token ungültig oder abgelaufen (401). Bitte neu verbinden.
Das hinterlegte Token passt nicht mehr, meist weil im Dashboard ein neues erzeugt oder die Verbindung getrennt wurde. Hole dir unter Schnittstellen das aktuelle Token und führe in VS Code erneut den Befehl metisBrain: Verbinden aus.
Der MCP-Endpunkt antwortet mit 401 und Unauthorized (Fehlercode -32001).
Der Bearer-Header fehlt oder trägt ein ungültiges Token. Prüfe, dass der Wert exakt Authorization: Bearer mb_… lautet, ohne Anführungszeichen im Wert und ohne Leerzeichen am Ende, und dass das Token dem im Dashboard angezeigten Präfix entspricht.
Der Anzeigen-Knopf fehlt oder liefert not_revealable.
Von diesem Token liegt nur der Hash vor, es stammt aus der Zeit vor der verschlüsselten Ablage und lässt sich technisch nicht rekonstruieren. Erzeuge einmalig ein neues Token, danach funktioniert Anzeigen dauerhaft.
Der Claude-Code-Hook speichert keine Chats.
Der Hook bricht bewusst still ab, statt deine Sitzung zu blockieren. Prüfe drei Dinge: METISBRAIN_URL und METISBRAIN_TOKEN müssen im Hook-Befehl gesetzt sein, jq muss installiert sein, und das Token muss aktuell sein.
Der Connector in Claude oder ChatGPT verlangt nach einiger Zeit erneut eine Anmeldung.
Das ist normal. Das OAuth-Zugriffstoken ist 30 Tage gültig. Bestätige den Zugriff einfach erneut, ein persönliches Token brauchst du dafür nicht.

Häufige Fragen

Kann metisBrain meine Notizen lesen?

Deine Einträge sind an dein Konto gebunden und nur über deine Anmeldung oder dein persönliches mb_-Token abrufbar. Zugriff auf personenbezogene Daten erhalten laut Datenschutzerklärung ausschließlich Stellen, die ihn zur Erfüllung des Vertrags oder gesetzlicher Pflichten benötigen, abgesichert durch eine restriktive Zugriffssteuerung. Zum Training von KI-Modellen werden deine Inhalte nicht verwendet.

Wo liegen meine Daten?

Auf Servern in Deutschland bei der Hetzner Online GmbH, einschließlich Datenbank und Objektspeicher für deine Dateien. Hetzner verarbeitet die Daten ausschließlich im Auftrag von metisBrain auf Grundlage eines Auftragsverarbeitungsvertrags nach Art. 28 DSGVO.

Werden meine Daten fürs KI-Training genutzt?

Nein. Deine in metisBrain gespeicherten Inhalte werden nicht zum Training von KI-Modellen verwendet. Nutzt du eine KI-Funktion wie Zusammenfassung, Meeting-Transkription oder Kreuzprüfung, werden nur die dafür erforderlichen Inhalte an den jeweiligen Anbieter (Anthropic, bei der Kreuzprüfung OpenAI) übermittelt, um die angeforderte Ausgabe zu erzeugen.

Was passiert mit dem alten Token, wenn ich ein neues erzeuge?

Das alte Token wird sofort ungültig, denn pro Konto gibt es genau ein Token und das neue überschreibt das alte. Jeder Client, der noch das alte Token verwendet, erhält beim nächsten Aufruf die Antwort 401. Trage das neue Token deshalb überall nach: Cursor, VS-Code-Plugin, Claude-Code-Hook und jede claude-mcp-Konfiguration.

Ich habe mein Token verloren. Muss ich ein neues erzeugen?

In der Regel nicht. metisBrain legt den Token-Klartext zusätzlich verschlüsselt ab, deshalb kannst du ihn im Dashboard unter Schnittstellen über Anzeigen erneut sichtbar machen, ohne bestehende Verbindungen zu unterbrechen. Nur wenn dein Token noch aus der Zeit vor der verschlüsselten Ablage stammt, bleibt Neu erzeugen der einzige Weg.

Passt dazu