Was ist ein Model Context Protocol (MCP) Server

Ein MCP Server (Model Context Protocol Server) ist eine Architekturkomponente, die Large Language Models (LLMs) kontrolliert mit externen Systemen verbindet. Er fungiert als sichere Vermittlungsschicht zwischen KI-Modellen und Unternehmensressourcen wie Datenbanken, APIs, Filesystemen oder Fachanwendungen. 

Der produktive Einsatz von LLMs in Unternehmen erfordert kontrollierte Datenzugriffe, klare Autorisierung und vollständige Auditierbarkeit. Genau hier setzt der MCP Server an. Er stellt Kontext, Ressourcen und ausführbare Aktionen strukturiert bereit, ohne dem LLM direkten Systemzugriff zu gewähren. 

Wichtig ist die Abgrenzung: Ein MCP Server ist weder ein KI-Modell noch ein fertiges Produkt. Er ist ein offenes Architekturprinzip, das insbesondere im Enterprise-Umfeld mit hohen Anforderungen an Authentisierung, Autorisierung und Governance eingesetzt wird. 

Das Model Context Protocol (MCP) wurde 2024 von OpenAI vorgestellt, um eine standardisierte Schnittstelle zwischen LLMs und externen Systemen zu definieren. Ziel war es, KI-Modelle nicht mit individuellen Integrationen zu überladen, sondern eine saubere strukturelle Trennung einzuführen. 

Die Architektur trennt drei Ebenen klar voneinander: 

• das KI-Modell 
• den bereitgestellten Kontext 
• die ausführbaren Aktionen 

Das LLM übernimmt Sprachverarbeitung und Entscheidungslogik. Datenzugriffe und Systeminteraktionen werden jedoch ausserhalb des Modells durch den MCP Server kontrolliert. 

OpenAI konzipierte MCP als offenen Standard. Das Protokoll beschreibt, wie Ressourcen, Tools und Kontexte strukturiert bereitgestellt werden, ohne eine spezifische Implementierung vorzuschreiben. Referenzimplementierungen und SDKs erleichtern die Integration in bestehende IT-Architekturen. 

Der MCP Server übernimmt die sicherheitskritische Steuerungsfunktion innerhalb einer KI-Architektur. Er entscheidet, welche Ressourcen und Aktionen einem LLM tatsächlich zur Verfügung stehen. 

OpenAI bietet keinen eigenen MCP Server als Produkt an. Unternehmen oder Hersteller implementieren ihn innerhalb ihrer eigenen Sicherheits- und Governance-Architektur. Das LLM agiert ausschliesslich als Client und kann nur auf explizit freigegebene Ressourcen zugreifen. 

Architektonisch befindet sich der MCP Server zwischen: 

• KI-Clients (Agenten, Chat-Anwendungen, Automatisierungsprozesse) 
• Backend-Systemen (Datenbanken, Business-Applikationen, Identity-Systeme, externe Services) 

Wesentlich ist: Nicht das LLM trifft Zugriffsentscheidungen, sondern der MCP Server. Diese Trennung reduziert Sicherheitsrisiken erheblich und ermöglicht die konsistente Durchsetzung von Compliance-Vorgaben. 

Ein MCP Server ist weder ein klassisches API-Gateway noch ein technischer Proxy. Ein API-Gateway verwaltet und schützt API-Zugriffe auf Netzwerkebene. Ein Proxy leitet Anfragen weiter. Ein MCP Server hingegen kontrolliert, welche Ressourcen und Tools ein LLM kontextbezogen nutzen darf – inklusive Identitätsprüfung und Autorisierungslogik. 

Während API-Gateways primär technische Zugriffskontrolle übernehmen, integriert der MCP Server Identitäten, Agentenrollen und „on-behalf-of“-Szenarien in die Entscheidungslogik. Er ist damit eine KI-spezifische Steuerungsinstanz und kein reines Weiterleitungs- oder Routing-System. 

Function Calling ist eine Funktion innerhalb eines KI-Modells. Ein MCP Server ist eine eigenständige Sicherheitskomponente ausserhalb des Modells. Mit Function Calling kann ein Large Language Model vorschlagen, eine bestimmte Aktion auszuführen, zum Beispiel eine Datenabfrage oder einen Systembefehl. Das Modell selbst entscheidet jedoch nicht endgültig, ob diese Aktion erlaubt ist. 

Ein MCP Server prüft, ob die angeforderte Aktion tatsächlich ausgeführt werden darf. Er berücksichtigt dabei Benutzerrechte, Rollen und Richtlinien aus dem IAM. 

Kurz gesagt, der MCP Server übernimmt die endgültige Autorisierung: 

• Function Calling beschreibt, was das Modell tun möchte. 
• Der MCP Server entscheidet, ob es das wirklich darf. 

Unternehmen benötigen einen MCP Server, sobald LLM produktiv auf interne Systeme oder sensible Daten zugreifen sollen. 

Solange ein LLM isoliert als Chat- oder Analysewerkzeug ohne Systemintegration eingesetzt wird, ist kein MCP Server erforderlich. Sobald jedoch APIs, Datenbanken, Fachanwendungen oder Automatisierungsprozesse angebunden werden, entsteht ein sicherheitskritischer Zugriffspfad. 

Ein MCP Server wird insbesondere relevant bei: 

• Zugriff auf geschützte Unternehmensdaten 
• „On-behalf-of“-Szenarien mit Benutzeridentität 
• Einsatz von KI-Agenten mit Tool-Nutzung 
• Regulatorischen Anforderungen an Auditierbarkeit und Nachvollziehbarkeit 

Er ist damit kein Experimentier-Tool, sondern eine Architekturkomponente für produktive, integrierte und governance-konforme KI-Anwendungen im Enterprise-Umfeld. 

Das Zusammenspiel zwischen MCP Server und IAM ist einer der wichtigsten Erfolgsfaktoren für den produktiven Einsatz von KI. Ohne eine saubere IAM-Integration bleibt ein MCP Server entweder unsicher oder zu stark eingeschränkt, um echten Mehrwert zu liefern. 

Das IAM übernimmt dabei zentrale Aufgaben wie Authentisierung, Autorisierung, Token-Management und Auditierung. Der MCP Server integriert sich direkt in bestehende IAM-Lösungen wie Ping Identity, Entra ID oder vergleichbare Systeme. Er validiert Benutzer- und System-Tokens, prüft Berechtigungen und erzwingt Richtlinien, bevor ein Zugriff auf Ressourcen erfolgt. 

Besonders wichtig ist die klare Trennung zwischen Benutzeridentität, Agentenidentität (NHI) und Systemidentität, siehe auch Definition von Ping Identity. Ein Benutzer stellt eine Anfrage, ein KI-Agent verarbeitet diese Anfrage und der MCP Server entscheidet, welche Aktionen im Namen des Benutzers (on behalf) ausgeführt werden dürfen. Diese mehrstufige Identitätslogik verhindert, dass KI-Agenten implizit mehr Rechte erhalten als vorgesehen. 

Ohne MCP Server entstehen unkontrollierte oder unzureichend steuerbare Zugriffspfade zwischen LLMs und Unternehmenssystemen. 

Entweder erhalten KI-Modelle direkten Systemzugriff ohne saubere Autorisierungsprüfung, oder Integrationen werden individuell und hart kodiert umgesetzt. Beides erhöht das Risiko von Privilegieneskalation, fehlender Nachvollziehbarkeit und unklarer Verantwortlichkeit. 

Zudem fehlt ohne MCP Server eine zentrale Instanz zur Durchsetzung von Richtlinien. Auditierbarkeit, Token-Validierung und kontextbasierte Zugriffskontrolle lassen sich nur fragmentiert abbilden. In regulierten Umgebungen führt das zu Compliance-Risiken. 

Trotz des klaren Architekturkonzepts treten in der Praxis häufig wiederkehrende Probleme auf. Ein zentrales Problem ist eine unzureichende Anbindung an ein Identity Provider mit dahinterliegender Autorisierungsquelle. Wird der MCP Server lediglich als technischer Proxy eingesetzt, ohne echte Autorisationslogik, entsteht kein zusätzlicher Sicherheitsgewinn. 

Ein weiteres Problem ist die Überladung des MCP Servers mit Geschäftslogik. Der MCP Server sollte orchestrieren, kontrollieren und durchsetzen, jedoch keine fachlichen Entscheidungen treffen. Diese gehören weiterhin in dedizierte Services oder Backend-Anwendungen. 

Auch fehlende Governance ist ein häufiger Schwachpunkt. Ohne klare Versionierung von Tools, strukturierte Logs und definierte Verantwortlichkeiten entstehen schwer wartbare Strukturen. Darüber hinaus wird der operative Betrieb oft unterschätzt. Ein MCP Server ist eine kritische Infrastrukturkomponente und erfordert Monitoring, Incident Management und klare SLAs. 

Ein konkretes Beispiel verdeutlicht das Zusammenspiel von LLM, MCP Server und IAM. Ein Benutzer authentifiziert sich zunächst über seinen Identity Provider und erhält ein User Token, das seine Identität und Berechtigungen repräsentiert. Anschliessend startet der Benutzer eine KI-gestützte Anfrage. 

Die LLM selbst besitzt keine Benutzeridentität. Stattdessen agiert sie mit einem eigenen Agent Token, das ihre Rolle beschreibt. Beim Zugriff auf den MCP Server erfolgt ein Token Exchange. Der MCP Server validiert das User Token beim Identity Provider und verknüpft es mit dem Agent Token. 

Im nächsten Schritt stellt der MCP Server eine Autorisation Request. Geprüft wird, ob der Benutzer in Kombination mit dem KI-Agenten berechtigt ist, auf die angeforderte Ressource zuzugreifen. Erst nach erfolgreicher Autorisation wird der Zugriff erlaubt. 

Die LLM erhält ausschliesslich die freigegebenen Daten oder Ergebnisse, niemals jedoch Zugangsdaten oder Tokens. Sämtliche Schritte werden protokolliert und sind auditierbar. Dieses Modell ermöglicht eine sichere, nachvollziehbare und skalierbare Nutzung von KI in sensiblen Unternehmensumgebungen. 

Nein. Ein MCP Server ersetzt kein Identity and Access Management (IAM), sondern ergänzt es um eine KI-spezifische Kontrollschicht. Das IAM bleibt verantwortlich für Identitäten, Rollen, Richtlinien und Autorisierungsentscheidungen. Es definiert, wer auf welche Ressourcen zugreifen darf. Der MCP Server setzt diese Entscheidungen im Kontext von LLMs technisch durch. Er kontrolliert, wie KI-Agenten im Namen eines Benutzers auf freigegebene Ressourcen zugreifen dürfen. Ohne IAM fehlt dem MCP Server die Policy-Grundlage. Ohne MCP Server fehlt dem IAM die KI-spezifische Durchsetzungsebene. Erst im Zusammenspiel entsteht eine sichere KI-Architektur. 

Ein MCP Server ist ein zentraler Baustein für die sichere Autorisierung von LLM-Zugriffen in Unternehmensarchitekturen. Er trennt KI-Entscheidungslogik von Systemzugriffen und ermöglicht eine kontrollierte Durchsetzung von IAM-Richtlinien. 

Das Modell eignet sich besonders für klar definierte und vorab modellierte KI-Anwendungsfälle. Bei dynamischen oder adaptiven Zugriffsszenarien sind weitergehende IAM-Konzepte erforderlich, die kontextbasierte, adaptive und risikoorientierte Entscheidungen ermöglichen, wie sie im Expertenbericht IAM für KI detailliert beschrieben werden.

Dieser Bericht beruht auf Expertenwissen, für die Ausformulierung wurde Hilfe von KI in Anspruch genommen.