Das MCP-Ökosystem boomt — und die Sicherheitsrisiken wachsen mit
Das Model Context Protocol ist zum Standardprotokoll geworden, über das KI-Agenten sich mit Geschäftstools verbinden. Das Ökosystem umfasst mittlerweile über 1.864 MCP-Server. Gartner prognostiziert, dass bis Ende 2026 75 % der API-Gateways MCP unterstützen werden.
Die Sicherheitsdaten sind jedoch alarmierend:
- 30+ CVEs in 60 Tagen offengelegt — alle zwei Tage eine neue Schwachstelle
- 38 % der gescannten Server ohne jegliche Authentifizierung — keine API-Schlüssel, kein OAuth, keine Token-Validierung
- Bösartige Server können „Überdenkschleifen” auslösen, die den Token-Verbrauch um das 142-fache steigern („Denial-of-Wallet”-Angriffe)
- Tool-Poisoning-Angriffe können KI-Verhalten ohne Wissen des Nutzers kapern
Das Risiko für KMU
Wenn Ihr Team KI-Workflows mit ungeprüften MCP-Servern verbindet, sind Kundendaten, Finanzinformationen und Geschäftsgeheimnisse gefährdet. Eine ungeprüfte Integration ist keine Automatisierung — sie ist eine Haftung.
JieGous Governance-Ansatz: 3-Stufen-Zertifizierung
JieGou bietet 245 MCP-Server in drei Zertifizierungsstufen:
| Stufe | Anzahl | Beschreibung |
|---|---|---|
| Community | 180+ | Mit Warnhinweisen, für nicht-sensible Experimente |
| Verifiziert | 50+ | Automatisierte Schwachstellenscans und Code-Review bestanden |
| Zertifiziert | 15 | Vollständiges Sicherheitsaudit, SLA-Garantie, laufende Überwachung |
Plus Token-Budgets, Rate-Limiting, Circuit-Breaker und Admin-Kontrollen mit Erlaubnis-/Sperrlisten.
Update: Claude Code als Ziel von MCP-Schwachstellen (März 2026)
Seit der Erstveröffentlichung dieses Artikels wurden zwei kritische CVEs offengelegt, die speziell Claude Code — eines der beliebtesten KI-Coding-Tools — über MCP angreifen:
| CVE | Angriffsvektor | Risiko |
|---|---|---|
| CVE-2025-59536 | Prompt-Injection über MCP-Tool-Beschreibungen | Tool-Beschreibungen können das Verhalten des KI-Agenten überschreiben und nicht genehmigte Aktionen auslösen |
| CVE-2026-21852 | Server-übergreifende Datenexfiltration | Ein MCP-Server liest sensible Daten, ein anderer exfiltriert sie stillschweigend an einen externen Endpunkt |
Die server-übergreifende Exfiltrationsschwachstelle (CVE-2026-21852) ist besonders gefährlich für Teams, die mehrere MCP-Server gleichzeitig verbinden. JieGous 3-Stufen-Zertifizierungssystem gewährleistet die Validierung von Tool-Beschreibungen, die Durchsetzung von Datengrenzen und die Sandbox-Isolierung der Server-übergreifenden Kommunikation.
Update: CVE-2025-6514 — CVSS 9.6, die bisher schwerste MCP-Schwachstelle (März 2026)
Die MCP-Sicherheitslage hat sich weiter verschärft. CVE-2025-6514 ist eine Remote-Code-Execution-Schwachstelle in mcp-remote — der beliebtesten MCP-Transportbibliothek — mit einem CVSS-Score von 9.6 (Kritisch).
| Detail | Wert |
|---|---|
| CVE-ID | CVE-2025-6514 |
| CVSS-Score | 9.6 (Kritisch) |
| Angriffsvektor | Remote, keine Authentifizierung erforderlich |
| Auswirkung | Vollständige Remote-Code-Execution |
| Betroffenes Paket | mcp-remote (beliebteste MCP-Transportbibliothek) |
| Monatliche Downloads | 97 Mio.+ (über npm-Ökosystem) |
Dies ist keine Nischenbibliothek. mcp-remote ist die Standard-Transportschicht, auf die die meisten MCP-Implementierungen angewiesen sind. Ein CVSS-Score von 9.6 bedeutet: remote angreifbar, keine Authentifizierung nötig, vollständige Systemkompromittierung möglich.
Auch Anthropics eigene Server haben Schwachstellen
Besorgniserregend: Anthropics offizieller mcp-server-git — eine Referenzimplementierung des Protokollerstellers — hat drei verkettete Schwachstellen, die zusammen die Exfiltration von Repository-Daten ermöglichen. Wenn die Organisation, die MCP entworfen hat, ihre eigenen Server nicht absichern kann, wird das Argument für externe Governance unwiderlegbar.
Das Gesamtbild verschlechtert sich
| Kennzahl | Januar 2026 | März 2026 |
|---|---|---|
| Offengelegte CVEs gesamt | 20+ | 30+ |
| Höchster CVSS-Score | 8.5 | 9.6 |
| Server ohne Authentifizierung | 38 % | 38 % |
| Monatliche Downloads (betroffene Pakete) | 70 Mio.+ | 97 Mio.+ |
Jeden Monat steigt die Zahl der Schwachstellen, die Schwere nimmt zu und der Wirkungsbereich wächst. Die 38-%-Authentifizierungslücke hat sich nicht verbessert, weil das Ökosystem Adoptionsgeschwindigkeit über Sicherheitsgrundlagen stellt.
Was das für Ihr Team bedeutet
Wenn Ihre KI-Workflows sich mit MCP-Servern verbinden — und zunehmend ist das der einzige Weg, KI mit Geschäftstools zu verbinden — brauchen Sie eine Governance-Schicht zwischen Ihrem Team und dem rohen MCP-Ökosystem. Nicht jeder Server ist gefährlich, aber ohne Zertifizierung und Überprüfung können Sie nicht erkennen, welche es sind.
JieGous 245 zertifizierte Integrationen wurden genau auf diese Schwachstellenmuster geprüft. Unsere 3-Stufen-Zertifizierung (Community → Verifiziert → Zertifiziert) stellt sicher, dass Ihr Team in der Produktion niemals eine Verbindung zu einem ungeprüften Server herstellt. Token-Budgets fangen Denial-of-Wallet-Angriffe ab. Sandboxing verhindert server-übergreifende Datenexfiltration. Admin-Kontrollen ermöglichen die Einschränkung des Serverzugriffs.
Das ist kein Feature — das ist eine Anforderung.
Sichere Einführung vom ersten Tag an
Governance-basierte Integrationen bedeuten: Ihr Team arbeitet schnell, während die Plattform die Sicherheit gewährleistet.