Model Context Protocol (MCP) ist ein offener Standard, der es KI-Systemen ermöglicht, sich über eine strukturierte Client-Server-Schnittstelle mit externen Datenquellen, Tools und Unternehmensanwendungen zu verbinden. Es bietet KI-Modellen und -Agenten eine konsistente Möglichkeit, Kontext anzufordern und genehmigte Funktionen aufzurufen, ohne dass jede KI-Anwendung benutzerdefinierte Integrationen für jedes Downstream-System erstellen muss.
MCP wurde Ende 2024 von Anthropic eingeführt und reagiert auf eine wachsende Integrationsherausforderung. Da Unternehmen KI-Agenten einsetzen, die Zugriff auf interne Daten, APIs und Betriebssysteme benötigen, wird es schnell schwierig, Punkt-zu-Punkt-Integrationen zu skalieren und zu steuern. MCP führt ein gemeinsames Protokoll ein, das standardisiert, wie diese Verbindungen hergestellt werden.
MCP definiert ein standardisiertes Protokoll dafür, wie KI-Systeme Kontext austauschen und externe Tools aufrufen. Das Kernprotokoll konzentriert sich auf den strukturierten Datenaustausch und geht von sicheren zugrundeliegenden Transportmechanismen aus, ist aber unabhängig von Autorisierungen und überlässt Zugriffskontrollentscheidungen ausschließlich den Serverimplementierungen. Dieses Design überträgt die Verantwortung für die Durchsetzung effektiver Identitätskontrollen auf den Systemen, die MCP enthalten.
Wofür steht MCP in KI?
Im Bereich der künstlichen Intelligenz ermöglicht das Model Context Protocol KI-Modellen, strukturierten Kontext zu empfangen und definierte Tools aufzurufen, um Aufgaben präzise und effizient zu erledigen.
MCP definiert kein zentralisiertes Modell für die Ausstellung oder den Lebenszyklus von Anmeldedaten. Es bietet eine Standardschnittstelle für KI-Anwendungen, um zugelassene Ressourcen zu entdecken und mit diesen zu interagieren.
Wie KI-Systeme und MCP zusammenarbeiten
MCP verwendet eine Client-Server-Architektur, um KI-Systeme auf kontrollierte und vorhersehbare Weise mit externen Ressourcen zu verbinden.
- MCP-Hosts: Anwendungen oder Umgebungen, die MCP-Verbindungen verwalten und den Laufzeitkontext für KI-Modelle bereitstellen (z. B. IDEs wie VS Code, Desktop-Apps wie Claude oder interne Chatbots).
- MCP-Clients: In Host-Anwendungen eingebettete Protokollclients, die Anfragen zwischen KI-Modellen oder Agenten und MCP-Servern vermitteln. Der Kunde kümmert sich im Namen des KI-Systems um die Anforderungsformatierung, den Toolaufruf und die Antwortbearbeitung.
- MCP-Server: Stellen Sie diesen Clients bestimmte Funktionen zur Verfügung. Jeder Server definiert eine Reihe von Tools, die explizite Aktionen oder Abfragen darstellen, die der Server für KI-Systeme zum Aufrufen bereitstellt. Ein Tool könnte es einem Agenten ermöglichen, eine Datenbank abzufragen, ein Dokument abzurufen oder eine externe API aufzurufen. Die Tools sind bewusst so angelegt, dass sie den Zugriff auf das Notwendige beschränken.
Wenn ein KI-Agent Informationen benötigt oder eine Aktion ergreift, sendet der MCP-Client eine Anfrage an den entsprechenden MCP-Server. Der Server führt die zulässige Operation aus und gibt eine strukturierte Antwort zurück.
MCP standardisiert diesen Austausch, aber es endet auf der Konnektivitätsebene. Es legt nicht fest, wer der KI-Agent ist, was er systemübergreifend tun darf oder wie sein Verhalten im Laufe der Zeit gesteuert werden sollte.
Die Sicherheitslücke für KI-Agenten in MCP
Warum MCP neue Identitätsrisiken einführt.
Viele KI-Agenten verhalten sich anders als herkömmliche Anwendungen. Sie können kontinuierlich arbeiten, autonome Entscheidungen treffen und in schneller Folge mit mehreren Systemen interagieren. Ein Agent kann innerhalb einer einzigen Aufgabe Daten analysieren, Workflows auslösen und Datensätze ändern, ohne dass für jede Aktion eine ausdrückliche menschliche Genehmigung erforderlich ist.
Wenn MCP verwendet wird, um einen Agenten mit Unternehmenssystemen zu verbinden, wird der Agent aus Sicherheitsgründen quasi zu einer nicht-menschlichen Identität (NHI). Es arbeitet unabhängig, bleibt über eine Benutzer-Session hinaus bestehen und kann mit Maschinengeschwindigkeit auf sensible Ressourcen zugreifen.
Herkömmliche Identitäts- und Zugriffsmanagement-Modelle (IAM) berücksichtigen dieses Verhalten nicht.
Warum traditionelle IAM-Verfahren für KI-Agenten versagen
Die meisten IAM-Systeme gehen von einem menschlichen Benutzer aus, der sich einmal authentifiziert und in einer vorhersehbaren Rolle agiert. KI-Agenten brechen diese Annahmen.
- Zugriffsanforderungen werden von nichtdeterministischen Überlegungen bestimmt: KI-Agenten wählen Tools dynamisch auf der Grundlage ihrer Argumentationskette aus, wodurch ihre Zugriffsmuster unvorhersehbar werden.
- Das verwirrte Deputy-Risiko: Da die MCP-Server davon ausgehen, dass der Client autorisiert ist, könnte ein Agent (per Prompt-Injection) so manipuliert werden, dass er seine gültige MCP-Verbindung verwendet, um nicht autorisierte Aktionen auszuführen.
- Kontextabhängige Berechtigungen: Ein Agent benötigt für eine Aufgabe möglicherweise Lesezugriff auf eine Datenbank, für eine andere jedoch Schreibzugriff. Traditionelle, statische Rollen können mit dieser Dynamik nicht ohne Weiteres umgehen.
Einem KI-Agenten eine statische Rolle zuzuweisen (z. B. Marketing oder Entwickler) spiegelt nicht wider, wie er tatsächlich arbeitet. Dies führt häufig zu übermäßigen Zugriffsrechten, fragmentierter Transparenz und erhöhtem Risiko.
Die fehlende Ebene: Keine zentrale Identität für KI-Agenten
MCP-Server können lokale Autorisierungsprüfungen implementieren, aber das Protokoll erzwingt nicht von Natur aus ein zentralisiertes Identity-Modell für eine verteilte Serverflotte.
Dezentralisierung kann eine fragmentierte Sicherheitslandschaft schaffen, in der:
- Jeder MCP-Server setzt die Sicherheit auf unterschiedliche Weise durch.
- Es gibt keine zentrale Informationsquelle für den Agentenzugriff
- Audit-Logs sind über alle Systeme verteilt
- Incident Response kann langsam und unvollständig verlaufen.
- Compliance-Berichte erfordern eine manuelle Korrelation
.
Diese Herausforderung spiegelt frühere Phasen der Cloud- und Anwendungseinführung wider, in denen die Konnektivität schneller skaliert wurde als die Identity Governance.
Die Sicherung von MCP mit einer Identitätskontrollebene
Behandlung von KI-Agenten als nichtmenschliche Identitäten
Um MCP sicher und in großem Maßstab einzusetzen, sollten Unternehmen KI-Agenten als erstklassige Identitäten behandeln. Jeder Agent benötigt eine eindeutige, überprüfbare Identität, die sich von dem menschlichen Benutzer unterscheidet, der die Interaktion initiiert hat.
Eine Identitätskontrollebene bietet diese Grundlage. Es regelt, wie sich KI-Agenten authentifizieren, worauf sie zugreifen dürfen und wie ihre Aktivitäten systemübergreifend überwacht werden.
So funktioniert eine Identitätskontrollebene mit MCP
Eine Identitätssteuerungsebene arbeitet unabhängig von MCP, integriert sich jedoch in Systeme, die MCP implementieren.
Bevor ein MCP-Server eine Anfrage ausführt, können Identity-Systeme Folgendes auswerten:
- Die Identität des KI-Agenten
- Die angeforderte Aktion und die Zielressource
- Der Aufgabenkontext und die Risikoindikatoren
- Organisationsrichtlinien wie das Least-Privilege-Prinzip oder die Datenlokalität
Auf Grundlage dieser Auswertung kann der Zugriff gewährt, verweigert oder eingeschränkt werden. Zu den Einschränkungen können schreibgeschützter Zugriff, Datenmaskierung oder zeitlich begrenzte Berechtigungen gehören.
Zugriffsentscheidungen können zentral aufgezeichnet werden, wodurch ein konsistenter Audit-Trail entsteht.
Kontinuierliche Autorisierung und Überwachung
KI-Agenten hören nicht bei der Anmeldung auf. Die Identitätskontrollen müssen kontinuierlich funktionieren.
Eine Identitäts-Kontroll-Ebene ermöglicht:
- Laufende Autorisierungsprüfungen, während sich das Verhalten der Agenten weiterentwickelt.
- Erkennung abnormaler Zugriffsmuster, die auf eine Gefährdung hindeuten könnten
- Sofortiger Entzug des Zugangs bei Überschreitung der Risikoschwellenwerte.
- Einheitliche Durchsetzung auf allen MCP-Servern und -Tools
.
Dieser Ansatz steht im Einklang mit den Zero-Trust-Prinzipien und ist für autonome Systeme unerlässlich.
Governance und Compliance für MCP-basierte KI
Prüfbarkeit und Rechenschaftspflicht.
In regulierten Branchen müssen Organisationen in der Lage sein, zu erklären, wie und von wem auf die Daten zugegriffen wurde. Identity-Governance hilft dabei, jede Aktion eines KI-Agenten einer bestimmten Identitäts- und Autorisierungsentscheidung zuzuordnen.
Dieses Maß an Transparenz unterstützt Compliance-Bemühungen im Einklang mit Frameworks wie SOC 2, HIPAA, PCI DSS und GDPR.
Durchsetzung von Least Privilege und Aufgabentrennung
Identitätskontrollen ermöglichen es Unternehmen, detaillierte Richtlinien für KI-Agenten zu definieren.
Beispiele:
- Ein Forschungsagent kann auf anonymisierte Datensätze zugreifen, aber nicht auf Produktionsaufzeichnungen
- Ein Codierungsassistent kann zwar Quellcode lesen, aber nicht in der Produktionsumgebung bereitstellen.
- Operationen mit hohem Risiko können eine menschliche Genehmigung oder mehrere Agenten erfordern.
Berechtigungen können Just-in-Time erteilt und automatisch widerrufen werden, wenn die Aufgaben abgeschlossen sind.
Wichtigste Anwendungsfälle für sichere MCP-Implementierungen
- Vermeidung übermäßiger Entscheidungsfreiheit in Finanz-Workflows: Anstatt sich ausschließlich auf die Überprüfbarkeit zu konzentrieren, sollten Unternehmen den Schwerpunkt darauf legen, Agenten daran zu hindern, Werkzeuge auf unbeabsichtigte Weise zu verketten. Beispiel: Ein Agent, der autorisiert ist, ein Hauptbuch zu lesen, wird manipuliert, um Gelder zu überweisen, indem er einen MCP-Toolaufruf mit einer nicht autorisierten API verkettet.
- Durchsetzung kontextabhängigen Grenzen im gesundheitswesen: Neben dem einfachen Zugriff müssen Security-Teams sicherstellen, dass die Identity eines Agenten auf eine bestimmte klinische Session beschränkt ist. Dadurch wird verhindert, dass ein Agent vertraulichen Patientenkontext aus einer früheren MCP-Anfrage in eine neue, unabhängige Aufgabe überträgt (ein Risiko, das als Kontext-Kontamination bekannt ist).
Schutz kritischer Systeme und geistiges Eigentum
In Softwareentwicklungsumgebungen greifen KI-Programmierassistenten oft auf vertrauliche Repositories und Dokumentationen zu.
Identity-Governance erzwingt:
- Nur Lesezugriff für junge oder experimentelle Agenten
- Maskierung sensibler Daten in Schemas
- Beschränkungen der externen Konnektivität zur Verhinderung von Datenexfiltration
Verdächtiges Verhalten kann Warnmeldungen oder eine richtliniengesteuerte Beendigung von Sessions auslösen.
Vorteile von Identity-First-MCP-Sicherheit
Organisationen, die M.C.P. mit zentralisierter Identity Governance kombinieren, können operative und sicherheitstechnische Vorteile erzielen:
- Reduziertes Risiko durch übermäßige Berechtigungen von KI-Agenten
- Schnellere KI-Bereitstellung ohne manuelle Security-Reviews
- Senken Sie den Compliance-Aufwand durch automatisierte Audit-Trails
- Verbesserte operative Effizienz durch die zentrale Verwaltung von Richtlinie
Sicherheit wird zum Wegbereiter statt zum Hindernis.
Vorbereitung auf die Zukunft der KI-Governance
MCP wird sich weiterentwickeln, da sich die Einführung von KI beschleunigt. Während das Protokoll die Konnektivität standardisiert, wird Identität die Grundlage des Vertrauens bleiben.
Organisationen können sich vorbereiten, indem sie:
- Frühzeitige Definition von Identitätsstandards für KI-Agenten
- Erweiterung vorhandener IAM-Systeme auf nicht-menschlicheIdentitäten
- Kontinuierliche Autorisierung und Überwachung implementieren
- Integrieren Sie die Überprüfbarkeit in jeden KI-Workflow
Durch die Zuweisung einer eindeutigen Identität an jeden Agenten können Organisationen die Zuordnung in großem Umfang implementieren, sodass jeder Tool-Aufruf (unabhängig davon, wie viele MCP-Server beteiligt sind) auf eine bestimmte Argumentationskette und ihren menschlichen Betreuer zurückgeführt werden kann.
KI-Strategien, die sicher skalieren, sind vom Design her identitätsorientiert.
Häufig gestellte Fragen
Was ist ein MCP-Server in der KI?
Ein MCP-Server ist eine Softwarekomponente, die bestimmte Datenquellen oder Funktionen über das Model Context Protocol für KI-Systeme verfügbar macht. Es fungiert als kontrolliertes Gateway, das definiert, welche Tools und Ressourcen verfügbar sind und welche Aktionen ein KI-Agent ausführen kann.
Worin unterscheidet sich MCP von herkömmlichen API-Integrationen?
Entwickler entwickeln traditionelle APIs für Anwendungen mit vorhersehbaren Zugriffsmustern. MCP unterstützt KI-Systeme, die Werkzeuge auf der Grundlage von Argumentation und Kontext dynamisch auswählen. MCP standardisiert die Toolerkennung und die Anfragestrukturen, sodass für jede KI-Anwendung kein benutzerdefinierter Integrationscode erforderlich ist.
Ist M.C.P. an sich sicher?
MCP ist in erster Linie ein Konnektivitätsstandard. MCP-Server können zwar ihre eigene Autorisierungslogik implementieren, aber das Protokoll selbst verwaltet weder die Unternehmensidentität noch setzt es sofort zentrale Richtlinien durch. Sichere MCP-Bereitstellungen basieren auf externen Identitäts- und Governance-Systemen, um den Zugriff von KI-Agenten zu kontrollieren.
Kann MCP in bestehende IAM-Systeme integriert werden?
Ja. MCP kann zusammen mit IAM-Plattformen für Unternehmen verwendet werden, die KI-Agenten authentifizieren, Autorisierungsrichtlinien durchsetzen und eine zentrale Auditprotokollierung bereitstellen.
Warum ist Identität für MCP so wichtig?
KI-Agenten arbeiten autonom und in großem Maßstab. Ohne jedem Agenten eine eindeutige Identity zuzuweisen, können Organisationen Least Privilege nicht durchsetzen, Verhalten nicht effektiv überwachen oder Vorfälle zuverlässig untersuchen.
Sichern Sie Ihren KI-Betrieb mit Okta.
Wenn KI-Agenten in Unternehmens-Workflows eingebettet werden, wird Identität zur Kontrollebene für Vertrauen. Die Okta Platform hilft Unternehmen dabei, KI-Agenten als NHI zu verwalten, eine kontinuierliche Autorisierung durchzusetzen und die systemübergreifende Transparenz aufrechtzuerhalten. Mit einer Identity-first Sicherheit kann MCP sicher skalieren, ohne Abstriche bei der Verwaltung oder Compliance machen zu müssen.
