Six Eight Consulting
Navigation öffnen
Kontakt
MCP Security: KI-Agent verbindet sich mit Tools, Datenquellen und Sicherheitskontrollen
Blog

MCP Security: Risiken und Best Practices für sichere KI-Agenten

MCP Security erklärt: Risiken, Angriffsszenarien und Best Practices für sichere MCP-Server, Tools, Authentifizierung und KI-Agenten.

Mika Schmidt, IT Security Experte

Mika Schmidt

IT Security Experte
Veröffentlicht: Aktualisiert: 10 Min. Lesezeit

MCP Security wird für Unternehmen relevant, sobald KI-Agenten nicht mehr nur Texte erzeugen, sondern mit Dateien, APIs, Datenbanken, Ticketsystemen, Cloud-Ressourcen oder Entwicklungsumgebungen arbeiten. Das Model Context Protocol standardisiert genau diese Verbindung zwischen KI-Anwendungen und externen Systemen. Anthropic hat MCP im November 2024 als offenen Standard vorgestellt, um isolierte KI-Assistenten besser mit den Datenquellen und Tools zu verbinden, die sie für nützliche Arbeit brauchen.

Für eine technische Einordnung, wie ein MCP-Server grundsätzlich aufgebaut ist, lohnt sich zuerst die technische Einführung in MCP-Server. Dieser Beitrag baut darauf auf und betrachtet MCP aus Security-Perspektive: Welche neuen Angriffsflächen entstehen, welche Fehler sind in produktiven Umgebungen besonders gefährlich und welche Kontrollen sollten Unternehmen vor dem Rollout einziehen?

Warum MCP Security wichtig ist

MCP löst ein echtes Integrationsproblem. Statt für jedes Modell und jedes Tool eine eigene Verbindung zu bauen, können Anwendungen über MCP mit standardisierten Servern sprechen. Die aktuelle Spezifikation beschreibt dafür Hosts, Clients und Server sowie JSON-RPC, stateful connections und Capability Negotiation. Server können unter anderem Resources, Prompts und Tools bereitstellen.

Sicherheitstechnisch ist genau das der spannende Punkt: Ein MCP-Server ist nicht nur ein Datenlieferant. Er kann dem Modell Kontext geben, Tools anbieten, Aktionen auslösen und mit Systemen sprechen, die außerhalb des Modells liegen. In agentischen Szenarien wird daraus schnell eine Kette aus Nutzeranfrage, Modellentscheidung, Tool-Aufruf, externer Datenquelle und weiterer Aktion.

Das macht MCP nicht per se unsicher. Es bedeutet aber: MCP muss wie eine produktive Integrationsschicht behandelt werden, nicht wie ein harmloses Chatbot-Plugin. Wer MCP-Server ungeprüft installiert, mit breiten Tokens ausstattet oder ohne Monitoring in produktive Workflows einbindet, verschiebt klassische AppSec-, Identity-, Cloud- und Supply-Chain-Risiken direkt in den KI-Agenten.

MCP-Architektur kurz erklärt

Ein typisches MCP-Setup besteht aus drei Rollen. Der Host ist die KI-Anwendung, zum Beispiel eine IDE, ein Desktop-Client oder ein internes Agentensystem. Innerhalb des Hosts läuft ein MCP-Client, der eine Verbindung zu einem konkreten MCP-Server hält. Dieser Server stellt Kontext, Tools oder Prompt-Vorlagen bereit.

Die drei MCP-Bausteine

Server können Tools, Resources und Prompts bereitstellen – jede Kategorie hat eine eigene Sicherheitsrelevanz.
BausteinFunktion
ToolsAusführbare Funktionen, die ein Agent aufrufen kann, etwa Ticket anlegen, Datei lesen, SQL-Abfrage starten oder Cloud-Ressource verwalten.
ResourcesLesbarer Kontext wie Dokumente, Dateien, Datenbankinhalte, Repository-Infos oder API-Daten, die ein Modell für Antworten oder Aktionen nutzt.
PromptsWiederverwendbare Vorlagen für Workflows, Instruktionen oder Interaktionen, die ein Client oder Nutzer auswählen kann.

Bei den Transporten sind besonders stdio und Streamable HTTP relevant. stdio ist typisch für lokale Prozesse, bei denen ein Client einen MCP-Server als Subprozess startet. Streamable HTTP ist für Remote-Szenarien wichtig und passt besser zu API-Gateways, Authentifizierung und skalierbaren Deployments. Die Sicherheitsgrenzen unterscheiden sich deutlich: Ein lokaler Prozess braucht Prozess- und Dateisystemisolation, ein Remote-Server braucht starke Netzwerk-, Auth- und Session-Kontrollen.

Die wichtigsten MCP-Sicherheitsrisiken

Die OWASP MCP Top 10 ordnen die wichtigsten Risikoarten in Kategorien wie Token Mismanagement, Scope Creep, Tool Poisoning, Supply-Chain-Angriffe, Command Injection, fehlende Authentifizierung und Shadow MCP Servers ein. Diese Taxonomie ist hilfreich, weil sie zeigt: MCP Security ist kein einzelnes Tool-Problem, sondern ein Zusammenspiel aus Identität, Kontext, Ausführung, Berechtigungen und Governance.

Auch Security-Teams aus der Praxis beschreiben MCP vor allem als neue Integrations- und Vertrauensschicht. Palo Alto Networks hebt insbesondere Prompt Injection, Credential Exposure und ungeprüfte Drittanbieter-Tools als naheliegende Risikoklassen hervor. Diese Einordnung passt gut zur operativen Realität: Sobald MCP-Server produktive Systeme anbinden, geht es nicht mehr nur um Modellverhalten, sondern um echte Daten- und Aktionsrechte.

Zentrale MCP-Risiken im Überblick

Die fünf Risikoklassen, die in produktiven MCP-Setups am häufigsten zu echten Vorfällen führen.
RisikoWarum es bei MCP besonders zählt
Tool PoisoningManipulierte Tool-Beschreibungen oder Tool-Ausgaben können das Modell zu unerwünschten Aktionen bewegen.
Prompt InjectionExterne Inhalte werden zur zweiten Instruktionsquelle und können Nutzerabsicht, Systemregeln oder Tool-Auswahl beeinflussen.
Command Injection / RCEUnsichere Parameterweitergabe an Shell, SDK, Adapter oder lokale Prozesse kann aus einem Tool-Aufruf Codeausführung machen.
Secret ExposureAPI-Keys, OAuth-Tokens oder lokale Konfigurationsdateien werden für Agenten und Tools erreichbar.
Shadow MCP ServersNicht freigegebene oder unbekannte MCP-Server laufen außerhalb von Inventar, Review, Logging und Berechtigungsmodell.

Tool Poisoning und Prompt Injection

Tool Poisoning ist eine der MCP-spezifischsten Angriffsklassen. Invariant Labs zeigte 2025, dass schädliche Anweisungen in Tool-Beschreibungen für Nutzer kaum sichtbar sein können, vom Modell aber verarbeitet werden. Ein harmlos wirkendes Tool kann das Modell beispielsweise dazu bringen, lokale Konfigurationsdateien oder Secrets zu lesen und über Tool-Parameter weiterzugeben.

Prompt Injection ist breiter. Dabei enthalten externe Daten – etwa Tickets, GitHub-Issues, Webseiten, Dokumente oder Datenbankeinträge – versteckte Instruktionen. Ein Agent soll eigentlich Informationen auswerten, interpretiert den eingebetteten Text aber als Handlungsanweisung. Red Hat beschreibt genau dieses Muster bei einem GitHub-MCP-Szenario: Ein manipuliertes Issue kann einen Agenten dazu bringen, Daten aus einem anderen Kontext zu exfiltrieren. Für eine allgemeinere Einordnung dieser Angriffsklasse siehe auch den Threat Guide zu Prompt Injection.

Eng verwandt ist Memory and Context Poisoning: Dabei wird nicht nur ein einzelner Prompt manipuliert, sondern der Kontext, die Erinnerung oder der Arbeitszustand eines Agenten vergiftet. Bei MCP ist das besonders relevant, weil Resources, Tool-Ausgaben und persistente Workflows in späteren Schritten wieder als Kontext auftauchen können. Wenn dieser Kontext ungeprüft geteilt, wiederverwendet oder gespeichert wird, kann eine einmal eingeschleuste Instruktion spätere Tool-Entscheidungen beeinflussen.

Die wichtigste Lektion: Externe Inhalte, Tool-Beschreibungen und Tool-Ausgaben dürfen nicht als vertrauenswürdige Instruktionen behandelt werden. Sie sind Input. Input braucht Grenzen, Validierung, Kontexttrennung und im Zweifel explizite Nutzerfreigabe.

Command Injection, RCE und STDIO-Risiken

Bei lokalen MCP-Setups ist stdio praktisch, weil ein MCP-Server als lokaler Prozess gestartet wird und der Client über Standard Input und Output kommuniziert. Genau diese Bequemlichkeit kann gefährlich werden, wenn benutzerkontrollierte Konfigurationen oder Tool-Parameter in Prozessstarts, Shell-Kommandos oder Adapter-Logik gelangen.

OX Security veröffentlichte am 15. April 2026 eine technische Analyse zu STDIO-basierten Command-Execution-Risiken im MCP-Ökosystem. Die Researcher beschreiben eine breite Angriffsfläche in SDKs, Frameworks und Plattformen, wenn MCP-Konfigurationen unzureichend validiert werden und lokale oder serverseitige Prozesse beliebige Kommandos starten können.

Für Unternehmen ist die Einordnung wichtiger als die Schlagzeile: Sobald ein Agent lokale Tools starten, Konfigurationsdateien ändern oder Adapter mit weitreichenden Rechten verwenden darf, ist MCP Teil der Code-Ausführungskette. Dann reichen klassische Prompt-Regeln nicht aus. Es braucht Allowlisting, Prozessisolation, sichere Defaults, Review von MCP-Konfigurationen und technische Kontrollen außerhalb des Modells.

Authentifizierung, Autorisierung und Secrets

MCP Security steht und fällt mit Identität. Der Agent sollte nicht mehr dürfen als der Nutzer oder Prozess, in dessen Auftrag er handelt. Die offizielle MCP Authorization Specification beschreibt für HTTP-basierte Transporte OAuth-nahe Muster. Gleichzeitig ist Authorization optional, und stdio-Setups folgen nicht demselben HTTP-Autorisierungsmodell, sondern müssen über Prozess-, Benutzer- und Umgebungsgrenzen abgesichert werden.

Typische Fehler sind breite Tokens, lange Laufzeiten, statische Secrets in Konfigurationsdateien, fehlende Scope-Trennung und Tool-Endpunkte, die nur dem Client vertrauen. Die MCP Security Best Practices empfehlen unter anderem, Sessions nicht als Authentifizierung zu behandeln, eingehende Requests zu prüfen, Session-IDs sicher zu erzeugen und Berechtigungen progressiv zu minimieren.

Gute MCP-Autorisierung ist deshalb granular. Ein Agent, der ein Ticket lesen darf, braucht nicht automatisch Schreibrechte. Ein Tool, das Repository-Metadaten abfragt, braucht nicht automatisch Zugriff auf private Repositories. Und ein lokaler Filesystem-Server sollte niemals pauschal das gesamte Home-Verzeichnis sehen.

MCP Security Checkliste für Unternehmen

Die folgende Checkliste eignet sich als pragmatischer Startpunkt für Teams, die MCP bereits testen oder erste produktive Workflows planen. Sie ersetzt kein Threat Modeling, hilft aber, die größten blinden Flecken schnell sichtbar zu machen.

MCP Security Checkliste

  1. 1

    MCP-Inventar erstellen

    Welche MCP-Server laufen lokal, remote, in IDEs, in Agent-Frameworks oder in Automatisierungsplattformen?

  2. 2

    Server-Herkunft prüfen

    Nur vertrauenswürdige Quellen, signierte Releases, feste Versionen und nachvollziehbare Maintainer akzeptieren.

  3. 3

    Berechtigungen minimieren

    Keine Wildcard-Scopes, keine dauerhaften Admin-Tokens, keine pauschalen Dateisystemfreigaben.

  4. 4

    Tools klassifizieren

    Lesende Tools, schreibende Tools, destruktive Tools und ausführende Tools getrennt freigeben.

  5. 5

    Riskante Aktionen bestätigen lassen

    Löschen, Schreiben, Deployment, E-Mail-Versand, Zahlungs- oder Admin-Aktionen brauchen Human-in-the-Loop.

  6. 6

    Lokale Server isolieren

    Container, Sandboxing, eingeschränkte Nutzer, beschränkte Verzeichnisse und kein unnötiger Netzwerkzugriff.

  7. 7

    Eingaben strikt validieren

    Tool-Parameter nach Typ, Format, Länge, erlaubten Werten und Zielressourcen prüfen.

  8. 8

    Secrets schützen

    Keine Secrets in MCP-Konfigurationsdateien, Logs oder Prompts; stattdessen Secret Manager, kurze Laufzeiten und Rotation.

  9. 9

    Logging und Telemetrie aktivieren

    Tool-Aufrufe, Berechtigungswechsel, abgelehnte Aktionen, Fehler und ungewöhnliche Datenflüsse nachvollziehbar protokollieren.

  10. 10

    Regelmäßig reviewen

    Neue MCP-Server, geänderte Tool-Beschreibungen, Updates und Scope-Änderungen brauchen einen Freigabeprozess.

Best Practices für sichere MCP-Server

OWASP beschreibt sichere MCP-Server-Entwicklung als Kombination aus Architektur, starker Authentifizierung, Autorisierung, Validierung, Session-Isolation und gehärtetem Deployment. Besonders wichtig ist dabei, MCP nicht als reine Entwicklerfunktion zu betrachten. Ein MCP-Server ist eine produktive Integrationskomponente mit Zugriff auf Daten und Aktionen.

Least Privilege als Default

Jeder Server und jedes Tool sollte nur die minimal nötigen Rechte bekommen. Das gilt für OAuth-Scopes, API-Keys, Dateisystempfade, Netzwerkzugriffe und Datenbankrechte. Wenn ein Tool nur lesen soll, darf es nicht schreiben. Wenn ein Agent nur ein Projekt bearbeiten soll, darf er nicht automatisch alle Projekte sehen.

Tool-Design mit klaren Sicherheitsgrenzen

Tools sollten kleine, klar benannte Funktionen haben. Ein Tool namens run_command oder execute_query ist riskanter als ein Tool, das eine eng begrenzte, validierte Aktion ausführt. Je generischer ein Tool ist, desto mehr Verantwortung wandert in das Modell – und genau dort ist die Grenze schwerer kontrollierbar.

Transparenz für Nutzerinnen und Nutzer

Wenn ein Agent eine E-Mail sendet, eine Datei ändert oder ein Deployment anstößt, sollte die Oberfläche nicht nur einen freundlichen Tool-Namen zeigen. Nutzer brauchen sichtbare Zielsysteme, Parameter, Empfänger, Datenumfang und Konsequenzen. Das reduziert das Risiko, dass versteckte Instruktionen oder manipulierte Tool-Beschreibungen unbemerkt durchrutschen.

Defense in Depth statt Prompt-Vertrauen

Prompt-Regeln sind nützlich, aber sie sind keine Sicherheitsgrenze. Eine robuste MCP-Architektur kombiniert Modellvorgaben mit technischen Kontrollen: serverseitige Autorisierung, Datenflussregeln, Netzwerkgrenzen, Dateisystem-Sandboxing, Secret Management, Rate Limits und Audit-Logs.

Governance und Betrieb

Viele MCP-Risiken entstehen nicht, weil Teams leichtsinnig sind, sondern weil die Technologie schnell in Tools, IDEs und Agentenplattformen auftaucht. Ein Entwickler installiert einen nützlichen Server für GitHub, ein anderes Team testet einen Datenbank-Connector, ein drittes Team verbindet eine interne Wissensbasis. Ohne Inventar entsteht daraus Shadow MCP.

Ein pragmatisches Governance-Modell muss nicht schwerfällig sein. Sinnvoll sind ein freigegebener MCP-Katalog, Mindestanforderungen für neue Server, ein Review für schreibende oder ausführende Tools, zentrale Secret-Vorgaben und klare Regeln für lokale Entwicklerumgebungen. Für produktive Workflows sollten MCP-Server zudem in bestehende Prozesse für Vulnerability Management, Logging, Incident Response und Berechtigungsreviews aufgenommen werden.

Wenn Sie bereits AI-Agenten, Flowise, Langflow, Claude Code, Cursor oder eigene MCP-Integrationen einsetzen, lohnt sich ein Blick auf verwandte Risiken. Unsere Einordnungen zu Flowise CVE-2025-59528 und Claude Code RCE und API-Key-Exfiltration zeigen, wie schnell AI-Agent-Workflows klassische RCE-, Secret- und Supply-Chain-Themen berühren können.

Fazit: MCP produktiv nur mit Sicherheitsrahmen

MCP ist ein wichtiger Baustein für nützliche KI-Agenten. Der Standard macht es einfacher, Modelle mit realen Tools und Daten zu verbinden. Für Unternehmen ist das produktiv interessant – aber nur, wenn MCP-Server wie sicherheitsrelevante Integrationskomponenten behandelt werden.

Die wichtigste Frage lautet nicht: Ist MCP sicher oder unsicher? Die bessere Frage lautet: Welche Daten, Rechte und Aktionen geben wir welchem Agenten unter welchen Kontrollen? Wer diese Frage sauber beantwortet, kann MCP sicherer einsetzen. Wer sie ignoriert, baut eine neue, schwer sichtbare Angriffsfläche zwischen Modell, Nutzer, Tools und Unternehmenssystemen.

FAQ zu MCP Security

FAQ zu MCP Security

Was ist MCP Security?
MCP Security beschreibt die Sicherheitsmaßnahmen für Systeme, die das Model Context Protocol nutzen. Dazu gehören sichere MCP-Server, kontrollierte Tool-Aufrufe, Authentifizierung, Autorisierung, Secret Management, Sandboxing, Logging und Governance für KI-Agenten.
Ist MCP sicher?
MCP ist nicht automatisch unsicher, aber es vergrößert die Angriffsfläche, weil KI-Anwendungen über MCP auf Tools, Datenquellen und teilweise ausführbaren Code zugreifen. Sicher wird MCP erst durch Least Privilege, geprüfte Server, starke Authentifizierung, Eingabevalidierung, Isolation und Monitoring.
Was ist Tool Poisoning bei MCP?
Tool Poisoning ist ein Angriff, bei dem ein MCP-Tool, dessen Beschreibung oder dessen Ausgabe manipuliert wird. Das Modell kann dadurch versteckte Anweisungen erhalten, die für Nutzerinnen und Nutzer nicht offensichtlich sind, aber Tool-Aufrufe, Datenabfluss oder falsche Entscheidungen auslösen können.
Welche MCP Security Best Practices sind besonders wichtig?
Besonders wichtig sind ein Inventar aller MCP-Server, ein Freigabeprozess für neue Tools, minimale Berechtigungen, kurzlebige und scoped Tokens, sichere Transportwahl, Sandboxing lokaler Server, strikte Eingabevalidierung, Human-in-the-Loop für riskante Aktionen und nachvollziehbare Audit-Logs.

Themen

MCP SecurityModel Context ProtocolAI Agent SecurityPrompt InjectionTool PoisoningSupply Chain Security

Quellen

  1. Dasilium: Wie funktioniert ein MCP-Server? Technische EinführungDasilium, 2026
  2. Anthropic: Introducing the Model Context ProtocolAnthropic, 25. November 2024
  3. Model Context Protocol SpecificationModel Context Protocol Documentation
  4. Security Best Practices – Model Context ProtocolModel Context Protocol Documentation
  5. Authorization – Model Context ProtocolModel Context Protocol Specification, 26. März 2025
  6. OWASP MCP Top 10OWASP Foundation, 2026
  7. OWASP: A Practical Guide for Secure MCP Server DevelopmentOWASP GenAI Security Project, 16. Februar 2026
  8. Invariant Labs: MCP Security Notification – Tool Poisoning AttacksInvariant Labs, 01. April 2025
  9. AI Agent Security: Prompt InjectionAI Agent Security
  10. AI Agent Security: Memory and Context PoisoningAI Agent Security
  11. Red Hat: MCP security – The current situationRed Hat, 25. Februar 2026
  12. Palo Alto Networks: Model Context Protocol (MCP) – A Security OverviewPalo Alto Networks, 06. Juni 2025
  13. OX Security: The Mother of All AI Supply Chains – Technical Deep DiveOX Security, 15. April 2026