🔌 Was ist MCP?
The Model Context Protocol (MCP) ist ein offener Standard, veröffentlicht von Anthropic im Dezember 2024, der eine universelle Schnittstelle zum Verbinden von AI-Modellen mit externen Tools, Datenquellen und Diensten definiert. Vor MCP war jede AI-Integration eine maßgeschneiderte, einmalige Implementierung. MCP standardisiert, wie AI-Clients mit externen Fähigkeiten kommunizieren — sodass eine Integration mit jedem kompatiblen AI-System funktioniert.
MCP ist ein Client-Server-Protokoll: MCP-Clients sind AI-Systeme (wie Claude, Cursor, VS Code mit Copilot), die externe Fähigkeiten nutzen möchten. MCP-Server sind Dienste, die diese Fähigkeiten (GitHub, eine Datenbank, ein Dateisystem, ein Webbrowser) über eine standardisierte API bereitstellen, die jeder MCP-Client nutzen kann.
🔋 Die USB-C-Metapher
Vor USB-C hatte jedes Gerät seinen eigenen proprietären Anschluss — ein Handy-Ladegerät funktionierte nicht mit einem Laptop, ein Display-Kabel nicht mit Speichergeräten. USB-C löste das mit einem universellen Standard: ein Anschluss, ein Kabel, unzählige Geräte.
AI-Integrationen vor MCP waren das gleiche Chaos. Claude mit GitHub zu verbinden erforderte kundenspezifischen Code. GPT-4 mit derselben GitHub-API zu verbinden erforderte anderen, kundenspezifischen Code. Ein neues Tool hinzuzufügen bedeutete, Integrationen für jede AI-Plattform von Grund auf neu zu erstellen.
MCP ist USB-C für AI. Ein Standard:
- Bauen Sie einen MCP-Server einmal — jeder MCP-Client kann ihn nutzen
- Adoptieren Sie ein neues AI-Modell — Ihre bestehenden MCP-Server funktionieren sofort
- Das Ökosystem von MCP-Servern wächst unabhängig von der Entwicklung der AI-Modelle
⚙️ Wie MCP funktioniert
MCP verwendet ein JSON-RPC 2.0-Protokoll über eine Transportschicht (stdio für lokale Server, HTTP/SSE für Remote-Server). Die Kommunikation folgt einem Lebenszyklus aus Initialisierung, Fähigkeitsentdeckung und Anfrageverarbeitung.
Drei Kernprimitive
| Primitive | Was es offenlegt | Example |
|---|---|---|
| Tools | Funktionen, die die KI aufrufen kann (model-controlled) | search_github_issues, run_sql_query, send_email |
| Resources | Daten, die die KI lesen kann (application-controlled) | file:///workspace/src, db://customers/schema |
| Prompts | Wiederverwendbare Prompt-Vorlagen (vom Benutzer gesteuert) | code-review, summarize-pr, explain-error |
Der Kommunikationsablauf
- Initialisieren: Client verbindet sich mit Server, tauscht Protokollversion und Fähigkeiten aus
- Entdecken: Client fordert die Liste verfügbarer Tools, Ressourcen und Prompts an
- Aufrufen: Das AI-Modell entscheidet, ein Tool aufzurufen; der Client sendet die Anfrage an den Server
- Zurückgeben: Der Server führt die Aktion aus und gibt strukturierte Ergebnisse an den Client zurück
- Fortsetzen: Das AI-Modell integriert die Ergebnisse und setzt das Reasoning fort
Transportoptionen
| Transport | Am besten für | Notes |
|---|---|---|
| stdio | Lokale Tools, CLI-Integrationen | Client startet Server als Unterprozess; einfachste Einrichtung |
| HTTP + SSE | Remote/Cloud-Dienste, geteilte Teams | Server läuft unabhängig; unterstützt Auth-Header |
| WebSocket | Echtzeit bidirektional (Entwurf) | Vorgeschlagen für Streaming-Anwendungsfälle |
🔄 MCP vs Function Calling
Function calling (Tool-Nutzung) ist ein Feature, das in bestimmten AI-APIs — OpenAI, Anthropic, Google — eingebaut ist und es ermöglicht, benutzerdefinierte Funktionen zu definieren, die das Modell aufrufen kann. MCP ist eine Ebene oberhalb oder neben function calling, die standardisiert wie diese Funktionen entdeckt und verbunden werden.
| Function Calling | MCP | |
|---|---|---|
| Scope | API-spezifisch, pro Anfrage | Plattformübergreifend, standardisiert |
| Discovery | Hardcodiert in Ihrem API-Aufruf | Dynamisch — Server meldet Fähigkeiten an |
| Portability | An einen AI-Anbieter gebunden | Funktioniert mit jedem MCP-kompatiblen Client |
| Resources | Nicht standardisiert | Erstklassiges Primitive (Dateien, DBs, URIs) |
| Am besten für | Einfache, Single-Provider-Anwendungsfälle | Multi-Tool-, Multi-Model-Produktionssysteme |
In der Praxis nutzen MCP-Server oft function calling intern — MCP stellt die Entdeckungs- und Verbindungsschicht bereit, während function calling die eigentliche LLM-zu-Tool-Aufruflogik übernimmt.
🏢 Wer unterstützt MCP
Die MCP-Adoption ist seit dem Start im Dezember 2024 schnell gewachsen. Stand April 2026 umfasst das Ökosystem:
AI-Clients mit MCP-Unterstützung
- Claude (Anthropic) — native MCP-Unterstützung in Claude.ai und Claude Code
- Cursor — MCP-Server für code-aware AI-Unterstützung
- VS Code (GitHub Copilot) — MCP-Integration im Agentenmodus
- Windsurf (Codeium) — MCP-Server-Unterstützung
- Continue.dev — Open-Source-IDE-Assistent mit MCP
Beliebte MCP-Server
- Filesystem — Lese-/Schreibzugriff auf lokale Dateien (offiziell von Anthropic)
- GitHub — Repos, PRs, Issues, Code-Suche
- PostgreSQL / SQLite — Datenbankabfrage und Schema-Erkundung
- Brave Search / Exa — Websuche ohne API-Schlüssel
- Puppeteer / Playwright — Browser-Automation
- Slack / Linear / Notion — Produktivitäts-Tool-Integrationen
🚀 Erste Schritte mit MCP
Option 1: Bestehende MCP-Server verwenden (5 Minuten)
Der schnellste Weg, MCP zu erleben, ist die Verwendung von Claude Desktop mit vorgefertigten Servern. Bearbeiten Sie Ihre Claude Desktop-Konfiguration unter ~/Library/Application Support/Claude/claude_desktop_config.json:
{
"mcpServers": {
"filesystem": {
"command": "npx",
"args": ["-y", "@modelcontextprotocol/server-filesystem", "/Users/yourname/Documents"]
},
"github": {
"command": "npx",
"args": ["-y", "@modelcontextprotocol/server-github"],
"env": { "GITHUB_PERSONAL_ACCESS_TOKEN": "ghp_..." }
}
}
}Option 2: Einen MCP-Server bauen (30 Minuten)
Offizielle SDKs sind für TypeScript, Python und Kotlin verfügbar:
// TypeScript MCP server example
import { Server } from "@modelcontextprotocol/sdk/server/index.js";
import { StdioServerTransport } from "@modelcontextprotocol/sdk/server/stdio.js";
const server = new Server({ name: "my-server", version: "1.0.0" });
server.setRequestHandler("tools/list", async () => ({
tools: [{
name: "get_weather",
description: "Get current weather for a city",
inputSchema: {
type: "object",
properties: { city: { type: "string" } },
required: ["city"]
}
}]
}));
server.setRequestHandler("tools/call", async (request) => {
const { city } = request.params.arguments;
// ... fetch weather data
return { content: [{ type: "text", text: `Weather in ${city}: sunny, 22°C` }] };
});
const transport = new StdioServerTransport();
await server.connect(transport);🔐 MCP Sicherheitsüberlegungen
Die Stärke von MCP — AI-Modellen Zugriff auf Tools, Dateien und Dienste zu geben — bringt auch Sicherheits risiken mit sich, gegen die Entwickler entwerfen müssen.
| Risk | Description | Mitigation |
|---|---|---|
| Prompt-Injection über MCP | Bösartiger Inhalt in Tool-Ergebnissen manipuliert die KI | Tool-Ausgaben säubern; getrennte Reasoning- und Action-Modelle verwenden |
| Überprivilegierte Server | MCP-Server hat mehr Berechtigungen als nötig | Prinzip der geringsten Privilegien; nach Möglichkeit nur Lesezugriff |
| Confused deputy | Die KI handelt im Namen eines Angreifers ohne Benutzerwissen | HITL-Bestätigung für zerstörerische/irreversible Aktionen |
| Server-Lieferkette | Bösartiger Drittanbieter-MCP-Server exfiltriert Daten | Nur vertrauenswürdige, geprüfte Server verwenden; Server-Code prüfen |
Für eine tiefere Auseinandersetzung mit AI-Sicherheitslücken — einschließlich wie Prompt-Injection durch MCP-Tool-Ergebnisse waffenfähig gemacht werden kann — sehen Sie unseren Leitfaden: Erklärung zur Prompt-Injection.