Das Wichtigste in Kürze
- Das Model Context Protocol (MCP) ist der offene Standard, über den KI-Agenten auf CRM, Buchhaltung, E-Mail und Datenbanken zugreifen
- Seit Dezember 2025 liegt MCP bei einer Foundation unter der Linux Foundation, getragen von Anthropic, OpenAI und Block, damit ist die Standard-Frage entschieden
- Über 10'000 öffentliche MCP-Server, 97 Millionen SDK-Downloads pro Monat, 41 Prozent der befragten Software-Organisationen sind in Produktion
- Der Standard senkt Integrationskosten massiv, verlangt aber ein sauberes Berechtigungs- und Sicherheitskonzept
Die interessanteste Entwicklung bei KI-Agenten ist nicht das nächste Modell, sondern ein Protokoll. Das Model Context Protocol, kurz MCP, legt fest, wie ein KI-Agent mit Ihren Systemen spricht, vom CRM über die Buchhaltung bis zum Kalender. Was im November 2024 als Anthropic-Projekt startete, ist 2026 der De-facto-Standard der gesamten Branche. Wer verstehen will, warum KI-Agenten plötzlich echte Arbeit erledigen statt nur Texte zu schreiben, muss MCP verstehen.
Das Problem, das MCP löst
Ein Sprachmodell allein kann lesen und schreiben, aber nichts tun. Damit ein Agent eine Rechnung verbucht, einen Termin verschiebt oder einen Kundendatensatz aktualisiert, braucht er eine Verbindung zum jeweiligen System. Vor MCP hiess das, dass für jede Kombination aus KI-Anwendung und Zielsystem eine eigene Integration entwickelt wurde, teuer, fehleranfällig und beim nächsten Modellwechsel wertlos. MCP standardisiert diese Verbindung. Ein System stellt einmal einen MCP-Server bereit, und jeder MCP-fähige Agent kann dessen Funktionen nutzen, egal ob dahinter Claude, ChatGPT oder Gemini arbeitet.
Vom Anthropic-Projekt zum Branchenstandard
Anthropic stellte MCP im November 2024 als offenen Standard vor. Der Durchbruch kam 2025, OpenAI übernahm das Protokoll im März, Google DeepMind kündigte die Unterstützung im April an, dazu kamen Microsoft, Cloudflare, Replit und praktisch alle relevanten Entwicklungswerkzeuge. Im Dezember 2025 übergab Anthropic das Protokoll an eine eigens gegründete Foundation unter dem Dach der Linux Foundation, mitgetragen von Anthropic, OpenAI und Block. Damit ist die für Unternehmen entscheidende Frage beantwortet. MCP gehört keinem einzelnen Anbieter, das Risiko, auf das falsche Pferd zu setzen, ist praktisch verschwunden.
10'000+
aktive öffentliche MCP-Server (Stand Dez. 2025)
97 Mio.
SDK-Downloads pro Monat
41%
der Software-Organisationen mit MCP in Produktion
40%
der Unternehmens-Apps mit Agenten bis Ende 2026 (Gartner-Prognose)
Die Zahlen zeigen, wie schnell das geht. Ende 2025 zählte Anthropic über 10'000 aktive öffentliche MCP-Server und 97 Millionen monatliche SDK-Downloads. Laut einer Stacklok-Erhebung von 2026 betreiben 41 Prozent der befragten Software-Organisationen MCP-Server bereits begrenzt oder breit in Produktion. Gartner prognostiziert, dass bis Ende 2026 rund 40 Prozent der Unternehmensanwendungen aufgabenspezifische KI-Agenten enthalten werden, gegenüber weniger als 5 Prozent zuvor.
Was das konkret für Ihre Prozesse heisst
Praktisch bedeutet MCP, dass die teuerste Phase eines Automatisierungsprojekts, die Anbindung der bestehenden Systeme, deutlich günstiger und schneller wird. Für gängige Werkzeuge wie HubSpot, Stripe, Google Workspace oder gängige Datenbanken existieren fertige, gepflegte MCP-Server. Ein Agent, der heute Ihr Postfach triagiert, kann morgen mit überschaubarem Aufwand zusätzlich Termine buchen und CRM-Einträge pflegen, weil die Anbindung nicht neu erfunden, sondern nur freigeschaltet wird. Und weil der Standard modellunabhängig ist, überlebt die Integrationsarbeit jeden Modellwechsel.
Die Kehrseite: Zugriff braucht Kontrolle
Ein Agent, der Systeme bedienen kann, kann auch Schaden anrichten. Sicherheitsforscher dokumentierten bereits 2025 Angriffe über manipulierte Werkzeuge und Prompt Injection, bei denen Daten über verbundene Systeme abfliessen. Wer MCP produktiv einsetzt, braucht deshalb ein Berechtigungskonzept, das mit dem klassischer Mitarbeitender vergleichbar ist.
- Nach dem Minimalprinzip erhält der Agent nur die Werkzeuge und Datenzugriffe, die der Prozess wirklich braucht, keine Admin-Rechte auf Verdacht.
- Geschrieben wird nur mit Freigabe, Aktionen mit Aussenwirkung (Versand, Buchung, Löschung) laufen über eine menschliche Bestätigung, mindestens in der Einführungsphase.
- Nur geprüfte Server zulassen, denn MCP-Server aus unbekannter Quelle sind ein Einfallstor. Herkunft, Wartung und Berechtigungen gehören vor dem Einsatz geprüft.
- Zur Protokollierung wird jede Aktion des Agenten nachvollziehbar aufgezeichnet, sonst fehlt im Fehlerfall jede Grundlage.
MCP ist keine Zukunftswette mehr, sondern gelebte Infrastruktur. Die Frage für Ihr Unternehmen lautet nicht, ob Ihre Systeme agentenfähig werden, sondern in welcher Reihenfolge und mit welchen Leitplanken.
Quellen
- Anthropic: Introducing the Model Context Protocol, https://www.anthropic.com/news/model-context-protocol
- Wikipedia: Model Context Protocol (Adoption und Foundation-Übergabe), https://en.wikipedia.org/wiki/Model_Context_Protocol
- Model Context Protocol Blog: The 2026 MCP Roadmap, https://blog.modelcontextprotocol.io/posts/2026-mcp-roadmap/
- Digital Applied: MCP Adoption Statistics 2026, https://www.digitalapplied.com/blog/mcp-adoption-statistics-2026-model-context-protocol
- CIO: Why Model Context Protocol is suddenly on every executive agenda, https://www.cio.com/article/4136548/why-model-context-protocol-is-suddenly-on-every-executive-agenda.html
Fazit von Marcel

MCP hat bei uns die teuerste Phase jedes Automatisierungsprojekts verändert, nämlich die Anbindung der Bestandssysteme. Was früher Wochen Integrationsarbeit kostete, ist heute oft eine Freischaltung mit Sicherheitsprüfung. Mein Rat ist, einen KI-Agenten mit Systemzugriff wie einen neuen Mitarbeitenden zu behandeln, mit Minimalrechten, Freigaben für schreibende Aktionen und lückenlosem Protokoll.
Marcel Kaschner · Founder & Managing Director, ZAVION
Häufige Fragen
Was ist das Model Context Protocol (MCP)?
Ein offener Standard, der festlegt, wie ein KI-Agent mit Ihren Systemen spricht, vom CRM über die Buchhaltung bis zum Kalender. Ein System stellt einmal einen MCP-Server bereit, und jeder MCP-fähige Agent kann dessen Funktionen nutzen, egal ob dahinter Claude, ChatGPT oder Gemini arbeitet. Das ersetzt die frühere Einzelintegration pro Kombination aus KI-Anwendung und Zielsystem.
Gehört MCP einem einzelnen Anbieter?
Nein, nicht mehr. Anthropic stellte das Protokoll im November 2024 vor, 2025 übernahmen es OpenAI, Google DeepMind, Microsoft und praktisch alle relevanten Entwicklungswerkzeuge. Seit Dezember 2025 liegt MCP bei einer Foundation unter der Linux Foundation. Das Risiko, auf das falsche Pferd zu setzen, ist damit praktisch verschwunden.
Welche Sicherheitsrisiken bringt MCP mit sich?
Ein Agent, der Systeme bedienen kann, kann auch Schaden anrichten, dokumentiert sind Angriffe über manipulierte Werkzeuge und Prompt Injection. Der Schutz besteht aus dem Minimalprinzip bei den Berechtigungen, menschlicher Freigabe für Aktionen mit Aussenwirkung, ausschliesslich geprüften MCP-Servern aus bekannter Quelle und einer lückenlosen Protokollierung jeder Agenten-Aktion.
Wie verbreitet ist MCP 2026?
Stand Ende 2025 zählte Anthropic über 10'000 aktive öffentliche MCP-Server und 97 Millionen SDK-Downloads pro Monat. 41 Prozent der befragten Software-Organisationen betreiben MCP-Server in Produktion, und Gartner prognostiziert, dass bis Ende 2026 rund 40 Prozent der Unternehmensanwendungen aufgabenspezifische KI-Agenten enthalten.

Das Wichtigste in Kürze

