MCP · 10 Min.
Model Context Protocol fuer Unternehmen: Wie MCP Agenten wirklich anschlussfaehig macht
MCP ist nicht nur ein neuer Integrationsstandard. Fuer Unternehmen ist es die Frage, wie KI-Agenten kontrolliert mit Daten, Tools und Workflows arbeiten duerfen.
SYSTEMS Grafik zu Model Context Protocol: Context -> Tools -> Control. Fokus: Wie Unternehmen MCP nicht als Tool-Hype, sondern als kontrollierte Integrationsschicht fuer KI-Agenten aufbauen.
Kurzfassung
Das Model Context Protocol standardisiert, wie AI-Anwendungen externe Tools, Datenquellen und Workflows erreichen. Fuer Unternehmen ist MCP keine Abkuerzung um Governance herum, sondern ein neuer Ort fuer Rechte, Rollen, Logging und Freigaben. Der Unterschied zwischen einem guten und einem riskanten MCP-Setup liegt in Tool-Design, Scope-Minimierung, Auth, Evals und klarer Runtime-Ownership.
Strategischer Lesepfad
Baue das Thema im passenden Cluster weiter aus und verknüpfe es mit den nächsten Architekturentscheidungen.
Warum MCP gerade so wichtig wird Viele Unternehmen haben inzwischen verstanden, dass ein Modell allein noch kein produktiver Agent ist. Ein Modell kann formulieren, analysieren und planen. Aber echte Arbeit entsteht erst, wenn der Agent Systeme erreichen kann: CRM, Kalender, Tickets, Datenbanken, Dokumente, Repositories, Analytics, interne APIs.
Genau an dieser Stelle setzt das Model Context Protocol an. MCP schafft eine Standardschicht zwischen AI-Anwendung und externen Systemen. Statt jede Integration fuer jedes Modell neu zu bauen, stellt ein MCP-Server Kontext, Tools oder Prompts bereit. Der Client kann diese Faehigkeiten entdecken und nutzen.
Das klingt technisch. Der Business-Punkt ist aber einfach: Ohne kontrollierten Tool-Zugriff bleibt KI Beratung. Mit kontrolliertem Tool-Zugriff wird KI Arbeitsinfrastruktur.
Der Fehler waere, MCP als Plugin-Katalog zu sehen. Der richtige Blick ist: MCP ist eine Berechtigungsschicht fuer Agenten.
Was MCP wirklich standardisiert MCP folgt einer Client-Server-Architektur. Eine AI-Anwendung ist der Host. Sie verbindet sich ueber MCP-Clients mit einem oder mehreren MCP-Servern. Diese Server stellen Funktionen und Kontext bereit.
Die wichtigsten Bausteine:
Fuer Teams ist besonders wichtig, dass MCP nicht vorschreibt, wie das Modell denkt. MCP beschreibt, wie Kontext und Werkzeuge strukturiert angeboten werden. Die eigentliche Agentenlogik, Freigabe-Logik und Bewertung der Ergebnisse bleiben Architekturarbeit.
Tools: ausfuehrbare Funktionen, zum Beispiel Ticket suchen, Lead anlegen oder Report erzeugen Resources: Datenquellen, zum Beispiel Dateien, Datenbankinhalte oder API-Ergebnisse Prompts: wiederverwendbare Interaktionsmuster, die ein Server bereitstellen kann Transport: lokale Prozesse per stdio oder Remote-Verbindungen per HTTP Lifecycle: Initialisierung, Faehigkeitsverhandlung, Tool-Discovery und Status
Remote MCP veraendert die Enterprise-Frage Lokale MCP-Server sind stark fuer Entwickler-Workflows. Remote MCP wird fuer Unternehmen spannender, weil ein Server zentral betrieben, beobachtet und abgesichert werden kann.
Ein Remote-MCP-Server kann beispielsweise CRM-Daten bereitstellen, aber nur fuer Nutzer mit passenden Rollen. Er kann Schreibaktionen in ein internes System vorbereiten, aber erst nach Freigabe ausfuehren. Er kann Audit-Events schreiben, bevor ein Agent sensible Informationen abfragt.
Damit verschiebt sich die Frage:
OpenAI unterstuetzt Remote MCP in der Responses API . Anthropic bindet MCP stark in Claude Code und Claude-Workflows ein. Das zeigt die Richtung: MCP wird zu einer gemeinsamen Integrationssprache fuer Agenten. Gerade deshalb darf die Architektur nicht nebenbei entstehen.
Nicht: "Kann der Agent HubSpot, Jira oder Google Drive nutzen?" Sondern: "Unter welchen Bedingungen darf welcher Agent welche Operation in welchem System ausloesen?"
Tool-Design: Lesen, Vorschlagen, Schreiben trennen Der wichtigste MCP-Fehler ist ein zu grobes Tool.
Ein Tool namens `update_customer` klingt praktisch, ist aber gefaehrlich, wenn es viele Felder aendern kann. Ein Agent braucht klare, kleine und beobachtbare Werkzeuge. Gute MCP-Tools sind nah an echten Business-Aktionen, aber eng genug, um Risiken zu begrenzen.
Ein sinnvolles Schema:
So wird Autonomie nicht blind. Der Agent kann Arbeit vorbereiten, aber riskante Schritte laufen durch definierte Gates.
read tools: der Agent darf Informationen abrufen draft tools: der Agent erstellt Entwuerfe, aber nichts wird versendet prepare tools: der Agent baut eine Aktion mit Parametern vor execute tools: der Agent schreibt oder sendet wirklich escalation tools: der Agent fordert Freigabe oder menschliche Entscheidung an
Security: MCP macht Risiken sichtbarer, nicht kleiner MCP-Security ist kein Randthema. Ein Agent, der Daten lesen kann, kann falsche Daten interpretieren. Ein Agent, der schreiben kann, kann falsche Aktionen ausloesen. Ein Agent, der untrusted Content liest, kann Prompt Injection aufnehmen.
Die offiziellen MCP-Security-Hinweise nennen mehrere relevante Angriffsklassen, unter anderem Confused Deputy, Token Passthrough, SSRF, Session-Hijacking und Scope-Probleme. Fuer Unternehmen heisst das: Ein MCP-Server ist eine produktive Integrationsoberflaeche und gehoert entsprechend behandelt.
Ein gutes MCP-Sicherheitsmodell braucht:
MCP beseitigt Sicherheitsarbeit nicht. Es gibt ihr einen Standard-Ort.
OAuth oder gleichwertige Authentifizierung fuer Remote-Zugriff per-user Authorization statt pauschaler Service-Rechte getrennte Scopes fuer Lesen und Schreiben Allowlist fuer Tools und Zielsysteme Input- und Output-Validierung Audit-Logs fuer Tool-Discovery und Tool-Ausfuehrung Schutz gegen untrusted Content und Prompt Injection klare Session-Grenzen
Governance: Wer besitzt den MCP-Server? In vielen Firmen wuerde ein MCP-Server zuerst vom AI-Team gebaut. Das ist okay fuer den Start, aber im Betrieb reicht es nicht.
Ein produktiver MCP-Server beruehrt mehrere Owner:
Ohne diese Ownership wird MCP schnell zur Schattenintegration. Mit sauberer Ownership wird MCP zu einer wiederverwendbaren Agenten-Infrastruktur.
Fachbereich: Welche Aktionen sind sinnvoll? IT: Welche Systeme duerfen angebunden werden? Security: Welche Scopes, Tokens und Logs sind noetig? Legal/Compliance: Welche Daten duerfen in welchen Kontext? Operations: Wer reagiert auf Fehler, Latenz und Ausfaelle? Finance: Welche Kosten entstehen durch Tool-Nutzung?
Eine Enterprise-MCP-Architektur in sieben Schichten Fuer ein produktives Unternehmen wuerden wir MCP nicht als einzelnes Paket einfuehren, sondern als Schichtenmodell.
1. Use-Case-Schicht: Welche konkreten Aufgaben soll der Agent erledigen? 2. Rollen-Schicht: Welche Nutzer, Teams oder Kunden duerfen was anfragen? 3. Tool-Schicht: Welche MCP-Tools existieren und wie eng sind sie geschnitten? 4. Daten-Schicht: Welche Ressourcen sind erlaubt, aktuell und mandantensicher? 5. Freigabe-Schicht: Welche Aktionen brauchen Human-in-the-loop ? 6. Observability -Schicht: Welche Tool Calls, Fehler, Kosten und Ergebnisse werden geloggt? 7. Eval-Schicht: Welche Testfaelle zeigen, dass der Agent korrekt und sicher arbeitet?
Diese Schichten verhindern, dass MCP nur technisch funktioniert. Sie sorgen dafuer, dass es betrieblich fuehrbar bleibt.
Wann ein Unternehmen noch keinen MCP-Server bauen sollte MCP ist stark, aber nicht fuer jeden Startpunkt die richtige erste Massnahme.
Noch nicht bauen, wenn:
In solchen Faellen ist der bessere erste Schritt ein Workflow-Blueprint. Erst wenn klar ist, welche Aufgabe wirklich delegiert werden soll, lohnt sich die MCP-Schicht.
der Workflow fachlich nicht stabil beschrieben ist unklar ist, welche Daten autoritativ sind es keine Rollen- oder Mandantengrenzen gibt das Tool direkt schreiben soll, aber keine Freigabe existiert kein Logging fuer Tool Calls geplant ist niemand den Betrieb nach dem Launch besitzt
Der SYSTEMS-Blick auf MCP MCP ist einer der wichtigsten Bausteine fuer die naechste Generation von KI-Agenten. Aber der Wert entsteht nicht dadurch, dass ein Modell "mehr Tools" bekommt. Der Wert entsteht, wenn Tools in ein Betriebssystem fuer Arbeit eingebettet werden.
SYSTEMS betrachtet MCP deshalb als Teil einer groesseren AI-Architektur: Kontext, Tools, Memory, Freigaben, Evals, Kostenkontrolle und Observability gehoeren zusammen.
Wer MCP sauber baut, bekommt nicht nur bessere Integrationen. Er bekommt Agenten, die kontrolliert handeln koennen. Genau dort beginnt der Unterschied zwischen KI-Demo und produktiver AI-Infrastruktur.