Modellkontextprotokoll: Sicherheitsrisiken & Abhilfen

Die Einführung von KI schreitet schnell voran, von Pilotprojekten zur infrastrukturellen Alltagspraxis. Die Budgetkurve spiegelt diesen Wandel wider. Gartner erwartet, dass die weltweiten KI-Ausgaben bis 2026 2,52 Billionen USD erreichen werden, was einem Anstieg von 44 % gegenüber dem Vorjahr entspricht. Gleichzeitig sollen die Ausgaben für KI-Sicherheit bis 2026 um mehr als 90 % wachsen, ein klares Signal dafür, dass je tiefer KI in Geschäftsabläufe eingebettet wird, desto größer wird die Angriffsfläche.

Während Organisationen LLMs operationalisieren, verlagert sich die eigentliche Herausforderung von der Reaktionsqualität zur sicheren Ausführung. Es reicht nicht mehr, wenn ein Modell erklärt, was zu tun ist. In vielen Umgebungen besteht der Wert darin, Maßnahmen zu ergreifen, den richtigen Kontext zu ziehen und mit den Systemen zu interagieren, in denen die Arbeit stattfindet. Dazu gehören Code-Repositories, Ticketing-Plattformen, SaaS-Tools, Datenbanken und interne Dienste.

Vor dem Model Context Protocol glich jede Tool-Integration dem Bau eines individuellen Spezialkabels für jedes Gerät, um dann festzustellen, dass jeder LLM-Anbieter einen leicht unterschiedlichen Stecker verwendete. MCP standardisiert den Anschluss und das Nachrichtenformat, sodass Werkzeuge einmal ihre Fähigkeiten offenlegen können, und mehrere Modelle können sie konsistent nutzen. Das Ergebnis ist eine schnellere Entwicklung, weniger maßgeschneiderte Integrationen und geringere langfristige Wartungen, da die Einführung im gesamten Ökosystem zunimmt.

Diese Verschiebung ist bereits bei AI-Assistenten mit Sicherheitsfokus sichtbar. Zum Beispiel, SOC Primes Uncoder AI wird betrieben durch MCP-Werkzeuge die ein LLM in einen kontextbewussten Sicherheitskopiloten verwandeln, der eine leichtere Integration, Anbieterflexibilität, vorgefertigte Verbindungen und eine kontrolliertere Datenhandhabung unterstützt. Beispielsweise ermöglicht MCP semantische Suchen im Threat Detection Marketplace, sodass schnell Regeln für spezifische Logquellen oder Bedrohungstypen gefunden werden können, wodurch die manuelle Suchzeit reduziert wird. All dies wird durch Datenschutz und Sicherheit im Kern unterstützt.

Im Allgemeinen wird jedoch, wenn MCP zu einem gemeinsamen Pfad zwischen Agenten und kritischen Systemen wird, jeder Server, jeder Verbinder und jeder Berechtigungsbereich sicherheitsrelevant. Zuviel weitreichende Tokens, schwache Isolation und unvollständige Prüfpfade können Bequemlichkeit in Datenexponierung, unbeabsichtigte Aktionen oder seitliche Bewegungen verwandeln.

Dieser Leitfaden erklärt, wie MCP funktioniert, und konzentriert sich dann auf praktische Sicherheitsrisiken und -minderungen.

Was ist MCP?

Seit es von Anthropic veröffentlicht und als Open Source bereitgestellt wurde im November 2024, hat das Model Context Protocol schnell an Bedeutung als Verbindungsschicht zwischen KI-Agenten und den Tools, APIs und Daten, auf die sie angewiesen sind, gewonnen.

Im Kern ist MCP eine standardisierte Methode für von LLM betriebene Anwendungen, um auf konsistente und kontrollierte Weise mit externen Systemen zu kommunizieren. Es bewegt KI-Assistenten über statisches Wissen aus der Trainingszeit hinaus, indem es ihnen ermöglicht, frischen Kontext abzurufen und Aktionen über genehmigte Schnittstellen auszuführen. Das praktische Ergebnis ist ein KI-Agent, der genauer und nützlicher sein kann, weil er mit echten Betriebsdaten arbeiten kann.

Schlüsselkomponenten

Model Context Protocol Architektur basiert auf einem einfachen Satz von Blöcken, die koordinieren, wie ein LLM externe Fähigkeiten entdeckt, den richtigen Kontext abruft und strukturierte Anfragen und Antworten mit verbundenen Systemen austauscht.

MCP-Host. Die Umgebung, in der das LLM läuft. Beispiele umfassen eine KI-gesteuerte IDE oder eine in ein Produkt eingebettete Konversationsoberfläche. Der Host verwaltet die Benutzersitzung und entscheidet, wann externer Kontext oder Aktionen benötigt werden.
MCP-Client. Eine Komponente im Inneren des Hosts, die die Protokollkommunikation handhabt. Es entdeckt MCP-Server, fordert Metadaten über verfügbare Fähigkeiten an und übersetzt die Absicht des Modells in strukturierte Anfragen. Es liefert auch Antworten in einer für die Anwendung verwertbaren Form an den Host zurück.
MCP-Server. Der externe Dienst, der Kontext und Fähigkeiten bereitstellt. Er kann auf interne Datenquellen, SaaS-Plattformen, spezialisierte Sicherheitstools oder proprietäre Arbeitsabläufe zugreifen. Hier setzen Organisationen typischerweise systembezogene Autorisierungen durch, filtern Daten und legen betriebliche Leitplanken fest.

Schichten

Datenebene. Diese innere Ebene basiert auf dem JSON-RPC-Protokoll und kümmert sich um die Client-Server-Kommunikation. Sie deckt das Lebenszyklusmanagement und die grundlegenden Primitive ab, die MCP bereitstellt, einschließlich Werkzeuge, Ressourcen, Aufforderungen und Benachrichtigungen.
Transportschicht. Diese äußere Schicht definiert, wie Nachrichten tatsächlich zwischen Clients und Servern bewegt werden. Sie bestimmt die Kommunikationsmechanismen und Kanäle, einschließlich transport-spezifischer Verbindungsaufbau, Nachrichtenrahmen und Autorisierung.

Konzeptionell bietet die Datenebene den Vertrag und die Semantik, während die Transportschicht den Konnektivitäts- und Durchsetzungspfad für den sicheren Austausch bietet.

Wie funktioniert das MCP?

MCP sitzt zwischen dem LLM und den externen Systemen, die Ihr Agent verwenden möchte. Anstatt dem Modell direkten Zugriff auf Datenbanken, SaaS-Anwendungen oder interne Dienste zu geben, offenbart MCP genehmigte Fähigkeiten als Werkzeuge und bietet eine standardisierte Möglichkeit, diese aufzurufen. Das LLM konzentriert sich darauf, die Anfrage zu verstehen und zu entscheiden, was als Nächstes zu tun ist. MCP kümmert sich um die Werksentdeckung, Ausführung und Rückgabe von Ergebnissen in einem vorhersehbaren Format.

Ein typischer Ablauf kann wie folgt aussehen:

Der Benutzer stellt eine Frage oder gibt eine Aufgabe. Der Prompt kommt in der KI-Anwendung an, auch MCP-Host genannt.
Werkzeugentdeckung. Der MCP-Client überprüft einen oder mehrere MCP-Server, um zu sehen, welche Werkzeuge für diese Sitzung verfügbar sind.
Kontextinjektion. MCP fügt dem Prompt relevante Werkzeugdetails hinzu, sodass das LLM weiß, was es benutzen kann und wie es aufzurufen ist.
Werkzeugaufruf-Generierung. Das LLM erstellt eine strukturierte Werkzeuganfrage, im Grunde ein Funktionsaufruf mit Parametern.
Ausführung im Downstream-Dienst. Der MCP-Server erhält die Anfrage und führt sie gegen das Zielsystem aus, oft über eine API wie REST.
Ergebnisse werden zurückgegeben und verwendet. Das Ergebnis kommt zur KI-Anwendung zurück. Das LLM kann es nutzen, um einen weiteren Aufruf zu tätigen oder die endgültige Antwort zu schreiben.

Hier ist ein einfaches Beispiel, wie das bei Uncoder AIfunktioniert. Sie fragen: „Finde Erkennungen für Credential Dumping, die mit Windows-Sicherheitslogs arbeiten.”

Das LLM stellt fest, dass es Zugriff auf eine Erkennungsbibliothek benötigt, nicht nur auf sein eigenes Wissen.
Über MCP ruft Uncoder AI das relevante Erkennungssuchwerkzeug auf, das mit SOC Primes Threat Detection Marketplace verbunden ist.
Der MCP-Server führt die Suche durch und liefert eine kurze Liste passender Erkennungen.
Anschließend überprüft Uncoder AI die Ergebnisse und antwortet mit einer übersichtlichen Liste von fünf Erkennungsregeln.

Uncoder_SOC Prime_MCP Tool_Search Detections

MCP-Risiken & Schwachstellen

Das Model Context Protocol erweitert, was ein LLM tun kann, indem es es mit Werkzeugen, APIs und betriebsrelevanten Daten verbindet. Diese Fähigkeit ist der Wert, aber auch das Risiko. Sobald ein Assistent internen Kontext abrufen und Aktionen über verbundene Dienste auslösen kann, wird MCP Teil Ihrer Steuerungsebene. Die Sicherheitslage wird nicht mehr allein durch das Modell bestimmt, sondern durch die Server, denen Sie vertrauen, die Berechtigungen, die Sie erteilen, und die Leitplanken, die Sie um die Nutzung der Werkzeuge legen.

Wichtige MCP-Sicherheitsüberlegungen

MCP-Server fungieren als das Bindeglied zwischen Hosts und einer breiten Palette externer Systeme, einschließlich potenziell unzuverlässiger oder riskanter. Ihr Eintritt erfordert Sichtbarkeit darüber, was sich auf jeder Seite der Servergrenze befindet, welche LLM-Hosts und -Clients darauf zugreifen, wie der Server konfiguriert ist, welche Drittanbieter-Server aktiviert sind und welche Werkzeuge das Modell tatsächlich aufrufen kann.

Problem des verwirrten Stellvertreters. Wenn ein MCP-Server mit umfassenderen Berechtigungen als der Benutzer handeln kann, kann er Aktionen ausführen, die der Benutzer nicht auslösen sollte. Das sichere Muster ist, dass der Server im Namen des Benutzers mit ausdrücklicher Zustimmung und im Rahmen von Minimalberechtigungen handelt, nicht mit einer pauschalen Dienstidentität.
Token-Durchleitung. Das Durchleiten von Client-Tokens an Downstream-APIs ohne geeignete Validierung bricht die Vertrauensgrenzen und kann die Einhaltung der Adressierungskontrollen untergraben. Die MCP-Leitlinien betrachten dies als hochriskantes Antimuster, weil es die Autorisierung unklar und schwer auditierbar macht.
Sitzungshijacking und Ereignisinjektion. Zustandsbehaftete Verbindungen können missbraucht werden, wenn Sitzungskennungen gestohlen, wiederholt oder von einem Angreifer fortgesetzt werden können. Sichere Sitzungsverwaltung ist wichtig, da Werkzeugaufrufe eine Abfolge, nicht nur eine einzelne Anfrage, werden, und Angreifer das schwächste Glied in dieser Kette ins Visier nehmen.
Kompromittierung des lokalen MCP-Servers. Lokale Server können mächtig sein, und diese Macht wirkt in beide Richtungen. Risiken umfassen unerwünschten Code zu betreiben, unsicheres Startverhalten und die Bereitstellung eines lokalen Dienstes auf eine Weise, dass eine andere Website oder Prozess darauf zugreifen kann. Lokale Bereitstellungen erfordern Sandboxing, strikte Bindung und sichere Standardwerte.
Fehler bei der Reduktion des Umfangs. Zu breit gefasste Geltungsbereiche erhöhen den Schadenradius und schwächen die Governance. Die Spezifikationen heben Designfallen bei der Umfangdefinition hervor, wie die Überladung eines einzelnen Umfangs für viele Operationen oder das Anbieten überzogenen Umfangsunterstützung. Minimalberechtigungsumfänge und klare Trennungen von Lese- und Schreibfähigkeiten sind unerlässlich.

Viele MCP-Risiken lassen sich auf bekannte Sicherheitsgrundlagen zurückführen; daher sollten MCP-Server wie jede andere Integrationsoberfläche behandelt werden. Organisationen müssen Lieferkettenkontrollen anwenden, Code und Abhängigkeiten scannen, Versionen pinnen und Änderungen vor der Veröffentlichung überprüfen. Ebenso wichtig ist es, Endpunkte mit starker Authentifizierung und Autorisierung, Ratenbegrenzungen und sicheren Standardwerten zu härten. Diese Praktiken eliminieren einen großen Teil vermeidbarer Ausfälle.

Die MCP-Spezifikation bietet eine Liste von Sicherheitsbestepraktiken,mit häufigen Angriffs mustern und praktischen Minderungen, die Sie beim Aufbau oder Betrieb von MCP-Hosts, -Clients und -Servern anwenden können.

Wichtigste MCP-Sicherheitsrisiken

Um die Liste umsetzbar zu machen, hilft es, MCP-Bedrohungen in die häufigsten Risikomuster zu gruppieren, die Verteidiger in realen Implementierungen sehen.

Prompt Injection

Angreifer entwerfen Eingaben, die den Assistenten zu unsicherer Werkzeugnutzung oder sensibler Datenoffenlegung drängen.

Minderungstipp: Werkzeuginfrastruktur einschränken, Anrufrichtlinien durchsetzen und Werkzeugnutzung auf anormale Muster überwachen.

Indirekte Prompt Injection

Feindliche Anweisungen können durch abgerufene Inhalte eintreffen und als vertrauenswürdige Absicht behandelt werden.

Minderungstipp: Unzuverlässige Inhalte trennen, bereinigen und verhindern, dass Werkzeuge basierend auf in externen Daten gefundenen Anweisungen aufgerufen werden.

Werkzeugvergiftung

Werkzeugbeschreibungen, Parameter oder Standardeinstellungen können manipuliert werden, um Modellentscheidungen zu beeinflussen.

Minderungstipp: Behandeln Sie Werkzeugmetadaten als unvertrauenswürdige Eingabe, überprüfen Sie Werkzeugdefinitionen wie Code und erfordern Sie Integritätsprüfungen vor Updates.

Werkzeugverschattung und Werkzeugnamenskollision

Ähnlich aussehende Werkzeuge können legitime imitieren und Anfragen abfangen.

Minderungstipp: Eine Whitelist genehmigter Server und Werkzeuge führen und bei fehlender Verifizierung einer Werkzeugidentität geschlossen scheitern.

Autorisierungsfehler des verwirrten Stellvertreters

Ein Server führt Aktionen mit eigenen umfassenden Berechtigungen aus und nicht mit benutzergebundenen Berechtigungen.

Minderungstipp: Verwenden Sie explizite Zustimmung, setzen Sie benutzergebundene Geltungsbereiche durch und validieren Sie Tokens gemäß den MCP-Autorisierungsrichtlinien.

Token-Durchleitung und schwache Token-Validierung

Tokens weiterzuleiten oder ohne angemessene Adressvalidierung zu akzeptieren, untergräbt die Autorisierung.

Minderungstipp: Verbot der Durchleitung, Validierung der Token-Adresse und Befolgen des auf HTTP-Transporten basierenden OAuth-Fluss.

Sitzungshijacking

Angreifer missbrauchen wiederaufnehmbare Sitzungen oder gestohlene Kennungen, um Ereignisse zu injizieren oder einen Client zu imitieren.

Minderungstipp: Sitzungen eng binden, Kennungen rotieren, Zeitüberschreitungen anwenden und Wiederaufnahmen und Anomalien protokollieren.

Kompromiss des lokalen Servers

Lokale MCP-Server können genutzt werden, um auf Dateien zuzugreifen, Befehle auszuführen oder zu anderen Ressourcen zu wechseln, wenn sie nicht isoliert sind.

Minderungstipp: Lokale Server in einer Sandbox ausführen, OS-Berechtigungen minimieren, Dateisystemzugriff einschränken und lokale Dienste nur soweit wie nötig freigeben.

Übermäßige Geltungsbereiche und Genehmigungsaufblähung

Breite Geltungsbereiche schaffen unbeabsichtigten Zugang, und Berechtigungen neigen dazu, mit der Zeit anzuwachsen.

Minderungstipp: Lese- und Schreibwerkzeuge trennen, Geltungsbereiche regelmäßig überprüfen und Umfangssätze minimal und aufgabenbezogen halten.

Fehlende Auditierbarkeit und schwache Vorfallsreaktion

Wenn Sie keine Anfragen, Werkzeuginrufe, Tokens und Downstream-Aktionen korrelieren können, werden Untersuchungen zu einem Ratespiel.

Minderungstipp: Protokolle zentralisieren, Korrelations-IDs anhängen und Werkzeuginrufabsicht, Parameter und Ergebnisse in einem SIEM-freundlichen Format aufzeichnen.

Der praktische Rückschluss ist, dass MCP wie eine hochwirksame Integrationsschicht gesichert werden sollte. Gehen Sie davon aus, dass Werkzeugausgaben unzuverlässig sind, minimieren Sie Berechtigungen, setzen Sie starke Identität und Autorisierung durch und investieren Sie frühzeitig in ein Monitoring, das Anfragen mit Werkzeuginrufen und Downstream-Aktionen verknüpfen kann.

SOC Prime folgt etablierten Sicherheits- und Datenschutzpraktiken, um Kunden zu schützen und den vertrauenswürdigen Betrieb der SOC Prime-Plattform und der KI-fähigen Funktionen sicherzustellen. Das SOC Prime-Team hat auch AI/DR Bastionerstellt und als Open Source bereitgestellt, ein umfassendes GenAI-Schutzsystem, das gegen bösartige Aufforderungen, Injektionsangriffe und schädliche Inhalte schützt. Das System umfasst mehrere Erkennungsmaschinen, die sequentiell betrieben werden, um Benutzereingaben zu analysieren und zu klassifizieren, bevor sie GenAI-Anwendungen erreichen.

Darüber hinaus unterstützt die SOC Prime-Plattform die Integration mit AIDEFEND (Artificial Intelligence Defense Framework), einer offenen, AI-fokussierten Wissensbasis mit Abwehrmaßnahmen gegen aufkommende AI/ML-Bedrohungen. Unterstützt von Uncoder AI, dem AIDEFEND-native MCP macht dieses Wissen sofort anwendbar. Sicherheitsexperten können nach Verteidigungen gegen spezifische Bedrohungen fragen, detaillierte Technikleitfäden abrufen, schnelle Checklisten generieren oder sichere Code-Snippets extrahieren, um Kontrollen schneller und mit weniger Rechercheaufwand umzusetzen.

Was ist die Zukunft der MCP-Sicherheit?

Sicherheitsbedenken bezüglich MCP sind berechtigt, aber Standardisierung ist auch eine große Chance zur Verbesserung der Kontrolle. Da die MCP-Einführung wächst, erhalten Organisationen eine konsistentere Sicherheitsoberfläche, auf der sie dieselben Richtlinien und Überwachungen bei der Werkzeugnutzung anwenden können, anstatt eine andere kundenspezifische Integration für jedes Modell und jedes Downstream-System zu sichern.

Blick nach vorn wird sich die MCP-Sicherheit in einigen vorhersehbaren Richtungen entwickeln:

Sichern Sie die MCP-Bausteine. Die MCP-Sicherheit wird sich zunehmend auf die Protokollprimitiven konzentrieren, die definieren, was ein Agent tun kann. Werkzeuge sind ausführbare Funktionen und benötigen enge Berechtigungen und klare Regeln für ihren Einsatz. Ressourcen fungieren als Datenspeicher und benötigen Zugriffskontrolle und Validierung, um Lecks und Manipulationen zu minimieren. Aufforderungen beeinflussen das Verhalten und müssen mit Lösungen wie AI/DR Bastion vor Injektion und unbefugter Modifikation geschützt werden.
Machen Sie Identität für Remote-MCP obligatorisch. Für jeden im Netzwerk betriebenen MCP-Server sollte Authentifizierung als grundlegende Anforderung betrachtet werden. Teams benötigen ein klares Identitätsmodell, das beantwortet, wer den Anruf tätigt, was sie dürfen und welche Zustimmung erteilt wurde. Dies hilft auch, häufige Ausfälle zu verhindern, die im Spezifikation hervorgehoben werden, wie das Verhalten verwirrter Stellvertreter und gefährlicher Token-Handling-Muster.
Erzwingen Sie Richtlinien mit vollständigem Kontext. Whitelist sind nützlich, aber Agenten-Workflows benötigen reichere Leitplanken. Der Prompt, der Benutzer, das ausgewählte Werkzeug, Werkzeugparameter und das Zielsystem sollten alle beeinflussen, was erlaubt ist. Mit diesem Kontext können Sie riskante Operationen einschränken, die Abfrage sensibler Daten begrenzen, unsichere Parameter-Patterns blockieren und zusätzliche Prüfungen verlangen, wenn das Risikoniveau hoch ist.
Behandeln Sie Überwachung als Kernkontrolle. Da Agenten Aktionen verketten, hängt die Untersuchung davon ab, das Verhalten von Anfang bis Ende nachzuvollziehen. Eine praktische Grundlage ist eine Protokollierung, die Aufforderungen, Werkzeugauswahl, Werkzeugeingaben, Werkzeuga usgaben und nachgelagerte Anfragen korreliert. Ohne diese Verknüpfung ist es schwer, Aktionen zu auditieren oder schnell zu reagieren, wenn etwas schiefgeht.
Fügen Sie Zustimmungs-Gates für hochwirksame Aktionen hinzu. Für Aktionen, die erstellen, ändern, löschen, zahlen oder Privilegien eskalieren, bleibt eine menschliche Überprüfung essenziell. Reife MCP-Bereitstellungen werden explizite Zustimmungsschritte hinzufügen, die die Ausführung pausieren, bis ein Benutzer oder ein Sicherheitsworkflow die Aktion bestätigt. Dies reduziert die Angriffsfläche sowohl durch bösartige Aufforderungen als auch versehentliches Werkzeugmissbrauch.
Überprüfen Sie Server und kontrollieren Sie Updates. Mit der Ausweitung des Ökosystems werden Vertrauen und Herkunft obligatorisch. Organisationen werden vermehrt auf genehmigte MCP-Server, kontrolliertes Onboarding und striktes Änderungsmanagement für Updates setzen. Versionsbindung, Integritätsprüfungen und Abhängigkeitsprüfung sind wichtig, weil MCP-Server ausführbarer Code sind und sich das Werkzeugverhalten im Laufe der Zeit ändern kann, auch wenn die Schnittstellen stabil wirken.
Halten Sie die Grundlagen im Vordergrund. Selbst mit MCP-spezifischen Kontrollen bleiben die häufigsten Sicherheitspraktiken die Grundlagen. Minimalberechtigung, klare Geltungsbereiche, sichere Sitzungsverwaltung, starke Authentifizierung, gehärtete Endpunkte und vollständige Auditprotokollierung entfernen einen großen Anteil des realen Risikos. Nutzen Sie die MCP-Sicherheitspraktikenliste als ständige Checkliste und fügen Sie Kontrollen basierend auf Ihrer Umgebung und Ihrem Risikoprofil hinzu.

Da MCP zunehmend von Assistenten und Werkzeugen genutzt wird, wird Sicherheit zum Unterschied zwischen einem hilfreichen Kopiloten und einer unkontrollierten Automatisierungsmaschine. Der sicherste Weg ist einfach: Behandeln Sie MCP wie eine privilegierte Infrastruktur, halten Sie Berechtigungen eng und machen Sie jeden Werkzeuganruf sichtbar und nachvollziehbar. Machen Sie das gut, und MCP kann Agenten-Workflows mit Zuversicht skalieren, anstatt Geschwindigkeit in Risiko zu verwandeln.

FAQ

Was sind MCP-Server?

Der MCP-Server ist ein Baustein in der MCP-Architektur neben dem MCP-Host und dem MCP-Client. MCP-Server gewähren einem KI-Assistenten genehmigte Fähigkeiten, indem sie Werkzeuge und Ressourcen bereitstellen, die das LLM nutzen kann. MCP-Server stellen dem LLM den Kontext, Daten oder Aktionen bereit und vermitteln den Zugang zu nachgelagerten Systemen wie SaaS-Apps, Datenbanken, internen Diensten oder Sicherheitstools. Mit anderen Worten, ein MCP-Server ist das kontrollierte Gateway, über das Organisationen Autorisierungen, Datenfilterung und betriebliche Leitplanken anwenden können, bevor irgendetwas auf Produktionssysteme zugreift.

Wie funktionieren MCP-Server?

MCP-Server sitzen hinter dem MCP-Client innerhalb einer KI-Anwendung. Wenn ein Benutzer eine Anfrage stellt, entdeckt der MCP-Client, welche Werkzeuge von einem oder mehreren MCP-Servern verfügbar sind, und übermittelt relevanten Werkzeugkontext an das LLM. Das LLM entscheidet dann, was zu tun ist, und erstellt einen strukturierten Werkzeugaufruf mit Parametern. Der MCP-Client sendet diesen Werkzeugaufruf an den MCP-Server, der ihn gegen das nachgelagerte System ausführt und das Ergebnis in einem vorhersehbaren Format zurückgibt. Der Client leitet das Ergebnis an das LLM zurück, das entweder einen weiteren Werkzeugaufruf tätigt oder die endgültige Antwort an den Benutzer liefert.

Was ist der MCP-Sicherheitsfluss?

Der MCP-Sicherheitsfluss ist die Menge von Kontrollen, besten Praktiken und architektonischen Schritten, die erforderlich sind, um das Model Context Protocol sicher zu implementieren. Es beginnt mit starker Identität, Zustimmung und Minimalberechtigungsbereichen, sodass der MCP-Server im Namen des Benutzers handelt, statt breite Dienstberechtigungen zu nutzen. Dazu gehören sicherer Token-Handling und Sitzungsprotektoren, um das Risiko von Token-Durchleitung, Sitzungshijacking oder Ereignisinjektion zu reduzieren. Schließlich hängt es von der Durchsetzung und Sichtbarkeit ab, einschließlich Werkzeug-Whitelists, Eingabe- und Ausgabevalidierung, Isolation für lokale Server und zentralisierter Protokollierung, die Aufforderungen mit Werkzeug-Eingaben und Downstream-Aktionen für Untersuchungen und Vorfallsreaktionen verbindet.

Name	Descripiton
PHPSESSID	Preserves user session state across page requests. Cookie generated by applications based on the PHP language. This is a general purpose identifier used to maintain user session variables. It is normally a random generated number, how it is used can be specific to the site, but a good example is maintaining a logged-in status for a user between pages.
sp_i	Used to store information about authenticated User.
sp_r	Used to store information about authenticated User.
sp_a	Used to store information about authenticated User.

Name	Descripiton
tuuid	Collects anonymous data related to the user's visits to the website, such as the number of visits, average time spent on the website and what pages have been loaded.
tuuid_last_update	Collects anonymous data related to the user's visits to the website, such as the number of visits, average time spent on the website and what pages have been loaded.
um	Collects anonymous data related to the user's visits to the website, such as the number of visits, average time spent on the website and what pages have been loaded.
umeh	Collects anonymous data related to the user's visits to the website, such as the number of visits, average time spent on the website and what pages have been loaded.
na_sc_x	Used by the social sharing platform AddThis to keep a record of parts of the site that has been visited in order to recommend other parts of the site.
APID	Collects anonymous data related to the user's visits to the website.
IDSYNC	Collects anonymous data related to the user's visits to the website.
_cc_aud	Collects anonymous statistical data related to the user's website visits, such as the number of visits, average time spent on the website and what pages have been loaded. The purpose is to segment the website's users according to factors such as demographics and geographical location, in order to enable media and marketing agencies to structure and understand their target groups to enable customised online advertising.
_cc_cc	Collects anonymous statistical data related to the user's website visits, such as the number of visits, average time spent on the website and what pages have been loaded. The purpose is to segment the website's users according to factors such as demographics and geographical location, in order to enable media and marketing agencies to structure and understand their target groups to enable customised online advertising.
_cc_dc	Collects anonymous statistical data related to the user's website visits, such as the number of visits, average time spent on the website and what pages have been loaded. The purpose is to segment the website's users according to factors such as demographics and geographical location, in order to enable media and marketing agencies to structure and understand their target groups to enable customised online advertising.
_cc_id	Collects anonymous statistical data related to the user's website visits, such as the number of visits, average time spent on the website and what pages have been loaded. The purpose is to segment the website's users according to factors such as demographics and geographical location, in order to enable media and marketing agencies to structure and understand their target groups to enable customised online advertising.
dpm	Via a unique ID that is used for semantic content analysis, the user's navigation on the website is registered and linked to offline data from surveys and similar registrations to display targeted ads.
acs	Collects anonymous data related to the user's visits to the website, such as the number of visits, average time spent on the website and what pages have been loaded, with the purpose of displaying targeted ads.
clid	Collects anonymous data related to the user's visits to the website, such as the number of visits, average time spent on the website and what pages have been loaded, with the purpose of displaying targeted ads.
KRTBCOOKIE_#	Registers a unique ID that identifies the user's device during return visits across websites that use the same ad network. The ID is used to allow targeted ads.
PUBMDCID	Registers a unique ID that identifies the user's device during return visits across websites that use the same ad network. The ID is used to allow targeted ads.
PugT	Registers a unique ID that identifies the user's device during return visits across websites that use the same ad network. The ID is used to allow targeted ads.
ssi	Registers a unique ID that identifies a returning user's device. The ID is used for targeted ads.
_tmid	Registers a unique ID that identifies the user's device upon return visits. The ID is used to target ads in video clips.
wam-sync	Used by the advertising platform Weborama to determine the visitor's interests based on pages visits, content clicked and other actions on the website.
wui	Used by the advertising platform Weborama to determine the visitor's interests based on pages visits, content clicked and other actions on the website.
AFFICHE_W	Used by the advertising platform Weborama to determine the visitor's interests based on pages visits, content clicked and other actions on the website.
B	Collects anonymous data related to the user's website visits, such as the number of visits, average time spent on the website and what pages have been loaded. The registered data is used to categorise the users' interest and demographical profiles with the purpose of customising the website content depending on the visitor.
1P_JAR	These cookies are used to gather website statistics, and track conversion rates.
APISID	Google set a number of cookies on any page that includes a Google reCAPTCHA. While we have no control over the cookies set by Google, they appear to include a mixture of pieces of information to measure the number and behaviour of Google reCAPTCHA users.
HSID	Google set a number of cookies on any page that includes a Google reCAPTCHA. While we have no control over the cookies set by Google, they appear to include a mixture of pieces of information to measure the number and behaviour of Google reCAPTCHA users.
NID	Google set a number of cookies on any page that includes a Google reCAPTCHA. While we have no control over the cookies set by Google, they appear to include a mixture of pieces of information to measure the number and behaviour of Google reCAPTCHA users.
SAPISID	Google set a number of cookies on any page that includes a Google reCAPTCHA. While we have no control over the cookies set by Google, they appear to include a mixture of pieces of information to measure the number and behaviour of Google reCAPTCHA users.
SID	Google set a number of cookies on any page that includes a Google reCAPTCHA. While we have no control over the cookies set by Google, they appear to include a mixture of pieces of information to measure the number and behaviour of Google reCAPTCHA users.
SIDCC	Security cookie to protect users data from unauthorised access.
SSID	Google set a number of cookies on any page that includes a Google reCAPTCHA. While we have no control over the cookies set by Google, they appear to include a mixture of pieces of information to measure the number and behaviour of Google reCAPTCHA users.
__utmx	This cookie is associated with Google Website Optimizer, a tool designed to help site owners improve their wbesites. It is used to distinguish between two varaitions a webpage that might be shown to a visitor as part of an A/B split test. This helps site owners to detemine which version of a page performs better, and therefore helps to improve the website.
__utmxx	This cookie is associated with Google Website Optimizer, a tool designed to help site owners improve their wbesites. It is used to distinguish between two varaitions a webpage that might be shown to a visitor as part of an A/B split test. This helps site owners to detemine which version of a page performs better, and therefore helps to improve the website.

Name	Descripiton
_hjid	Hotjar cookie. This cookie is set when the customer first lands on a page with the Hotjar script. It is used to persist the random user ID, unique to that site on the browser. This ensures that behavior in subsequent visits to the same site will be attributed to the same user ID.
_hjIncludedInSample	This cookie is associated with web analytics functionality and services from Hot Jar, a Malta based company. It uniquely identifies a visitor during a single browser session and indicates they are included in an audience sample.
intercom-id-[xxx]	This cookie is used by Intercom as a session so that users can continue a chat as they move through the site.
intercom-session-[xxx]	Used to keeping track of sessions and remember logins and conversations.
demdex	Via a unique ID that is used for semantic content analysis, the user's navigation on the website is registered and linked to offline data from surveys and similar registrations to display targeted ads.
CookieConsent	Stores the user's cookie consent state for the current domain.
__cfduid	Used by the content network, Cloudflare, to identify trusted web traffic.
ss	These cookies enable the website to provide enhanced functionality and personalisation . They may be set by us or by third party providers whose services we have added to our pages. These services may include the Live Chat facility, Contact Us form(s), the Product Quotation forms and submission process, and the Email Newsletter sign up functionality .

Name	Descripiton
_ga	This cookie name is asssociated with Google Universal Analytics - which is a significant update to Google's more commonly used analytics service. This cookie is used to distinguish unique users by assigning a randomly generated number as a client identifier. It is included in each page. Registers a unique ID that is used to generate statistical data on how the visitor uses the website. request in a site and used to calculate visitor, session and campaign data for the sites analytics reports. By default it is set to expire after 2 years, although this is customisable by website owners.
_gat	Used by Google Analytics to throttle request rate. This cookie name is associated with Google Universal Analytics, according to documentation it is used to throttle the request rate - limiting the collection of data on high traffic sites. It expires after 10 minutes.
_gid	This cookie name is asssociated with Google Universal Analytics. This appears to be a new cookie and as of Spring 2017 no information is available from Google. It appears to store and update a unique value for each page visited. Registers a unique ID that is used to generate statistical data on how the visitor uses the website.
IDE	Used by Google DoubleClick to register and report the website user's actions after viewing or clicking one of the advertiser's ads with the purpose of measuring the efficacy of an ad and to present targeted ads to the user.
r/collect	Used by Google DoubleClick to register and report the website user's actions after viewing or clicking one of the advertiser's ads with the purpose of measuring the efficacy of an ad and to present targeted ads to the user.
test_cookie	Used to check if the user's browser supports cookies.
collect	Used to send data to Google Analytics about the visitor's device and behaviour. Tracks the visitor across devices and marketing channels.
ads/user-lists/#	These cookies may be set through our site by our advertising partners. They may be used by those companies to build a profile of your interests and show you relevant adverts on other sites.
c	Registers anonymised user data, such as IP address, geographical location, visited websites, and what ads the user has clicked, with the purpose of optimising ad display based on the user's movement on websites that use the same ad network.
khaos	Registers anonymised user data, such as IP address, geographical location, visited websites, and what ads the user has clicked, with the purpose of optimising ad display based on the user's movement on websites that use the same ad network.
put_#	Registers anonymised user data, such as IP address, geographical location, visited websites, and what ads the user has clicked, with the purpose of optimising ad display based on the user's movement on websites that use the same ad network.
rpb	Registers anonymised user data, such as IP address, geographical location, visited websites, and what ads the user has clicked, with the purpose of optimising ad display based on the user's movement on websites that use the same ad network.
rpx	Registers anonymised user data, such as IP address, geographical location, visited websites, and what ads the user has clicked, with the purpose of optimising ad display based on the user's movement on websites that use the same ad network.
tap.php	Registers anonymised user data, such as IP address, geographical location, visited websites, and what ads the user has clicked, with the purpose of optimising ad display based on the user's movement on websites that use the same ad network.