logo lineofbiz

Model Context Protocol (MCP): Das trojanische Pferd im KI-Zeitalter?Wie das neue MCP die IT-Sicherheit revolutioniert – und gefährdet

28. August 2025
ai generated LoB pixabay dlsd cgl
Quelle: dlsd cgl, Pixabay

Die Vision von KI-Agenten, die nicht nur auf Befehle reagieren, sondern aktiv mit externen Systemen interagieren, rückt in greifbare Nähe. Mit dem von Anthropic entwickelten und nun offenen Model Context Protocol (MCP) scheint die Brücke zwischen isolierten Large Language Models (LLMs) und der realen, vernetzten Welt geschlagen. Doch wo neue Power entsteht, lauern auch neue Risiken. Das als „USB-C für KI“ gefeierte Protokoll könnte, wenn unachtsam implementiert, zur größten Sicherheitslücke der digitalen Transformation werden.

Bisher agierten LLMs primär als intelligente Textgeneratoren. Ihre Fähigkeiten endeten an den Grenzen ihres Trainingsdatensatzes. Das MCP verändert dieses Paradigma grundlegend. Es stattet KI-Modelle mit einer standardisierten Schnittstelle aus, über die sie auf externe Tools, Datenbanken oder APIs zugreifen können.

Ein LLM-Agent kann somit nicht nur eine E-Mail entwerfen, sondern auch selbstständig die dafür benötigten Kundendaten aus einem CRM abrufen und die E-Mail versenden. Diese „Superkräfte“ versprechen enorme Effizienzgewinne in der Softwareentwicklung, Datenanalyse und Prozessautomatisierung. Der technische Ablauf sieht dabei wie folgt aus:

  • Die Benutzeranfrage: Ein Mitarbeiter stellt eine komplexe Anfrage an den KI-Agenten.
  • Die Tool-Auswahl: Das LLM analysiert die Anfrage und wählt die passenden externen Tools aus, um die Aufgabe zu erfüllen.
  • Die Ausführung: Die Anfrage wird über den MCP-Standard an einen MCP-Server gesendet, der das Tool ausführt und die Ergebnisse zurück an das LLM übermittelt.
  • Die Ausgabe: Das LLM formuliert die finale Antwort auf Basis der gesammelten Informationen und Ergebnisse.

Das „Wild West“-Szenario der neuen Schnittstelle

Trotz der vielversprechenden Potenziale warnen Experten vor einer „Wild-West“-Mentalität in der frühen Adaptionsphase des MCP. Das größte Risiko liegt in der noch unreifen Sicherheitsarchitektur. Zwar sieht der Standard Autorisierungsmechanismen vor, doch die freiwillige Natur dieser Kontrollen kann leicht zu Schwachstellen führen.

Betreiber von MCP-Servern, die aus Gründen der Einfachheit auf strenge Zugangskontrollen verzichten, schaffen Einfallstore für ausgeklügelte Angriffe. Die potenziellen Angriffsvektoren sind vielfältig und umfassen unter anderem:

  • Tool-Poisoning: Angreifer manipulieren externe Tools, um dem LLM-Agenten absichtlich fehlerhafte oder bösartige Informationen zu liefern, die er dann unbemerkt verarbeitet und an den Benutzer weitergibt.
  • Session Hijacking: Durch eine manipulierte Benutzeranfrage gelingt es einem Angreifer, die Berechtigungen des KI-Agenten zu übernehmen und im Namen des Benutzers Aktionen auszuführen oder auf sensible Daten zuzugreifen.
  • Cross-Server-Manipulation: Ein Angreifer, der Zugriff auf einen MCP-Server erhält, könnte diesen nutzen, um über den LLM-Agenten auf andere, nicht autorisierte Server zuzugreifen.
  • Supply-Chain-Angriffe: Auch die in MCP integrierten externen Tools und APIs selbst können zum Ziel werden, um die gesamte nachgeschaltete Kette zu kompromittieren.

Das Model Context Protocol ist zwar ein bahnbrechender technologischer Fortschritt, der das Potenzial hat, die Arbeitswelt zu transformieren. Es ist jedoch entscheidend, dass seine Implementierung mit einem robusten Sicherheitsbewusstsein einhergeht. Für Sicherheitsexperten, Entwickler und Unternehmen bedeutet das:

  • Klare Richtlinien festlegen: Jeder Einsatz von MCP-Servern muss mit strengen Autorisierungs- und Authentifizierungsmechanismen versehen sein.
  • Monitoring und Auditing: Die Interaktionen von KI-Agenten mit externen Tools müssen transparent nachvollziehbar sein, um Anomalien frühzeitig zu erkennen.
  • Sensibilisierung der Mitarbeiter: Schulungen zum sicheren Umgang mit KI-Tools sind unerlässlich, um das Risiko von Prompt Injection und anderen manipulationsbasierten Angriffen zu minimieren.

Wer die neuen „Superkräfte“ der LLMs nutzen will, muss lernen, sie zu kontrollieren. Andernfalls könnte die Tür zu einer neuen Ära der Automatisierung auch die Tür zu einer neuen Dimension der Cyberbedrohungen öffnen.

Gianpietro Cutolo ist Cloud Threat Researcher bei Netskope.

Netskope

Lesen Sie auch

security LoB GerdAltmann Pixabay

Security-Audits, Penetrationstests und Verschlüsselung

password LoB Tobias pixabay

Mehr Sicherheit bei gestiegenem Komfort

artificial intelligence LoB JuliusH

Hälfte aller aktuellen App-Nutzungen gehören zur „Schatten-KI“.