Wanan Wanan – shutterstock.com
Das Model Context Protocol (MCP) wurde erst Ende 2024 vorgestellt, dennoch sind die technologischen Folgen in vielen Architekturen bereits deutlich spürbar. Damit Entwickler nicht jede Schnittstelle mühsam von Hand programmieren müssen, stellt MCP eine einheitliche „Sprache“ für LL-Agenten bereit. Dadurch können sie Tools, Datenbanken und SaaS‑Dienste wie Bausteine flexibel zusammenstellen und nutzen.
Ein Beispiel für den Einsatz von MCP in der Cybersicherheit ist die automatische Analyse von Sicherheitsvorfällen, bei der ein KI-Agent verdächtige IP-Adressen in einem System prüft, Logdaten auswertet und bei Bedarf ein betroffenes Gerät über eine weitere Schnittstelle isoliert – alles durch die koordinierte Nutzung mehrerer Sicherheitstools über MCP.
Ich erinnere mich an 2015, als ein Tippfehler eines Kollegen im Python‑Playbook für eine API-Schnittstelle einer Firewall dazu geführt hat, dass damals das halbe Firmennetz lahmgelegt wurde. Das war ärgerlich, aber wenigstens deterministisch und nachvollziehbar. MCP dagegen folgt einer probabilistischen Logik: Ein Agent bewertet Kontext, trifft eine Wahrscheinlichkeitsentscheidung – und führt sie aus. Überlässt man ihm das mit weitreichenden Rechten, entstehen in Millisekunden Schäden, gegen die der damalige Systemausfall durch einen Tippfehler lächerlich wirkt. Aus diesem Grund ist MCP-Sicherheit nicht nur ein IT-Thema, sondern unternehmensweit relevant.
Von klarer Spur zu digitalem Nebel
Bei klassischen REST‑APIs ist Sicherheit greifbar: Jeder Aufruf, jede Authentifizierung und jedes Ein‑/Ausgabe‑Paar landet im Audit‑Log, sodass sich Abläufe deterministisch nachvollziehen lassen. MCP‑basierte Agenten dagegen präsentieren nur das Endergebnis – warum, auf wessen Prompt oder mit welcher Tool‑Kette sie dorthin gelangten, bleibt verborgen. Dieser blinde Fleck zwischen Intention und Ausführung macht jedes belastbare Threat‑Model zunichte.
Wirklich sichere Agentic‑Workflows erfordern Telemetrie, Prompt‑Historie, Kontext‑Injections, Tool‑Auswahl und Agenten‑Gedächtnis in Echtzeit verknüpft. Ohne diesen Tiefenblick jagen wir lediglich dem Schatten eines autonomen Entscheidungsmotors hinterher. Die Frage ist nicht, ob wir diese Sichtbarkeit schaffen müssen, sondern wie schnell – erst dann wird MCP von einem Risiko zu einem kontrollierbaren Vorteil.
CISOs müssen sich der Bedrohungslage bewusst werden, denn aktuelle Vorfälle zeigen, wie vielfältig die Angriffsflächen von MCP sind: Beim „Toxic Agent Flow“ genügte ein präpariertes GitHub‑Issue, um über indirekte Prompt‑Injection einen Agenten dazu zu bringen, vertraulichen Code aus privaten Repositories in öffentliche zu kopieren – völlig unbemerkt.
Parallel fanden Forscher Hunderte frei zugängliche MCP‑Server, die beliebige Shell‑Befehle zuließen; ein einziger Netzzugriff reichte aus, um Produktionssysteme zu übernehmen und Agent‑Identitäten zu kapern. Hinzu kommen Supply‑Chain‑Risiken: Typosquatted oder nachträglich manipulierte MCP‑Pakete verbinden Agents heimlich mit feindlicher Infrastruktur und eröffnen so Datenabfluss oder Remote‑Control. Selbst scheinbar harmlose Prompt‑ oder Tool‑Bibliotheken wurden bereits so modifiziert, dass Agenten Credentials leaken oder Daten löschen. Kurz – der Angriff manipuliert längst nicht mehr nur den LLM-Agenten, sondern das gesamte Ökosystem.
Vier Grundpfeiler für die Absicherung von MCP‑Servern
CISOs können sich bei MCP weitgehend auf die bewährten Grundprinzipien der Cybersicherheit stützen – nur müssen sie diese an ein paar Stellen anpassen. Reine Checklisten greifen hier zu kurz. Stattdessen braucht es einen klaren, prinzipienbasierten Ansatz. In der Praxis bewähren sich dabei vier zentrale Säulen:
- Starke Authentifizierung und sauberes Credential‑Management
Statische Tokens und unreguliertes Sitzungsmanagement öffnen Angreifern Tür und Tor. Kurzlebige, rotierende Zugangsdaten sowie eine Multi-Faktor-Authentifizierung (MFA) sollten daher eingesetzt werden. Eine fortlaufende Überwachung der Token‑Nutzung und das automatisierte Sperren kompromittierter Schlüssel begrenzen den Schaden, falls ein Token doch entwendet wird. Nachdem geklärt ist, wer zugreifen darf, muss definiert werden, was dieser Zugriff bewirken darf. - Robuste Eingabekontrollen und Schutz vor Prompt‑Injection
Prompt‑Injection ist ein realer, bereits oft erfolgreich genutzter Angriffsweg. Jede Eingabe sollte daher strikt validiert und bereinigt werden. Allow‑/Deny‑Listen sowie die Überwachung auffälliger Prompt‑Muster leisten hier wertvolle Dienste. In manchen Umgebungen werden Anfragen durch eine GenAI Firewall/Proxy geleitet, um bekannte Angriffe auszusortieren, bevor sie den MCP‑Server erreichen. So lassen sich Datenabfluss und Manipulation vermeiden, die zu Kundenverlusten, rechtlichen Konsequenzen oder Imageschäden führen könnten. - Feingranulare Autorisierung und Kontextisolation
Übermäßig breite Berechtigungen und unzureichende Mandantentrennung vergrößern das Schadenspotenzial erheblich. MCP‑Systeme hatten in der Vergangenheit gerade hier Schwachstellen. Bevor sensible Datenbestände angebunden werden, sollte deshalb eine belastbare Autorisierungslösung implementiert sein: das Prinzip der geringsten Privilegien („Least Privilege“), rollenbasierte Rechte sowie strikte Isolation von Kontexten und Mandanten. Auf diese Weise bleibt ein Vorfall auf einen einzelnen Workflow oder Nutzer beschränkt anstatt das gesamte Unternehmen zu befallen. - Kontinuierliche Überwachung und Aufbau von AI‑Kompetenz
Statische Kontrollen greifen zu kurz. Echtzeit‑Monitoring sämtlicher MCP‑Interaktionen, regelmäßige Red‑Team‑Tests und Schulungen aller Fachabteilungen zu Chancen und Risiken MCP‑gestützter KI sollten zum Standard gehören. Eine KI‑kompetente Belegschaft – vom Produktmanagement bis zum Aufsichtsrat – bildet heute eine grundlegende Verteidigungslinie. Das Ergebnis: Schnellere Erkennung und Behebung von Vorfällen sowie eine nachweislich starke Sicherheitsposition, die bei Ausschreibungen zunehmend als Wettbewerbsvorteil wirkt, weil immer häufiger ein belastbarer Nachweis zur Sicherheit der AI‑Lieferkette gefordert wird.
Fazit: MCP-Sicherheit ist essenziel im KI-Zeitalter
Die ersten Sicherheitsvorfälle rund um MCP sind kein Ausrutscher, sondern eine Warnung für CISOs. Wenn autonome KI‑Agenten bald fester Teil vieler Geschäftsabläufe sind, wird die Absicherung von MCP zum Prüfstein für das Vertrauen in ein Unternehmen. Führungskräfte und C-Level-Management, die das nicht als reines Technik‑Problem abtun, sondern proaktiv in die Absicherung von MCP investieren, schützen nicht nur ihre Firma – sondern ebnen Unternehmen den Weg für kontinuierliche Innovationen im KI‑Zeitalter. (jm)