Am 19. Mai 2026 kündigte Anthropic am Code w/ Claude Event in London zwei neue Funktionen für Claude Managed Agents an: Self-hosted Sandboxes (Public Beta) und MCP-Tunnels (Research Preview). Die Botschaft: KI-Agenten können jetzt in der eigenen Infrastruktur arbeiten, während die Orchestrierung bei Anthropic bleibt. Für Schweizer KMU mit strikten Datenschutzanforderungen — Gesundheit, Finanzen, Rechtsberatung — ist das die erste realistische Möglichkeit, Claude Agents ohne Cloud-Bedenken in Production zu bringen.
19. Mai 2026
London-Event Launch
4 Anbieter
Cloudflare, Daytona, Modal, Vercel
Public Beta
Sofort verfügbar (ausser AWS)
Was Self-hosted Sandboxes wirklich bedeuten (und was nicht)
Self-hosted Sandboxes verschieben die Tool-Ausführungsschicht von Claude Managed Agents in Ihre Umgebung — Ihre Container, Ihre Dateisysteme, Ihre Netzwerk-Policies. Die Orchestrierung — Session-Routing, das Claude-Modell, Checkpointing-Metadata — bleibt auf Anthropics Infrastruktur.
Konkret: Der Environment-Worker läuft in Ihrem Netzwerk, holt sich Sessions aus Anthropics Queue, startet isolierte Execution Contexts pro Session und postet Ergebnisse zurück. Code-Ausführung, Dateischreibvorgänge und Netzwerkzugriffe passieren innerhalb Ihres Perimeters.
Die drei wichtigsten Einschränkungen (Stand Mai 2026):
| Limitation | Status | Workaround |
|---|---|---|
| Claude Platform on AWS | Noch nicht verfügbar | Normale Claude Platform nutzen |
| Memory-Feature | Nicht unterstützt in Self-hosted | Custom State-Store bauen |
| MCP-Tunnels | Research Preview (Access Request) | Vorerst nur für interne Tests |
Wann sich der Aufwand für Schweizer KMU lohnt
Normale Claude Managed Agents laufen in Anthropics Cloud-Containern. Das reicht für 90 % aller KMU-Use-Cases. Self-hosted Sandboxes werden relevant, wenn mindestens eines zutrifft:
1. Datenschutz-Anforderungen: Ihre Kundendaten dürfen die Schweiz nicht verlassen (Gesundheit, Anwaltskanzleien, Vermögensverwaltung). Mit Self-hosted Sandboxes bleiben Dateien und Code in Ihrem Schweizer Hosting — Anthropic sieht nur Orchestrierungs-Metadaten.
2. Interne Systeme: Sie wollen Claude-Agenten auf interne APIs, Datenbanken oder Wissensdatenbanken zugreifen lassen — ohne diese öffentlich zu machen. MCP-Tunnels (separates Feature) lösen die Netzwerkseite; Self-hosted Sandboxes stellen sicher, dass die Code-Ausführung nie Ihre Firewall verlässt.
3. Compliance-Blocker: Ihr Compliance-Team blockiert Cloud-AI wegen fehlender Kontrolle über Compute-Ressourcen. Self-hosted Sandboxes lassen sich in bestehende Audit-Logging- und Security-Tooling-Stacks integrieren.
Achtung: Kosten steigen
Self-hosted Sandboxes kosten USD 0.08 pro aktive Session-Stunde zusätzlich zu den normalen Token-Preisen. Dazu kommen Infrastrukturkosten (Cloudflare Workers, Daytona-Hosting, Modal-Compute). Für eine Pilotphase rechnen Sie mit CHF 200–500/Monat zusätzlich.
Die vier Managed-Provider im Vergleich
Anthropic hat vier Anbieter als „Supported Providers” integriert. Hier die Unterschiede:
| Provider | Stärke | Typischer Use Case | Kosten |
|---|---|---|---|
| Cloudflare | Skaliert auf Hunderttausende Sandboxes, microVMs, Zero-Trust-Secrets | Hoher Traffic, viele parallele Agenten | $$ |
| Daytona | Stateful, lange Sessions, SSH-/Preview-URL-Zugriff, pausierbar | Lange Entwicklungs-Tasks, Code-Reviews | $$$ |
| Modal | AI-Workloads, GPU on demand, Sub-Sekunden-Start | ML-Training, Image-Generation | $$$$ |
| Vercel | Millisecond-Startup, VPC-Peering, Bring-Your-Own-Cloud | Edge-nahe Deployments, finanzielle Agents | $$$ |
Beispiel-Architektur (Schweizer Anwaltskanzlei):
- Sandbox: Daytona (stateful, SSH-Zugriff für interne IT)
- MCP-Server: Privates Dokumenten-Repository (CaseManager, iManage)
- MCP-Tunnel: Outbound-only Gateway, keine öffentlichen Endpoints
- Netzwerk-Policy: Alles in Schweizer Datacenter (Interxion ZRH)
MCP-Tunnels: Wie Claude auf private Systeme zugreift (ohne Firewall-Öffnung)
MCP-Tunnels (Research Preview, Access Request erforderlich) lösen ein verwandtes Problem: Sie wollen Claude-Agenten auf MCP-Server in Ihrem privaten Netzwerk zugreifen lassen — ohne diese Server öffentlich zu machen.
So funktioniert es:
- Ein leichtgewichtiges Gateway läuft in Ihrer Umgebung
- Es baut eine verschlüsselte Outbound-Verbindung zu Anthropics Routing-Infrastruktur auf
- Keine Inbound-Firewall-Regeln, keine IP-Allowlists, keine öffentlichen Endpoints
- Claude erreicht Ihren privaten MCP-Server durch diesen Tunnel (End-to-End-verschlüsselt)
Der Tunnel läuft über Cloudflares Netzwerk als Transport-Provider. Anthropic betont, dass Cloudflare die Inner-TLS-Payloads nicht lesen kann (Sie halten den Zertifikats-Schlüssel).
Unsere Empfehlung
Für interne Tests und nicht-kritische Workflows ist MCP-Tunnels bereits nutzbar (Research Preview). Für SLA-gebundene Production-Workflows warten Sie den Public-Beta-Status ab — oder bauen Sie einen Fallback über öffentliche MCP-Endpoints mit OAuth-Schutz.
Real-World-Use-Cases (aus dem London-Event)
Spotify präsentierte am Code w/ Claude London beeindruckende Zahlen:
- 99 % der Spotify-Engineers nutzen AI-Coding-Tools wöchentlich
- 94 % berichten höhere Produktivität
- 76 % mehr Pull Requests
- 2.5 Millionen automatisierte Maintenance-PRs via Fleet Management
Weitere Beispiele (aus Anthropics Ankündigung):
| Unternehmen | Use Case | Stack |
|---|---|---|
| Amplitude | Design Agent (On-Brand UI für Marketing) | Managed Agents + Cloudflare |
| Clay | Sculptor (GTM-Engineering-Agent) | Managed Agents + Daytona |
| Rogo | Analyst Agent (Finanz-Institutionen) | Managed Agents + Vercel Sandbox |
Typischer KMU-Use-Case (Schweizer Treuhandbüro):
- Problem: Kunden-Buchhaltungsdaten dürfen Schweiz nicht verlassen
- Lösung: Self-hosted Sandbox (Daytona in Schweizer Datacenter) + MCP-Tunnel zu internem Sage/Abacus-System
- Workflow: Claude Agent extrahiert Rechnungen, matcht Zahlungen, erstellt Monatsabschluss — alles innerhalb der Schweizer Infrastruktur
Was nicht funktioniert (Stand Mai 2026)
1. Volle On-Premise-Lösung: Orchestrierungs-Metadaten (welche Skills geladen werden, Session-Status, Checkpoints) fliessen weiterhin durch Anthropics Infrastruktur. Wenn Ihre Compliance-Anforderung ist „zero external infrastructure”, löst Self-hosted Sandboxes das Problem NICHT vollständig.
2. Memory-Feature: Cross-Session Memory wird in Self-hosted Sandboxes noch nicht unterstützt. Wenn Sie wollen, dass Ihr Agent sich Dinge über mehrere Sessions hinweg merkt, müssen Sie einen Custom State-Store bauen (z.B. Redis, Postgres).
3. Claude Platform on AWS: Self-hosted Sandboxes sind auf Claude Platform on AWS noch nicht verfügbar (Stand Mai 2026). Wenn Sie bereits auf Bedrock setzen, müssen Sie vorerst auf normale Claude Platform wechseln.
Checkliste: Brauchen wir Self-hosted Sandboxes?
✅ Ja, wenn:
- ☑ Kundendaten unterliegen strikten Residency-Anforderungen (Gesundheit, Finanzen, Anwälte)
- ☑ Compliance-Team blockiert Cloud-AI wegen fehlender Infrastruktur-Kontrolle
- ☑ Sie interne Systeme einbinden wollen, die nicht öffentlich erreichbar sein dürfen
- ☑ Sie rechenintensive Workflows haben und Ressourcen selbst dimensionieren wollen
❌ Nein, wenn:
- ☐ Ihre Workflows nutzen allgemein verfügbare APIs (OpenAI, Google, öffentliche SaaS-Tools)
- ☐ Datenschutz-Anforderungen sind Standard-DSGVO (normale Managed Agents reichen)
- ☐ Sie wollen schnell starten und später migrieren (Setup-Aufwand ist höher als erwartet)
- ☐ Ihr Team hat keine Erfahrung mit Container-Infrastruktur (4–6 Wochen Lernkurve)
Setup-Aufwand: Was Sie wissen sollten
Deployment-Optionen:
- Managed-Provider (Cloudflare, Daytona, Modal, Vercel): Anthropic liefert Helper-SDKs, Sie konfigurieren via Console
- Custom-Client: Sie bauen einen Generic-Sandboxing-Worker (Docker, Kubernetes, eigene VMs)
Effort-Schätzung (für ein Schweizer 20-Personen-KMU mit interner IT):
- Managed-Provider (z.B. Cloudflare): 4–8 Stunden Setup, 1–2 Tage Tests
- Custom-Client (Docker Compose, eigene VMs): 2–3 Tage Setup, 1 Woche Tests + Security-Audit
Warum das wichtiger ist als „nur ein Datenschutz-Feature”
Die meisten Medienberichte framen Self-hosted Sandboxes als Security-Launch. Das ist korrekt — aber es übersieht den grösseren Shift. Anthropic trennt Orchestrierung von Execution. Das ist dasselbe Muster, das Kubernetes populär gemacht hat: Sie behalten Kontrolle über die Compute-Schicht, während die Koordinations-Komplexität outgesourced bleibt.
Wenn Sie jetzt mit Self-hosted Sandboxes starten, bauen Sie eine Infrastruktur, die auch für andere AI-Provider funktioniert. Die Environment-Worker-Architektur ist nicht Anthropic-spezifisch — OpenAI hat im April 2026 ein ähnliches Local-Execution-Modell angekündigt.
Mit anderen Worten: Sie investieren nicht in „Claude Security”, sondern in eine generische Sandbox-Architektur für agentic AI. Das ist eine zukunftssichere Infrastruktur-Entscheidung, keine Vendor-Lock-Investition.
Nächste Schritte für Schweizer KMU
Phase 1: Proof of Concept (1–2 Wochen)
- Wählen Sie einen Managed-Provider: Cloudflare für hohe Parallelität, Daytona für lange Sessions
- Definieren Sie 1–2 Use Cases: Nicht produktionskritisch, aber repräsentativ
- Setup via Claude Console: Environment erstellen, Provider-Integration konfigurieren
- Messen: Session-Dauer, Token-Kosten, Infrastruktur-Kosten
Phase 2: Security-Audit (1 Woche)
- Audit-Logging testen (wer hat wann welche Tools ausgeführt?)
- Netzwerk-Policies verifizieren (keine unerwarteten Outbound-Calls)
- Secrets-Management checken (werden API-Keys wirklich injiziert, nicht im Code?)
Phase 3: Production Rollout (2–4 Wochen)
- Monitoring aufsetzen (Session-Erfolgsrate, Error-Rate, Kosten pro Workflow)
- Fallback-Strategie definieren (was passiert bei Anthropic-Outage?)
- Team-Training (wer darf Agents deployen? Wer kann Environment-Worker debuggen?)
Realistische Kosten-Rechnung
Self-hosted Sandbox (Daytona): CHF 150–300/Monat für 20–50 Sessions/Tag. Anthropic-Gebühr: USD 0.08/Session-Stunde (ca. CHF 5–15/Tag bei 10-Stunden-Sessions). Token-Kosten bleiben gleich. Total für Pilot: CHF 400–600/Monat zusätzlich zu normalen Claude-Kosten.
Fazit: Nicht für alle, aber für die richtigen Use Cases ein Gamechanger
Self-hosted Sandboxes sind kein Mainstream-Feature für Schweizer KMU. Wenn Ihre Workflows keine strikten Datenschutz- oder Compliance-Anforderungen haben, bleiben normale Claude Managed Agents die bessere Wahl — weniger Setup, weniger Kosten, gleiche Funktionalität.
Aber wenn Sie eine der folgenden Branchen sind — Gesundheit, Finanzen, Rechtsberatung, öffentliche Verwaltung —, dann ist Code w/ Claude London die erste realistische Möglichkeit, Production-Grade AI-Agenten ohne Cloud-Bedenken zu deployen.
Die drei wichtigsten Takeaways:
- Self-hosted Sandboxes verschieben Code-Ausführung in Ihre Infrastruktur, Orchestrierung bleibt bei Anthropic
- MCP-Tunnels (Research Preview) verbinden Claude mit privaten Systemen ohne öffentliche Endpoints
- Public Beta bedeutet: Sofort nutzbar, aber nicht für SLA-kritische Workflows ohne Fallback
Wir bei loaded.ch nutzen Claude seit Q1 2026 für interne Automatisierungen. Für unsere eigenen Workflows brauchen wir Self-hosted Sandboxes nicht — aber für Kundenprojekte im Gesundheits- und Finanzbereich (Datenschutz-Anforderungen, interne APIs) testen wir aktuell Cloudflare + MCP-Tunnels. Erste Ergebnisse Ende Juni.
