Selbstständige Beraterin in einer Berliner Altbauwohnung sortiert per Hand drei Karteikarten mit Quellen, Entwürfen und Konzepten neben einem halb geschlossenen Laptop

Obsidian und Claude verbinden: Das KI-gestützte Wissenssystem in der Praxis

Drei Integrationspfade, dokumentierte Produktivitätsgewinne und reale Sicherheitsrisiken

Obsidian und Claude werden 2026 als Bauplan für das zweite Gehirn gehandelt. Wer beide verbindet, baut ein lokales, durchsuchbares und schreibfähiges Wissenssystem. Was die drei etablierten Integrationswege leisten, welche Praxisgewinne dokumentiert sind und wo die Architektur an reale Grenzen stößt, von Token-Limits bis zur OX-RCE-Lücke im April.

Zusammenfassung

Obsidian zählt geschätzt 1 bis 1,5 Millionen Nutzer weltweit, hat über 1.000 aktive Plugins und einen Jahresumsatz von rund 2 Millionen US-Dollar bei 18 Mitarbeitern. Drei produktive Wege für die Claude-Integration sind 2026 etabliert: das mcp-obsidian-Repository von Markus Pfundstein mit 3.600 Sternen über die Local-REST-API, das Plugin obsidian-claude-code-mcp von iansinnott mit dualer WebSocket- und HTTP-SSE-Architektur und Claude Code direkt im Vault-Verzeichnis ohne MCP. Smart Connections bleibt mit über 5.000 Sternen das verbreitetste KI-Plugin und arbeitet mit lokalen Embeddings. Praxisberichte zeigen 2.000-Wort-Entwürfe in 90 Minuten und Linkreparaturen im 12-Millionen-Wort-Vault unter 10 Minuten, dazu Performance-Grenzen ab 4.000 Notizen und eine im April 2026 von OX Security veröffentlichte RCE-Schwachstelle im MCP-Standard, die laut Hersteller 150 Millionen Downloads betrifft.

1 Mio+
Geschätzte Obsidian-Nutzer weltweit (2026)
3.600
GitHub-Sterne mcp-obsidian (Pfundstein)
5.000+
GitHub-Sterne Smart Connections
150 Mio.
Von MCP-Sicherheitslücke betroffene Downloads

Was Obsidian und Claude zusammen leisten

Obsidian ist eine lokale Markdown-Notiz-Anwendung mit über einer Million Nutzern weltweit. Claude ist Anthropics Sprachmodell-Familie. Wer beide verbindet, baut ein durchsuchbares, schreibfähiges Wissenssystem auf dem eigenen Rechner, mit Markdown-Dateien als Quelle der Wahrheit. Der Anspruch des zweiten Gehirns trifft 2026 auf eine reife Werkzeugkette, aber auch auf reale Sicherheits- und Performance-Grenzen.

Model Context Protocol (MCP) ist ein offenes Protokoll von Anthropic, das Sprachmodellen Zugriff auf externe Werkzeuge wie Dateisysteme, APIs oder Datenbanken gibt. Im Obsidian-Kontext öffnet ein MCP-Server den Vault für Claude und macht Notizen lesbar, durchsuchbar und schreibbar.

Drei Bausteine machen den Workflow attraktiv. Erstens speichert Obsidian alle Notizen als reine Markdown-Dateien in einem lokalen Ordner, dem Vault. Zweitens kann Claude diese Dateien über drei Wege erreichen, ohne dass die Daten in eine Cloud wandern müssen. Drittens existiert ein lebhaftes Plugin-Ökosystem mit über 1.000 aktiven Erweiterungen, das die meisten Detailprobleme schon abdeckt.

  • 70.000 Mitglieder im offiziellen Discord-Kanal, 35.000 Forum-Nutzer (Quelle: t3n)
  • Etwa 2 Millionen US-Dollar Jahresumsatz 2025, bootstrapped, 18 Mitarbeiter (Quelle: Fueler.io)
  • Anthropic ist neben lokalen Modellen über Smart Connections der am häufigsten verbundene LLM-Anbieter für diesen Workflow
Architektur

Drei Wege, Obsidian mit Claude zu verbinden

Es gibt 2026 drei etablierte Integrationspfade. Die Wahl hängt davon ab, ob du die Claude-Desktop-App, die Claude-Code-CLI oder ein Plugin innerhalb von Obsidian nutzen willst. Alle drei behalten die Markdown-Dateien lokal, unterscheiden sich aber bei Funktionsumfang und Risikoprofil.

Pfad Werkzeug Voraussetzung Schreibzugriff
MCP über Local REST API mcp-obsidian (Pfundstein, 3.600 Sterne) Local-REST-API-Plugin in Obsidian, API-Key, Eintrag in claude_desktop_config.json Sieben Tools, von list_files bis delete_file
Obsidian Claude Code MCP iansinnott Plugin (279 Sterne) Plugin-Installation, Auto-Discovery auf Port 22360 WebSocket für Claude Code, HTTP-SSE für Claude Desktop
Claude Code im Vault Claude Code CLI Claude Code im Vault-Verzeichnis starten Direkt über das Dateisystem, kein zusätzliches Plugin
Entwickler an einem Schreibtisch mit Laptop, das ein Terminal mit MCP-Server-Logs neben einem Markdown-Editor mit Vault-Ordnerstruktur zeigt
Test-Setup eines MCP-Servers neben dem geöffneten Vault, Port 27124 als Notiz auf der Handballenauflage.

Die einfachste Variante ist Claude Code direkt im Vault zu starten, ohne MCP. Claude Code liest Markdown-Dateien dann über das Dateisystem, ohne API-Key, ohne zusätzliches Plugin. Wer mit Claude Desktop oder anderen MCP-fähigen Clients arbeitet, kommt an einem MCP-Server nicht vorbei. Beide Server-Optionen haben aktive Communities und sind unter MIT- bzw. Plugin-Lizenz frei verwendbar.

Was die sieben Tools von mcp-obsidian leisten: list_files_in_vault, list_files_in_dir, get_file_contents, search, patch_content, append_content, delete_file. Damit lassen sich Notizen lesen, durchsuchen, ergänzen und gezielt an Überschriften patchen.

Smart Connections als ergänzende Schicht

Smart Connections ist mit über 5.000 GitHub-Sternen das verbreitetste KI-Plugin für Obsidian und arbeitet komplementär zu den MCP-Pfaden. Es generiert Embeddings lokal mit dem Modell BGE-micro-v2 (384 Dimensionen) und liefert die semantische Suchschicht, die die einfachen MCP-Tools nicht haben. Connections-View zeigt verwandte Notizen während des Schreibens, Lookup-View ermöglicht Bedeutungs-basierte Suche im gesamten Vault.

Kernaussage

Smart Connections ist die einzige Variante, die den Vault komplett lokal halten kann. Sobald du die Chat-Funktion mit Claude oder einer anderen Cloud-API verbindest, brichst du diese Lokalität wieder auf. Wer DSGVO-relevante Inhalte verwaltet, sollte diese Trennlinie bewusst setzen.

Smart Chat Pro ist das eigenständige Schwester-Plugin, das Multi-Provider-Routing zu 100+ Cloud-APIs einschließlich Claude, Gemini, ChatGPT und Llama 3 verwaltet. Wer Smart Connections für die lokale Suche und Claude für das Schreiben nutzt, hat den lokalen Embeddings-Vorteil mit dem Cloud-Modell-Vorteil in einem Workflow kombiniert.

Praxis

Was im Praxisalltag wirklich passiert

Anwender berichten konkrete Produktivitätsgewinne, aber nicht überall. Aus dokumentierten Workflows zeichnet sich ein nüchternes Muster ab: stark ist die Kombination bei strukturellen Aufgaben, schwach bei kreativer Eigenleistung.

2.000
Wörter Entwurf in 90 Minuten
12 Mio.
Wort-Vault, Linkreparatur unter 10 Minuten
4.000+
Notizen, ab dort spürbare Token-Limits

Ein Praxisbericht von haihai.ai zeigt einen 2.000-Wort-Entwurf in 90 Minuten, ausdrücklich beschrieben als AI assisted, nicht AI generated. Voice Dictation über SuperWhisper liefert die Rohfassung, Claude verkürzt redundante Stellen und behält die Stimme der Autorin. Der Workflow ist nicht das Modell, sondern die enge Kopplung von Aufnahme, Vault und Editor.

Die Bloggerin Eleanor Konik beschreibt ähnliche Muster im 12-Millionen-Wort-Vault. Linkreparatur, Reformatierung alter Tagesnotizen und Ordner-Umbenennungen erledigt sie in unter zehn Minuten. Bemerkenswert: sie nutzt Claude weniger als Schreibassistenten, mehr als Bulk-Operator. Die drei Gesichter von Claude spielen hier zusammen, je nachdem wo gerade die Aufgabe sitzt.

  • Recherche-Konsolidierung: Claude greift auf relevante Notizen zu und erstellt Berichte mit Quellenangaben innerhalb des Vaults
  • Bulk-Operationen: Reformatierung, Linkreparatur, Ordner-Umbenennungen
  • Themen-Suche: Bedeutungs-basierte Anfragen wie "Newsletter über Väterlichkeit" liefern Treffer, wo klassische Volltext-Suche nur Rauschen erzeugt

Deutsche Perspektive und Datenschutz

Die lokale Architektur ist das Hauptargument im DSGVO-Kontext. Die Notizen liegen physisch auf dem Rechner des Nutzers, nicht in einer Cloud. Sobald aber Claude Inhalte verarbeitet, verlassen Daten den lokalen Rechner und gelangen zu Anthropic. Das ist ein wichtiger Unterschied zum reinen Smart-Connections-Setup mit lokalen Modellen.

Lokal kontrollierbar
Markdown-Dateien bleiben physisch auf dem Gerät
Kein Vendor-Lock-in, jedes Markdown-Tool kann lesen
Mit Git voll versionierbar und sicherbar
Smart Connections mit lokalen Embeddings ohne Cloud-Anteil
Was zu Anthropic geht
Inhalte aller geladenen Notizen während des aktiven Prompts
Suchanfragen, Datei-Pfade und Vault-Struktur
Vom Nutzer bewusst geteilte Anhänge oder Code
Bei Schreibzugriff: spätere Antworten, die Notizen verändern

Für geschäftliche Nutzung gelten die Anthropic-Vertragsbedingungen, für Enterprise-Konten existiert ein DSGVO-konformer Auftragsverarbeitungsvertrag. Wer Mandantendaten, Personalakten oder Geschäftsgeheimnisse im Vault hat, sollte diese Datenkategorien explizit aus dem Claude-Zugriff herausnehmen, etwa per separatem Vault oder per Ordnerausschluss in der Konfiguration des MCP-Servers.

Risiken

Herausforderungen und Risiken

Drei Risiken sind 2026 dokumentiert und sollten vor produktiver Nutzung bewertet werden. Sie liegen nicht in der Idee des zweiten Gehirns, sondern in der Implementierung des Zugriffs.

MCP-Sicherheitslücke April 2026: OX Security veröffentlichte eine RCE-Schwachstelle im Model Context Protocol, die laut Hersteller 150 Millionen Downloads betrifft, mit bis zu 200.000 verwundbaren Instanzen weltweit. Empfehlung: nur signierte Server, Sandbox-Betrieb, Validierung externer Konfiguration und kein öffentlicher IP-Zugriff.

  • Supply-Chain-Risiken bei Plugins: Das beliebte Projekt obsidian-mcp-tools wurde nicht mehr gewartet, der Maintainer nannte Risiken durch verteilte Executables. Plugins können weiterreichende Berechtigungen haben, als der Code suggeriert.
  • Ganz-Vault-Sichtbarkeit: Wenn Claude Zugriff auf den gesamten Vault erhält, sieht das Modell jeden Inhalt, der im Kontext landet, inklusive privater Tagebücher, Mandantenakten oder Passwortnotizen.
  • Performance bei großen Vaults: Token-Limits ab etwa 4.000 Notizen, lange Antwortzeiten von 5 bis 10 Minuten, hoher API-Kosten-Aufwand.
  • Reife-Realität: Erfahrene Nutzer im Obsidian-Forum nutzen MCP nicht permanent in Hauptvaults, sondern in Test-Vaults. Der Konsens lautet, dass MCP "interessant zum Erkunden" sei, "noch nicht transformativ für alltägliche Workflows".

Was Unternehmen jetzt tun sollten

Die Verbindung von Obsidian und Claude ist nicht produktiv, weil sie technisch elegant ist. Sie ist produktiv, wenn ein klarer Anwendungsfall vorliegt und das Risikoprofil verstanden wurde. Empfehlung in fünf Schritten.

Wissensmanagement-Lead und IT-Sicherheitsbeauftragter vergleichen am Konferenztisch eine zweispaltige Datenklassifizierungs-Liste für Standard- und Mandantenvault
Datenklassifizierung vor der Vault-Architektur: welche Inhalte dürfen mit Claude geteilt werden, welche nicht.

  1. Anwendungsfall vor Architektur

    Welche konkrete Aufgabe soll der Workflow lösen? Recherche-Konsolidierung, Entwurfsbeschleunigung, Linking-Pflege oder Wissensbasis-Aufbau? Ohne klaren Use Case bleibt das Setup Spielzeug.

  2. Test-Vault zuerst

    Niemals den Hauptvault mit der ersten Integration verbinden. Separater Vault, separater Branch, Backup vor jedem Schritt mit Schreibrechten. Erst nach 4 bis 6 Wochen stabilem Test in den Hauptvault übernehmen.

  3. Schreibzugriff bewusst entscheiden

    Read-only-Konfiguration ist der sicherere Einstieg. Schreibrechte erst nach Git-Versionierung und nach klarer Use-Case-Validierung. Im MCP-Server delete_file und patch_content gezielt nicht freischalten.

  4. Datenklassifizierung vor Vault-Aufbau

    Definieren, welche Datenkategorien in den Claude-zugänglichen Vault dürfen. Mandantenakten, Personaldaten und Geschäftsgeheimnisse separat halten. Bei Beratungs- oder Anwaltsfirmen ist ein Mandanten-Vault zwingend separat zu führen.

  5. Monitoring und Audit

    Bei produktiver Nutzung Logs der MCP-Aufrufe pflegen, OX-Security-Empfehlungen folgen: Sandbox, nur verifizierte Server, kein öffentlicher IP-Zugriff. Bei Plugins: Installation aus signierten Quellen, regelmäßige Updates, Maintainer-Aktivität prüfen.

Wer mit Claude Skills arbeitet, kann den Vault-Workflow weiter strukturieren. Ein Skill, der nur leseberechtigt auf bestimmte Vault-Ordner zugreift, ist sicherer als ein generischer MCP-Server mit allen Werkzeugen aktiv. Auch das ist eine Form der Datenklassifizierung, nur in der Werkzeug-Schicht.

Weiterführende Informationen

Die drei Gesichter von Claude: Web, Desktop, CLI Claude Skills erstellen: Vollständiger Leitfaden 2026 Claude Skills: Funktionsweise, Praxis und Sicherheit KI-Coding-Tools Preiswende 2026: Ende der Flatrate GitHub: mcp-obsidian (MarkusPfundstein) GitHub: obsidian-claude-code-mcp (iansinnott) GitHub: Obsidian Smart Connections The Hacker News: Anthropic MCP Design Vulnerability (April 2026)

Häufig gestellte Fragen

Was ist der einfachste Weg, Obsidian mit Claude zu verbinden? +

Der einfachste Weg ist, Claude Code direkt im Vault-Verzeichnis zu starten. Claude Code liest Markdown-Dateien dann über das Dateisystem, ohne MCP-Server, ohne zusätzliches Plugin und ohne API-Key. Für Claude Desktop ist die einfachste Variante das Plugin obsidian-claude-code-mcp von iansinnott, das auf Port 22360 automatisch entdeckt wird.

Ist Obsidian mit Claude DSGVO-konform? +

Die Markdown-Dateien selbst liegen lokal auf dem Rechner und sind damit unter eigener Kontrolle. Sobald aber Claude Inhalte verarbeitet, gelangen diese Daten zu Anthropic. Für geschäftliche Nutzung gelten die Anthropic-Vertragsbedingungen, für Enterprise-Konten existiert ein Auftragsverarbeitungsvertrag. Personenbezogene Daten oder Mandantenakten gehören nicht ungefiltert in einen Vault, der mit Claude geteilt wird.

Welcher MCP-Server für Obsidian ist der beste? +

Es gibt nicht den einen besten Server, sondern drei mit unterschiedlichem Fokus. mcp-obsidian von Markus Pfundstein hat die meisten Sterne (3.600) und arbeitet über die Local-REST-API mit sieben Werkzeugen. obsidian-claude-code-mcp von iansinnott bedient Claude Code per WebSocket und Claude Desktop per HTTP/SSE. Smart Connections ist kein klassischer MCP-Server, bietet aber lokale Embeddings und semantische Suche mit über 5.000 Sternen.

Wie schütze ich meinen Vault vor versehentlichen Änderungen durch Claude? +

Der wichtigste Schutz ist Git. Versioniere den Vault, sichere ihn vor jeder neuen Integration. Beginne mit einem Read-only-Setup oder einem separaten Test-Vault. Schreibrechte erst geben, nachdem die Use-Cases stabil sind und Backups laufen. Im MCP-Server kannst du delete_file und patch_content gezielt deaktivieren, indem du diese Tools nicht freischaltest.

Was ist die MCP-Sicherheitslücke vom April 2026? +

Die Sicherheitsfirma OX Security hat im April 2026 eine architektonische Schwachstelle im Model Context Protocol veröffentlicht, die Remote Code Execution erlaubt. Laut OX sind 150 Millionen Downloads betroffen, geschätzt bis zu 200.000 verwundbare Instanzen. Empfohlen sind Sandbox-Betrieb, Validierung externer Konfiguration, kein öffentlicher IP-Zugriff und ausschließliche Nutzung verifizierter Server.

Wie viele Notizen verträgt der Obsidian-Claude-Workflow? +

Bis etwa 4.000 Notizen läuft das Setup in den meisten Berichten reibungslos. Darüber treten Token-Limits auf und einzelne Prompts brauchen 5 bis 10 Minuten. Eleanor Konik berichtet aus einem 12-Millionen-Wort-Vault, dass Bulk-Aufgaben wie Linkreparatur noch in unter zehn Minuten laufen. Wer einen sehr großen Vault hat, sollte den für Claude zugänglichen Bereich mit gezielten Unterordnern oder einem separaten Vault begrenzen.