Zum Inhalt springen
createIF labs · ai-engineering
DE EN

// journal / standards / mcp-enterprise

MCP: Wie das Model Context Protocol KI-Agenten erstmals wirklich unternehmenstauglich macht

Vom Anthropic-internen Werkzeug zum Industriestandard: Das Model Context Protocol verbindet KI-Agenten standardisiert mit Unternehmenssoftware. Was MCP technisch leistet, warum es das HTTP für KI-Agenten ist — und wie createIF Labs es bereits in laufenden Projekten einsetzt.

Von createIF Labs
Veröffentlicht am
  • MCP
  • Model Context Protocol
  • Enterprise AI
  • KI-Agenten
  • Integration
  • Standards
Diagramm: MCP-Architektur mit Clients, Servern und Unternehmenssystemen — vergleichbar mit HTTP für Webdienste
Architekturübersicht des Model Context Protocol als Integrationsstandard zwischen LLM-Anwendungen (Clients) und Unternehmenssystemen (Server). MCP-Server stellen Tools, Ressourcen und Prompts bereit; Clients nutzen sie über ein einheitliches Protokoll. Anthropic, OpenAI, Google, Microsoft, AWS und ein wachsendes Ökosystem haben den Standard adoptiert. Bei createIF Labs ist MCP fester Bestandteil unserer Forschungs- und Kundenprojekte.

Im November 2024 stellte Anthropic ein neues offenes Protokoll vor. Der Name war sperrig — Model Context Protocol — die Pressemitteilung kurz, die Aufmerksamkeit moderat. Zwei Jahre später ist daraus der vermutlich folgenreichste Standard in der KI-Welt geworden, ohne dass die meisten Beobachter den Übergang bemerkt haben. 97 Millionen monatliche SDK-Downloads. Über 9.400 öffentliche MCP-Server. 78 Prozent der Enterprise-KI-Teams haben mindestens einen MCP-Agenten in Produktion. Anthropic, OpenAI, Google, Microsoft und AWS unterstützen den Standard offiziell. Was 2024 ein Anthropic-internes Werkzeug war, ist 2026 das Fundament für ernsthafte KI-Integration im Unternehmen.

Dieser Beitrag ordnet ein, was MCP technisch leistet, warum gerade dieser Standard sich durchgesetzt hat — und wie wir bei createIF Labs MCP bereits seit über einem Jahr in Forschungs- und Kundenprojekten einsetzen.

1. Vom Anthropic-Projekt zum Industriestandard

Anthropics Ankündigung im November 2024 war typisch zurückhaltend: Ein offenes Protokoll, das den “M×N-Integrationsfluch” lösen sollte — die Tatsache, dass M Modelle mal N Tools gleich M·N einzelne Integrationen bedeutet. Statt 1.000 Spezial-Connectors brauchte es einen Standard.

Was dann passierte, lässt sich in drei Phasen erzählen:

Phase 1 — Anthropic-Ökosystem (Dez 2024 – April 2025). Erste MCP-Server für GitHub, Slack, Google Drive, lokale Dateisysteme. Claude Desktop integriert MCP nativ. Frühe Adopter sind Open-Source-Enthusiasten und einzelne Engineering-Teams. SDK in Python und TypeScript verfügbar.

Phase 2 — Erste Cross-Vendor-Bewegung (Mai 2025 – Okt 2025). OpenAI kündigt offizielle MCP-Unterstützung an, Cursor und andere Coding-IDEs integrieren MCP-Client-Funktionalität. Erste Enterprise-Pilotprojekte werden öffentlich. Eine kritische Masse an Server-Implementierungen entsteht — von Datenbank-Connectors bis hin zu industriellen Spezialsystemen.

Phase 3 — Standardisierung (Nov 2025 – heute). Google, Microsoft und AWS adoptieren MCP offiziell. Cloudflare, Replicate, Pinecone, Weaviate und Hunderte weiterer Anbieter stellen MCP-Server bereit. Das Protokoll wird in einem offenen Spec-Prozess weiterentwickelt, mit Beiträgen aus dem gesamten Ökosystem. Enterprise-Plattformen (Microsoft Copilot Studio, Azure AI Foundry, AWS Bedrock, Vertex AI) machen MCP zur Standard-Integrationsoption.

Das Bemerkenswerte: Die Adoption verlief schneller als bei vergleichbaren Standards. HTTP brauchte 5 Jahre, bis es dominant war. REST etwa 8. MCP hat in 18 Monaten erreicht, was andere Protokolle in halben Dekaden geschafft haben — getrieben vom akuten Bedarf der KI-Welt nach einem gemeinsamen Vokabular.

2. Die Zahlen 2026

Die quantitative Lage Mitte 2026:

  • 97 Millionen monatliche SDK-Downloads über die fünf offiziellen Sprach-SDKs (Python, TypeScript, Go, Java, Rust). Tendenz steigend.
  • 9.400+ öffentliche MCP-Server in offenen Registries (mcpservers.org, awesome-mcp und vergleichbare Verzeichnisse).
  • 78 % der Enterprise-KI-Teams haben mindestens einen MCP-Agenten in Produktion (Quelle: Enterprise AI Adoption Survey 2026 von einem führenden Analystenhaus).
  • Median-Time-to-First-Integration: 3 Tage. Frühe Tool-Calling-Integrationen brauchten typischerweise 3–6 Wochen.
  • Cross-Vendor-Kompatibilität: Ein MCP-Server, geschrieben für Claude, funktioniert ohne Code-Änderung mit GPT-5, Gemini 2.5, Llama 3.3 und allen anderen MCP-Clients.

Was diese Zahlen praktisch bedeuten: Ein Mittelständler, der heute einen MCP-Server für sein ERP-System baut, ist nicht an einen Modell-Anbieter gebunden. Das gleiche Server-Stück Code funktioniert mit dem Closed-Source-Anbieter von heute und dem Open-Weight-Modell von übermorgen.

Diese Vendor-Unabhängigkeit ist der eigentliche Grund, warum sich MCP durchgesetzt hat. Standards setzen sich nicht durch, weil sie technisch elegant sind. Sie setzen sich durch, weil sie wirtschaftliche Probleme lösen — und der Lock-in einzelner Modell-Anbieter war 2024 das größte Risiko in jeder KI-Architektur-Entscheidung.

3. Was MCP technisch leistet

MCP definiert eine klare, schlanke Architektur:

Akteure:

  • MCP-Client. Eine LLM-Anwendung — Claude Desktop, ein Coding-Tool, eine Enterprise-Agenten-Plattform.
  • MCP-Server. Eine Komponente, die definierte Ressourcen freigibt — Tools (Funktionen), Resources (Daten), Prompts (vorgefertigte Aufgaben).
  • Host. Der Prozess, in dem der Client läuft — typischerweise der Benutzer- oder Service-Kontext.

Drei Hauptkonzepte:

Tools. Funktionen, die das LLM aufrufen kann. Jedes Tool hat einen Namen, eine Beschreibung (vom LLM gelesen), und ein JSON-Schema für Argumente. Beispiel: create_jira_ticket(project, summary, description).

Resources. Daten, die das LLM lesen kann — Dateien, Datensätze, Dokumente. Wenn der LLM-Kontext nicht alles vorab enthält, kann er Ressourcen on demand laden. Beispiel: ein Resource-Endpoint, der Dokumente aus einer Wissensdatenbank streamt.

Prompts. Vorgefertigte Aufgabenformulierungen, die der Client anbieten kann. Beispiel: ein Prompt “Erstelle einen Wochenreport aus diesen Daten”, den der Benutzer per Tastenkürzel auslöst.

Transport-Layer. MCP läuft typischerweise über stdio (für lokale Prozesse) oder HTTP+SSE (für Netzwerk-Server). Streaming-Antworten, bidirektionale Notifications, Lifecycle-Events sind Teil der Spec.

Authentifizierung. OAuth 2.1 mit PKCE ist seit der Spec-Version 2025-06 Standard. Tokens werden vom Client beschafft und an den Server übergeben; der Server prüft Berechtigungen serverseitig.

Capabilities. Client und Server tauschen beim Handshake aus, was sie können — welche Tools, welche Ressourcen, welche Authentifizierung, welche Streaming-Features. Das Protokoll versioniert sich sauber und ist abwärts-kompatibel.

Die Eleganz liegt darin, dass MCP nicht versucht, alles zu sein. Es ist explizit nicht eine generische RPC-Lösung. Es ist eine Brücke zwischen LLM-Inferenz und externer Realität, optimiert für genau diesen Anwendungsfall.

4. Warum es das HTTP für KI-Agenten ist

Der Vergleich mit HTTP wird inzwischen routinemäßig gezogen — und er hält erstaunlich gut.

Was HTTP für das Web tat: ein einheitliches Protokoll, das beliebige Clients (Browser, Mobile Apps, Server-zu-Server) mit beliebigen Servern verbinden konnte. Vor HTTP existierten Hunderte proprietärer Protokolle. HTTP machte das Web als Ökosystem überhaupt erst möglich.

Was MCP für KI-Agenten tut: ein einheitliches Protokoll, das beliebige LLM-Clients (Chat-Frontends, Coding-IDEs, Enterprise-Agenten-Plattformen) mit beliebigen Unternehmenssystemen verbinden kann. Vor MCP existierten Hunderte proprietärer Tool-Integrationen pro Modell-Anbieter.

Vier strukturelle Parallelen:

  • Verb-Substantiv-Trennung. HTTP hat GET/POST/PUT/DELETE. MCP hat tools.call, resources.read, prompts.get. In beiden Fällen wird die Aktion vom Inhalt entkoppelt — und das ist die Voraussetzung für Generizität.
  • Capability Negotiation. Beide Protokolle handeln aus, was beide Seiten können (HTTP-Versionen, MCP-Capabilities). Das ermöglicht inkrementelle Weiterentwicklung.
  • Statelessness-Tendenz. Sowohl HTTP als auch MCP sind in ihrem Kern primär stateless. State liegt im Client und wird über Tokens transportiert. Das macht Skalierung trivial.
  • Open Standardization. Beide Standards werden in offenen Foren weiterentwickelt — kein einzelner Anbieter kontrolliert die Roadmap, was Vertrauen und Adoption beschleunigt.

Was MCP — wie HTTP damals — möglich macht: Ein gesamtes neues Ökosystem von Werkzeugen, die zusammenarbeiten können, ohne dass jeder mit jedem im Voraus integriert sein muss. Ein KMU baut einen MCP-Server für sein Warenwirtschaftssystem, ohne zu wissen, welche LLM-Anwendungen ihn nutzen werden — und ohne sich Sorgen zu machen, in zwei Jahren neu anfangen zu müssen.

5. MCP in der createIF-Labs-Praxis

Wir bauen seit Anfang 2025 mit MCP. In aktuellen Projekten — Forschung wie Kundenarbeit — ist MCP nicht ein Add-on, sondern die Architektur-Default-Wahl.

Forschungsprojekte 2025/2026:

  • Souveräne Agenten-Plattform. Eine interne Plattform, die generische Agenten-Fähigkeiten (Routing, Retry-Logik, Audit-Logging, Tool-Auswahl) bündelt. Sämtliche Datenzugriffe laufen über MCP-Server. Ein Kunde mit eigenem ERP schließt einen MCP-Server an, und der Agent kann sofort damit arbeiten — ohne Code-Änderung an der Plattform.
  • Multi-Modell-Inferenz-Layer. Eine Inferenz-Schicht, die zwischen mehreren Modellen (Llama 3.3, Mistral, Qwen3, Claude) routet — abhängig von Aufgabentyp, Kosten und Datensensibilität. Alle Modelle sprechen MCP, also bleibt das Routing eine reine Architektur-Frage, keine Modell-spezifische.

Kundenprojekte mit MCP:

  • Industrieller Mittelständler. MCP-Server für SAP-Module, internes Wiki und ein eigenes Konstruktions-Datenbank-System. Ein interner KI-Assistent nutzt diese Server, um technische Anfragen zu beantworten und Konstruktionsdokumente vorzubereiten. Daten verlassen das Werk nicht.
  • Mittelständischer Versicherer. MCP-Server für interne Vertrags-, Schadens- und Kundendatenbanken. Ein Underwriting-Assistent zieht über diese Server Kontext für Risikobewertungen — auditierbar, mitbestimmt, DSGVO-konform.
  • Software-Haus. MCP-Server für GitHub Enterprise, internes Ticketsystem und CI/CD-Pipeline. Ein Coding-Assistent kann auf diesen Servern aufsetzen — von Pull-Request-Reviews bis zu automatischer Test-Generierung.

Die Erfahrung aus diesen Projekten: MCP reduziert den Integrationsaufwand um den Faktor 3–5 im Vergleich zu vor-MCP-Implementierungen. Was vor 18 Monaten Wochen brauchte, ist heute eine Sache von Tagen. Wichtiger noch: Was wir 2025 gebaut haben, läuft auch 2026 — und wird 2028 weiterlaufen, weil das Protokoll stabil ist.

6. Wo MCP noch klemmt

MCP ist 2026 weit, aber nicht fertig. Drei Bereiche sind aktiv in Bewegung:

Authentifizierung in komplexen Enterprise-Setups. OAuth 2.1 mit PKCE deckt viele Fälle ab, aber Multi-Tenancy, Service-Accounts, kurzlebige Tokens und gestufte Berechtigungssysteme verlangen mehr Sorgfalt. Anthropic und Microsoft arbeiten an spezifischen Enterprise-Erweiterungen. Bis dahin ist Custom-Auth-Logic in vielen MCP-Servern Teil der Implementierung.

Multi-Tenancy und Mandantenfähigkeit. MCP-Server, die mehrere Kunden gleichzeitig bedienen, brauchen Isolation auf Datenebene, die der Standard nicht direkt vorschreibt. In der Praxis lösen das Implementierungen über Token-Scoping und sauberes Server-Side-Auth, aber der Standardisierungsgrad ist noch nicht so hoch wie beim Kern-Protokoll.

Governance und Compliance. Wer welchen MCP-Server nutzen darf, wie Berechtigungen rolled werden, wie Audit-Logs zentralisiert werden — alles möglich, aber organisationsabhängig implementiert. Wir sehen ein wachsendes Bedürfnis nach einem “MCP-Gateway”, das diese Compliance-Schichten zentralisiert. Erste Open-Source-Projekte gehen in diese Richtung, Standardisierung steht aus.

Außerdem: das Modell-Ende ist nicht immer perfekt. Schwächere LLMs treffen schlechte Tool-Auswahl-Entscheidungen, halluzinieren Tool-Argumente oder geben zu freizügig Aufträge weiter. Hier helfen Guardrails, Evals und Schutz vor Prompt Injection — auch wenn das Protokoll selbst stabil ist, bleibt die LLM-Schicht eine Vertrauenszone, die gepflegt werden muss.

7. Was Sie als Entscheider jetzt tun sollten

Konkret und praxisnah:

  1. Inventarisieren Sie Ihre internen Systeme. Welche fünf bis zehn Systeme erzeugen 80 % des Werts, wenn ein KI-Agent damit arbeiten kann? Typische Kandidaten: ERP, CRM, Ticketsystem, Wissensdatenbank, Dokumentenmanagement, Mail-Archiv.
  2. Bauen Sie den ersten MCP-Server für Ihr wichtigstes System. Read-only zuerst, mit sauberer Auth und Logging. 2–3 Wochen Aufwand, abhängig von der bestehenden API-Qualität.
  3. Bewerten Sie LLM-Clients. Welche LLM-Anwendungen sollen Ihre MCP-Server nutzen? Coding-Tools, interne Agenten, externe Beratungs-Tools? Achten Sie auf MCP-Kompatibilität als Auswahlkriterium.
  4. Standardisieren Sie Governance. Wer baut MCP-Server, wer prüft sie, wer betreibt sie? Wer hat welche Berechtigungen? Wer auditiert die Nutzung? Diese organisatorischen Fragen werden 2026/2027 wichtiger als die technischen.
  5. Beobachten Sie die Spec-Entwicklung. Multi-Tenancy, Enterprise-Auth und Governance werden in den nächsten Spec-Versionen schärfer. Wer früh aufsetzt, profitiert direkt.

Was Sie nicht tun sollten: warten. Standards setzen sich nicht durch, indem man auf das nächste Major-Release wartet. Wer heute MCP nutzt, baut die Erfahrung auf, die in 12 Monaten den Unterschied macht zwischen “wir nutzen KI” und “KI ist Teil unserer Architektur”.

Mehr zur technischen Mechanik haben wir in Tool Calling, Function Calling und MCP detailliert. Wenn Sie wissen wollen, welcher MCP-Server in Ihrem Unternehmen den ersten ROI bringt: reden Sie mit uns. Wir bauen den Stack, der nicht nur heute funktioniert, sondern den Sie 2028 noch nutzen werden.

// FAQ

Häufige Fragen.

  1. / 01Was ist MCP in einem Satz?

    Das Model Context Protocol ist ein offenes Protokoll, das KI-Anwendungen mit externen Datenquellen und Werkzeugen standardisiert verbindet — vergleichbar mit HTTP für Webdienste oder USB für Hardware-Peripherie.

  2. / 02Warum überhaupt ein Standard für KI-Tool-Calls?

    Ohne Standard musste jede Tool-Integration für jedes Modell und jede Plattform einzeln gebaut werden — eine kombinatorische Explosion. Mit MCP schreibt ein Unternehmen einmal einen Server für sein internes System (z. B. Jira, SAP, eigene Datenbank), und alle MCP-fähigen LLM-Anwendungen können diesen Server sofort nutzen. M×N-Integrationen werden zu M+N.

  3. / 03Welche Anbieter unterstützen MCP 2026?

    Anthropic (Initiator), OpenAI (offiziell adoptiert 2025), Google (Gemini-Familie und Vertex AI), Microsoft (Copilot Studio, Azure AI Foundry), AWS (Bedrock), Cloudflare, Replicate sowie zahlreiche Tool-Hersteller (Cursor, Cody, Continue, Cline, Claude Desktop, Microsoft Copilot). Inzwischen praktisch jede ernsthafte LLM-Anwendung.

  4. / 04Was unterscheidet MCP von OpenAPI?

    OpenAPI beschreibt Webdienste statisch. MCP ist auf die Interaktion mit LLMs zugeschnitten: Tools sind beschrieben, sodass das LLM versteht, wann es sie nutzt; Ressourcen können Kontext liefern; Prompts können vorgefertigte Aufgaben anbieten. Außerdem hat MCP einen Standard für Authentifizierung, Streaming und Lifecycle-Events. OpenAPI ist statische Dokumentation; MCP ist eine Laufzeit-Konversation.

  5. / 05Kann ich MCP on-premise einsetzen?

    Ja, das ist sogar der Default für sensible Daten. MCP-Server laufen wo das LLM läuft — typischerweise im eigenen Netzwerk. Daten verlassen das Vertrauensumfeld nicht. Das macht MCP ideal für Sovereign-AI-Architekturen und passt direkt in unseren empfohlenen Sovereign AI Stack 2026.

  6. / 06Wie aufwendig ist die Implementierung eines MCP-Servers?

    Für ein bestehendes internes System mit einer sauberen API: 1–3 Tage für einen funktionalen Server, 1–2 Wochen für eine produktive Variante mit Auth, Rate-Limiting und Audit-Logging. SDKs in Python, TypeScript, Go, Java und Rust verfügbar. Die Lernkurve ist flach, sobald man die Konzepte (Tools, Resources, Prompts) verstanden hat.

  7. / 07Was bedeutet das für bestehende Tool-Calling-Implementierungen?

    Tool Calling bleibt das technische Fundament — siehe Tool Calling, Function Calling und MCP. MCP ist die Standardisierungsschicht darüber. Wer 2026 ein neues System baut, sollte MCP von Anfang an mitdenken. Bestehende Tool-Calling-Integrationen können schrittweise auf MCP migriert werden, ohne sie auf einmal abreißen zu müssen.

// Weiterlesen

Weiterlesen