Wie wir mit Claude Code rund $5,000 monatliche AWS-Kosten eingespart haben
Einleitung
Mit Claude Code haben wir unsere monatlichen AWS-Kosten um rund $5,000 reduziert. Bei den aktuellen Wechselkursen werden vermutlich viele Softwareunternehmen ähnliche AWS-Sorgen haben. Hoffentlich hilft euch unser Beispiel weiter.
| Maßnahme | Einsparung/Monat |
|---|---|
| AWS Client VPN → Headscale-VPN-Migration (inkl. Private CA) | $1,178 |
| Aufräumen der Private CA und Optimierung der Verschlüsselungs-Keys | $2,300 |
| Nacht- und Wochenend-Abschaltung der Dev-ECS | $988 |
| Kauf von RDS Reserved Instances | $811 |
| NAT-Gateway-Konsolidierung | $267 |
| Umstieg auf Fargate Spot | $263 |
| Sonstiges (S3-Lifecycle etc.) | $78 |
| Gesamt | $5,885 |
Guide Inc. Vietnam ist ein Softwareunternehmen mit rund 50 Beschäftigten in Vietnam und Japan. Unsere Kostenstruktur ist einfach: Personalkosten und AWS-Serverkosten dominieren.
In letzter Zeit ist ein neuer Posten dazugekommen: KI-Agenten-Tools, allen voran Claude Code.
Wir haben Claude Code ernsthaft eingeführt, um die Produktivität teamweit zu steigern. Der damalige Team-Plan-Premium-Seat lag bei etwa $150/Monat pro Person. Wenn man das unternehmensweit ausrollt, kommt schnell ein erheblicher Betrag zusammen.
KI-Tools einzuführen, um produktiver zu werden, halte ich grundsätzlich für richtig. Aber wenn neue Kosten dazukommen, muss man bestehende Kosten gegenchecken. Als Softwareunternehmen können wir vor allem an zwei Hebeln drehen: Personal und Server.
Also haben wir die AWS-Kostenoptimierung in Angriff genommen.
Claude Code die Kosten-„Smells” finden lassen
Das Spannende ist: Wir haben die Kostenanalyse selbst Claude Code überlassen.
Claude Code ist bei uns mit einem AWS-CLI-Skill ausgestattet. AWS-Profil-Setup, SSO-Login, CLI-Kommandos ausführen — das alles erledigt es eigenständig.
Als Erstes haben wir es einen Querschnitt über alle 19 AWS-Konten machen lassen. Welche Infrastruktur läuft in welchem Konto, was kostet sie, und gibt es Posten, die irgendwie riechen — die einfach komisch wirken?
Claude Code hat mehrere klare Verbesserungsfelder herausgearbeitet. Sachen, die sich nur in Dev-Umgebungen sinnvoll optimieren lassen. Ressourcen, die niemand mehr braucht und die lange liegen geblieben sind. Punkte, bei denen eine einzelne Einstellung große Einsparungen bringt. Das haben wir dann Stück für Stück durchgearbeitet.
Die Gesamtplanung
Die Baseline lag im Dezember 2025 bei $30,398/Monat. Von Ende 2025 bis Ende März 2026 haben wir die Maßnahmen nacheinander umgesetzt. Manche Posten — VPN-Abschaltung, Löschung der Private CA — schlagen erst ab April voll durch, sodass wir mit allen Effekten zusammen mit rund $5,000–$6,000/Monat Einsparung gegenüber dem Dezember-Wert rechnen.
Hier eine knappe Übersicht der wichtigsten Maßnahmen.
1. Nacht- und Wochenend-Abschaltung der Dev-ECS (-$988/Monat)
Wir haben 55 Dev-ECS-Services so eingerichtet, dass sie nachts und am Wochenende automatisch heruntergefahren werden. Die Dev-Umgebung wird nur in Geschäftszeiten genutzt, lief aber rund um die Uhr. Im Nachhinein offensichtlich, im Alltag leicht zu übersehen.
2. AWS Client VPN → Headscale-VPN-Migration (-$1,178/Monat)
Mehr dazu unten. Das war der spannendste Punkt.
3. Aufräumen der Private CA und Optimierung der Verschlüsselungs-Keys (-$2,300/Monat)
Weil AWS App Mesh stillgelegt wurde, brauchten wir die Private CA nicht mehr und haben sie gelöscht. Zusätzlich haben wir das Key-Management überarbeitet, um die Balance zwischen Kosten und Sicherheitsanforderungen besser zu treffen.
4. Kauf von RDS Reserved Instances (-$811/Monat)
Für insgesamt 5 Instanzen über Dev, Staging und Produktion haben wir die RIs gebündelt gekauft. $10,675 Vorabinvestition, 44% Rabatt, Amortisation in rund 11 Monaten.
5. Umstieg auf Fargate Spot (-$263/Monat)
Wir haben unsere Dev-ECS-Services auf Fargate Spot umgestellt. Für Dev-Workloads ist das Spot-Unterbrechungsrisiko akzeptabel.
6. NAT-Gateway-Konsolidierung (-$267/Monat)
In 3 Konten haben wir je 3 NAT Gateways auf jeweils 1 reduziert. Wir haben den Traffic an den ungenutzten AZs 7 Tage lang überwacht, festgestellt, dass er null war, und erst dann gelöscht.
Die VPN-Migration — aus $1,178/Monat werden $42/Monat
Der spannendste Posten war die VPN-Migration.
Wir nutzen VPNs, um auf die Entwicklungsumgebungen unserer Kunden zuzugreifen. Wir hatten ursprünglich AWS Client VPN im Einsatz. Es stellte sich heraus, dass dieses Client VPN viel mehr kostete, als wir dachten.
- AWS Client VPN (4 Endpoints): $776/Monat
- AWS Private CA (Zertifizierungsstelle): $402/Monat
- Gesamt: $1,178/Monat
Ehrlich gesagt hatte ich nicht gedacht, dass uns das VPN so viel kostet. Es war einer der Posten, die uns erst durch die Kostenanalyse von Claude Code aufgefallen sind.
Headscale als Alternative
Als Ersatz haben wir Headscale gewählt: ein Open-Source-Control-Server für Tailscale. Auf Client-Seite kann man Tailscale unverändert weiterverwenden.
Unser Aufbau:
- Headscale-Server: 1 × EC2 t3.small (~$21/Monat)
- Authentifizierung: Logto Self-Hosted (OIDC, 1 × EC2 t3.small, ~$21/Monat)
- Gesamt: rund $42/Monat
$1,178 werden zu $42. 96% Reduktion.
Logto als Authentifizierungs-Backbone
Kurz zu Logto, unserem Auth-Backbone. Es ist eine selbst hostbare Open-Source-Auth-Plattform mit solidem OAuth 2.0 / OIDC. Google SSO, GitHub SSO, MFA, Organizations, M2M-Apps — in der Self-Hosted-Edition alles kostenlos.
Für ernsthafte externe Services gibt es Logto Cloud, aber als einheitlicher Auth-Backbone für interne Systeme ist es enorm stark. Das Team liefert sehr aktiv neue Versionen, und ich bin persönlich großer Fan des Produkts.
Designentscheidung — die Ausgangs-IP nicht ändern
Das Wichtigste bei der VPN-Migration war, die nach außen sichtbare IP-Adresse nicht zu ändern. Unsere Kunden haben unsere IPs auf ihren Firewall-Whitelists; sich da zu verändern wäre fatal.
Lösung: Wir haben Headscale hinter dem bestehenden NAT Gateway platziert. Der VPN-Traffic geht weiterhin über dasselbe NAT Gateway nach draußen, die Quell-IP bleibt also gleich.
Ein Monat Dogfooding
Nach dem Aufbau haben wir nicht sofort firmenweit umgestellt, sondern einen Monat lang Dogfooding gemacht.
Ganz ehrlich: Es gab einige Probleme. Verbindungsabbrüche, instabile Exit Nodes, Geräte, die sich nicht mehr verbinden konnten.
Wir haben das Stück für Stück mit Claude Code gelöst: Kernel-Parameter-Tuning (UDP-Buffer vergrößern, conntrack-Timeouts anpassen), einen eigenen DERP-Relay-Server aufsetzen, Betriebsabläufe für die Knotenverwaltung etablieren.
Es gibt noch Themen, aber im aktuellen Stand läuft es in der Entwicklungsumgebung stabil.
Performance
Auch die Performance haben wir überprüft.
- Anfangs: 11-14 Mbps (über öffentlichen DERP-Relay)
- Nach eigenem DERP: 106-134 Mbps
Das ist mindestens so gut wie AWS Client VPN.
Effekt-Überprüfung in Cost Explorer
Maßnahmen umsetzen ist nicht alles — wir haben den Effekt jedes Mal im AWS Cost Explorer geprüft. Auch das lassen wir Claude Code per CLI machen.
Eine Erkenntnis: Der Umstieg auf Fargate Spot ist im Cost Explorer mit Standardfiltern schwer zu erkennen. Spot-Rabatte gehen im Fargate-Posten unter, man muss gezielt hinschauen. „Wir haben es umgesetzt, aber der Effekt taucht nicht auf” — solche Probleme kann Claude Code dann gezielt untersuchen.
Zum Schluss
Die Kostenstruktur des KI-Zeitalters verändert sich. Tools wie Claude Code schlagen mit neuen Kosten zu Buche, aber genau diese Tools lassen sich gleichzeitig für die Optimierung der Infrastrukturkosten einsetzen.
In unserem Fall hat Claude Code zwar zusätzliche Kosten verursacht, aber gleichzeitig deutlich mehr AWS-Kosten eingespart. KI investieren und mit KI Kosten zurückholen — dieser Kreislauf beginnt bei uns zu funktionieren.
Was ich vor allem gelernt habe: erst alles sichtbar machen. 19 Konten von Hand durchzugehen ist nicht realistisch. Erst dadurch, dass Claude Code die AWS CLI hatte und alles übergreifend scannen konnte, kamen Funde wie „so viel kostet uns das VPN?!” überhaupt zustande.
Möglicherweise lauert auch in eurer AWS-Umgebung noch der eine oder andere Kosten-Smell.
Diesmal habe ich mich auf die VPN-Migration konzentriert. Wenn euch andere Maßnahmen interessieren, schreibe ich gern eigene Artikel dazu. Lasst mich gern in den Kommentaren wissen, was euch interessiert.
Masaki Kondo — CEO, Guide Inc. Vietnam https://koedesk.app