Zum Inhalt springen
10.17Fortgeschritten7 min

MCP-Roadmap 2026-2027: Was nach der Spec-Linie 2025-11-25 kommt

Blck Alpaca·
Definition

Die MCP Roadmap 2026 beschreibt die erwartete Entwicklung des Model Context Protocol nach der Spec-Linie vom November 2025: Verschiebung von reiner Tool-Anbindung hin zu Enterprise-Readiness mit Auth, Audit-Trails, Registry und Discovery. Die Spec 2025-11-25 brachte asynchrone Operationen, Statelessness und Server-Identity. Was danach kommt, ist Prognose, nicht Faktum.

Auf einen Blick

  • Die November-2025-Spec-Linie verankerte asynchrone Operationen, Statelessness, Server-Identity und offizielle Extensions als neue Basis - der Sprung von Experiment zu Infrastruktur (Stand 2026).
  • Mit der Spende an die Agentic AI Foundation unter der Linux Foundation (9. Dezember 2025) priorisiert die Roadmap formell Enterprise-Readiness: Audit-Trails, SSO-integrierte Auth, Gateway-Verhalten und Konfigurations-Portabilität.
  • Markt-Signal Stand April 2026: rund 9.400 öffentliche MCP-Server, etwa 97 Mio. monatliche SDK-Downloads und 78 Prozent der Enterprise-AI-Teams mit mindestens einem MCP-Agenten in Produktion.
  • Größte offene Baustelle bleibt Security: ein 'optimistisches Trust-Modell', Tool-Poisoning, Full-Schema-Poisoning und Server-Squatting machen Sandboxing, Least-Privilege und kontrollierte Registries zur Deployer-Pflicht.
  • Architektur-Konsens für DACH-Builds: MCP für Agent-to-Tool, A2A für Agent-to-Agent - alles andere ist 2026 eine begründungspflichtige Abweichung.
  • Alle Aussagen zu 2027/2028 sind Prognose mit 30-50 Prozent Unsicherheit auf das Timing; die strukturelle Richtung ist verlässlicher als das konkrete Datum.

Die MCP Roadmap 2026 beschreibt die erwartete Entwicklung des Model Context Protocol nach der Spec-Linie vom November 2025. Die Kernbewegung: weg von reiner Tool-Anbindung, hin zu Enterprise-Readiness mit Auth, Audit-Trails, Registry und Discovery. Die Referenz-Spec (November 2025) brachte asynchrone Operationen, Statelessness und Server-Identity. Was danach kommt, ist in diesem Artikel klar als Prognose markiert, nicht als gesicherter Fakt.

Dieser Beitrag gehört zum Hub Zukunft der Agentic AI (2026-2028) und vertieft die Integrations-Ebene, die fast jedes produktive Agenten-System in DACH-Unternehmen 2026 betrifft.

  • Status heute (Stand 2026): MCP ist die De-facto-Integrationsschicht für Agent-to-Tool - rund 9.400 öffentliche Server, etwa 97 Mio. monatliche SDK-Downloads, 78 Prozent der Enterprise-AI-Teams mit mindestens einem MCP-Agenten in Produktion.
  • Nächster Schritt: Die Governance liegt seit Dezember 2025 bei der Agentic AI Foundation (Linux Foundation); die Roadmap priorisiert formell Audit-Trails, SSO-integrierte Auth, Gateway-Verhalten und Konfigurations-Portabilität.
  • Größte Baustelle: Security. Das "optimistische Trust-Modell" macht Sandboxing, Least-Privilege und kontrollierte Registries zur Pflicht des Betreibers.

Die Ausgangslage: Was die Spec-Linie 2025-11-25 bedeutet

Anthropic hat das Model Context Protocol am 25. November 2024 als offenen Standard zur Anbindung von KI-Anwendungen an externe Systeme - Dateisysteme, Datenbanken, Business-Systeme, Dev-Tools - eingeführt. Technisch ruht MCP auf JSON-RPC 2.0 über mehreren Transports: stdio für lokal, ursprünglich Server-Sent Events, seit der April-2025-Revision Streamable HTTP.

Die Entwicklung verlief in klaren Schritten, die man kennen muss, um die Roadmap zu lesen:

  • April 2025: OAuth 2.1, JSON-RPC-Batching und Tool-Annotations kamen hinzu. Damit wurde MCP erstmals Auth-fähig im Enterprise-Sinn.
  • November 2025 (die Referenz-Linie): asynchrone Operationen, Statelessness, Server-Identity und offizielle Extensions. Das ist der eigentliche Sprung von "Tool-Calling-Protokoll" zu "Infrastruktur-Baustein".
  • Anfang 2026: MCP Apps (SEP-1865) standardisierten die Auslieferung interaktiver UI von MCP-Servern an Host-Anwendungen wie Claude und ChatGPT.

Der entscheidende strukturelle Umbruch ist aber kein Spec-Detail, sondern ein Governance-Ereignis: Am 9. Dezember 2025 hat Anthropic MCP an die neu gegründete Agentic AI Foundation (AAIF) gespendet, einen Directed Fund unter der Linux Foundation. Mitgegründet von Anthropic, Block und OpenAI, mit Platinum-Support von AWS, Bloomberg, Cloudflare, Google und Microsoft; weitere Mitglieder sind unter anderem Cisco, IBM, Okta, Oracle, SAP und Snowflake - praktisch der gesamte Agentic-AI-Stack. Die tägliche technische Governance bleibt bei den bestehenden Maintainern; das Foundation-Board übernimmt strategische Investition und Mitglieder-Akquise. Für DACH-Entscheider heißt das: MCP ist kein Vendor-Bet mehr, sondern ein herstellerneutraler Standard - das senkt das Lock-in-Risiko bei der Beschaffung erheblich.

Wo MCP heute steht (Stand 2026)

Die Marktzahlen belegen, dass MCP die Experimentierphase verlassen hat. Öffentliche Registries listen Stand April 2026 rund 9.400 MCP-Server mit einem Wachstum von etwa 18 Prozent Monat für Monat. Die SDKs in Python und TypeScript verzeichnen zusammen etwa 97 Mio. monatliche Downloads. Umfragedaten aus Enterprise-AI-Teams zeigen, dass rund 78 Prozent mindestens einen MCP-gestützten Agenten in Produktion betreiben.

Praktisch bedeutet das: SAP Joule Studio 2.0 integriert MCP nativ (MCP-Server für ABAP, LeanIX, Integration Suite), und Microsoft 365 Copilot, Copilot Studio, Salesforce Agentforce, n8n, LangGraph, Mastra und PydanticAI sprechen MCP. Wer 2026 ein Agenten-Projekt startet, schreibt oder konsumiert MCP-Server - ob geplant oder nicht.

Wichtig für die Architektur-Entscheidung ist die Abgrenzung zu A2A (Agent-to-Agent). MCP ist die Grundlage für Agent-to-Tool. Es lässt sich zwar zweckentfremden, um einen Agenten als "Server" mit werkzeugförmigen Fähigkeiten zu exponieren - dafür war es aber nicht gebaut. Anthropic, Google und Microsoft empfehlen konsistent: MCP für Tools, A2A für echte Peer-Zusammenarbeit.

Prognose: Die MCP-Roadmap 2026-2027

Der folgende Abschnitt ist ausdrücklich Prognose, kein Faktum. KI-Roadmaps auf 18-24 Monate tragen erfahrungsgemäß 30-50 Prozent Unsicherheit auf das Timing; die strukturelle Richtung ist verlässlicher als das konkrete Datum.

Die Roadmap der Foundation priorisiert formell Enterprise-Readiness: Audit-Trails, SSO-integrierte Auth, Gateway-Verhalten und Konfigurations-Portabilität. Daraus lässt sich der erwartete Verlauf ableiten:

Bereich

Heute (Stand 2026)

Erwartet (Prognose 2027-2028)

Spec-Reife

Async, Statelessness, Server-Identity, Extensions (Nov 2025); MCP Apps (SEP-1865)

Stabilisierung der Enterprise-Erweiterungen; Extension-Ökosystem konsolidiert

Auth / Security

OAuth 2.1 (seit April 2025); Absicherung ist Deployer-Sache

SSO-integrierte Auth und Gateway-Policies stabilisieren sich als Standard

Registry / Discovery

~9.400 öffentliche Server; interne MCP-Registries pro Unternehmen

Server als Standard-Enterprise-Integration; offizielle Remote-Server als Beschaffungs-Default

Audit / Governance

Single-Trace-ID-Disziplin als Best Practice

Audit-Trails als Roadmap-Priorität; Gateway-Verhalten standardisiert

Skalierung / Reichweite

Agent-to-Tool für LLM-Agenten

MCP-äquivalente Muster für Nicht-LLM-KI (Vision, Voice-nativ, Robotik)

Enterprise-Adoption

78 Prozent der AI-Teams mit >=1 MCP-Agent in Produktion

SAP, Salesforce, Atlassian, Figma u.a. liefern offizielle Remote-MCP-Server

Konkret zeichnet die Research folgende Etappen:

  • 2026 H2: MCP ist die De-facto-Integrationsschicht für neue Agenten-Builds. Enterprise-SaaS-Anbieter wie SAP, Salesforce, Atlassian und Figma liefern Remote-MCP-Server aus.
  • 2027: MCP-Server werden zur Standard-Enterprise-Integration. Enterprise-Readiness-Erweiterungen (SSO, Audit-Trails, Gateway-Policies) stabilisieren sich. Unternehmen sollten erwarten, dass ihre großen SaaS-Anbieter offizielle Remote-MCP-Server als Beschaffungs-Default mitliefern.
  • 2028: MCP-äquivalente Muster greifen auf Nicht-LLM-KI über (Vision, Voice-nativ, Robotik). Die "Agentic-Mesh"-Architektur - MCP für Agent-to-Tool, A2A oder Nachfolge-Protokolle für Agent-to-Agent - konsolidiert sich.

Die offenen Baustellen: Security, Registry, Vertrauen

Die größte ungelöste Frage ist Sicherheit. Die in 2025 dokumentierten Angriffe gehen laut Research meist auf MCPs "fundamental optimistisches Trust-Modell" zurück, das syntaktische Korrektheit mit semantischer Sicherheit verwechselt:

  • Indirekte Prompt-Injection über MCP-Server-Beschreibungen.
  • Tool-Poisoning (Invariant Labs demonstrierte dies im März 2025 an einem WhatsApp-Proof-of-Concept).
  • Look-alike Server-Squatting - täuschend ähnlich benannte Server.
  • Full-Schema-Poisoning (CyberArk): nicht nur die Beschreibung, jeder Teil eines Tool-Schemas ist ein potenzieller Injection-Punkt.
  • GitHub-MCP "Toxic Agent Flow": ein bösartiges GitHub-Issue verleitet den Agenten dazu, aus privaten Repos zu leaken.

Die Absicherung ist Stand 2026 Verantwortung des Betreibers, nicht des Protokolls: Sandboxing, scope-limitierte Tokens, Least-Privilege - und vor allem keine autonome Installation von MCP-Servern aus ungeprüfter Registry. Genau hier setzt die zweite Baustelle an: Registry und Discovery. Konzerne betreiben heute interne MCP-Server-Registries mit strenger Zugriffskontrolle und stellen Server hinter OAuth 2.1. Für die anbieterübergreifende Auffindbarkeit zeichnet sich das OASF-Directory von AGNTCY als plausible Form ab - noch mit Watchlist-Status, nicht als gesetzter Standard.

Praxisbeispiel: MCP-Tool-Layer in einem DACH-Konzern

Wie das konkret aussieht, zeigt das Referenz-Setup für einen DACH-Konzern (AI Center of Excellence, 10-30 FTE, Hub-and-Spoke). Der Tool-Layer wird hier durchgängig über MCP gebaut, mit interner Registry und OAuth 2.1 als Pflicht. Die empfohlene Einführungs-Sequenz aus der Research lautet:

  1. MCP-Server-Policy standardisieren (Registry, Zugriff, OAuth 2.1).
  2. A2A zunächst innerhalb einer Estate einführen (z. B. nur Salesforce).
  3. Auf eine zweite Estate ausweiten (z. B. SAP).
  4. Ein AgentCard-Registry veröffentlichen.
  5. Cross-Vendor-Identity (AGNTCY) erst ergänzen, wenn das Volumen es rechtfertigt.

Ein praktischer Pflicht-Schritt von Tag eins an: eine einzige Trace-ID durch jeden A2A-Task und jeden MCP-Call schieben - sonst entstehen Audit-Lücken, in denen sich die Logs einer Estate nicht mit denen einer anderen korrelieren lassen. Ohne diese Disziplin ist ein Multi-Agenten-System unter einer Aufsichts-Anfrage faktisch nicht untersuchbar. Das Budget-Fenster für das Plattform-Jahr 1 liegt in dieser Klasse laut Research bei rund 2 bis 20 Mio. Euro (Stand 2026) - die Spanne spiegelt vor allem, ob ein Single-Vendor-Setup erweitert oder ein echter Cross-Vendor-Mesh mit souveränem Hosting gebaut wird.

Was das für Agenturen und B2B bedeutet

Für Agenturen und AI-native Produktanbieter ist MCP der Hebel zur Produktisierung: ein geteiltes MCP-Server-Repository über alle Kundenprojekte hinweg, plus vertikale Custom-Server (etwa ein SEO-Keyword-Research-Server oder ein interner CMS-Server). Wer hier sauber baut, verkauft Integrationen statt Einzellösungen.

Für B2B-Entscheider ist die Beschaffungsfrage zentral: Garantiert der Vertrag mit Agentforce, Joule oder Copilot Studio die Einhaltung der MCP-Standards - und was passiert beim Exit? MCP als herstellerneutraler Standard unter der Linux Foundation ist das beste verfügbare Gegenmittel gegen Plattform-Lock-in, aber nur, wenn Registry-Governance, OAuth-2.1-Absicherung und Audit-Trail-Disziplin von Anfang an mitgedacht werden.

Wer den weiteren Verlauf der MCP-Roadmap, der Spec-Releases und der Security-Diskussion verfolgen will, ohne jede Woche selbst zu recherchieren: Unser Newsletter bündelt die relevanten Entwicklungen rund um Agentic AI für den DACH-Markt - präzise, ohne Hype, mit klarer Trennung zwischen Fakt und Prognose.

Häufig gestellte Fragen

Was ist die Spec-Linie 2025-11-25 bei MCP?
Gemeint ist das Spec-Release des Model Context Protocol vom November 2025. Es ergänzte gegenüber der April-2025-Revision (OAuth 2.1, JSON-RPC-Batching, Tool-Annotations) asynchrone Operationen, Statelessness, Server-Identity und offizielle Extensions. Diese Linie gilt Stand 2026 als Referenz für den Übergang von reiner Tool-Anbindung zu Enterprise-tauglicher Infrastruktur.
Wer steuert die MCP-Roadmap nach 2025?
Anthropic hat MCP am 9. Dezember 2025 an die Agentic AI Foundation gespendet, einen Directed Fund unter der Linux Foundation. Mitgegründet von Anthropic, Block und OpenAI, mit Platinum-Support von AWS, Bloomberg, Cloudflare, Google und Microsoft. Die tägliche technische Governance bleibt bei den bestehenden MCP-Maintainern; das Foundation-Board steuert strategische Investition und Mitglieder.
Was kommt 2027 voraussichtlich bei MCP?
Prognose, kein Faktum: 2027 dürften MCP-Server zur Standard-Enterprise-Integration werden, Enterprise-Readiness-Erweiterungen (SSO, Audit-Trails, Gateway-Policies) stabilisieren sich, und große SaaS-Anbieter liefern offizielle Remote-MCP-Server als Beschaffungs-Default. Die Richtung ist verlässlicher als das genaue Datum.
Was sind die größten ungelösten Probleme bei MCP?
Vor allem Security. MCP basiert laut Forschung auf einem 'optimistischen Trust-Modell', das syntaktische Korrektheit mit semantischer Sicherheit verwechselt. Dokumentiert sind indirekte Prompt-Injection über Server-Beschreibungen, Tool-Poisoning, Full-Schema-Poisoning und Server-Squatting. Absicherung ist Stand 2026 Deployer-Verantwortung: Sandboxing, scope-limitierte Tokens, Least-Privilege und keine autonome Installation aus ungeprüfter Registry.
Soll man MCP oder A2A einsetzen?
Beides, aber für unterschiedliche Schichten. Der Konsens Stand 2026: MCP für Agent-to-Tool (Anbindung an CRM, ERP, Dokumentenspeicher, Websuche), A2A für Agent-to-Agent (Zusammenarbeit zwischen eigenständigen Agenten, auch über Anbietergrenzen). MCP kann zwar einen Agenten als Server exponieren, ist dafür aber nicht gebaut.

Tiefer einsteigen?

Erhalte neue Analysen direkt ins Postfach – oder sieh dir an, wie wir dieses Wissen für Unternehmen umsetzen.

Newsletter abonnierenUnsere Services
NächsterA2A-Adoption-Prognose 2026–2028: Wer macht mit, wer nicht