Das Model Context Protocol (MCP) ist ein offener Standard, der KI-Modellen einen einheitlichen, sicheren Zugang zu externen Tools und Datenquellen gibt – von der Kundendatenbank über das CRM bis zum Ticketsystem. Anthropic hat MCP am 25. November 2024 vorgestellt und quelloffen veröffentlicht. Ein knappes Jahr später ist es der De-facto-Standard für die Anbindung von KI-Agenten. Dieser Beitrag erklärt, wie MCP funktioniert, wofür Unternehmen es einsetzen und worauf es bei der Sicherheit ankommt.
Was ist MCP – in einem Satz?
MCP ist eine gemeinsame Sprache zwischen KI-Anwendungen und Ihren Systemen: Statt für jedes Modell und jedes Tool eine eigene Schnittstelle zu bauen, spricht die KI über ein Protokoll mit beliebig vielen Datenquellen. Anthropic beschreibt MCP als „USB-C-Anschluss für KI-Anwendungen“ – ein Steckplatz, hinter dem alles Mögliche hängen kann.
Der Standard löst das sogenannte N×M-Problem: Ohne MCP müsste man für N KI-Modelle und M Werkzeuge theoretisch N×M individuelle Integrationen pflegen. Mit MCP schreibt man einen Server pro Datenquelle – und jedes MCP-fähige Modell kann ihn nutzen. Für Unternehmen heißt das: weniger Wildwuchs, weniger Wartung, austauschbare Modelle.
Wie funktioniert MCP technisch?
MCP folgt einer klaren Client-Server-Architektur und kommuniziert über JSON-RPC 2.0. Drei Rollen greifen ineinander:
- Host: die KI-Anwendung, mit der Nutzer arbeiten – etwa ein Chat-Client, eine IDE oder ein eigener KI-Agent.
- Client: Verbindungsschicht im Host, die pro Server eine dedizierte Verbindung aufbaut.
- Server: das Bindeglied zu einem konkreten System – zu einer Datenbank, GitHub, Slack oder Ihrer eigenen Software.
Ein MCP-Server stellt dem Modell drei Arten von Fähigkeiten bereit. Wichtig: Jede Fähigkeit wird in natürlicher Sprache beschrieben, damit das Modell selbst versteht, wann und wie es sie nutzt.
| Primitive | Was es bereitstellt | Beispiel |
|---|---|---|
| Tools | Aktionen, die das Modell ausführen darf | Rechnung anlegen, E-Mail versenden, Datensatz aktualisieren |
| Resources | Daten und Kontext zum Lesen | Dokumente, Tabellen, Log-Dateien, Wissensdatenbank |
| Prompts | vordefinierte Vorlagen für wiederkehrende Abläufe | „Fasse dieses Ticket zusammen und schlage Antwort vor“ |
Für den Transport gibt es zwei Wege: stdio für lokale Server, die auf demselben Rechner laufen, und Streamable HTTP für entfernte Server. Letzteres kam mit der Spec-Version 2025-03-26 und löste den älteren SSE-Transport ab. Die Version 2025-06-18 ergänzte eine Autorisierung auf Basis von OAuth 2.1 – die Grundlage für sichere Remote-Zugriffe. Die aktuelle Revision trägt das Datum 2025-11-25.
Wofür nutzen Unternehmen MCP?
MCP entfaltet seinen Wert überall dort, wo eine KI nicht nur reden, sondern handeln und auf echte Firmendaten zugreifen soll. Typische Einsatzfelder:
- Wissenszugriff: Ein Assistent beantwortet Fragen direkt aus internen Dokumenten, Wikis und Datenbanken – mit Quelle statt Halluzination.
- Kundenservice: Der Agent liest das Ticket, prüft den Kundendatensatz im CRM und entwirft eine Antwort – über einen einzigen MCP-Server statt drei Einzelintegrationen.
- Datenanalyse: „Analysiere die Umsätze aus Q2“ – die KI fragt Data Warehouse und BI-Tool an und liefert eine belegte Auswertung.
- Entwicklung & Betrieb: Agenten arbeiten mit GitHub, Fehler-Monitoring und Deployment-Tools zusammen, etwa in der Software-Wartung.
- Backoffice: Rechnungen prüfen, Stammdaten pflegen, Kalender koordinieren – wiederkehrende Abläufe über verbundene Systeme.
Für viele gängige Systeme gibt es bereits offizielle oder gepflegte MCP-Server – unter anderem von GitHub, Slack, Stripe, Notion, Linear, Sentry und Cloudflare. Für Ihre eigene Fachanwendung lässt sich ein Server maßgeschneidert bauen; das ist ein typisches Thema unserer KI-Entwicklung und passt gut in Projekte mit Python oder Datenbank- und Cloud-Anbindung.
MCP oder klassische API – wo ist der Unterschied?
MCP ersetzt keine APIs, sondern legt eine einheitliche, KI-lesbare Schicht darüber. Der zentrale Unterschied: Eine API richtet sich an Entwickler, MCP richtet sich an das Modell.
| Aspekt | Klassische API | MCP |
|---|---|---|
| Zielgruppe | Entwickler verdrahten den Aufruf fest | Das KI-Modell entscheidet zur Laufzeit |
| Beschreibung | technische Doku (OpenAPI) | Beschreibung in natürlicher Sprache |
| Integration | pro Tool und pro Client einzeln | ein Server, viele KI-Clients |
| Auffinden von Funktionen | vorab bekannt, fest codiert | dynamisch zur Laufzeit abgefragt |
In der Praxis nutzt ein MCP-Server oft im Hintergrund genau die bestehenden APIs Ihrer Systeme. MCP standardisiert nur, wie die KI davon erfährt und sie aufruft. Wer schon ein LLM in die App integriert hat, kennt den Aufwand pro Schnittstelle – genau den bündelt MCP.
Wie sicher ist MCP im Unternehmen?
MCP kann sicher betrieben werden, ist aber kein Selbstläufer – gerade weil ein Agent eigenständig Aktionen auslösen kann. Drei Risiken sind dokumentiert und ernst zu nehmen:
- Prompt Injection: Manipulierte Inhalte in einer Datenquelle bringen den Agenten dazu, unerwünschte Aktionen auszuführen.
- Tool Poisoning: Eine bösartige Tool-Beschreibung schleust versteckte Anweisungen ein und kann Daten über andere verbundene Tools abfließen lassen.
- Token-Diebstahl: Entwendete Zugriffstokens öffnen die Tür zu allen angebundenen Systemen.
Technisch hilft OAuth 2.1 (ab Spec 2025-06-18) bei der sauberen Autorisierung von Remote-Servern. Organisatorisch zählt das Prinzip der geringsten Rechte, die Trennung sensibler Systeme und – wo personenbezogene Daten im Spiel sind – ein Blick auf DSGVO und den EU AI Act. Eine ehrliche Einordnung dieser Pflichten geben wir im Überblicksbeitrag KI in der Softwareentwicklung 2026.
Ist MCP zukunftssicher?
Die Adoption spricht dafür. 2025 haben OpenAI (März), Google DeepMind (April) und Microsoft MCP übernommen und in ihre Produkte integriert. Im Dezember 2025 hat Anthropic das Protokoll an die neu gegründete Agentic AI Foundation unter dem Dach der Linux Foundation übergeben – mit OpenAI und Block als Mitbegründern sowie AWS, Google, Microsoft, Cloudflare und Bloomberg als unterstützenden Mitgliedern. Diese herstellerneutrale Governance ist genau das, was einen Standard belastbar macht: Kein einzelner Anbieter kann ihn allein steuern.
Häufige Fragen
Was ist das Model Context Protocol (MCP)?
MCP ist ein offener Standard, den Anthropic am 25. November 2024 vorgestellt hat. Er standardisiert, wie KI-Modelle sicher auf externe Tools, Datenquellen und Firmensysteme zugreifen – wie ein USB-C-Anschluss für KI, der viele individuelle Schnittstellen überflüssig macht.
Was ist der Unterschied zwischen MCP und einer klassischen API?
Eine klassische API richtet sich an Entwickler, die den Aufruf fest verdrahten. MCP richtet sich an das Modell: Der Server beschreibt jedes Tool in natürlicher Sprache, sodass der Agent zur Laufzeit selbst wählt, welches Werkzeug er nutzt. MCP ersetzt APIs nicht, sondern legt eine KI-lesbare Schicht darüber.
Ist MCP sicher genug für Unternehmensdaten?
Ja, bei sauberer Umsetzung. Reale Risiken sind Prompt Injection, Tool Poisoning und Token-Diebstahl. Seit Spec 2025-06-18 nutzt MCP OAuth 2.1 für Remote-Server. Entscheidend sind geprüfte Server, minimale Rechte, Freigaben für kritische Aktionen und Monitoring.
Wer steht hinter MCP?
Entwickelt von Anthropic, 2025 übernommen von OpenAI, Google DeepMind und Microsoft. Seit Dezember 2025 liegt das Protokoll bei der Agentic AI Foundation unter der Linux Foundation – herstellerneutral und offen weitergeführt.
Passende Themen
KI mit Ihren Systemen verbinden?
Wir bauen MCP-Server für Ihre Fachanwendung und binden KI-Agenten sicher an CRM, Datenbank und Co. an – mit klarem Rechte- und Sicherheitskonzept.
Projekt besprechen →