MCP 2.0 Sicherheit: Drei Fragen, die jeder CISO vor dem Einsatz von KI-Agenten stellen muss

Perspektive

Vernell, Principal Security and AI Intelligence bei Commvault, liefert eine Meisterklasse zur Absicherung von KI-Agenten-Deployments in Unternehmen. Während sich die meisten MCP-Diskussionen auf Funktionalitäten konzentrieren, behandelt dieses Gespräch, was passiert, wenn etwas schiefgeht – und wie die neue 2.0-Spezifikation die Sicherheitsberechnung verändert.

Zur Evolution von MCP 1.x zu 2.0: Der Wechsel repräsentiert einen fundamentalen Philosophiewandel. "1.x was really about onboarding us, our technology to move forward to using AI. Step two is really securing those models." (1.x ging wirklich darum, uns und unsere Technologie für die KI-Nutzung fit zu machen. Schritt zwei ist die eigentliche Absicherung dieser Modelle.) Das ist keine inkrementelle Verbesserung – es ist die Anerkennung der Branche, dass Adoption ohne Sicherheit inakzeptable Risiken schafft.

Die drei grundlegenden Änderungen in MCP 2.0: Erstens bringt OAuth-Support das, was Vernell "Active Directory für das Internet" nennt – endlich können Unternehmen kryptografischen Schlüsseln Berechtigungen und Privilegien zuweisen. Zweitens wirken strukturierte Schemas wie parametrisierte SQL-Abfragen und erstellen Whitelists, die genau definieren, welche Aktionen Tools ausführen können. "These structures allow you to define specifically what actions a tool is able to do and anything else it will just ignore." (Diese Strukturen ermöglichen es, genau zu definieren, welche Aktionen ein Tool ausführen kann, und alles andere wird einfach ignoriert.) Drittens führt der Elicitation-Flow Pausenpunkte für menschliche Aufsicht ein.

Zu den verbleibenden Lücken: Selbst mit 2.0 können Unternehmen nicht kryptografisch verifizieren, dass ein MCP-Server legitim ist. "Clones and copies exist, tools are modified, tools are added, and we have no way of verifying today cryptographically that this is our original MCP server we're interfacing with." (Klone und Kopien existieren, Tools werden modifiziert, Tools werden hinzugefügt, und wir haben heute keine Möglichkeit, kryptografisch zu verifizieren, dass dies unser ursprünglicher MCP-Server ist, mit dem wir kommunizieren.) Das ist ein signifikantes Vertrauensproblem, das nicht allein durch Protokoll-Updates gelöst werden kann.

Das Drei-Fragen-Risiko-Framework: Vernells praktischer Ansatz durchdringt die Komplexität: (1) Welche Befugnisse hat mein Agent? Nur-Lesen mit Leitplanken ist geringes Risiko; Löschen/Bearbeiten/Verschieben-Fähigkeiten brauchen Absicherung. (2) Wie groß ist der Schadensradius? Ein Nutzer, eine ganze App oder laterale Bewegung durchs Unternehmen? (3) Wie reversibel ist die Aktion? Informationen lesen versus löschen verändert alles.

Zur zukünftigen Richtung und Sichtbarkeit: "We spent 20 years trying to secure how software is developed securely. And AI is not going to get a shortcut to this because it's new to the party." (Wir haben 20 Jahre damit verbracht, zu versuchen, wie Software sicher entwickelt wird. Und KI wird hier keine Abkürzung bekommen, nur weil sie neu dabei ist.) Der Fokus wird künftig auf Laufzeit-Sichtbarkeit, Audit-Logging und Compliance liegen – Unternehmen müssen beweisen können, dass ihre KI-Agenten korrekt gearbeitet haben, besonders wenn Supply-Chain-Angriffe von Drittanbietern auftreten.

Wichtigste Erkenntnisse

• MCP 2.0 ist sicherheitsorientiert - Anders als 1.x, das auf Adoption fokussierte, führt 2.0 OAuth, strukturierte Schemas und Elicitation-Flows speziell zur Absicherung von KI-Agenten-Deployments ein
• Server-Vertrauen bleibt ungelöst - Keine kryptografische Möglichkeit, MCP-Server als legitim zu verifizieren; Organisationen müssen Netzwerkisolierung und Tool-Signierung unabhängig implementieren
• Drei Fragen zur Risikobewertung - Befugnisstufe, Schadensradius und Aktionsreversibilität bilden ein einfaches, aber effektives Framework zur Bewertung jedes KI-Agenten-Deployments
• Mensch-in-der-Schleife ist essenziell - Aktionen mit hoher Auswirkung sollten Genehmigungsworkflows auslösen; der Elicitation-Flow ermöglicht Pausenpunkte, die es vorher nicht gab
• Laufzeit-Sichtbarkeit ist kritisch - Unternehmen brauchen aussagekräftige Audit-Logs, die Compliance beweisen und gegen Anschuldigungen von Supply-Chain-Angriffen verteidigen können
• Erwarten Sie mehr Sicherheitsanbieter - Ähnlich wie bei der Cloud-Sicherheitsentwicklung werden Drittanbieter-Tools entstehen, um native KI-Agenten-Sicherheitsfunktionen zu verstärken

Das große Ganze

MCP 2.0 repräsentiert den ersten ernsthaften Versuch der Branche, KI-Agenten in Produktion abzusichern, aber es ist nur der Anfang. Für Organisationen, die Agenten einsetzen, die echte Aktionen ausführen können – Dateien bearbeiten, Daten verschieben, mit Systemen interagieren – bietet das Protokoll Leitplanken, keine Garantien. Die praktische Erkenntnis: Behandeln Sie KI-Agenten-Sicherheit so, wie Sie es vor einem Jahrzehnt mit Cloud-Sicherheit getan haben, und budgetieren Sie für die spezialisierten Tools, die unweigerlich benötigt werden.