Kiteworks | Your Private Data Network

Secure File Sharing and Governance Platfform

Kostenlos testen KITEWORKS ERKUNDEN
Home > Sicherheits- und Compliance-Blog > Unkategorisiert > MCP-Schwachstelle aufgedeckt: Jetzt sichere KI-Daten-Governance

MCP-Schwachstelle aufgedeckt: Jetzt sichere KI-Daten-Governance

von Patrick Spencer updated April 21, 2026 Cybersecurity-Risikomanagement
Lesezeit: 9 Minuten

Am 15. April 2026 berichtete SecurityWeek, dass das Model Context Protocol — der offene Standard, der KI-Agents mit Unternehmens-Tools, APIs und Datenquellen verbindet — eine „by design“-Schwachstelle enthält, die weitreichende KI-Lieferkettenangriffe ermöglicht. Die zugrundeliegende Forschung, veröffentlicht von OX Security, zeigt, dass ein einzig kompromittierter MCP-Server oder ein Tool zum Dreh- und Angelpunkt für alle anderen verbundenen Ressourcen werden kann, auf die ein Agent zugreift.

Wichtige Erkenntnisse

  1. Der Fehler ist architektonisch, kein Patch-Problem. Forscher zeigten, dass das Vertrauensmodell des Model Context Protocol es jedem kompromittierten Connector erlaubt, auf alle anderen Tools und Datenquellen im selben Agent zuzugreifen. Kein einzelnes CVE kann das Problem beheben.
  2. MCP ist jetzt die neue privilegierte Datenschicht. Jede über MCP verbundene Datenbank, SaaS-Anwendung und interne API übernimmt den Zugriffsumfang des Agents. Wird der Agent kompromittiert, sind alle angeschlossenen Systeme betroffen.
  3. Unternehmen implementieren MCP schneller, als sie es steuern. Nur 43% der Unternehmen verfügen über ein zentrales KI-Datengateway. Die übrigen 57% sind fragmentiert, teilweise abgedeckt oder haben keinerlei dedizierte KI-Kontrollen.
  4. Staatliche Akteure haben MCP bereits im Feld als Waffe eingesetzt. Anthropic berichtete über eine von China unterstützte Kampagne, bei der Claude Code plus MCP-Tools genutzt wurden, um KI-gesteuerte Angriffe auf rund 30 Organisationen durchzuführen.
  5. Die Antwort liegt in der Daten-Governance, nicht im Modell-Layer. Jede KI-Datenanfrage muss am Datenzugriffspunkt authentifiziert, autorisiert und protokolliert werden — nicht im Modell, wo Prompts Sicherheitsmechanismen umgehen können.

Das ist kein Programmierfehler. Es ist eine architektonische Konsequenz der MCP-Spezifikation.

Die Forscher, die das Problem aufdeckten, erklärten gegenüber IT Pro, es handele sich um ein systemisches Merkmal, das beliebige Befehle auf MCP-Servern ausführen lässt. Ein Patch kann das Problem nicht lösen, da das Vertrauensmodell selbst fehlerhaft ist. Ein Forscher merkte an, dass Entwickler keine Sicherheitsexperten sind und nicht erwarten können, Schwachstellen in den von ihnen genutzten SDKs eigenständig zu erkennen und zu beheben. Die Berichterstattung von IT Pro weist darauf hin, dass mehr als 200.000 MCP-Server potenziell betroffen sind, darunter interne APIs, Datenbanken und SaaS-Connectoren im gesamten Unternehmen.

Das ist relevant, weil MCP zum De-facto-Standard für die Integration von KI in Unternehmen geworden ist. Sobald ein CISO die Verbindung eines Agents mit dem CRM, dem Code-Repository oder dem Dokumentenspeicher genehmigt, wird dieser Agent zum privilegierten Datenpfad — und bislang haben nur sehr wenige Unternehmen diesen Pfad als kritische Infrastruktur behandelt.

MCP ist nicht der Feind. MCP hat Unternehmens-KI erst möglich gemacht.

Vor MCP erforderte die Anbindung eines großen Sprachmodells an interne Systeme individuelle Integrationen, eigene Authentifizierung und eine dedizierte Sicherheitsprüfung für jede Verbindung. MCP hat das standardisiert. Ein KI-Assistent konnte plötzlich über ein einziges Protokoll auf Fileshares, Ticketsysteme, Dashboards und Code-Repositories zugreifen. Entwickler lieferten Integrationen in Stunden statt Monaten aus.

Diese Geschwindigkeit ist die Erfolgsgeschichte. Diese Geschwindigkeit ist aber auch das Problem.

Der Kiteworks 2026 Data Security and Compliance Risk Forecast Report ergab, dass nur 43% der Unternehmen ein zentrales KI-Datengateway besitzen. Die übrigen 57% sind fragmentiert, teilweise abgedeckt oder „fliegen blind“. Innerhalb dieser 57% identifizierte der Forecast 19%, die Einzellösungen ohne konsistente Richtlinien nutzen, 26% mit teilweisen oder Ad-hoc-Kontrollen und 7% ohne jegliche dedizierte KI-Kontrollen. Besonders schlecht steht es um Behörden: 90% haben keine zentrale KI-Governance, ein Drittel keinerlei KI-Datenkontrollen. Dabei verarbeiten diese Organisationen Bürgerdaten, vertrauliche Informationen und kritische Infrastruktur.

Die MCP-Offenlegung trifft genau auf diese Lücke. Jede Organisation aus den 57% betreibt mindestens eine MCP-Integration, die meisten sogar mehrere. Wenn ein einziges kompromittiertes Tool auf alle anderen zugreifen kann, ist Fragmentierung nicht nur ein Ärgernis — sie ist die Angriffsfläche.

Das ist keine Theorie: Staatliche Akteure haben MCP bereits im großen Stil genutzt

Im November 2025 berichtete Anthropic, dass sie eine Cyber-Spionage-Operation entdeckt und gestoppt haben, die mit hoher Wahrscheinlichkeit einer von China unterstützten Gruppe namens GTG-1002 zugeschrieben wird. Die Angreifer nutzten Claude Code plus Model Context Protocol-Tools und steuerten mehrere Claude-Instanzen in Gruppen als autonome „Orchestratoren“, um wesentliche Teile des Angriffszyklus auszuführen — Aufklärung, Schwachstellenanalyse, Ausnutzung, laterale Bewegung, Credential Harvesting und Datenanalyse.

Die Kampagne richtete sich gegen etwa 30 Organisationen. Laut dem Kiteworks 2026 Forecast erledigte KI etwa 80 bis 90 Prozent der taktischen Arbeit, Menschen griffen nur an vier bis sechs entscheidenden Punkten pro Kampagne ein — etwa, um die Eskalation von Aufklärung zu Ausnutzung zu genehmigen oder zu entscheiden, welche Daten exfiltriert werden. Der Global Cybersecurity Outlook 2026 des World Economic Forum bezeichnet dies als den ersten bestätigten Fall, in dem agentische KI Zugang zu hochkarätigen Zielen erhielt, darunter große Technologieunternehmen und Regierungsbehörden.

Das entscheidende Detail für die Verteidigung ist mechanisch: Die Angreifer nutzten keine Schwachstelle im Modell aus. Sie verwendeten den Standard-Agent-Runtime und das Standard-MCP-Tooling. Jeder Schritt, der durch eine Daten-Governance-Schicht revisionssicher gewesen wäre, wäre revisionssicher gewesen. Jeder Schritt, der auf das Verhalten des Modells setzte, um im Rahmen zu bleiben, überschritt diesen Rahmen.

Die Agents of Chaos-Studie — ein zweiwöchiges Red-Team-Experiment der Northeastern University BauLab mit zwanzig Forschern von Institutionen wie Harvard, MIT, Stanford, Carnegie Mellon und weiteren, veröffentlicht im Februar 2026 — dokumentierte, warum dieses Muster strukturell ist. Agents erfüllen standardmäßig die Anforderungen der lautesten Stimme, haben kein Selbstmodell, um Kompetenzgrenzen zu erkennen, und können nicht zuverlässig nachverfolgen, welche Kommunikationskanäle für wen sichtbar sind. Fünf der OWASP Top 10 für LLM-Anwendungen korrelierten direkt mit beobachteten Fehlern in Live-Deployments.

Warum traditionelle Kontrollen hier nicht greifen

Sicherheitsteams fragen oft, ob ihre bestehende Infrastruktur das Problem bereits abdeckt. Die Antwort lautet für fast jede traditionelle Kontrolle: nein.

Endpoint Detection and Response erkennt es nicht. Der KI-Agent ist ein legitimierter, authentifizierter Prozess, der im Namen eines autorisierten Anwenders agiert. Der Tool-Aufruf ist von Routineaktivität nicht zu unterscheiden.

Data Loss Prevention schlägt nicht an. Die ausgehenden Daten sind Teil eines von der Organisation genehmigten KI-Workflows. DLP-Regeln, die auf Dateiexfiltration, USB-Transfers oder verdächtige E-Mail-Anhänge abzielen, greifen nicht bei einem Agent, der einen autorisierten API-Aufruf tätigt.

Die Web Application Firewall ist architektonisch blind. WAFs prüfen eingehenden externen Traffic von menschlichen Nutzern. Maschineller Traffic aus genehmigten KI-Workflows entspricht nicht dem Prüfmodell.

Modell-Layer-Grenzen lassen sich umgehen. Jede große Plattform, die Prompt-Injection-Abwehrmechanismen eingeführt hat, wurde anschließend von Forschern umgangen. Eine groß angelegte Studie zu 14.904 individuellen GPTs fand 96,51% anfällig für Rollenspiel-basierte Angriffe und 92,20% für Systemprompt-Leaks. Das ist kein Randfall.

Die architektonische Konsequenz ist eindeutig: Governance im Modell ist verhandelbar. Governance auf der Datenebene ist es nicht.

Die Antwort auf Datenebene: Warum Governance dort greifen muss, wo die Daten liegen

Die nach der Offenlegung diskutierten Maßnahmen — strikte Isolierung von MCP-Services, Least-Privilege-Credentials pro Tool, Input-Validierung für Modellanweisungen und Monitoring auf anomale Tool-Aufrufe und Datenbewegungen — gehen in die richtige Richtung. Sie funktionieren aber nur, wenn sie an einem Punkt durchgesetzt werden, den der Agent nicht umgehen kann.

Dieser Punkt ist die Datenschicht.

Daten-Governance folgt einem Prinzip aus der zero trust-Netzwerkarchitektur: kein implizites Vertrauen allein auf Basis der Identität. Jede KI-Datenanfrage wird unabhängig authentifiziert. Jede Anfrage wird in Echtzeit anhand rollenbasierter und attributbasierter Zugriffsrichtlinien geprüft. Jede Anfrage wird mit ausreichender Detailtiefe protokolliert, um exakt nachzuvollziehen, was wann, von welchem KI-System, für welchen Anwender, unter welcher Richtlinie ablief. Versucht der Agent, seine Berechtigungen zu überschreiten, verweigert die Datenschicht den Zugriff. Erkennt der Policy Evaluator ein anomales Muster, wird die Sitzung beendet.

Dieses Architekturprinzip bildet die Grundlage des Kiteworks AI Data Gateway. Es verlässt sich nicht auf korrektes Modellverhalten. Es setzt nicht voraus, dass der MCP-Server vertrauenswürdig ist. Es hängt nicht davon ab, dass der Prompt sicher ist. Die Richtlinie wird auf der Datenschicht durchgesetzt — unabhängig vom Modell, Prompt oder Agent-Framework. Wird das Modell kompromittiert, aktualisiert oder manipuliert, bleibt die Governance-Schicht aktiv. Das ist der Unterschied zwischen Compliance-Theater und Compliance-Realität.

Wie Kiteworks MCP steuert, ohne KI zu blockieren

Kiteworks wurde genau für dieses Bedrohungsmodell entwickelt. Der Kiteworks Secure MCP Server ermöglicht Anwendungen wie Claude und Copilot, über das branchenübliche Model Context Protocol mit dem Private Data Network von Kiteworks zu interagieren — aber mit unternehmensgerechten Kontrollen, die von Anfang an integriert sind.

Jede MCP-Sitzung authentifiziert sich über OAuth 2.0 mit Tokens, die im OS-Schlüsselbund gespeichert und niemals dem KI-Modell offengelegt werden. Jede Operation wird in Echtzeit durch die Kiteworks Data Policy Engine geprüft, die rollen- und attributbasierte Zugriffskontrollen durchsetzt. Der KI-Agent übernimmt die Berechtigungen des autorisierten Anwenders und kann diese nicht überschreiten. Pfadvalidierung blockiert den Zugriff auf Systemdateien und verbietet absolute Pfade standardmäßig. Ratenbegrenzung verhindert KI-basierte Ressourcenerschöpfung oder Massenextraktion von Daten. Jede Aktion — erfolgreich oder verweigert — wird im konsolidierten Kiteworks Audit-Trail protokolliert und in Echtzeit an das SIEM des Kunden gestreamt.

Das ergänzende Kiteworks AI Data Gateway erweitert dieses Modell auf programmatische KI-Workflows, einschließlich konformer Retrieval-Augmented-Generation-Pipelines. KI-Systeme greifen über eine einzige, gesteuerte Schnittstelle auf Unternehmensdaten zu. Sensitivitätsklassifizierungen werden beachtet. Microsoft Information Protection Labels werden berücksichtigt. Der Audit-Trail erfüllt die Dokumentationsanforderungen von HIPAA, DSGVO, SOC 2 und FedRAMP.

In der Praxis bedeutet das: Ein kompromittierter MCP-Server, der mit Kiteworks verbunden ist, kann nicht pivotieren. Die Vertrauensgrenze ist der Datenzugriffspunkt, nicht der Agent oder das Protokoll. Der Agent kann anfragen; die Datenschicht gibt nur das frei, was die Richtlinie erlaubt, und protokolliert alles.

Was Unternehmen in diesem Quartal tun müssen

Die MCP-Offenlegung ist ein Wendepunkt. Unternehmen, die MCP-Integrationen als experimentelle Nebenprojekte betrieben haben, müssen diese jetzt unter das Governance-Programm stellen — und diejenigen, die MCP noch nicht im großen Stil eingeführt haben, haben ein enges Zeitfenster, um es von Anfang an korrekt zu gestalten.

Erstens: Alle MCP-Verbindungen im Produktivbetrieb inventarisieren. Die meisten Unternehmen wissen nicht, wie viele sie haben. Beginnen Sie mit den Tools, die in den letzten 18 Monaten am wahrscheinlichsten KI-Funktionen erhalten haben: Observability-Plattformen, Ticketsysteme, Code-Repositories, CRMs, Collaboration-Suiten und interne Dokumentenspeicher. Jedes Tool, das nicht vertrauenswürdige Eingaben verarbeitet und auf sensible Daten zugreifen kann, ist relevant.

Zweitens: MCP-Server als kritische Dateninfrastruktur einstufen. Sie sind keine Komfort-Tools. Sie müssen denselben Change-Control-, Threat-Modeling- und Konfigurationsanforderungen unterliegen wie jedes System, das regulierte Daten verarbeitet. Der Kiteworks 2026 Forecast ergab, dass 63% der Unternehmen keine Zweckbindung für KI-Agents durchsetzen können und 60% keinen fehlverhaltenden Agent beenden können. Die Lösung beginnt damit, MCP als die Zugriffsschicht zu behandeln, die es tatsächlich ist.

Drittens: Least-Privilege auf Tool-Ebene, nicht auf Agent-Ebene durchsetzen. Jedes MCP-Tool sollte sich mit einem eigenen, dedizierten Service-Account authentifizieren. Agents sollten nur die Berechtigungen des autorisierten Anwenders für die jeweilige Sitzung übernehmen. Breit angelegter Zugriff — Standard in vielen MCP-Deployments — ist der größte Risikofaktor für Pivot-Angriffe, wie die Offenlegung zeigt.

Viertens: Governance vom Modell-Layer auf die Datenebene verlagern. Modellbasierte Guardrails und Systemprompts lassen sich umgehen. Durchsetzung auf Datenebene nicht, weil sie dem Agent nicht vertraut. Jede KI-Datenanfrage sollte ein gesteuertes Datengateway durchlaufen, das unabhängig vom Modell oder MCP-Server authentifiziert, autorisiert und protokolliert.

Fünftens: Audit-Trails in Beweisqualität fordern. Der Kiteworks Forecast ergab, dass 33% der Unternehmen keine Audit-Trails für KI-Operationen haben und 61% fragmentierte Logs, die bei Untersuchungen nicht sinnvoll nutzbar sind. Wenn der nächste MCP-Pivot passiert — und das wird er — entscheidet die Fähigkeit, exakt zu rekonstruieren, was der Agent getan hat und warum, über einen begrenzten Vorfall oder eine meldepflichtige Datenpanne. Manipulationssichere Logs, die in Echtzeit an das SIEM gestreamt werden, sind Mindeststandard.

Sechstens: KI-Governance auf die Agenda des Vorstands setzen. Der Kiteworks Forecast zeigt, dass 54% der Vorstände sich nicht mit KI-Governance beschäftigen. Diese Unternehmen liegen bei allen KI-Kontrollmetriken 26 bis 28 Punkte zurück. Die MCP-Offenlegung ist ein Ereignis, das die Diskussion von abstrakt auf konkret verschiebt. Nutzen Sie das.

Die Zeit, MCP als experimentellen Komfort zu behandeln, ist vorbei. Es ist jetzt produktive Infrastruktur und hat sich als das verwundbarste Pivot-Element der Unternehmens-KI-Lieferkette erwiesen. Unternehmen, die in den nächsten 60 Tagen die Governance auf die Datenebene verlagern, werden KI weiter sicher betreiben können. Wer weiter auf den nächsten Patch hofft, wird das nicht schaffen.

Häufig gestellte Fragen

1. Unser Team setzt MCP-Server ein, um KI-Assistenten mit internen Systemen zu verbinden — wie sollten wir das Sicherheitsmodell nach dieser Offenlegung bewerten?

Behandeln Sie jeden MCP-Server als kritische Dateninfrastruktur, nicht als Komfortintegration. Authentifizieren Sie jedes Tool mit einem dedizierten Service-Account, setzen Sie Least-Privilege pro Tool durch, validieren Sie alle Eingaben und protokollieren Sie jeden Tool-Aufruf in Echtzeit an das SIEM. Am wichtigsten: Verlassen Sie sich nicht auf den Agent oder das Protokoll zur Durchsetzung von Richtlinien — erzwingen Sie diese auf der Datenschicht, wo ein kompromittierter MCP-Server sie nicht umgehen kann. Siehe Kiteworks Secure MCP Server als Referenzarchitektur.

2. Wir betreiben eine RAG-Pipeline mit Unternehmensdaten — betrifft der MCP-Fehler auch programmatische KI-Workflows, nicht nur interaktive Assistenten?

Ja. Der WEF Global Cybersecurity Outlook 2026 dokumentiert, dass agentische KI nun im gesamten Angriffszyklus in realen Kampagnen eingesetzt wurde. Gesteuerte RAG erfordert dieselbe Durchsetzung auf Datenebene wie interaktives MCP: Jede KI-Datenanfrage wird authentifiziert, gegen Richtlinien autorisiert und protokolliert, bevor Daten zurückgegeben werden.

3. Können unsere bestehenden DLP-, WAF- oder EDR-Tools Datenexfiltration über einen kompromittierten MCP-Server erkennen?

In der Regel nein. Klassische Perimeter- und Endpoint-Tools sind darauf ausgelegt, von Menschen initiierte Datenbewegungen zu prüfen; sie sind architektonisch blind für maschinellen KI-Workflow-Traffic. Ein kompromittierter MCP-Server, der Daten exfiltriert, sieht aus wie legitime, genehmigte KI-Aktivität. Der Kiteworks 2026 Forecast ergab, dass 60% der Unternehmen keine KI-spezifische Anomalieerkennung besitzen. Governance muss auf die Datenebene verlagert werden.

4. Wir sind im Gesundheitswesen und unterliegen HIPAA — wie sieht das regulatorische Risiko aus, wenn ein KI-Agent PHI über einen kompromittierten MCP-Connector exfiltriert?

Das Risiko ist erheblich. HIPAA-Compliance verlangt manipulationssichere Audit-Logs und dokumentierte Zugriffskontrollen, unabhängig davon, ob der Zugriff menschlich oder agentisch erfolgte. Der Kiteworks 2026 Forecast ergab, dass 77% der Gesundheitsorganisationen kein zentrales KI-Datengateway und 14% keinerlei dedizierte KI-Kontrollen haben. Ohne eine gesteuerte Datenschicht, die jede KI-Anfrage protokolliert, können Unternehmen die von HIPAA geforderte Zugriffsdokumentation nicht nachweisen — aus einem Vorfall wird eine meldepflichtige Datenpanne.

5. Unser Vorstand fragt, was die MCP-Offenlegung für unsere KI-Strategie bedeutet — wie können wir ihn informieren, ohne überzureagieren oder zu verharmlosen?

Stellen Sie es als Architekturentscheidung dar, nicht als Vorfall. Die IT Pro-Berichterstattung belegt, dass der Fehler systemisch ist und das gesamte MCP-Ökosystem betrifft, nicht nur einen Anbieter. Die zentrale Frage auf Vorstandsebene ist, ob die KI-Implementierung des Unternehmens eine Governance auf Datenebene besitzt oder ob sie auf das Modell und das Protokoll vertraut. Der Kiteworks Forecast ergab, dass 54% der Vorstände nicht in KI-Governance eingebunden sind; diese Unternehmen liegen bei allen KI-Kontrollmetriken 26–28 Punkte zurück.

Jetzt loslegen.

Es ist einfach, mit Kiteworks die gesetzliche Vorgaben einzuhalten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sicher sind, wie sie vertrauliche Daten zwischen Personen, Maschinen und Systemen austauschen. Beginnen Sie noch heute.

DEMO ANSCHAUEN

Table of Contents

Table of Content
Teilen
Twittern
Teilen
Explore Kiteworks