Model Context Protocol (MCP)

Was ist das Model Context Protocol (MCP)?

Das Model Context Protocol (MCP) ist ein offener Standard, der AI Agents und KI-Anwendungen mit externen Systemen verbindet — Dateisystemen, Datenbanken, Business-Systemen und Developer-Tools. Anthropic führte MCP am 25. November 2024 ein; die Autoren waren David Soria Parra und Justin Spahr-Summers. Das Ziel: eine einheitliche Schnittstelle zwischen einem Sprachmodell und der Welt der Tools und Daten, sodass nicht jedes Agenten-Projekt seine Tool-Anbindung neu erfindet.

Die zentrale konzeptionelle Rolle von MCP lässt sich in einem Satz fassen: MCP ist 2026 das fundamentale Protokoll für Agent-zu-Tool. Ein Agent — verstanden als LLM, das in einer Schleife autonom Tools nutzt — braucht einen standardisierten Weg, um Funktionen aufzurufen, Daten abzufragen und Aktionen in externen Systemen auszulösen. Genau diese Schicht standardisiert MCP. Die offizielle und mittlerweile branchenweit geteilte Abgrenzung lautet: MCP ist für Capabilities (Agent-zu-Tool), A2A ist für Collaboration (Agent-zu-Agent). Diese Formulierung verwenden Google, Salesforce und Microsoft übereinstimmend.

Technische Architektur

MCP basiert auf JSON-RPC 2.0 über mehrere Transporte:

• stdio für lokale Verbindungen,
• ursprünglich Server-Sent Events, seit der Spec-Revision vom April 2025 zusätzlich Streamable HTTP.

Die April-2025-Revision brachte über den Transport hinaus drei wesentliche Neuerungen: OAuth-2.1-Unterstützung, JSON-RPC-Batching und Tool-Annotations. Das Spec-Release vom November 2025 ergänzte asynchrone Operationen, Statelessness, Server-Identität und offizielle Extensions. Anfang 2026 standardisierte MCP Apps (SEP-1865) die Auslieferung interaktiver UI von MCP-Servern an Host-Anwendungen wie Claude und ChatGPT.

Architektonisch unterscheidet MCP zwischen Host-Anwendung (z. B. Claude, ein Copilot-Studio-Agent), Client und MCP-Server. Der MCP-Server kapselt die Anbindung an ein konkretes externes System und stellt seine Fähigkeiten tool-förmig bereit. Aus Sicht des Agents sieht jede Datenquelle und jedes Zielsystem damit gleich aus — eine Liste klar beschriebener Tools mit Schema, die der Agent aufrufen kann.

Ein praktisch relevanter Nebeneffekt: MCP wird zunehmend auch agent-zu-agent eingesetzt, indem ein anderer Agent als MCP-„Server" mit tool-förmigen Capabilities exponiert wird. Das funktioniert, ist aber nicht das, wofür MCP entworfen wurde. Anthropic, Google und Microsoft empfehlen konsistent, für echte Peer-Kollaboration A2A zu verwenden und MCP auf die Tool-Schicht zu beschränken.

Governance: Linux Foundation und die Agentic AI Foundation (AAIF)

Der wichtigste Governance-Schritt fiel am 9. Dezember 2025: Anthropic spendete MCP an die neu gegründete Agentic AI Foundation (AAIF) — einen Directed Fund unter der Linux Foundation. Mitgegründet wurde die AAIF von Anthropic, Block und OpenAI, mit Platinum-Support von Amazon Web Services, Bloomberg, Cloudflare, Google und Microsoft.

Zu den weiteren Gold-/Silver-Mitgliedern zählen unter anderem Adyen, Cisco, Datadog, Docker, IBM, JetBrains, Okta, Oracle, SAP, Snowflake, Twilio, Hugging Face, Pydantic, Uber und SUSE — also praktisch der gesamte Agentic-AI-Stack. MCP trat der AAIF gemeinsam mit Blocks goose und OpenAIs AGENTS.md bei.

Wichtig für die Einordnung: Die technische Tagesgovernance bleibt bei den bestehenden MCP-Maintainern. Das AAIF Governing Board verantwortet strategische Investitionen und Mitglieder-Recruiting. Der Schritt unter die Linux Foundation ist damit das strukturell stärkste verfügbare Signal gegen eine Fragmentierung in proprietäre Vendor-Varianten — auch wenn, wie Cisco im Dezember 2025 selbst anmerkte, die einzelnen Protokoll-Projekte teils „noch als Inseln" operieren.

Adoption 2025/2026

Die Verbreitung von MCP verlief 2025 explosionsartig:

• OpenAI übernahm MCP offiziell im März 2025.
• Google DeepMind folgte im April 2025 (per Tweet von Demis Hassabis).
• Im selben Zeitfenster integrierten Microsoft Copilot Studio, Cursor, Zed, Windsurf, Replit, Sourcegraph, Block, Apollo und Dutzende weitere.
• Anthropics Claude bietet ein Directory von über 75 offiziellen MCP-Connectors.
• Die SDKs verzeichnen über 97 Mio. monatliche Downloads quer über Python und TypeScript.

Damit ist MCP kein Nischenstandard, sondern de facto die universell akzeptierte Tool-Schicht über Anthropic, OpenAI, Google, Microsoft, AWS, SAP, Salesforce, ServiceNow, IBM und Cisco hinweg.

MCP im konvergenten Protokoll-Stack

Nach zwölf Monaten öffentlicher Neuausrichtung ist der konvergente Stack für 2026 eindeutig. MCP belegt darin die Tool-Schicht, A2A die Agent-zu-Agent-Schicht:

Bemerkenswert: Auch AGNTCY (Cisco/LangChain/Galileo, an die Linux Foundation am 29. Juli 2025 gespendet) baut auf MCP auf statt es zu ersetzen — A2A-Agents und MCP-Server sind über AGNTCY-Directories auffindbar. Die ehrliche Bewertung lautet: MCP + A2A ist der konvergente Industrie-Stack. AGNTCY ist die Identitäts-/Observability-Schicht, wo sie gebraucht wird; NANDA bleibt konzeptionell.

Security: das optimistische Trust-Modell

MCP ist der richtige Enabler des Agenten-Ökosystems, aber das im Kern optimistische Trust-Modell ist nicht die richtige Vertrauensbasis. 2025 wurden mehrere Angriffsklassen dokumentiert:

• Indirect Prompt Injection über MCP-Server-Beschreibungen.
• Tool Poisoning — der Invariant-Labs-WhatsApp-Proof-of-Concept (März 2025).
• Look-alike Server Squatting — gefälschte Server, die echte imitieren.
• Full-Schema Poisoning (CyberArk) — jeder Teil eines Tool-Schemas ist ein potenzieller Injection-Punkt, nicht nur die Beschreibung.
• Der GitHub-MCP-Integration „Toxic Agent Flow" — ein bösartiges GitHub-Issue zwingt den Agent dazu, aus privaten Repos zu leaken.

Diese Risiken verschärfen sich in Multi-Agent-Architekturen: Jedes frische Sub-Agent-Kontextfenster ist eine neue Angriffsfläche. Die EchoLeak-Klasse zero-click-fähiger Prompt-Injection-Exploits (CVE-2025-32711, Microsoft 365 Copilot, im Juni 2025 von Aim Labs offengelegt) war ein Single-Agent-Angriff — die zugrunde liegenden Trust-Boundary-Fehler skalieren jedoch linear mit der Zahl der Agents, die nicht vertrauenswürdige Inhalte aufnehmen.

Die Mitigation ist 2026 Deployer-Verantwortung: Sandboxing, scope-limitierte OAuth-2.1-Tokens (gemäß der April-2025-Spec), Least-Privilege und — als Faustregel — den Agent niemals autonom MCP-Server aus nicht vertrauenswürdigen Registries installieren lassen. Ob das bei großer Skalierung ausreicht, ist eine offene Frage, die 2026 noch nicht abschließend beantwortet ist.

DACH-Relevanz

Für den DACH-Raum ist die Relevanz von MCP sehr hoch — praktisch unausweichlich. Wer 2026 ein Agenten-Projekt im Mittelstand oder Konzern startet, schreibt oder konsumiert MCP-Server, ob geplant oder nicht.

• SAP Joule Studio 2.0 (Sapphire 2026) integriert MCP nativ, inklusive MCP-Server für ABAP, LeanIX und die Integration Suite. Da der SAP-Bestand in DACH jede andere Plattform überragt, ist dies der praktisch wichtigste MCP-Einstiegspunkt der Region. SAPs Entscheidung, Anthropic Claude als primäres Reasoning-Modell in einer SAP-governten Umgebung einzubetten, ist gerade für BFSI- und Health-Deployer oft die ausschlaggebende Beschaffungsoption.
• Microsoft 365 Copilot, Copilot Studio, Salesforce Agentforce, n8n, LangGraph, Mastra und PydanticAI sprechen alle MCP. Microsofts eigene Multi-Agent-Leitlinie ist explizit: „Use MCP for tool and data access. Use Linux Foundation A2A for cross-platform agent-to-agent messaging."
• n8n — eine deutsche, MCP-native Open-Core-Firma aus Berlin — gewann 2026 zusätzlich an Bedeutung, als SAP eingebettetes n8n in Joule Studio ankündigte (Bewertung verdoppelte sich auf 5,2 Mrd. USD).

Compliance-Hinweise (informational, keine Rechtsberatung)

Sobald Agents über MCP- und A2A-Hops mehrere Compute-Provider, Datenresidenz- und Auftragsverarbeiter-Grenzen überschreiten, wird jeder MCP-Server-Betreiber potenziell zum Sub-Prozessor im Sinne der DSGVO. Das verlängert die AVV-Kette (Art. 28 DSGVO) und macht sie komplexer. Bei grenzüberschreitenden Schritten greifen zudem Art. 44–49 DSGVO; das EU–US Data Privacy Framework bleibt 2026 in Kraft, steht jedoch unter rechtlicher Anfechtung, weshalb Standardvertragsklauseln (SCCs) und Transfer-Impact-Assessments weiterhin als Absicherung gelten. Diese Hinweise sind informational und ersetzen keine Rechtsberatung; die genannten Einordnungen sind nach derzeitigem Stand provisorisch und sektorabhängig (BFSI, Health, Energie) zu prüfen. Für die Praxis empfiehlt sich, MCP-Tool-Calls auditierbar zu machen: Korrelations-IDs durch jeden MCP-Call propagieren und Modellversionen in Produktion pinnen.

Ausblick und Praxis-Hinweis

MCP hat sich 2026 als Standard-Tool-Schicht des Agentic-Stacks etabliert und ist unter der Linux Foundation strukturell gegen Fragmentierung abgesichert. Für ein DACH-Projekt lautet die rationale Default-Empfehlung: MCP für Tools, A2A für Agents — alles andere ist eine bewusste Abweichung vom konvergenten Stack und braucht Begründung.

Drei konkrete Praxis-Hinweise zum Einstieg: Erstens, Standard-MCP-Server der Vendor nutzen und nur für proprietäre interne APIs eigene MCP-Server schreiben — nicht mehr Agents und Server bauen, als das Problem erfordert. Zweitens, MCP-Server hinter OAuth 2.1 mit Least-Privilege-Scopes betreiben und niemals autonome Server-Installation aus unbekannten Registries zulassen. Drittens, von Tag eins an Observability und Auditierbarkeit in die Topologie einbauen — die EchoLeak-Klasse zeigt, dass jede zusätzliche Tool- und Agenten-Anbindung die Angriffsfläche vergrößert. Offen bleibt 2026 die Frage, ab wann MCPs optimistisches Trust-Modell bei großer Skalierung mehr Sicherheitsrisiko als Nutzen schafft — ein Punkt für die Watchlist jeder verantwortlichen Architektur-Review.