Was ist MCP Security: Der vollständige Leitfaden zu Zero Trust für Agentic AI Systems

Es begann mit einer Idee: Lassen Sie einen KI-Agenten eine mehrstufige Forschungsaufgabe erledigen. Verbinden Sie es über MCP mit einigen Tools, geben Sie ihm Zugriff auf die richtigen Datenquellen und lassen Sie es laufen.

Was tatsächlich passiert ist, war lehrreicher. Der Agent hatte mehr Zugriff, als für die Aufgabe erforderlich war. Er rief Tools in einer Reihenfolge auf, mit der niemand gerechnet hatte, und es gab keine Protokolle, in denen erklärt wurde, was es angefasst hatte oder warum.

Derselbe Token, mit dem die Demo zum Laufen gebracht wurde, hätte das gemeinsame Laufwerk des Unternehmens löschen können, wenn das Modell halluzinierte oder auf eine böswillige Aufforderung stieß, die in dem Dokument eingebettet war, das es lesen sollte.

Dies ist die grundlegende Herausforderung der MCP-Sicherheit. Da das Model Context Protocol zum Standard für die Verbindung von LLMs mit externen Tools und Datenbanken wird, erfordert die Sicherung dieser Verbindungen strenge Sicherheitsmaßnahmen.

In diesem Leitfaden wird erklärt, warum herkömmliche API-Sicherheit bei KI-Agenten versagt, wie die tatsächlichen Angriffsvektoren aussehen und was Zero Trust in diesem Zusammenhang bedeutet. Es wird auch detailliert beschrieben, wie einige Plattformen eine Prämie für Sicherheitskontrollen verlangen, die zum Standard gehören sollten.

Warum KI-Agenten eine andere Klasse von Sicherheitsproblemen sind

Im Gegensatz zu herkömmlicher Software, die deterministische Workflows ausführt, treffen KI-Agenten dynamische Entscheidungen darüber, welche MCP-Tools verwendet werden sollen und wie sie verwendet werden. Diese Autonomie verändert die Art und Weise, wie sich Risiken in MCP-Umgebungen ausbreiten, und führt zu neuen Risikoklassen, die sich auf Ihre Sicherheitslage auswirken.

Die KI-Agenten stellen eine neue Art von Risiko dar, das sich grundlegend von herkömmlichen Softwaresystemen unterscheidet. Ihre einzigartige Kombination aus Autonomie, Zugriff und Geschwindigkeit birgt einzigartige Sicherheitsrisiken, insbesondere in MCP-basierten Systemen.

1. Von Read-Only- zu Read-Write-Systemen: Im Gegensatz zu früheren KI-Systemen, die hauptsächlich zur Generierung von Ausgaben in natürlicher Sprache verwendet wurden, können KI-Agenten bösartigen Code ausführen, E-Mails versenden, Datenbanken ändern und Daten löschen. Diese grundlegende Änderung des Werkzeugverhaltens von passiv zu aktiv vergrößert den Explosionsradius eines Fehlers oder Missbrauchs.

2. Das Problem mit überprivilegierten Tokens: KI-Agenten erhalten häufig Zugriff über Dienstkonten oder API-Token, die weitreichende Rechte auf Unternehmensressourcen gewähren. Dies steht im Gegensatz zu herkömmlicher Software, bei der das Prinzip der geringsten Rechte üblich ist. KI-Agenten erhalten überprivilegierte Token, die für böswillige Akteure von großem Wert sind und anfällig für Ausnutzung sind.

3. Das Blackbox-Ausführungsproblem: KI-Agenten, insbesondere LLMs, sind dynamisch. Sie entscheiden, welche API-Aufrufe getätigt werden sollen, legen Parameter fest und führen Code auf nicht deterministische, intransparente Weise aus. Dies stellt ein Risiko dar, da es schwierig ist, ein solches Verhalten zu antizipieren oder zu überprüfen, was eine effektive Cloud-Sicherheit behindert.

4. Die Geschwindigkeit der Ausbeutung: Im Falle eines Fehlers oder eines böswilligen Missbrauchs können KI-Agenten innerhalb von Sekunden mehrere Tool-Aufrufe auslösen und Code ausführen, was zu schweren Schäden führt.

Die Angriffsvektoren, die MCP tatsächlich einführt

Das Model Context Protocol ermöglicht eine leistungsstarke Tool-Orchestrierung, schafft aber auch neue Angriffsflächen über Eingabeaufforderungen, Tool-Metadaten und Agentenausführungsabläufe. Im Gegensatz zu herkömmlichen APIs interpretieren Agenten Anweisungen und Metadaten dynamisch, was subtile Manipulationen weitaus gefährlicher macht.

In den folgenden Abschnitten werden die primären Angriffsvektoren beschrieben, die von MCP-fähigen Systemen eingeführt wurden.

Indirekte Soforteinspritzung

Prompt Injection ist nicht neu, aber MCP bringt sie auf einen breiteren Maßstab. Da der Agent eine Verbindung zu Live-Tools herstellt, können böswillige Eingabeaufforderungen, selbst in externen Inhalten, echte Aktionen auslösen. Der Angreifer fügt böswillige Anweisungen in ein Dokument, eine Webseite oder eine API-Antwort ein, die der Agent verarbeitet.

Der Agent verarbeitet die Anweisungen als legitim und handelt danach, ohne zu wissen, dass sie von einer bösartigen Quelle stammen. Diese indirekte Eingabeaufforderung stellt eine ernsthafte Bedrohung für MCP-Implementierungen dar.

Tool-Poisoning und Schema-Manipulation

Während sich die Teams darauf konzentrieren, die Datennutzung durch den Agenten zu sichern, konzentrieren sich nur wenige auf die Sicherung des Tools selbst. Eine Werkzeugvergiftung tritt auf der Ebene auf, der der Agent am meisten vertraut. Der Angreifer manipuliert die Toolbeschreibungen, Parameterschemas oder Tool-Manifeste, was dazu führt, dass der Agent böswillige Funktionsaufrufe tätigt, die als legitime Aufrufe getarnt sind.

Der Agent vertraut den Tool-Metadaten, und dort findet die Ausnutzung statt, was zu erheblichen Sicherheitsrisiken für das Unternehmen führt.

Unbefugte Datenexfiltration durch Tool-Chaining

Das Risiko besteht nicht nur im Aufruf eines bösartigen Tools, sondern auch in dessen Verkettung. Agenten verketten mehrere Tools miteinander, um eine bestimmte Aufgabe auszuführen. Dabei erfolgt die Datenexfiltration mit offenen Berechtigungen.

Ein Agent mit direktem Zugriff auf interne Kundendaten und externe Websuchfunktionen kann ausgenutzt werden, um interne Daten zusammenzufassen und über Suchanfragen zu übertragen.

Es ist kein spezieller Befehl zum Senden von Daten erforderlich. Der Agent wird durch legitime Toolkombinationen ausgenutzt, wodurch sensible Systeme gefährdet werden.

Kontext-Poisoning in Multi-Agent-Pipelines

Die Vertrauensgrenze wurde durch orchestrierte Multi-Agentensysteme erweitert. Jede Interaktion zwischen Agenten ist ein potenzieller Angriffspunkt für Injection-Angriffe, da der Kontext von einem Agenten zum anderen übergeht.

In Systemen, in denen Agenten Informationen weitergeben, übergibt ein kompromittierter Upstream-MCP-Client falschen Kontext in den gemeinsamen Status.

Der Downstream-Agent behandelt den kompromittierten Kontext als vertrauenswürdig und setzt die Verbreitung fort, ohne mit dem ursprünglichen Benutzer zu interagieren, wodurch der Geschäftsbetrieb beeinträchtigt wird.

Statische Token in Konfigurationsdateien

Die Hygiene von Zugangsdaten ist zwar ein bekanntes Problem, aber MCP-Systeme führen zu neuen Druckpunkten. Die Geschwindigkeit, mit der Agenten-Prototypen erstellt werden, übertrifft die Sicherheitspraktiken, und statische Token in den Konfigurationsdateien werden zum Opfer.

MCP-Systeme enthalten häufig fest codierte Cloud-Anmeldeinformationen in Konfigurationsdateien, die in Versionskontrollsysteme und -umgebungen übertragen werden.

Statische Token ohne Rotation und ohne Gültigkeitsbereich gehören zu den am häufigsten dokumentierten Fehlern in der MCP-Architektur.

Die Prinzipien von Zero Trust, die auf MCP angewendet werden

• Identitätsbewusst, im Auftrag der Ausführung: Agenten dürfen niemals globale Dienstkonten verwenden. Jede Verwendung des Tools sollte mit den genauen Berechtigungen des initiierenden Benutzers ausgeführt werden, um unbefugten Zugriff zu verhindern.
• Geringste Privilegien auf Serverebene: Ein MCP-Server sollte eng begrenzt sein, sodass Agenten nur auf Tools zugreifen können, die ihre spezifische Rolle wirklich benötigt, um zu funktionieren, nichts weiter.
• Menschen-in-the-Loop-Steuerungen für destruktive Aktionen: Jedes Tool, das in der Lage ist, den Systemstatus zu ändern, muss vor seiner Ausführung eine synchrone Genehmigung durch einen Menschen erfordern, was einen harten Stopp für irreversible Aktionen darstellt und die Angriffsfläche begrenzt.

Zero Trust im Vergleich zu herkömmlicher Sicherheit für MCP — Seite an Seite

Herkömmliche API-Sicherheitsmodelle stützen sich in hohem Maße auf Perimeterschutz und vertrauenswürdige interne Akteure. MCP-fähige Agenten arbeiten unterschiedlich, sie rufen Tools dynamisch auf und verketten Aktionen systemübergreifend. Dieser Wandel erfordert ein Zero-Trust-Sicherheitsmodell, bei dem Identität, Zugriff und Ausführung kontinuierlich überprüft werden.

Wie machen Wettbewerber MCP-Sicherheit zu einer Umsatzlinie?

Mit der zunehmenden Akzeptanz von MCP ist eine neue Kategorie von Tools entstanden, die den Zugriff von Agenten auf Tools und Daten sichern. Viele Anbieter bieten jedoch grundlegende Sicherheitsfunktionen als Premium-Funktionen an. Dadurch entstehen Betriebs- und Kostenbarrieren für Teams, die KI-Systeme in der Produktion einsetzen.

• Identitätsbewusst, im Auftrag der Ausführung: Agenten dürfen niemals globale Dienstkonten verwenden. Jeder Toolaufruf muss mit den exakten Berechtigungen des initiierenden Benutzers ausgeführt werden, und nicht mit gemeinsamen Anmeldeinformationen.
• Geringste Privilegien auf Serverebene: Der Umfang der MCP-Server muss begrenzt sein, sodass Agenten nur auf die Tools zugreifen können, die für die jeweilige Rolle, die sie ausführen, erforderlich sind, und auf nichts anderes.
• Menschen-in-the-Loop-Steuerungen für destruktive Aktionen: Jedes Werkzeug mit zerstörerischem Potenzial muss vor der Ausführung von einem Menschen genehmigt werden, was solchen Aktionen ein hartes Ende bereitet.

So bietet TrueFoundry Zero-Trust-MCP-Sicherheit ohne Unternehmenssteuer

TrueFoundry ist eine KI-Plattform für Unternehmen, die Sicherheitsteams dabei unterstützen soll, KI-Systeme für die Produktion sicher zu erstellen, bereitzustellen und zu betreiben. Da Unternehmen MCP-basierte Agenten einsetzen, stellt TrueFoundry die Infrastruktur bereit, die zur Durchsetzung von Governance, Identitäts- und Zugriffskontrolle bei allen Interaktionen erforderlich ist.

Die Plattform integriert Zero Trust MCP-Sicherheit in die Ausführungsebene, sodass Teams Agenten einsetzen können, ohne separate Sicherheitsgateways oder Unternehmens-Add-Ons hinzufügen zu müssen.

• Ein zentrales MCP-Gateway: Das MCP Gateway von TrueFoundry fungiert als einziger kontrollierter Einstiegspunkt für den gesamten Agent-tool-Verkehr und verhindert so unbefugte unbeabsichtigte Aktionen. Jeder MCP-Server muss in einer verifizierten Registry registriert sein, bevor Agenten ihn erreichen können, wodurch verstreute Konfigurationslücken vermieden werden.
• Systemeigene Ausführung im Auftrag der Ausführung: Agenten erben die genauen Berechtigungen des Benutzers, der die Aufgabe initiiert hat. Die integrierte Okta- und Azure AD-Integration gewährleistet eine konsistente, überprüfbare Durchsetzung aller Workflows.
• Leitplanken vor und nach dem Anruf: TrueFoundry validiert jeden Toolaufruf vor der Ausführung anhand definierter Schemas und überprüft anschließend die Ausgaben. Dadurch wird Zero Trust auf der Protokollebene durchgesetzt und schwerwiegende MCP-Sicherheitsrisiken vermieden.
• Vollständige Beobachtbarkeits- und Sicherheitsfunktionen sind standardmäßig enthalten: Jeder Toolaufruf und jede Agentenaktion wird mit strukturierten Metadaten in Ihrer eigenen VPC protokolliert, wodurch wichtige Sicherheitsprobleme gelöst werden. Auditprotokolle und RBAC gehören zur Standardausstattung und sind nicht an teure Upgrade-Tarife für Unternehmen gebunden, sodass eine sichere Lieferkette gewährleistet ist.

Fazit: Lassen Sie Agenten ihre Hausaufgaben nicht selbst bewerten

Die Geschwindigkeit, mit der MCP eingeführt wird, ist so groß, dass die meisten Teams unter Druck arbeiten, und unter Druck nehmen sie Abkürzungen. Eine Demo funktioniert, der Agent funktioniert und Governance ist eine Funktion, die später hinzugefügt werden muss und selten kostenlos ist.

Das Problem ist strukturell. Wenn ein Agent autonom Anrufe zwischen internen Systemen und externen APIs tätigen kann, kann keine noch so schnelle Steuerung ein Gateway abwehren, das nie für eine solche Realität konzipiert wurde. Sie sichern nicht nur eine Anfrage ab, sondern auch einen Entscheidungsprozess, der Dutzende von Aktionen erfordern kann, bevor ein Mitarbeiter überhaupt ein Ergebnis erhält.

Die Teams, die ihre MCP-Einführung bereuen werden, sind nicht die Teams, die zu schnell gehandelt haben. Es sind die Teams, die glauben, dass sich ihr vorhandener Sicherheits-Stack ohne wesentliche Änderungen immer wieder anpassen wird. API-Gateways verstehen Toolschemas traditionell nicht. Authentifizierungsmodelle wurden traditionell nicht für Szenarien im Auftrag von autonomen Agenten entwickelt. Und Paywalls für Unternehmen, bei denen die grundlegende rollenbasierte Zugriffskontrolle eine Premium-Funktion ist, sind kein Sicherheitsmodell, sondern ein Umsatzmodell.

Zero Trust for MCP ist keine Checkbox, es ist eine Verpflichtung. Jeder einzelne Toolaufruf wird verifiziert, jede einzelne Agentenaktion wird aufgezeichnet, und jede einzelne Berechtigung basiert auf dem Benutzer, der den Workflow initiiert hat. Der Unterschied zwischen Teams, die das richtig machen, und solchen, die es nach einer Sicherheitsverletzung tun, besteht einfach darin, ob die Governance vom ersten Tag an ein zentraler Bestandteil des Gateways war. TrueFoundry macht dies zur Standardeinstellung, nicht zu einer Funktion.

Häufig gestellte Fragen

Was ist MCP-Sicherheit? 

Die MCP-Sicherheit beinhaltet Mechanismen, die regeln, wie KI-Agenten mithilfe des Model Context Protocol auf Tools zugreifen. Da MCP den dynamischen Toolzugriff ermöglicht, muss die Sicherheit über den grundlegenden API-Schutz hinausgehen. Dazu gehören Identitätsweitergabe, Schemavalidierung und Audit-Trails. TrueFoundry stellt dies über ein zentrales Gateway bereit, das Identitäts-, Sicherheitskontrollen und Ausführungsprotokolle verwaltet.

Was sind die Sicherheitsrisiken von MCP? 

Die MCP-Sicherheit birgt Risiken, da Agenten dynamisch mit APIs interagieren. Zu den Sicherheitsrisiken gehören Prompt-Injection-Angriffe, die Manipulation von Toolschemas und überprivilegierte Service-Token. Pipelines mit mehreren Agenten können gefährdeten Kontext auf vertraulichen Systemen verbreiten. Um diese Bedrohungen abzuwehren, müssen Tool-Aufrufe validiert und identitätsbasierte Berechtigungen durchgesetzt werden. TrueFoundry bietet ein sicheres Gateway zur Steuerung dieser Interaktionen.

Ist die Verwendung des Model Context Protocol sicher? 

MCP ist ein neutrales Protokoll, das standardisiert, wie KI-Modelle mit Tools interagieren. Ob es sicher ist, hängt von den angewandten Sicherheitsmaßnahmen ab. Agenten können erweiterte Berechtigungen erhalten und auf private Datenbanken zugreifen. Durch die Bereitstellung einer robusten Sicherheitsinfrastruktur, wie z. B. das von TrueFoundry bereitgestellte Gateway, kann das Protokoll jedoch sicher implementiert werden, um eine Gefährdung der Unternehmensressourcen zu vermeiden.

Wie gilt Zero Trust für KI-Agenten, die MCP verwenden? 

Zero Trust geht davon aus, dass keine Entität vertrauenswürdig ist. Für einen AI-Agenten, der MCP verwendet, bedeutet dies, dass alle Tool-Aufrufe vor der Ausführung authentifiziert und validiert werden müssen, um einen böswilligen Server zu stoppen. Agenten müssen mit denselben Rechten wie der initiierende Benutzer ausgeführt werden. TrueFoundry setzt Zero Trust durch, indem es die Weitergabe von Identitäten vorschreibt und alle Tool-Aufrufe überwacht.

Was ist ein verwirrter Deputy-Angriff in Bezug auf einen KI-basierten Agenten? 

Ein verwirrter stellvertretender Angriff liegt vor, wenn ein KI-Agent mit hohen Rechten dazu verleitet wird, Aktionen im Namen eines böswilligen Akteurs auszuführen, was möglicherweise zu Datenlecks führt. Da der AI Agent über gültige Rechte verfügt, erkennt das System den Angriff möglicherweise nicht. Um dies zu verhindern, müssen die Agentenrechte genau bestimmt und die Ausgaben der Tool-Aufrufe überprüft werden.

Warum reicht ein Standard-API-Gateway für ein MCP-System nicht aus? 

Herkömmliche API-Gateways verarbeiten deterministische Aufrufe, bei denen die Endpunkte bekannt sind. MCP-basierte Agenten verhalten sich anders; sie entdecken Tools und erstellen dynamisch Parameter. Die Sicherheit muss auf der Ebene des Toolschemas und nicht nur auf Netzwerkebene durchgesetzt werden, um bösartigen Code zu blockieren. TrueFoundry erweitert herkömmliche Gateways, um den neuen Sicherheitsanforderungen im Zusammenhang mit MCP gerecht zu werden.