Was ist das Model Context Protocol? MCP einfach erklärt + Tutorial

Anthropic hat Ende 2024 das Model Context Protocol (MCP) als offenen Standard veröffentlicht. Innerhalb eines Jahres haben sich Microsoft, OpenAI, GitHub, Cloudflare, Google und hunderte kleinere Anbieter angeschlossen. MCP ist 2026 dabei, das zu werden, was REST für APIs war — der gemeinsame Stecker, durch den KI-Modelle mit Daten und Werkzeugen reden.

Was ist das Model Context Protocol? Einfach erklärt

Bevor MCP existierte, hatte jedes KI-Tool seine eigene Schnittstelle: ChatGPT-Plugins, Claude-Tools, OpenAI-Function-Calling, Cursor-Extensions, jeder Agent-Framework sein eigenes Format. Wer einen Datenbank-Connector schreiben wollte, musste ihn fünf Mal in fünf Geschmacksrichtungen bauen.

MCP ist die Antwort: ein offener Standard, den jedes KI-System einlesen kann. Sie schreiben einen MCP-Server für „CRM-Zugriff" einmal — und er funktioniert mit Claude Desktop, Claude Code, ChatGPT, Cursor, Windsurf und jedem zukünftigen Tool, das MCP spricht.

Im Hintergrund: ein JSON-RPC-Protokoll mit klaren Konzepten (Resources, Tools, Prompts), eine MIT-lizenzierte Referenz-Implementierung von Anthropic in mehreren Sprachen (TypeScript, Python, Java, C#, Rust, Go), Discovery und Authentifizierung. Klingt langweilig — ist aber der Grund, warum 2026 KI-Integrationen plötzlich Sinn ergeben.

MCP-Architektur: Host, Client und Server

MCP unterscheidet drei Rollen:

• Host: die Anwendung, die der Mensch benutzt — z. B. Claude Desktop, Cursor, ChatGPT-App, eigene Apps. Der Host startet die KI-Konversation.
• Client: die MCP-Komponente im Host, die die Verbindung zu MCP-Servern verwaltet. Pro Server ein Client.
• Server: ein eigener Prozess, der Tools, Datenquellen oder Prompts anbietet. Beispiele: Datei-Zugriff, Datenbank-Queries, GitHub-API, Slack-Posts, Hausautomation.

Wichtige Eigenschaft: Server kennen das LLM nicht. Sie geben einfach an „hier sind meine Tools, hier ist die Signatur, hier ist die Doku" — das LLM entscheidet, was es davon nutzt. Ein Postgres-MCP-Server funktioniert identisch mit Claude, GPT-5 oder einem lokalen Llama. Genau das eliminiert den Vendor-Lock-in.

Das Protokoll: JSON-RPC über stdio oder SSE

MCP nutzt JSON-RPC 2.0 als Wire-Format. Zwei Transports sind standardisiert:

1. stdio: Host startet Server als Subprozess, kommuniziert über stdin/stdout. Einfach, lokal, schnell. Der Standard für persönliche Tools.
2. HTTP + SSE (Server-Sent Events): Server läuft als Web-Service. Geeignet für Team-Setups, Cloud-Deployments, geteilte Tools.

Drei Konzepte, die jeder Server implementieren kann:

• Tools — Funktionen, die das LLM aufrufen kann (z. B. search_emails(query, limit)). Eingaben validiert per JSON-Schema.
• Resources — adressierbare Daten (Dateien, Datenbank-Tabellen, URLs), die der LLM-Host in den Kontext laden kann.
• Prompts — vorgefertigte Prompt-Templates mit Parametern (z. B. „Fasse diesen Vertrag zusammen"), die der User per Slash-Befehl auswählen kann.

Tutorial: Eigenen MCP-Server in Python erstellen

Hier ein minimaler MCP-Server, der eine eigene FAQ-Datenbank für Claude verfügbar macht:

from mcp.server.fastmcp import FastMCP
import sqlite3

mcp = FastMCP("kmu-faq")
DB = "/data/faq.sqlite"

@mcp.tool()
def search_faq(query: str, limit: int = 5) -> list[dict]:
    """Sucht in der internen Mitarbeiter-FAQ. Liefert Treffer mit Titel + Antwort + Quelle."""
    conn = sqlite3.connect(DB)
    rows = conn.execute(
        "SELECT title, answer, source FROM faq WHERE faq MATCH ? LIMIT ?",
        (query, limit)
    ).fetchall()
    return [{"title": t, "answer": a, "source": s} for t,a,s in rows]

@mcp.resource("faq://categories")
def list_categories() -> str:
    """Liste aller FAQ-Kategorien."""
    conn = sqlite3.connect(DB)
    cats = conn.execute("SELECT DISTINCT category FROM faq").fetchall()
    return "\n".join(c[0] for c in cats)

@mcp.prompt()
def onboarding_question(thema: str) -> str:
    """Strukturierte Onboarding-Frage für neue Mitarbeitende."""
    return f"Erkläre einem neuen Mitarbeitenden im ersten Monat das Thema: {thema}. Nutze search_faq für Quellenangaben."

if __name__ == "__main__":
    mcp.run()

Einbinden in Claude Desktop: eine Zeile in ~/Library/Application Support/Claude/claude_desktop_config.json:

{
  "mcpServers": {
    "kmu-faq": {
      "command": "python",
      "args": ["/opt/mcp-servers/kmu-faq/server.py"]
    }
  }
}

Nach Neustart der Claude-App: das Tool search_faq ist verfügbar, der LLM-Host nutzt es automatisch wenn passend. Keine API-Keys im Prompt, keine Plugin-Genehmigung, keine OAuth-Roundtrips.

MCP für KMU: 5 konkrete Use-Cases

1. CRM-Zugriff für die Geschäftsleitung

MCP-Server zu HubSpot, Pipedrive, Odoo oder Salesforce. Geschäftsleitung kann in Claude Desktop fragen: „Welche Deals stehen diese Woche zur Verhandlung an, sortiert nach Volumen?". Der LLM ruft den CRM-Server auf, antwortet quellenbezogen.

2. Buchhaltungs-Zugriff (lesend)

MCP-Server zu DATEV-Unternehmen-Online, sevdesk oder lexoffice. „Wie hoch waren die Marketing-Ausgaben Q1 vs. Q2?". Direkt im Chat, ohne Excel-Export.

3. Eigene Dokumenten-Ablage

MCP-Server zu Paperless-ngx, Nextcloud oder SharePoint. „Suche mir alle Verträge mit Lieferant X aus den letzten 3 Jahren". Der LLM bekommt Treffer als Resources, kann zitieren.

4. Custom-Tools für die Branche

Steuerberatung: MCP-Server, der die DATEV-Mandantenakte liest. Anwaltskanzlei: MCP-Server, der die Mandanten-Aktenstruktur kennt. Maschinenbau: MCP-Server, der die Konstruktions-PDFs durchsuchbar macht.

5. Automatisierung mit Schreibrechten

Vorsicht-Use-Case: MCP-Server, der E-Mails versenden oder CRM-Einträge anlegen kann. Immer mit Approval-Flow — der LLM-Host fragt den Menschen vor jeder Schreibaktion. Siehe unsere Workflow-Anleitung mit Human-in-the-Loop.

DSGVO + Sicherheit: Was MCP einfacher macht

MCP löst kein DSGVO-Problem aus dem Nichts — aber es ändert die Architektur zugunsten von Datenschutz:

• Daten bleiben beim Server-Betreiber: Ein MCP-Server kann lokal laufen (stdio), in Ihrem Netz (HTTP intern) oder in der Cloud. Wer wo Zugriff bekommt, ist eine Konfigurations-Frage — nicht „Daten gehen pauschal an OpenAI".
• Granulare Tool-Berechtigung: Der Host kann pro Tool entscheiden, ob es bei jeder Verwendung Approval braucht. Schreibaktionen können dauerhaft auf „immer fragen" gestellt werden.
• Audit-Logs: MCP-Server protokollieren standardmäßig jede Tool-Anfrage — ein klarer Vorteil gegenüber Cloud-Plugins, wo die Logs beim Anbieter liegen.
• Lokale Modelle möglich: Da MCP modellagnostisch ist, kann ein lokaler Llama 3.3 70B die gleichen MCP-Server nutzen wie Claude — siehe unser Leitfaden zu lokaler KI.

Wichtig: Ein bösartiger MCP-Server kann Daten abgreifen oder Befehle ausführen. Nur Server installieren, denen Sie vertrauen. Anthropic pflegt eine offizielle Liste von Referenz-Servern als Startpunkt.

Wer baut MCP-Server (Stand Mai 2026)

Verzeichnisse zum Stöbern: mcp.so (größtes Community-Verzeichnis), glama.ai/mcp/servers, offizielle Anthropic-Liste.

Grenzen und Risiken

• Junges Protokoll: Stabile Version seit Ende 2024, aber Breaking Changes sind noch möglich. Wer eigene MCP-Server in Produktion stellt, sollte einen Update-Pfad einplanen.
• Authentifizierung im Werden: OAuth-Flow ist im Standard, aber noch nicht überall sauber implementiert. Bei sensiblen Server lieber stdio + lokale Ausführung.
• Performance: Tool-Calls haben Latenz. Bei interaktiver Nutzung kein Problem, bei hochfrequenter Pipeline-Verarbeitung kann es Sekunden kosten.
• Sicherheits-Verantwortung beim Nutzer: MCP gibt dem LLM die Macht, Tools auszuführen. Ein Prompt-Injection-Angriff kann theoretisch dazu führen, dass Daten exfiltriert werden. Prompt-Engineering-Schutzmaßnahmen sind Pflicht.
• Vendor-Specific-Erweiterungen: Einzelne Hosts (Cursor, Claude Code) erweitern den Standard mit eigenen Features. Pure Portabilität ist das Ziel, aber noch nicht überall erreicht.

Verwandte Ressourcen

• Glossar: Model Context Protocol
• Glossar: API
• Glossar: Function Calling
• Automatisierung mit KI — Workflows für KMU
• Lokale KI mit MCP-Servern verbinden
• modelcontextprotocol.io — offizielle Spec