Ein Unternehmen hat einen KI-Assistenten für den Kundenservice eingeführt – er beantwortet Fragen gut, kann aber nicht ins CRM schauen, um den Status einer Bestellung zu prüfen. Um das zu beheben, schreiben Entwickler eine weitere nicht standardisierte Brücke: separater Integrationscode, der getrennt vom Modell gewartet werden muss. Beim dritten Tool beginnt die Logik zu bröckeln. MCP wurde entwickelt, um diesen Knoten ein für alle Mal zu durchschneiden.
Was ist MCP und warum ist es nicht einfach ein weiteres API?
#Model Context Protocol ist ein offener Standard (veröffentlicht von Anthropic 2024, seit 2025 von einem breiten Konsortium weiterentwickelt), der beschreibt, wie ein Client – also ein Modell oder Agent – mit einem Tool-Server kommuniziert. Jeder MCP-Server stellt einen Satz von Funktionen bereit: tools (aufzurufende Tools), resources (zu lesende Daten) und prompts (Vorlagen). Das Modell sieht eine Liste der verfügbaren Tools, wählt das passende aus und sendet einen strukturierten Aufruf (structured output). Der Server führt die Aktion aus und gibt das Ergebnis zurück.
Der entscheidende Unterschied zu einem rohen API: MCP ist ein Protokoll, keine Bibliothek. Das bedeutet, dass jedes Modell, das MCP unterstützt, mit jedem MCP-Server kommunizieren kann – ohne Code auf beiden Seiten neu schreiben zu müssen. Es ist wie USB: Das Kabel passt zu jedem Gerät, weil beide Seiten dieselbe Sprache sprechen.
Architektur: Client, Server und Host
#Das MCP-Ökosystem besteht aus drei Schichten:
- Host – Die Anwendung, die das Modell ausführt (Assistent, Agent, IDE). Sie verwaltet Sessions, Authentifizierung und Benutzerberechtigungen.
- MCP-Client – Der Teil des Hosts, der für die Verbindung zum Server und die Übersetzung der Modellantworten in Protokollaufrufe verantwortlich ist.
- MCP-Server – Ein leichter Prozess (lokal oder remote), der konkrete Tools bereitstellt: Zugriff auf Dateien, Datenbanken, externe System-APIs, semantische Suche.
In einer typischen Unternehmensimplementierung läuft der Host auf der Client-Seite oder auf einem internen Anwendungsserver, während die MCP-Server nahe an den Daten sitzen. Sensible Daten – zum Beispiel Dokumente mit PII – werden von einem lokal laufenden Server verarbeitet, ohne die Cloud zu verlassen (Self-Hosting).
Was MCP in der Praxis für Unternehmen verändert
#Ohne MCP ist jede Integration eines Agenten mit einem Unternehmenssystem ein separates Projekt: individueller Code, separate Dokumentation, separate Tests. Mit MCP reicht es, einmal einen Server zu schreiben und ihn jedem Agenten in der Organisation zur Verfügung zu stellen. Einige praktische Konsequenzen:
| Szenario | Ohne MCP | Mit MCP |
|---|---|---|
| Agent liest CRM | Individueller Parser pro Modell | Ein MCP-Server, jeder Client versteht ihn |
| Neues KI-Modell | Alle Integrationen neu schreiben | Client austauschen, Server bleiben unverändert |
| Audit von Tool-Aufrufen | Verteilte Logs an vielen Stellen | Zentrales Log auf der MCP-Ebene |
| Berechtigungen für Tools | Pro Integration kodiert | In Server-Konfiguration deklariert |
| Tool-Wechsel (z. B. andere Datenbank) | Änderung im Agenten-Code | Server ändern, Agent bleibt unverändert |
Für Teams, die mehrere Agenten betreiben, ist das keine subtile Verbesserung – es ist eine Größenordnung weniger Komplexität in der Wartung.
Sicherheit: Wo die Risiken lauern
#MCP senkt die Integrationskosten, erweitert aber gleichzeitig die Angriffsfläche – jeder Server ist ein neuer Einstiegspunkt. Beim Entwurf einer Implementierung müssen mehrere Ebenen adressiert werden:
Minimale Berechtigungen. Jeder MCP-Server sollte nur die Tools exponieren, die der Agent tatsächlich benötigt. Ein Server zum Lesen von FAQs sollte keinen Zugriff auf Tools haben, die Daten modifizieren. Regel: Keine Berechtigungen standardmäßig, nur das Nötigste hinzufügen.
Guardrails vor dem Aufruf. Bevor ein Tool-Aufruf ausgeführt wird, durchläuft der Agent einen Filter: Passt dieser Aufruf zum Aufgabenbereich? Versucht er, über erlaubte Ressourcen hinauszugehen? Sieht es nach einem Prompt-Injection-Angriff aus? Der Filter arbeitet unabhängig vom Modell, serverseitig.
Menschliche Aufsicht bei nicht umkehrbaren Aktionen. Das Löschen eines Datensatzes, das Versenden einer E-Mail, Änderungen im Produktionssystem – diese Aufrufe sollten nicht automatisch durchgehen. Ein Human-Gate stoppt die Ausführung und wartet auf die Bestätigung eines Operators. Derselbe Ansatz wie beim Design von Sicherheit für KI-Agenten.
Protokollierung jedes Aufrufs. MCP ermöglicht ein zentrales Log aller Operationen: wann, durch wen, welches Tool, mit welchen Argumenten, mit welchem Ergebnis. Ohne dieses Log gibt es keine Rechenschaftspflicht, wie sie von AI Act und RODO gefordert wird.
Isolation sensibler Daten. Server, die Dokumente mit PII verarbeiten, werden lokal betrieben. Die Daten verlassen nicht die Infrastruktur des Kunden – das Modell erhält nur verarbeitete, anonymisierte Ergebnisse.
MCP vs. RAG: Wann das eine, wann das andere?
#Häufig stellt sich die Frage: Ich habe bereits RAG – wozu brauche ich MCP? Das sind keine konkurrierenden, sondern komplementäre Schichten:
- RAG beantwortet die Frage: Was sollte das Modell wissen? Es extrahiert den relevanten Ausschnitt aus der Wissensdatenbank und fügt ihn in den Kontext ein (Embedding, Vector-DB, Reranking).
- MCP beantwortet die Frage: Was sollte das Modell tun? Es ruft ein Tool auf: Status prüfen, Datensatz erstellen, Anfrage senden.
In der Praxis sieht ein Agent mit RAG + MCP so aus: RAG liefert Kontext aus Dokumenten, MCP liefert aktuelle Daten aus Systemen und ermöglicht die Ausführung von Aktionen. Zusammen bauen sie einen Assistenten, der weiß und handeln kann – nicht nur redet.
Mehr über RAG selbst und wann Fine-Tuning die bessere Wahl ist, findest du im Artikel RAG vs. Fine-Tuning.
Wie man MCP im Unternehmen einführt
#Die Einführung muss nicht mit einem kompletten Rewrite beginnen. Praktische Reihenfolge:
- Identifiziere einen Prozess mit Integration. Suche nach einer Stelle, an der der Agent heute einen Menschen nach Daten fragen muss, die in einem Unternehmenssystem liegen – CRM, Produktdatenbank, Ticket-Warteschlange. Hilfreich ist dabei der Automatisierungs-Finder.
- Schreibe einen MCP-Server für diesen einen Anwendungsfall. Eine Minimalversion umfasst ein paar hundert Zeilen Code.
- Definiere Berechtigungen und Guardrails, bevor du in Produktion gehst. Welche Tools sind verfügbar? Welche erfordern eine Bestätigung? Was wird protokolliert?
- Miss die Ergebnisse des Piloten. Anzahl der Aufrufe, Fehler, Antwortzeit, wie oft das Human-Gate eine Aktion gestoppt hat.
- Füge weitere Server hinzu – jeder weitere ist günstiger, weil das Protokoll beiden Seiten bereits bekannt ist.
Kosten und Zeitaufwand hängen stark von der Komplexität der bestehenden Systeme ab. Berechne das vorher mit dem ROI-Rechner – die Schätzung wird genauer, wenn du weißt, wie viele Aufrufe der Agent monatlich plant und wie viel jede ersetzte Arbeitsstunde kostet.
Live ausprobieren
#Beschreibe die Integration, die du bauen möchtest, und das Modell hilft dir, die Architektur eines MCP-Servers mit Guardrails und Berechtigungsliste zu entwerfen (Playground: PII maskiert, keine Speicherung):
FAQ
#Was ist MCP und wofür wird es verwendet?
#MCP (Model Context Protocol) ist ein offener Kommunikationsstandard zwischen einem KI-Modell und externen Tools sowie Datensystemen. Es ermöglicht einem Agenten, Funktionen aufzurufen – z. B. einen Datensatz im CRM zu prüfen, eine Datei zu lesen oder eine API-Anfrage zu senden – auf standardisierte, auditierbare Weise. Dadurch funktioniert eine Integration mit jedem Modell, das das Protokoll unterstützt.
Ist MCP sicher für Unternehmensdaten?
#Die Sicherheit hängt davon ab, wie du den Server entwirfst. MCP selbst ist nur ein Protokoll – es erzwingt oder blockiert keine Berechtigungen. Eine sichere Implementierung erfordert: minimale Berechtigungen pro Server, Guardrails zur Filterung von Aufrufen, menschliche Bestätigung für nicht umkehrbare Aktionen und zentrales Logging. Sensible Daten werden von einem lokalen Server verarbeitet, der nichts in die Cloud sendet.
Was ist der Unterschied zwischen MCP und einem normalen API?
#Ein API ist die Schnittstelle eines bestimmten Systems, geschrieben für ein bestimmtes Modell. MCP ist ein Protokoll: Es beschreibt, wie jeder Client mit jedem Server kommunizieren kann, ohne Code auf irgendeiner Seite neu schreiben zu müssen. Der Wechsel des KI-Modells erfordert kein Neuschreiben der Integrationen – es reicht, wenn das neue Modell MCP unterstützt. Das ist derselbe Unterschied wie zwischen einem dedizierten Kabel und USB.
Brauche ich MCP, wenn ich bereits RAG habe?
#RAG und MCP lösen unterschiedliche Probleme. RAG liefert Kontext aus Dokumenten – das Modell weiß mehr, bevor es antwortet. MCP ermöglicht es dem Agenten, eine Aktion in einem externen System auszuführen. In einem vollständigen Agenten brauchst du beides: RAG für Wissen, MCP für Handlungen. Du kannst mit einem beginnen und das andere hinzufügen, wenn der Bedarf nach Integration mit operativen Systemen entsteht.
Wie viel kostet die Einführung von MCP und wo soll man anfangen?
#Die Kosten hängen von der Komplexität der Systeme ab, die du anbinden möchtest. Ein einfacher Server (Lesen einer Datenbank oder API) ist ein Projekt von wenigen Tagen. Komplexere Integrationen mit mehreren Systemen und erweiterten Guardrails erfordern einen längeren Piloten. Starte mit dem ROI-Rechner, um die Wirtschaftlichkeit zu bewerten, oder vereinbare eine Beratung über das Kontaktformular.