Das Model Context Protocol hat ein altes Problem neu verpackt: Wie verbindet man intelligente Systeme mit echten Unternehmensdaten, ohne ihnen zu viel Macht zu geben? MCP macht Tool-Zugriffe standardisierter. Genau dadurch wird es attraktiv – und riskant.

Sobald ein Agent Tickets lesen, Dateien abrufen, Datenbanken befragen oder interne APIs auslösen kann, ist er nicht mehr nur ein Chatfenster. Er wird zu einem nicht-menschlichen Akteur im Unternehmensnetz. Für Security-Teams bedeutet das: Prompt-Sicherheit allein reicht nicht. Die entscheidende Frage lautet, welche Aktion der Agent in welchem Kontext tatsächlich ausführen darf.

Warum MCP-Governance mehr ist als ein Prompt-Problem

Viele Schutzkonzepte beginnen beim Modell: System Prompt härten, unerwünschte Antworten filtern, Jailbreaks erkennen. Das ist sinnvoll, aber nicht ausreichend. Der gefährliche Teil entsteht oft dort, wo das Modell Werkzeuge bedienen darf.

Ein Agent kann korrekt antworten und trotzdem zu viele Daten sehen. Er kann höflich klingen und trotzdem eine riskante Tool-Kette auslösen. Er kann einem manipulierten Dokument folgen, weil der Angriff nicht im Chat steht, sondern indirekt in einer Webseite, E-Mail oder Datei versteckt ist. Genau deshalb braucht MCP eine Governance-Schicht außerhalb des Modells.

KI-Agent läuft durch mehrere Sicherheitsräume, bevor er auf Unternehmensdaten zugreifen darf

Least Privilege pro Tool-Call

Der wichtigste Grundsatz bleibt banal und unbequem: Ein Agent sollte nie mehr dürfen, als die konkrete Aufgabe verlangt. Das betrifft nicht nur Benutzerrollen, sondern jeden einzelnen Tool-Call. Darf dieser Agent dieses Ticket lesen? Darf er diese Datei exportieren? Darf er eine Änderung schreiben oder nur einen Vorschlag erzeugen?

Frameworks und Ansätze rund um Policy Decision Points, dynamische Autorisierung und Gateway-Schichten zeigen, wohin die Praxis geht. MCP-Server sollten Berechtigungen nicht als statische Vertrauensannahme behandeln. Sie sollten pro Aktion prüfen, wer fragt, in welchem Auftrag gefragt wird, welche Ressource betroffen ist und welches Risiko der nächste Schritt hat.

Das Gateway als Kontrollpunkt

Eine robuste Architektur setzt nicht darauf, dass jedes Team seinen eigenen MCP-Server perfekt absichert. Besser ist ein kontrollierter Pfad: Agenten sprechen mit einem Gateway oder Proxy, der erlaubte Server, Tools, Scopes, Quotas und Logging zentral durchsetzt.

Dieses Gateway kann riskante Tool-Beschreibungen filtern, verdächtige Antworten bereinigen, Rate Limits setzen und menschliche Freigaben erzwingen. Es ist die Stelle, an der aus „der Agent kann alles erreichen“ ein nachvollziehbarer Arbeitsfluss wird.

Auditierbarkeit entscheidet über Vertrauen

Für produktive Agenten reicht es nicht, am Ende ein Ergebnis zu sehen. Teams müssen rekonstruieren können, welche Eingabe zu welchem Tool-Call geführt hat, welche Daten gelesen wurden, welche Policy entschieden hat und wer eine Freigabe erteilt hat.

Ohne solche Audit-Trails wird Governance zur Behauptung. Mit ihnen können Security, Legal und Engineering gemeinsam prüfen, ob ein Agent innerhalb seiner Grenzen gehandelt hat. Das ist besonders wichtig, wenn Agenten über längere Sessions arbeiten oder mehrere Systeme nacheinander berühren.

Relevante Tools auf Utildesk

Wer Agenten produktiv baut, sollte die Tool-Schicht nicht isoliert betrachten. OpenAI GPT Agents stehen für den Plattformansatz rund um handlungsfähige Assistenten, LangChain und CrewAI zeigen typische Framework-Pfade für orchestrierte Agenten, und die OpenAI API bleibt für viele Teams die operative Schnittstelle, an der Authentifizierung, Kostenkontrolle und Logging sauber gelöst werden müssen.

Praxis-Check für Unternehmen

Ein brauchbarer Startpunkt ist eine kleine, harte Checkliste:

  • Inventar erstellen: Welche Agenten, MCP-Server und API-Tokens existieren bereits?
  • Scopes reduzieren: Lese- und Schreibrechte trennen, Exporte begrenzen, produktive Aktionen absichern.
  • Gateway erzwingen: Keine freien Direktverbindungen zu beliebigen MCP-Servern.
  • Tool-Calls loggen: Eingabe, Entscheidung, Ressource und Ergebnis nachvollziehbar speichern.
  • Human-in-the-loop definieren: Freigaben für Datenexporte, Schreibzugriffe, Deploys und irreversible Aktionen.
  • Quotas setzen: Schleifen, Massenabfragen und Kostenexplosionen technisch begrenzen.

Diese Punkte sind weniger glamourös als eine Agenten-Demo, aber sie entscheiden darüber, ob ein System im Alltag tragfähig ist.

Fazit: Agenten brauchen Betriebssicherheit, nicht nur Intelligenz

MCP ist ein starker Integrationsschritt, weil es Agenten aus isolierten Chats in echte Arbeitsumgebungen holt. Genau deshalb muss Governance früh mitgebaut werden. Wer erst nach dem ersten Vorfall über Berechtigungen, Logs und Gateways nachdenkt, hat den schwierigsten Teil bereits falsch platziert.

Die sichere Richtung ist klar: Least Privilege, dynamische Autorisierung, kontrollierte Gateways, Audit-Trails und menschliche Freigaben an den riskanten Stellen. Dann wird MCP nicht zur neuen Schatten-IT, sondern zu einer belastbaren Schnittstelle für produktive Agenten.

Quellen

  1. Model Context Protocol
  2. Cerbos: MCP Authorization
  3. Cerbos: Dynamic Authorization for AI Agents
  4. Microsoft: Agent Governance Toolkit for MCP tool calls
  5. Indirect Prompt Injection for Web-Browsing Agents – arXiv
  6. FINOS AI Governance Framework