Das Model Context Protocol (MCP) hat sich als zentraler Standard für KI-Integrationen in Unternehmen etabliert – doch Sicherheitsforscher schlagen Alarm: Eine strukturelle Schwachstelle im Protokoll macht MCP-fähige Systeme zur attraktiven Angriffsfläche. Die Mechanik erinnert erschreckend an längst bekannte Web-Schwachstellen – mit potenziell weitreichenden Folgen für regulierte Branchen.
MCP-Sicherheitslücke: Wie das KI-Protokoll zur Angriffsfläche für Unternehmen wird
Was ist MCP – und wo liegt das Problem?
Das Model Context Protocol wurde ursprünglich von Anthropic entwickelt und erlaubt es Large Language Models, strukturiert mit externen Diensten, Datenbanken und APIs zu kommunizieren. Das Protokoll wird mittlerweile von einer wachsenden Zahl von KI-Plattformen und Enterprise-Tools unterstützt und gilt als Grundlage für viele Agentic-AI-Szenarien, bei denen KI-Systeme selbstständig Aufgaben ausführen.
Das Kernproblem: MCP vertraut standardmäßig den Kontextinformationen, die von angebundenen Tools geliefert werden. Angreifer können diese Eigenschaft ausnutzen, indem sie manipulierte Anweisungen in Datenquellen einschleusen, die das KI-System später verarbeitet.
Das Modell folgt diesen Anweisungen, ohne deren Herkunft kritisch zu hinterfragen – ein Angriffsmuster, das als Prompt Injection über externe Datenquellen bekannt ist.
Die Analogie zum Open Redirect
Sicherheitsexperten vergleichen das Muster mit der sogenannten Open-Redirect-Schwachstelle aus der klassischen Webentwicklung: Dort leiteten schlecht konfigurierte Server Nutzer auf beliebige externe URLs weiter, wenn diese als Parameter übergeben wurden.
Ähnlich verhält sich ein kompromittierter MCP-Kontext: Das KI-System wird auf Aktionen „umgeleitet”, die ursprünglich nicht vorgesehen waren – etwa:
- das Exfiltrieren sensibler Daten
- das Auslösen unautorisierter API-Aufrufe
- das Manipulieren nachgelagerter Geschäftsprozesse
Besonders kritisch ist dies in Umgebungen, in denen KI-Agenten mit weitreichenden Berechtigungen ausgestattet sind – etwa Zugriff auf interne Wissensdatenbanken, Kommunikationsplattformen oder ERP-Systeme.
Governance-Lücken in der Unternehmens-KI
Das eigentliche strukturelle Problem liegt weniger im Protokoll selbst als in der fehlenden Governance-Schicht rund um MCP-Implementierungen. Viele Unternehmen deployen MCP-fähige Systeme, ohne klare Richtlinien zu definieren:
- Welchen Datenquellen darf das KI-System vertrauen?
- Welche Aktionen sind im Agentic-Modus zulässig?
- Wie werden verdächtige Anfragen protokolliert und überprüft?
„Sicherheitsforscher empfehlen den Aufbau expliziter Trust Boundaries: KI-Systeme sollten nur Kontextinformationen aus verifizierten, kontrollierten Quellen verarbeiten dürfen.”
Zusätzlich braucht es Logging-Mechanismen auf Ebene des MCP-Traffics sowie eine klare Rechtevergabe nach dem Least-Privilege-Prinzip für alle agentengesteuerten Prozesse.
Einordnung für deutsche Unternehmen
Für deutsche Tech-Entscheider ergibt sich konkreter Handlungsbedarf: Wer MCP-basierte KI-Integrationen plant oder bereits betreibt, sollte die bestehenden Sicherheitsarchitekturen kritisch prüfen. Das betrifft insbesondere Unternehmen in regulierten Umgebungen:
- Finanzbranche: Compliance-Risiken durch unkontrollierte Datenweitergabe
- Gesundheitswesen: Datenschutzverstöße mit unmittelbaren DSGVO-Konsequenzen
- Kritische Infrastruktur: Manipulationsrisiken in automatisierten Prozessketten
Da MCP als Protokollstandard weiter an Verbreitung gewinnt, dürfte KI-Governance auf Datenebene in den kommenden Quartalen zu einem zentralen Punkt in den Sicherheitsstrategien von Enterprise-IT-Abteilungen werden.