MCP · 9 Min.
Model Context Protocol 2026: Warum Streamable HTTP fuer Unternehmen wichtig ist
MCP entwickelt sich vom lokalen Entwicklerstandard zur Enterprise-Integrationsschicht. Streamable HTTP ist dafuer ein wichtiger Schritt.
SYSTEMS Grafik zu Model Context Protocol 2026: Context -> Tools -> Control. Fokus: Was sich bei MCP technisch veraendert und was Unternehmen fuer produktive Remote-MCP-Server beachten muessen.
Kurzfassung
MCP bleibt nicht nur ein lokales Entwicklerprotokoll: Remote-MCP-Server werden fuer Enterprise-Agenten immer relevanter. Streamable HTTP ersetzt im aktuellen MCP-Protokoll den alten HTTP+SSE-Transport und macht zentrale Server, Sessions und Streaming sauberer planbar. Fuer Unternehmen ist der Transport kein Detail, sondern eine Architekturentscheidung fuer Security, Firewalls, Observability und Betriebsverantwortung.
Strategischer Lesepfad
Baue das Thema im passenden Cluster weiter aus und verknüpfe es mit den nächsten Architekturentscheidungen.
Warum dieses MCP-Update mehr ist als ein Protokoll-Detail Das Model Context Protocol wurde zuerst oft als praktische Moeglichkeit verstanden, Claude, lokale Tools oder Entwicklerumgebungen mit externen Daten zu verbinden. Inzwischen ist die Frage groesser: Wie verbinden Unternehmen KI-Agenten kontrolliert mit produktiven Systemen?
Genau dafuer ist der Transport wichtig.
Ein lokaler MCP -Server ueber stdio ist stark fuer Developer-Workflows. Ein Remote-MCP-Server ueber HTTP ist relevanter fuer Unternehmen, weil er zentral betrieben, abgesichert, versioniert und beobachtet werden kann. Das ist der Unterschied zwischen einem nuetzlichen lokalen Adapter und einer echten Integrationsschicht fuer AI-Systeme.
Die aktuelle MCP-Spezifikation nennt zwei Standard-Transporte: stdio und Streamable HTTP. Das ist fuer Teams ein Signal: MCP wandert von lokalen Experimenten in Richtung verteilte Infrastruktur.
Was Streamable HTTP praktisch veraendert Streamable HTTP ersetzt den alten HTTP+SSE-Transport aus einer frueheren Protokollversion. Der neue Ansatz arbeitet mit einem zentralen MCP-Endpunkt, der POST und GET unterstuetzen kann. Antworten koennen als JSON oder ueber Server-Sent Events gestreamt werden.
Das klingt technisch, hat aber direkte Enterprise-Auswirkungen:
Fuer produktive Agenten ist das wichtig, weil Tool Calls selten perfekte Einmal-Antworten sind. Ein Agent fragt an, ein Server verarbeitet, ein externer Dienst antwortet langsam, ein Stream bricht ab, eine Session laeuft ab. Genau solche Betriebsfaelle muessen sichtbar und steuerbar sein.
ein MCP-Server kann als eigenstaendiger Service betrieben werden mehrere Clients koennen kontrolliert angebunden werden Streaming bleibt moeglich, wenn ein Tool laenger arbeitet Sessions koennen ueber Header verwaltet werden Unterbrechungen koennen robuster behandelt werden alte HTTP+SSE-Server koennen ueber Rueckwaertskompatibilitaet migriert werden
Warum Firewalls und Hosting ploetzlich mitreden Sobald MCP remote wird, ist es kein reines AI-Thema mehr. Dann reden Netzwerk, Security und Plattformbetrieb mit.
Ein Remote-MCP-Server braucht eine klare Antwort auf Fragen wie:
Wenn diese Fragen offen bleiben, wird MCP zur Schatten-API. Wenn sie sauber beantwortet sind, wird MCP zu einer kontrollierten Tool-Schicht fuer Agenten.
Liegt der Server im internen Netzwerk oder extern? Welche Clients duerfen den MCP-Endpunkt erreichen? Welche Authentifizierung gilt pro Nutzer oder Workspace? Welche Origins werden akzeptiert? Welche Rate Limits und Timeouts gelten? Werden GET-Streams durch Proxy, CDN oder Firewall sauber unterstuetzt? Wie werden Session-IDs erzeugt, rotiert und geloescht? Welche Logs duerfen sensible Tool-Parameter enthalten?
Security: Origin, Auth und lokale Server ernst nehmen Die MCP-Spezifikation weist bei Streamable HTTP ausdruecklich auf Sicherheitsrisiken hin. Besonders relevant sind Origin-Validierung, localhost-Bindings fuer lokale Server und Authentifizierung fuer Verbindungen.
Das ist fuer Unternehmen kein Nebensatz.
Ein lokaler MCP-Server, der zu breit im Netzwerk lauscht, kann zur Angriffsoberflaeche werden. Ein Remote-Server ohne saubere Auth kann Datenquellen oeffnen, die ein Agent nie sehen sollte. Ein Server ohne Origin-Check kann in falschen Browser- oder Web-Kontexten missbraucht werden.
Ein produktiver MCP-Server sollte mindestens:
MCP ist ein Standard fuer Verbindung. Security bleibt Architekturarbeit.
eingehende Origins validieren Auth pro Nutzer oder Workspace erzwingen Scopes fuer Lesen und Schreiben trennen Tool-Inputs validieren Tool-Outputs auf sensible Daten pruefen Session-IDs kurzlebig und eindeutig halten Fehler ohne Secret-Leaks protokollieren alte Transports nur bewusst und befristet unterstuetzen
Remote MCP in OpenAI-Workflows OpenAI dokumentiert MCP als Weg, externe Tools und Connectors in API- und ChatGPT-App-Kontexte einzubinden. Fuer Unternehmen ist daran spannend, dass MCP nicht mehr nur in einem Anbieter-Tool lebt. Es wird zu einer gemeinsamen Integrationssprache.
Die Architekturfrage lautet dann:
Offizielle Connectors koennen schnell sein. Eigene Remote-MCP-Server sind sinnvoll, wenn Daten, Rollen, Freigaben und Business-Logik unter eigener Kontrolle bleiben muessen.
Nutzen wir einen offiziellen Connector? Bauen wir einen eigenen Remote-MCP-Server? Betreiben wir mehrere Server pro Fachbereich? Trennen wir interne Tools, Kunden-Tools und Admin-Tools? Wie testen wir, ob ein Agent ein Tool korrekt nutzt?
Der richtige Enterprise-Schnitt fuer MCP-Server Ein guter MCP-Server ist nicht einfach ein Wrapper um interne APIs.
Er sollte Business-Aktionen sauber schneiden:
So bleibt das Tool fuer den Agenten nuetzlich, ohne dass das Unternehmen rohe Systemrechte weitergibt.
Der Punkt ist nicht, jeden moeglichen API-Endpunkt als MCP-Tool freizugeben. Der Punkt ist, die wenigen Aktionen zu definieren, die ein Agent wirklich sicher und messbar nutzen soll.
`get_customer_summary` statt freier Datenbankzugriff `draft_follow_up_email` statt direkte Email-Ausfuehrung `prepare_invoice_review` statt sofortiger Buchung `search_policy_documents` statt Zugriff auf alle Dokumente `request_human_approval` statt stiller Eskalation im Chat
Migration: HTTP+SSE nicht blind mitschleppen Viele fruehe MCP-Implementierungen oder Beispiele koennen noch an alten Transportmustern haengen. Fuer neue Enterprise-Setups sollte das Team bewusst pruefen, ob Streamable HTTP direkt der Standard wird.
Eine pragmatische Migrationslogik:
1. Inventar: Welche MCP-Server existieren lokal oder remote? 2. Transport: stdio, altes HTTP+SSE oder Streamable HTTP? 3. Risiko: Welche Server haben Schreibrechte oder sensible Daten? 4. Kompatibilitaet: Welche Clients brauchen alten Transport noch? 5. Zielbild: Welche Server werden zentral betrieben? 6. Monitoring: Welche Tool Calls, Latenzen und Fehler werden gemessen? 7. Evals: Welche Tests pruefen Tool-Auswahl und Ergebnisqualitaet?
Damit wird MCP nicht nur technisch aktualisiert, sondern betrieblich sauberer.
Der SYSTEMS-Blick auf MCP 2026 MCP 2026 ist ein Infrastrukturthema. Wer nur fragt, wie man einen Server startet, denkt zu klein. Unternehmen muessen fragen, welche Aufgaben Agenten ueberhaupt mit Tools erledigen duerfen, welche Daten sie sehen, welche Aktionen Freigabe brauchen und wer den Betrieb verantwortet.
Streamable HTTP macht Remote-MCP-Server attraktiver. Aber es macht auch sichtbar, dass AI-Agenten wie verteilte Systeme behandelt werden muessen.
SYSTEMS plant MCP deshalb nicht als Plugin-Liste, sondern als Architektur: Tool-Schnitt, Auth, Transport, Observability , Freigaben, Evals und Rollout. Erst dann wird MCP zu einer Schicht, auf der Agenten produktiv arbeiten koennen.