[email protected] +49 2486 2379991
DE / EN

Ein gestohlener API Key kostet mehr als ein Firmenwagen

24. April 2026 Von Raimund Bauer Kategorie: API Security
Zurück zum Blog

Ein Ausgaben-Limit zu setzen bedeutet nicht, dass Sie geschützt sind.

Nicht bei OpenAI. Nicht bei Google. Wahrscheinlich nicht bei dem Dienst, den Sie gerade nutzen.

Mein eigener Schadensfall

Am 17. März 2026 hatte ich selbst einen Vorfall mit OpenAI. Bei mir waren es nur 80 Dollar. Andere hatten weniger Glück.

Das Tier-System, das kaum jemand kennt

OpenAI hat fünf Nutzungs-Ebenen. Ebene 5 erlaubt 200.000 Dollar pro Monat. Der Aufstieg passiert automatisch – ohne dass Sie gefragt werden.

Sie nennen es ein hartes Limit. Es wurde zu einer Benachrichtigung. Ohne Sie zu fragen.

120 $ Limit gesetzt

Ein Entwickler hat ein hartes Limit von 120 Dollar konfiguriert. Er wurde mit über 3.000 Dollar belastet. Ohne Erstattung.

82.314 $ über Nacht

Ein anderer Entwickler verlor 82.314 Dollar über Nacht, nachdem sein Gemini-API-Schlüssel kompromittiert wurde. Ebenfalls ohne Erstattung.

Automatische Ebenen-Aufstiege

OpenAI stuft Konten automatisch hoch, sobald bestimmte Ausgaben-Schwellen erreicht sind – ohne explizite Zustimmung.

Erstattungs-Politik geändert

Seit Oktober 2025 lehnt OpenAI Erstattungen bei versehentlichen Überbuchungen, gestohlenen Schlüsseln und Systemfehlern grundsätzlich ab.

Was Sie jetzt tun sollten

Prüfen Sie heute, auf welcher Ebene Ihr OpenAI-Konto ist. Das dauert 30 Sekunden: Einloggen auf platform.openai.com → Settings → Billing → Usage limits.

Schauen Sie außerdem nach, ob Ihre API-Schlüssel in Git-Repositories, CI/CD-Pipelines oder öffentlichen Code-Snippets exponiert sind. Ein gestohlener Schlüssel wird innerhalb von Minuten missbraucht.

Die wichtigste Erkenntnis

Ein Ausgaben-Limit ist keine Garantie. Es ist ein Richtwert. Den Unterschied spüren Sie erst, wenn die Rechnung kommt.

Quellen

  1. OpenAI Rate Limits & Ebenen-System (offizielle Dokumentation)
    Die offizielle Doku erklärt, wie automatische Ebenen-Aufstiege funktionieren:
    platform.openai.com/docs/guides/rate-limits/usage-tiers
  2. Ebene 5 = 200.000 Dollar/Monat (OpenAI Community Forum)
    Community-Thread, der die Ausgaben-Obergrenze bei Ebene 5 ohne Schutzmaßnahmen bestätigt:
    community.openai.com – Tier 5 thread
  3. Harte Limits still abgeschafft (Hacker News, Oktober 2025)
    Diskussion, die dokumentiert, wann OpenAI harte Limits in Benachrichtigungen umgewandelt hat:
    news.ycombinator.com/item?id=45589628
  4. 120-Dollar-Limit – über 3.000 Dollar abgebucht (OpenAI Community Forum)
    Entwickler-Bericht: hartes Limit gesetzt, trotzdem massiv überzogen, keine Erstattung:
    community.openai.com – Stolen key thread
  5. OpenAI ändert Erstattungs-Politik (WinBuzzer, 25. Oktober 2025)
    OpenAI stellt Erstattungen bei versehentlichen Überbuchungen und gestohlenen Schlüsseln ein:
    winbuzzer.com – OpenAI refund policy
  6. Gemini-API-Schlüssel – 82.314 Dollar über Nacht (The Register, 3. März 2026)
    Schlüssel eines Entwicklers kompromittiert, Google lehnte Erstattung ab:
    theregister.com – Gemini $82,314
  7. Google API-Schlüssel systematisch unsicher (Heise Online, 2026)
    Heise berichtet über das strukturelle Sicherheitsproblem mit ungeschützten Google API-Schlüsseln:
    heise.de – Google API keys
  8. Gemini-Vorfall und Startup-Insolvenz (WinFuture, 2026)
    winfuture.de – Gemini Startup

API-Sicherheit in Ihrem Unternehmen prüfen?

Ich helfe Ihnen, API-Schlüssel sicher zu verwalten und Ausgaben-Risiken zu minimieren. Unverbindliches Erstgespräch.

Jetzt anfragen