Governed Model Context Protocol Server Beoordelen

mcp security governance model-context-protocol agent-security tool-poisoning oauth rbac agentic-iam prompt-injection governance-gap

Mai 2026

Überblick

MCP (Model Context Protocol), von Anthropic im November 2024 open-sourced, ist zum De-facto-Standard für die Verbindung von AI-Agenten mit Tools und Datenquellen geworden. Bis Mai 2026 gilt MCP als „Rückgrat“, wie Agenten Tools und Daten anbinden (aktiv in Harvey AI, AutoGen Studio, Microsoft Copilot, Agentverse. Security Governance hinkt der Adoption hinterher. Die NSA veröffentlichte im Mai 2026 ein MCP-Security-Advisory mit der Einschätzung, dass „MCP's current security posture remains uneven and highly dependent on implementation discipline rather than protocol guarantees.“ CoSAI auf der RSAC 2026 identifizierte Identity als „load-bearing wall of MCP security“) die meisten Produktionsdeployments haben das nicht adressiert. MCP-Spec Juni 2025 (SEP-835) ergänzte OAuth auf Tool-Ebene. Zenity 2025 und Checkmarx November 2025 dokumentieren 11+ Angriffsklassen.

Adoptionssignale

MCP ist 2026 Teil des Linux Foundation Agentic AI Foundation Ökosystems neben Goose und AGENTS.md, was langfristige vendor-neutrale Verwahrung und Enterprise-Integrationsplanung signalisiert (Linux Foundation: Agentic AI Foundation).
MCP-Registry-Ökosystem wächst; Anthropic, OpenAI und Microsoft liefern vorgefertigte Server für Google Drive, Slack, GitHub, Git, Postgres, Puppeteer.
Security-Teams müssen MCP-Server-Inventare in AI-System-Audits governen.
Microsoft MCP-Security-Guidance für Azure (April 2025).
Security-Tools: MCP Scanner, Ramparts, CyberMCP, Proximity (NSA-referenziert).
CoSAI Agentic IAM (März 2026) formalisiert Identity-Lifecycle für MCP und angrenzende Protokolle.

Risiken

Tool Poisoning: bösartige Instruktionen in Tool-Beschreibungen hijacken Agent-Verhalten, dokumentiert von Microsoft und NSA.
OAuth Token Passthrough: falsche Weiterleitung vorgelagerter Tokens ermöglicht Impersonation (CoSAI, April 2026).
Access-Control-Lücken: RBAC nicht auf Protokollebene; Auth optional; viele Open-Source-Server ohne Wartung (NSA).
Arbitrary Code Execution (ACE) bei unkontrollierten User-Inputs (CWE-77, 78, 94, 95). NSA-bestätigt.
Audit-Log-Lücken: die meisten Implementierungen loggen nicht. Compliance-Lücken.

Vorteile & Nachteile

Vorteile

Standardisiert, wie Agents sich mit Tools, Datenquellen und Enterprise-Systemen verbinden.
Reduziert Custom-Integrationsaufwand über Agent Clients und Server hinweg.
Schafft ein Ökosystem aus wiederverwendbaren Connectors und typisierten Fähigkeiten.

Nachteile

Security hängt stark von Implementierungsdisziplin und Berechtigungsgrenzen ab.
Tool Poisoning, zu breite Scopes und Identity Propagation bleiben schwierige Probleme.
Schnelle Adoption kann Governance, Inventarisierung und Review-Prozesse überholen.

Empfehlung

Bewerten Sie MCP-Server nur, wenn Sie Security Governance vor der Adoption etablieren: dedizierte Agent-Identitäten und OAuth-Scopes (kein Token Passthrough), Tool-Description-Audits gegen Tool Poisoning, RBAC oberhalb des Protokolls und vollständige Audit-Logs. Nutzen Sie MCP Scanner, Ramparts oder Proximity zur Inventarisierung und folgen Sie der NSA-MCP-Guidance.