Model Context Protocol: Der offene Standard auf dem Weg zum USB-C der KI-Tool-Integration
Jeder Entwickler, der versucht hat, eine nützliche KI-Anwendung zu bauen, ist auf dasselbe Problem gestoßen: Large Language Models sind hervorragend im logischen Schlussfolgern über Text, aber sie sind isolierte Systeme. Sie haben keinen Zugriff auf Ihre Datenbank, Ihre Codebasis, Ihren Kalender oder das Web. Sie dazu zu bringen, externe Ressourcen zu nutzen, erfordert die Entwicklung eigener Integrationen – und jedes Modell und jedes Tool benötigt seinen eigenen, maßgeschneiderten Connector.
Das Model Context Protocol von Anthropic, im November 2024 vorgestellt und als offener Standard veröffentlicht, versucht, dieses Problem auf die gleiche Weise zu lösen, wie USB das Problem der Peripherieanbindung löste: einen einzigen, klar spezifizierten Protokollstandard definieren, den jedes Tool und jedes Modell einmal implementieren kann, und sie dann automatisch zusammenarbeiten lassen.
Was MCP eigentlich ist
MCP ist ein Client-Server-Protokoll, das auf JSON-RPC 2.0 aufbaut. Ein MCP-Server stellt Fähigkeiten bereit – Tools, Resources und Prompts – die ein MCP-Client (typischerweise eine KI-Anwendung oder eine LLM-Laufzeitumgebung) erkennen und aufrufen kann. Das Protokoll definiert drei primitive Fähigkeitstypen:
Tools sind Funktionen, die die KI aufrufen kann: das Web durchsuchen, eine Datenbank abfragen, einen Shell-Befehl ausführen, eine E-Mail senden, eine Datei erstellen. Ein Tool hat einen Namen, eine Beschreibung (in natürlicher Sprache, die das Modell verwendet, um zu entscheiden, wann es aufgerufen werden soll) und ein JSON-Schema, das seine Eingaben definiert. Das Modell ruft ein Tool auf, indem es eine strukturierte Tool-Use-Nachricht ausgibt; der MCP-Client leitet den Aufruf an den entsprechenden Server weiter; das Ergebnis wird zurückgegeben und zum Kontext des Modells hinzugefügt.
Resources sind Daten, die die KI lesen kann: Dateien, Datenbankzeilen, API-Antworten, Dokumente. Im Gegensatz zu Tools sind Resources schreibgeschützt und über URIs adressierbar. Ein Resource-Server könnte file:///home/user/project/README.md oder postgres://db/schema/users bereitstellen. Der Client kann sie bei Bedarf abrufen und in das Kontextfenster des Modells aufnehmen.
Prompts sind parametrisierte Vorlagen, die ein MCP-Server als wiederverwendbare Interaktionsmuster bereitstellen kann. Dies wird in aktuellen Implementierungen weniger häufig genutzt, ermöglicht es Tool-Anbietern jedoch, optimierte Prompting-Strategien zusammen mit ihren Tool-Definitionen auszuliefern.
Der Transport ist flexibel: Der aktuelle Spezifikation unterstützt stdio (für lokale Tools, die als Subprozesse laufen) und SSE (Server-Sent Events, für entfernte HTTP-basierte Server). Ein WebSocket-Transport befindet sich im Entwurfsstadium. Das bedeutet, dass ein MCP-Server ein lokales Python-Skript sein kann, das neben Ihrer IDE läuft, eine entfernte API, die in einer Cloud-Funktion läuft, oder alles dazwischen.
Die Übernahmegeschichte
MCP startete mit Anthropics eigener Claude Desktop-Anwendung als erstem Client und einer Reihe von Referenzserver-Implementierungen für gängige Integrationen: Dateisystemzugriff, Websuche, GitHub, Slack, PostgreSQL und einige andere. Die anfängliche Nutzung konzentrierte sich hauptsächlich auf die Entwickler-Community, die Erweiterungen für Claude Desktop und Claude Code (Anthropics Coding-Agent) entwickelte.
Der Status des Protokolls änderte sich im März 2025 grundlegend, als OpenAI ankündigte, MCP als unterstützten Integrationsstandard in seiner API und seinen eigenen Produkten zu übernehmen. Die Ankündigung war bemerkenswert, weil OpenAI ein eigenes proprietäres Tool-Calling-Format hatte – das Unternehmen entschied sich ausdrücklich dafür, den bestehenden offenen Standard zu übernehmen, anstatt seinen eigenen zu erweitern. Google folgte im Mai 2025 und kündigte MCP-Unterstützung in der Gemini API und im Android AI Agent Framework an. Microsoft integrierte MCP im Juni 2025 in Copilot Studio und GitHub Copilot.
Bis Mitte 2026 umfasst das MCP-Ökosystem über 3.000 registrierte Community-Server-Implementierungen im offiziellen Registry, die alles von Jira- und Linear-Integrationen über Kubernetes-Cluster-Management bis hin zur medizinischen Literatursuche abdecken. Alle großen LLM-API-Anbieter unterstützen MCP-Tool-Aufrufe als offizielles Eingabeformat neben ihrer nativen Tool-Calling-Syntax.
Wie es in der Praxis aussieht
Die Entwicklererfahrung beim Hinzufügen von MCP zu einer Anwendung hat sich seit dem Start deutlich verbessert. Das @modelcontextprotocol/sdk JavaScript/TypeScript-Paket und die Python-Bibliothek mcp kümmern sich um den Protokoll-Boilerplate; das Schreiben eines MCP-Servers für ein neues Tool umfasst in der Regel die Definition einiger Funktionssignaturen mit Typannotationen und einer Beschreibung in natürlicher Sprache.
Ein minimaler Python-MCP-Server, der ein Tool zur Abfrage der internen Wissensdatenbank eines Unternehmens bereitstellt, sieht ungefähr so aus:
from mcp.server import Server
from mcp.server.models import InitializationOptions
import mcp.types as types
server = Server("company-kb")
@server.list_tools()
async def list_tools() -> list[types.Tool]:
return [types.Tool(
name="search_knowledge_base",
description="Search the company knowledge base for policies, procedures, and documentation.",
inputSchema={"type": "object", "properties": {
"query": {"type": "string", "description": "The search query"}
}, "required": ["query"]}
)]
@server.call_tool()
async def call_tool(name: str, arguments: dict) -> list[types.TextContent]:
if name == "search_knowledge_base":
results = await kb_search(arguments["query"])
return [types.TextContent(type="text", text=results)]Jede MCP-kompatible KI-Anwendung – Claude Desktop, eine benutzerdefinierte App mit dem Anthropic SDK, eine GitHub Copilot-Erweiterung – kann dieses Tool dann automatisch erkennen und nutzen, sobald der Server registriert ist.
Das Sicherheitsmodell
Die Sicherheitseigenschaften von MCP sind eine kritische Überlegung für jeden ernsthaften Einsatz. Das Protokoll selbst ist transportagnostisch und enthält keine integrierte Authentifizierung – das bleibt der Server-Implementierung und der Einsatzumgebung überlassen. Für lokale stdio-Server (die auf dem Rechner des Benutzers laufen und von der Client-Anwendung gestartet werden) ist das in der Regel in Ordnung: Der Server hat dieselben Privilegien wie der Benutzer, der ihn gestartet hat. Für entfernte SSE-Server liegt die Authentifizierung in der Verantwortung des Serverbetreibers.
Ein subtileres Risiko ist das Tool Poisoning: Ein bösartiger MCP-Server, der das Verhalten seines Tools in der natürlichen Sprachbeschreibung falsch darstellt, verleitet die KI dazu, es in Kontexten aufzurufen, die der Benutzer nicht beabsichtigt hat. Dies ist ein aktives Gebiet der Sicherheitsforschung, und es wurden mehrere Abhilfemaßnahmen vorgeschlagen: kryptografische Signierung von Server-Manifesten, Genehmigung durch Menschen für Tool-Aufrufe oberhalb einer Risikoschwelle und statische Analyse von Tool-Beschreibungen. Die MCP-Spezifikation enthält einen Abschnitt mit Sicherheitserwägungen, der mit zunehmender praktischer Einsatz-Erfahrung erweitert wurde.
Warum es für das Ökosystem wichtig ist
Vor MCP war jede KI-Integration eine benutzerdefinierte Integration. Das Erstellen eines Connectors zwischen Claude und Ihren internen Tools erforderte anderen Code als das Erstellen des gleichen Connectors für ChatGPT oder Gemini. Dies führte zu doppelter Arbeit und einem fragmentierten Ökosystem, in dem jedes neue Modell eine Neuimplementierung jeder vorhandenen Integration erforderte.
Die praktische Auswirkung von MCP ist, dass Tool-Implementierungen jetzt im gesamten KI-Ökosystem wiederverwendbar sind. Ein Unternehmen, das einmal einen MCP-Server für seine interne Dokumentation baut, erhält diese Integration funktionsfähig mit Claude, ChatGPT, Gemini, Copilot und jedem zukünftigen Modell, das das Protokoll unterstützt. Dies ist derselbe Netzwerkeffekt, der USB so langlebig gemacht hat: Der Wert des Standards steigt, je mehr Geräte und Peripheriegeräte ihn unterstützen.
Das Protokoll ist noch jung und wird sich weiterentwickeln – die aktuelle Spezifikation ist v0.9, die Finalisierung von v1.0 wird für Ende 2026 erwartet. Aber seine Übernahmekurve deutet darauf hin, dass es die Schwelle von „interessantem offenem Standard" zu „de-facto-Infrastruktur" überschritten hat. Wenn Sie im Jahr 2026 KI-gestützte Anwendungen bauen und Ihre Tool-Integrationsstrategie noch nicht auf MCP geprüft haben, ist es jetzt an der Zeit, dies zu tun.