Model Context Protocol (MCP) : Chancen und Sicherheitsrisiken für KI-Agenten in der Cybersecurity

Was ist das Model Context Protocol (MCP)?

MCP bezeichnet einen offenen Kommunikationsstandard, der den Austausch zwischen KI-Systemen, Anwendungen und Datenquellen erleichtert. Entwickelt von Anthropic, wird MCP häufig als „USB-C für Large Language Models“ beschrieben. Ziel ist es, die heute noch sehr aufwendige Integration von KI-Agenten – insbesondere von LLMs – mit verschiedensten Tools und Plattformen zu vereinheitlichen. Bisher waren für jede Schnittstelle individuelle Adapter nötig, was zu einem kaum noch überschaubaren Kopplungsproblem führte. MCP löst dies durch eine M+N-Architektur ab, die sowohl die Skalierung als auch die Wartung vereinfacht.

Im Zentrum der MCP-Idee steht die Bereitstellung dynamischer Kontextinformationen: KI-Agenten sollen nicht mehr nur auf statische Daten und klar definierte Schnittstellen zugreifen, sondern flexibel und in Echtzeit mit unterschiedlichen Quellen und Werkzeugen interagieren können. Das eröffnet neue Möglichkeiten für Automatisierung und Effizienz – gerade im Bereich der Cybersicherheit.

Im Frühjahr 2025 wurde MCP auf der RSA Conference erstmals breit vorgestellt und stieß auf großes Interesse in der Security-Community. Seitdem wächst die Zahl verfügbarer MCP-Server und entsprechender Entwicklungsumgebungen rasant. Große Anbieter der KI- und Cybersecurity-Branche unterstützen die Entwicklung, und die Open-Source-Strategie fördert eine schnelle Verbreitung.

Architektur und Funktionsweise von MCP

MCP setzt auf eine klassische, aber für KI-Anwendungen optimierte Client-Server-Architektur. Die Kommunikation erfolgt meist über das JSON-RPC 2.0-Protokoll. Zentrale Prinzipien sind die strikte Trennung zwischen Datenabruf (Resources) und Aktionen (Tools) sowie die bidirektionale Kommunikation zwischen den Komponenten. Über Plug & Play werden neue Tools und Ressourcen dynamisch erkannt, was die Einbindung neuer Systeme erheblich vereinfacht.

Ein MCP-Host ist die zentrale KI-Anwendung – etwa ein SOC-Analysten-Tool oder eine generative KI-App. Dieser Host verwaltet die Verbindungen zu den verschiedenen MCP-Servern und steuert die Kommunikation zum verwendeten LLM. Der MCP-Client agiert als Konnektor, hält dedizierte Verbindungen zu einzelnen MCP-Servern, verwaltet Protokolldetails und ist für die Kommunikation zwischen Host-Anwendung und externen Systemen verantwortlich.

MCP-Server nehmen die Rolle des Übersetzers ein: Sie stellen Funktionen externer Systeme (APIs, Datenbanken, Workflows etc.) im MCP-Format bereit und übersetzen zwischen verschiedenen Datenformaten und Protokollen. Zentral ist dabei die Verwaltung von Zugriffsrechten und Berechtigungen.

Der Zugriff auf Daten (Resources) ist strikt von dem auf Funktionen (Tools) getrennt. Prompts – also vordefinierte Anweisungen und Workflows – strukturieren die komplexen Interaktionen. Die dynamische Initialisierung und das Zustandsmanagement sorgen für eine stets aktuelle Übersicht verfügbarer Fähigkeiten.

Vorteile von MCP für die Cybersecurity

Mit MCP lassen sich Sicherheitstools erheblich leichter in bestehende oder neue KI-Workflows integrieren. Die standardisierte Schnittstelle wirkt wie eine universelle Fernbedienung für KI-Agenten im Security Operations Center (SOC). Routineaufgaben wie Log-Analysen, Incident-Zusammenfassungen oder automatische Reaktionen auf Alarme können so automatisiert werden, während menschliche Analysten sich auf komplexere Aufgaben konzentrieren.

Der Einsatz von MCP ermöglicht die Abfrage und Korrelation von Logs aus SIEM-Systemen, die Integration mit SOAR-Plattformen sowie die Automatisierung vieler Standardprozesse. Dadurch können zentrale KPIs wie die Mean Time to Detect (MTTD) und die Mean Time to Respond (MTTR) deutlich verbessert werden. Zudem entfällt die Notwendigkeit, für jede neue Integration eigene Schnittstellen zu entwickeln – die Architektur ist LLM-agnostisch und flexibel.

Auch in anderen Sicherheitsbereichen, etwa bei Endpoint Detection and Response (EDR), Threat Intelligence oder Identity & Access Management (IAM), eröffnet MCP neue Möglichkeiten. KI-Agenten können den Status von Endpoints abfragen, Scans initiieren, Zugriffsprotokolle prüfen, Berechtigungen analysieren und Anomalien erkennen. Die Liste unterstützter Tools und Domänen wächst kontinuierlich.

Das Ende der Plattformisierung?

Mit MCP rückt die Vorstellung eines einheitlichen, von großen Anbietern dominierten Sicherheits-Stacks in den Hintergrund. Statt Daten zentral in Data-Lakes zu aggregieren, orchestriert MCP den Zugriff auf Werkzeuge und Informationen dezentral. So entsteht ein föderiertes Sicherheitsgeflecht, in dem Verantwortlichkeiten klar zwischen Agenten und Datenlieferanten getrennt sind.

Diese neue Flexibilität könnte den Druck auf klassische Aggregationslösungen wie XDR, SIEM und SOAR erhöhen. Statt zentralisierter Datenhaltung steht die intelligente Orchestrierung im Vordergrund. Unternehmen können so Best-of-Breed-Tools ohne Vendor-Lock-in kombinieren und individuelle Sicherheitsarchitekturen gestalten. Wirtschaftlich bedeutet das: Weniger Integrationsaufwand, geringere Kosten und neue Geschäftsmodelle rund um MCP-Server und deren Integration.

Sicherheitsrisiken durch MCP

Wo neue Schnittstellen entstehen, wächst auch die Angriffsfläche. MCP bringt erhebliche neue Sicherheitsrisiken mit sich, die Unternehmen nicht unterschätzen dürfen. Eine zentrale Gefahr geht von Prompt-Injection-Angriffen aus: Angreifer nutzen gezielt formulierte Eingaben, um KI-Agenten zu manipulieren und zum unerwünschten Datenzugriff oder zur Ausführung schädlicher Aktionen zu verleiten. Besonders kritisch sind versteckte Anweisungen, die nur von KI-Modellen interpretiert werden.

Auch indirekte Angriffe über externe Plattformen sind möglich: So konnten Sicherheitsforscher zeigen, wie manipulierte Prompts über öffentliche GitHub-Repositories in MCP-Workflows eingeschleust werden und Agenten dazu bringen, vertrauliche Daten preiszugeben oder Kettenreaktionen auszulösen.

Ein weiteres Risiko sind Command-Injection-Schwachstellen. Fehlt eine sorgfältige Input-Validierung, können Angreifer über MCP-Server Befehle in andere Systeme einschleusen – bis hin zur Ausführung von Schadcode. Data-Poisoning-Attacken, bei denen KI-Agenten mit manipulierten Daten versorgt werden, beeinträchtigen die Entscheidungsfindung oft subtil, aber nachhaltig.

Die Mandantentrennung (Tenant Isolation) ist ein häufig unterschätztes Problem: Bereits entdeckte Schwachstellen (z. B. bei Asana-MCP-Servern) zeigen, wie leicht Daten von einer Nutzergruppe für andere zugänglich werden können. Supply-Chain-Attacken auf MCP-Server, Verkettungen mehrerer Server zu komplexen Angriffsketten sowie klassische Schwachstellen wie unzureichende Authentifizierung und offene Server runden das Bild ab.

Schutzmaßnahmen und Best Practices

Um die Risiken zu begrenzen, sind umfassende Schutzmaßnahmen erforderlich. Unternehmen sollten vor der Installation sämtliche MCP-Server sorgfältig prüfen. Ein kontinuierliches Monitoring aller Aktivitäten und Interaktionen ist unverzichtbar. Starke Authentifizierung, strikte Nutzerfreigaben und regelmäßige Sicherheitsaudits gehören zum Pflichtprogramm.

Das Least-Privilege-Prinzip muss konsequent umgesetzt werden: KI-Agenten und MCP-Server erhalten nur die absolut notwendigen Berechtigungen. Kritische Aktionen sollten, wo immer möglich, einer finalen menschlichen Überprüfung unterliegen (Human-in-the-Loop). So lässt sich der Schaden bei einem Angriff begrenzen und das Fehlerrisiko reduzieren.

Wichtige technische Maßnahmen sind die Echtzeit-Filterung von Eingaben, die Validierung aller Prompts und die Nutzung parametrisierter Befehle. Robuste Authentifizierungsmechanismen, Multi-Faktor-Authentifizierung und die verschlüsselte Übertragung sensibler Daten sind ebenso unerlässlich wie die strikte Mandantentrennung. MCP-Server sollten ausschließlich aus vertrauenswürdigen Quellen bezogen und regelmäßig aktualisiert werden. Spezielle Lösungen wie MCP-Privileged-Access-Management (MCP-PAM) und AI-Security-Posture-Management (AI-SPM) können zusätzliche Sicherheit bieten.

Nicht zu unterschätzen ist die Bedeutung von Governance und klaren Richtlinien. Unternehmen müssen Leitplanken für automatisierte Aktionen definieren, regulatorische Vorgaben (wie EU AI Act oder NIS-2) einhalten und alle MCP-Implementierungen dokumentieren.

Schulung, Awareness und organisatorische Aspekte

Technische Maßnahmen allein reichen nicht aus. Die Belegschaft muss für neue Angriffsvektoren wie Prompt-Injection und Data-Poisoning sensibilisiert werden. Nur wer die Möglichkeiten und Grenzen von KI-Agenten versteht, kann Fehlfunktionen oder Risiken erkennen. Schulungen zu MCP-Architektur, Erkennung von Anomalien und Reaktion auf Vorfälle sind Pflicht. Verantwortlichkeiten sollten klar benannt, Ansprechpartner verfügbar und Feedback-Mechanismen etabliert sein. Eine Security-Kultur, in der Sicherheit von Beginn an mitgedacht wird, ist essenziell für den Erfolg jeder MCP-Integration.

Regulatorische und Compliance-Aspekte

Die Nutzung von MCP bringt auch neue Anforderungen im Hinblick auf Datenschutz, Compliance und Haftung mit sich. Die Einhaltung des EU AI Act, der NIS-2-Richtlinie für kritische Infrastrukturen sowie der DSGVO ist zwingend. Unternehmen müssen Datenflüsse zwischen MCP-Servern kontrollieren, den Umfang der Datenverarbeitung minimieren und die Transparenz über die Datennutzung durch KI-Agenten sicherstellen. Bei KI-bedingten Fehlern gilt es, Verantwortlichkeiten zu klären und die Nachvollziehbarkeit aller Entscheidungen zu gewährleisten.

Alternativen zu MCP und Marktentwicklung

Neben MCP existieren proprietäre APIs und Integrations-Frameworks großer Anbieter, die oft tiefere Sicherheit bieten, aber mit Nachteilen wie Vendor-Lock-in und geringerer Flexibilität verbunden sind. Google und Partner verfolgen mit dem Agent-to-Agent-Protocol (A2A) einen anderen Ansatz, der stärker auf Interoperabilität zwischen Agenten abzielt. Entwicklungsplattformen wie LangChain oder experimentelle Protokolle bieten weitere Alternativen, erreichen aber meist nicht die Standardisierung von MCP. Der Markt bewegt sich schnell, und MCP entwickelt sich zunehmend zum De-facto-Standard.

Zukunftsausblick und Entwicklungstrends

Mit der weiteren Verbesserung von LLMs und spezialisierten Sicherheitslösungen übernehmen KI-Agenten immer komplexere Aufgaben. MCP-PAM und AI-SPM werden die Verwaltung und Absicherung von Agenten vereinfachen. Zertifizierte MCP-Server, standardisierte Sicherheitsprotokolle und vertrauenswürdige „App-Stores“ könnten die Zuverlässigkeit steigern. Die Rolle klassischer SIEM-, SOAR- und XDR-Systeme verändert sich, während spezialisierte Anbieter und neue Geschäftsmodelle entstehen.

Der Einstieg in MCP sollte schrittweise und mit Pilotprojekten in unkritischen Bereichen erfolgen. Eine gründliche Risikobewertung, die Integration in bestehende Architekturen sowie der gezielte Aufbau interner Kompetenzen sind erfolgsentscheidend. Wichtig ist die Auswahl von Prozessen mit hohem Automatisierungspotenzial unter Berücksichtigung regulatorischer Anforderungen. Die technische Infrastruktur muss stabil, skalierbar und ausfallsicher sein. Richtlinien und Zuständigkeiten sind klar zu definieren, und die Erfolgskontrolle sollte über relevante KPIs erfolgen.

Fazit: Ambiguitätstoleranz und kritische Reflexion

MCP bietet erhebliche Chancen für die Automatisierung und Effizienzsteigerung in der Cybersecurity. Gleichzeitig entstehen neue, zum Teil schwerwiegende Risiken, die nicht ignoriert werden dürfen. Der Schlüssel liegt in einer ausgewogenen Strategie, die Innovation, Sicherheit und regulatorische Anforderungen miteinander verbindet. Unternehmen sollten sich nicht von Versprechen blenden lassen, sondern den Einsatz von MCP kritisch und reflektiert gestalten. Menschliche Kontrolle, qualifizierte Mitarbeitende, robuste Technik und klare Governance sind die Basis für einen erfolgreichen und sicheren Einsatz.

(Dieser Artikel basiert auf Inhalten aus dem <kes>-Archiv sowie externen Fachquellen. Er wurde mithilfe von KI erstellt und durch die Redaktion geprüft.)

Literaturverzeichnis

Paula Hemker, Thomas Hemker: „Nützlich, aber gefährlich – Betrachtungen zum Model-Context-Protocol für den Cybersecurity-Einsatz und als Sicherheitsproblem“, <kes> 2025#6, www.kes-informationssicherheit.de/print/titelthema-ki-cybersecurity/model-context-protocol-cybersecurity/

Michael Pietsch: „Umsicht und Aufsicht – Ansätze zur Kontrolle von KI-Agenten“, <kes> 2025#6, www.kes-informationssicherheit.de/print/titelthema-ki-cybersecurity/ki-kontrolle/

Anthropic / Model Context Protocol Community: „MCP-Specification, Juni 2025“, https://modelcontextprotocol.io/specification/2025-06-18/

Marco Milanta, Luca Beurer-Kellner: „GitHub MCP Exploited: Accessing private repositories via MCP“, Invarianlabs Blog, Mai 2025, https://invariantlabs.ai/blog/mcp-github-vulnerability

Howard Solomon: „MCP-Bug bei Asana könnte Unternehmensdaten offengelegt haben“, CSO online, Juni 2025, www.csoonline.com/article/4011023/

Avi Lumelsky: „Critical RCE Vulnerability in Anthropic MCP Inspector – CVE-2025-49596“, Oligo Security Research Blog, Juni 2025, www.oligo.security/blog/critical-rce-vulnerability-in-anthropic-mcp-inspector-cve-2025-49596

Kenny Park: „MCP PAM as the Next Step Beyond Guardrails“, QueryPie Whitepaper, April 2025, www.querypie.com/features/documentation/white-paper/16/next-step-mcp-pam