Inhaltsverzeichnis
Hat dir Claude Code plötzlich eine Meldung wie diese angezeigt und dich zum Anmelden aufgefordert?
Not logged in · Please run /login
Invalid API key · Fix external API key
OAuth token has expired · Please run /login
API Error: 400 ... This organization has been disabled.Das sind „Authentifizierung fehlgeschlagen (wer bist du?)“-Fehler, die meist als 401/403 auftauchen. Das Ärgerliche daran ist, wie rätselhaft sie wirken — „Ich zahle doch, werde aber abgewiesen“ oder „gestern lief es noch, jetzt will es auf einmal, dass ich mich anmelde.“ Doch die meisten Ursachen sind lehrbuchmäßig, und sobald du die Prüfreihenfolge kennst, ist es schnell behoben.
Vorab das Wichtigste. (1) Das häufigste Auth-Problem ist eine Umgebungsvariable ANTHROPIC_API_KEY, die deine Abo-Anmeldung (Pro/Max) stillschweigend überschreibt — was zur eigentlichen Ursache von unerwarteten nutzungsbasierten Abrechnungen, „organization disabled“ und „Invalid API key“ wird. (2) Der Ausgangspunkt ist immer /status, um zu sehen, „welche Anmeldedaten gerade aktiv sind.“ (3) Im Zweifel: „den verirrten Key unset → /logout → /login“ für einen sauberen Neueinstieg.
Anmeldedaten haben eine „Rangfolge“
— das Höhergestellte gewinnt, daher überschreibt ein API-Key aus der Umgebung dein Abo
ANTHROPIC_AUTH_TOKEN (Gateways)
ANTHROPIC_API_KEY ← Umgebungsvariable
das gewinnt = nutzungsbasiert
apiKeyHelper / 5. CLAUDE_CODE_OAUTH_TOKEN
/login)
das willst du eigentlich
Wenn ANTHROPIC_API_KEY in deiner Umgebung herumliegt, hat er Vorrang vor dem Abo.
Prüfe zuerst mit /status → falls überflüssig, unset ANTHROPIC_API_KEY.
1. Was dieser Fehler dir sagt
Authentifizierung bedeutet „nachweisen, wer du bist.“ Claude Code weist „dich“ entweder über deine Abo-OAuth-Anmeldung, einen API-Key oder Cloud-Anmeldedaten nach. Scheitert dieser Nachweis, wirst du als 401 (authentication_error) oder 403 (forbidden) abgewiesen. Die typischen Meldungen und ihre Bedeutung:
| Meldung | Bedeutung |
|---|---|
| Not logged in · Please run /login | Keine gültigen Anmeldedaten → /login |
| Invalid API key · Fix external API key (ältere Builds: „· Please run /login“) | Ein Key aus einer Umgebungsvariable oder apiKeyHelper wurde von der API abgelehnt |
| This organization has been disabled | Ein veralteter API-Key einer deaktivierten Org überschreibt dich |
| OAuth token revoked / has expired · Please run /login | Anderswo abgemeldet / vom Admin widerrufen / automatische Aktualisierung fehlgeschlagen |
| API Error: 403 ... forbidden ... Request not allowed | Inaktives Abo, fehlende Console-Rolle oder Proxy-Störung |
Die entscheidende Gewohnheit: bevor du dir selbst die Schuld gibst, führe /status aus, um zu sehen, „welche Anmeldedaten gerade aktiv sind.“ Die meisten Auth-Fehler rühren daher, dass unbeabsichtigt die falschen Anmeldedaten ausgewählt sind — und der Hauptverdächtige ist die „API-Key-Überschreibung“ im nächsten Abschnitt.
2. Die große Falle — ein API-Key überschreibt dein Abo
Die offizielle Doku stellt klar, dass Claude Code EINE Anmeldeinformation nach „Rangfolge“ auswählt (siehe Hero). Der Haken: Die Umgebungsvariable ANTHROPIC_API_KEY steht ÜBER deiner Abo-Anmeldung (Pro/Max). Mit anderen Worten —
Die offizielle Erklärung (sinngemäß)
„Selbst bei aktivem Abo hat ANTHROPIC_API_KEY, sofern in deiner Umgebung gesetzt, nach Bestätigung Vorrang. Gehört dieser Key zu einer deaktivierten oder abgelaufenen Org, schlägt die Authentifizierung fehl. Führe unset ANTHROPIC_API_KEY aus, um auf dein Abo zurückzufallen, und prüfe mit /status, was gerade aktiv ist.“
Diese Überschreibung erzeugt drei „rätselhafte“ Symptome. (1) Unerwartete nutzungsbasierte Abrechnungen — was eigentlich ein pauschales Abo sein sollte, wird pro Token über den API-Key abgerechnet (von hohen Überraschungsrechnungen wurde berichtet). (2) This organization has been disabled — der übrig gebliebene Key gehörte zu einer deaktivierten alten Org. (3) Invalid API key — der Key ist abgelaufen oder falsch. Keines davon ist „ein Problem mit deiner Anmeldung“ — es ist „ein Problem mit einem verirrten Key, der sich in deiner Umgebung breitmacht.“
Woher der Key kommt: ein export ANTHROPIC_API_KEY=... in ~/.zshrc / ~/.bashrc / ~/.profile; eine .env, die von direnv, dotenv oder deinem IDE-Terminal gelesen wird; ein Überbleibsel aus einem früheren Job/Projekt; eine CI-Umgebung. Unter Windows das PowerShell-Profil ($PROFILE) oder Benutzer-Umgebungsvariablen. Aufspüren mit /status und env | grep ANTHROPIC; beheben mit:
# Vorübergehend entfernen und starten
unset ANTHROPIC_API_KEY
claude
# Dauerhafte Lösung: die export-Zeile aus der Shell-Konfiguration / .env löschen, dann mit /status prüfenHinweis: Im interaktiven Modus wirst du einmal gefragt, ob der Key verwendet werden soll, und deine Wahl wird gemerkt (später änderbar über den Schalter „Use custom API key“ in /config). Sofern du den API-Key nicht bewusst nutzen möchtest, bestätige mit /status, dass das Abo aktiv ist.
3. Weitere Ursachen
Auch Auth-Probleme jenseits der Überschreibung haben meist feste Ursachen.
Auth-Stolpersteine jenseits der Überschreibung
/logout → /login.claude doctor prüfen.c drücken, um die URL zu kopieren, oder BROWSER setzen.
„Bei jedem Start zum Anmelden aufgefordert“ → zuerst Uhrabweichung oder Keychain verdächtigen.
„Mit 403 abgewiesen“ → inaktives Abo, Console-Rolle oder Proxy verdächtigen.
Zu wissen, wo die Anmeldedaten liegen, beschleunigt die Wiederherstellung ebenfalls. macOS: Keychain; Linux: ~/.claude/.credentials.json (Modus 0600); Windows: %USERPROFILE%\.claude\.credentials.json. Normalerweise verwalten /login und /logout diese, doch bei einem beschädigten Speicher kannst du diese Datei für eine saubere Neu-Authentifizierung löschen (für Fortgeschrittene).
4. Der Diagnose-Workflow
Wenn du bei der Auth feststeckst, gehe von oben nach unten vor. Die meisten Fälle sind bis Schritt 3 gelöst.
Von oben nach unten eingrenzen
/status, um zu sehen, welche Anmeldedaten aktiv sind (Abo, API-Key oder Cloud).env | grep ANTHROPIC (Windows: $PROFILE / Benutzer-Umgebungsvariablen), um einen verirrten Key zu finden.unset ANTHROPIC_API_KEY → neu starten. Dauerhaft machen, indem du die export-Zeile entfernst aus deiner Shell-Konfiguration / .env./logout → Claude Code schließen → /login für eine saubere Neu-Authentifizierung.claude doctor prüfen (macOS) / deine Console-Rolle bestätigen (Orgs).
Die Regel: „zuerst /status, dann den verirrten Key jagen.“
Die meisten Fälle lösen sich, indem man einfach den überschreibenden Key entfernt.
5. Abgrenzung von ähnlichen Fehlern
„Abgewiesen / gestoppt“ kann auch Nicht-Auth-Ursachen haben. Die Aufteilung nach HTTP-Code ist der verlässliche Weg.
| Symptom | Was es wirklich ist | Hauptlösung |
|---|---|---|
| 401 / 403 · Invalid API key · Not logged in | Dieser Artikel = Auth (Problem mit Anmeldedaten) | /status → verirrten Key entfernen → /login |
| usage limit reached | Plan-Kontingent erschöpft (Auth ist in Ordnung) | Auf Reset warten; Lösungen |
| 429 Request rejected | Rate Limit (eine Überschreibung durch einen Key niedriger Stufe kann ein 429 auslösen) | Tempo drosseln; außerdem /status auf einen verirrten Key prüfen |
| 529 / 500 | Serverseitige Überlastung / interner Fehler | Warten & erneut versuchen; Lösungen |
| Credit balance is too low | Console-Prepaid-Guthaben erschöpft (aufladen oder zum Abo wechseln) | Guthaben aufladen oder /login mit einem Abo |
Eine Eselsbrücke: 401/403 ist das „Wer bist du?“-Problem = Auth. usage limit und Credit balance sind „Menge / Guthaben“-Probleme. 429 ist die Rate, 529/500 ist serverseitig. Bemerkenswert: Ein verirrter API-Key verursacht nicht nur „Auth-Fehler“, sondern auch „unerwartete Abrechnungen“ und „ein 429 bei niedriger Stufe“ — weshalb die Antwort auf Verwirrung immer zuerst /status lautet. Zu weiteren häufigen Fehlern siehe die Fehlerübersicht.
6. Checkliste zur Vorbeugung
Eine Checkliste, damit du nicht wiederholt bei der Auth hängenbleibst.
(1) Wenn du das Abo nutzt, lasse ANTHROPIC_API_KEY nicht in deiner Shell-Konfiguration / .env stehen (achte auf Überbleibsel aus alten Jobs/Projekten). (2) Mach dir /status zur Gewohnheit, um vor wichtigen Arbeiten die aktiven Anmeldedaten zu bestätigen. (3) Verwende für CI CLAUDE_CODE_OAUTH_TOKEN von claude setup-token (oder einen expliziten API-Key) statt der interaktiven Anmeldung. (4) Wirst du jedes Mal zum Anmelden aufgefordert, prüfe die Systemuhr und den macOS-Keychain. (5) Bei Org-Konten bestätige die Console-Rolle und den Plan-Status. (6) Unter WSL/SSH solltest du die Code-Einfüge-Methode kennen.
Zusammenfassung
Die Auth-/Anmeldefehler von Claude Code (Not logged in / Invalid API key / organization disabled / OAuth token expired usw.) sind meist 401/403 = Probleme mit den Anmeldedaten. Die häufigste wahre Ursache ist „die Umgebungsvariable ANTHROPIC_API_KEY, die deine Abo-Anmeldung stillschweigend überschreibt“ — was unerwartete nutzungsbasierte Abrechnungen, organization disabled und Invalid API key erzeugt. Der Ausgangspunkt ist daher immer /status, um zu sehen, „welche Anmeldedaten aktiv sind.“
Diagnostiziere mit (1) /status -> (2) env | grep ANTHROPIC, um einen verirrten Key zu jagen -> (3) unset + aus der Shell-Konfiguration entfernen -> (4) /logout -> /login -> (5) Uhr / Keychain / Console-Rolle. Die meisten Fälle lösen sich, indem man einfach den überschreibenden Key entfernt. Teile nach 401/403 = Auth, usage limit / Credit = Menge-Guthaben, 429 = Rate, 529/500 = Server auf, um die falsche Lösung zu vermeiden. Verwandt: usage limit, 529/500-Fehler, Claude-Code-Fehlerübersicht.
FAQ
Q. Ich zahle, bekomme aber „Invalid API key“ oder „organization has been disabled“. Warum?
A. Fast sicher überschreibt eine Umgebungsvariable ANTHROPIC_API_KEY deine Abo-Anmeldung. Gehört dieser Key zu einer abgelaufenen oder deaktivierten Org, wirst du selbst bei aktivem Abo abgewiesen. Finde ihn mit env | grep ANTHROPIC, führe unset ANTHROPIC_API_KEY aus, dann /login, und bestätige mit /status. Entferne außerdem die export-Zeile aus deiner Shell-Konfiguration (.zshrc usw.) oder .env.
Q. Ich habe ein pauschales Abo, wurde aber pro Token abgerechnet.
A. Auch das ist typischerweise die ANTHROPIC_API_KEY-Überschreibung. Wenn der API-Key Vorrang hat, fließt die Nutzung in die nutzungsbasierte API-Abrechnung pro Token statt in dein pauschales Abo. Bestätige mit /status, dass „das Abo aktiv ist“; ist der API-Key ausgewählt, entferne ihn mit unset + Bereinigung der Konfiguration. Behalte ihn nur, wenn du den API-Key bewusst nutzen willst.
Q. Ich werde bei jedem Start zum Anmelden aufgefordert.
A. Häufige Ursachen sind (1) eine Abweichung der Systemuhr (die Token-Validierung hängt von der korrekten Zeit ab) und (2) ein gesperrter macOS-Keychain / ein falsches Passwort, das das Speichern der Anmeldedaten verhindert. Stelle die Uhr auf automatische Synchronisierung, und prüfe unter macOS den Keychain mit claude doctor. Bleibt es bestehen, steige sauber mit /logout → /login neu ein.
Q. Was sagt mir /status?
A. Es zeigt, welche Authentifizierungsmethode/Anmeldeinformation gerade aktiv ist (Abo-OAuth, ANTHROPIC_API_KEY oder Cloud-Anmeldedaten). Da die meisten Auth-Probleme darin bestehen, dass „unbeabsichtigt die falschen Anmeldedaten ausgewählt sind“, lautet die Regel zuerst /status. Die genaue Anzeige variiert je nach Version, prüfe das aktuelle Verhalten daher in der offiziellen Doku.
Q. Die Anmeldung über WSL oder SSH scheitert, weil der Browser nicht öffnet.
A. Bei Remote-Setups kann die Browser-Weiterleitung nicht zum lokalen Callback zurückkehren. Umgehe das, indem du den von Claude Code angezeigten Anmeldecode einfügst, c drückst, um die URL zu kopieren und sie in deinem lokalen Browser öffnest, oder unter WSL2 die Umgebungsvariable BROWSER setzt. Wer die Code-Einfüge-Methode kennt, ist hier auf der sicheren Seite.
