Anzeige
MCP-Standard 2026: Neue Spezifikation macht KI-Agenten enterprise-tauglich
Am 28. Juli 2026 erscheint die bislang umfangreichste Überarbeitung des Model Context Protocol (MCP) seit dessen Einführung im November 2024. Der Release Candidate liegt bereits seit dem 21. Mai 2026 vor: ein zustandsloser Protokollkern, ein neues Extensions-Framework, serverseitig gerenderte Oberflächen über MCP Apps und eine deutlich robustere Autorisierung. Für Entwickler und IT-Verantwortliche markiert das den Punkt, an dem MCP von der Entwickler-Spielwiese zur produktionsreifen Infrastruktur für KI-Agenten wird.
Kontext Warum MCP gerade jetzt den nächsten Schritt macht
Was 2024 als offener Standard von Anthropic startete, um KI-Modelle strukturiert an externe Werkzeuge, Datenquellen und Dienste anzubinden, hat sich innerhalb von eineinhalb Jahren zu einer der am schnellsten adaptierten Integrationsschichten der Softwarebranche entwickelt. Aktuelle Marktbeobachtungen gehen von mehreren zehntausend öffentlich registrierten MCP-Servern aus, ein spürbarer Teil davon inzwischen im produktiven Unternehmenseinsatz statt nur in Prototypen. Genau dieser Sprung von der Pilotphase in den produktiven Betrieb bringt neue Anforderungen mit sich, die die ursprüngliche Spezifikation so nicht vorgesehen hatte: verlässliches Routing über Lastverteiler, feingranulare Berechtigungen und ein Autorisierungsmodell, das sich in bestehende Identity-Provider-Landschaften einfügt, statt bei jedem Nutzer und jedem Server einzeln nachzufragen.
Update Die zentralen Neuerungen der Spezifikation
Die Version vom 28. Juli 2026 ist keine kosmetische Revision, sondern verändert mehrere Grundannahmen des Protokolls:
Mcp-Method-Header statt per Deep-Packet-Inspection.ttlMs und cacheScope nach dem Vorbild von HTTP Cache-Control – Clients wissen exakt, wie lange eine Antwort gültig und ob sie nutzerübergreifend cachefähig ist.Enterprise-Autorisierung als größter praktischer Fortschritt
Aus Entwicklersicht dürfte die neue Enterprise-Managed-Authorization-Erweiterung (EMA) den größten unmittelbaren Effekt haben. Bislang war eines der meistgenannten Praxisprobleme, dass jede Nutzerin und jeder Nutzer pro angebundenem MCP-Server eigene OAuth-Freigaben erteilen musste – eine Reibung, die Sicherheitsteams die Durchsetzung einheitlicher Richtlinien erschwerte und die Grenze zwischen privaten und dienstlichen Konten verwischte. EMA verlagert diese Entscheidung auf die Ebene des Identity-Providers: Administratorinnen und Administratoren legen einmal fest, welche Clients auf welche Server zugreifen dürfen, und einzelne Nutzer melden sich nur noch einmal an. Wichtig dabei: EMA ersetzt keine feingranulare Freigabe für einzelne, besonders sensible Aktionen zur Laufzeit – sie regelt die Verbindungsebene, nicht jede einzelne Werkzeuganfrage.
Praxisrelevanz: Wer heute schon eigene MCP-Server betreibt oder plant, produktive Integrationen aufzubauen, sollte die Zehn-Wochen-Validierungsphase bis zur finalen Veröffentlichung nutzen, um die eigene Implementierung gegen den Release Candidate zu testen – insbesondere die neuen Pflicht-Header Mcp-Method und Mcp-Name für die Streamable-HTTP-Transportschicht.
Praxis MCP als Brücke zwischen KI-Agenten und Abrechnungssystemen
Besonders greifbar wird der Nutzen von MCP dort, wo KI-Agenten auf reale Geschäftsdaten zugreifen sollen – etwa auf Kunden, Verträge oder Rechnungspositionen in einem Abrechnungssystem. Statt für jede Anwendung eine eigene, proprietäre API-Anbindung zu programmieren, spricht der Agent über MCP ein einheitliches Protokoll, das Werkzeuge, Ressourcen und Kontext strukturiert bereitstellt.
z. B. Claude Code
Kunden · Verträge · Artikel
Ein konkretes Beispiel aus der Praxis liefert die Abrechnungsplattform Fakturia: Über den offen verfügbaren MCP-Server (github.com/edjufy/fakturia-mcp) können KI-Agenten wie Claude Code direkt auf Kunden-, Vertrags- und Artikeldaten zugreifen. Das ist gerade beim sogenannten Vibe Coding relevant – wenn Entwickler eine Integration im Dialog mit einem Agenten aufbauen, statt jede Schnittstelle manuell zu verdrahten. Der Agent kann so beispielsweise testweise einen neuen Tarif anlegen, einen Vertrag abfragen oder eine Rechnungsposition prüfen, ohne dass dafür zusätzlicher Integrationscode geschrieben werden muss.
Ausblick Wohin sich MCP als Standard bewegt
Über die Spezifikation vom Juli 2026 hinaus zeichnen sich bereits die nächsten Schritte ab. Für das dritte Quartal 2026 ist die Gründung einer unabhängigen MCP Foundation als neutrale Governance-Struktur angekündigt, unter dem Dach der Linux Foundation als Agentic AI Foundation bereits mit breiter Beteiligung von Technologieunternehmen und Open-Source-Communities. Parallel läuft ein Antrag auf ISO-Standardisierung, der die Akzeptanz in regulierten Branchen wie Finanzwesen oder Gesundheitswesen weiter erhöhen dürfte, auch wenn ein solcher Prozess erfahrungsgemäß mehrere Jahre in Anspruch nimmt. Für Entwicklerteams heißt das: MCP ist kein kurzlebiger Trend, sondern festigt sich gerade als langfristige Infrastrukturschicht zwischen KI-Agenten und den Systemen, mit denen sie arbeiten sollen.
Sicherheitsaspekte nicht aus dem Blick verlieren
Mit wachsender Verbreitung rückt auch die Angriffsfläche von MCP-Servern stärker in den Fokus. Themen wie Tool-Poisoning, bei dem ein manipulierter Server dem Agenten irreführende Werkzeugbeschreibungen unterschiebt, oder Prompt-Injection über eingebettete Ressourcen sind keine rein theoretischen Risiken mehr, sondern Teil gängiger Sicherheitschecklisten für den produktiven Einsatz. Wer MCP-Server selbst betreibt, sollte deshalb neben der neuen Autorisierungsschicht auch auf Aktivitätsprotokolle, eine klare Trennung von Lese- und Schreibrechten sowie eine kuratierte Server-Registry setzen, statt beliebige Community-Server ungeprüft einzubinden.
Häufige Fragen zur neuen MCP-Spezifikation
Was ändert sich technisch am wichtigsten mit der Spezifikation vom 28. Juli 2026?
Der Protokollkern wird zustandslos: MCP-Server benötigen keine Sticky Sessions mehr und lassen sich hinter gewöhnlichen Load-Balancern betreiben. Hinzu kommen ein Extensions-Framework mit Tasks und MCP Apps sowie eine an OAuth/OpenID Connect angelehnte Autorisierung.
Was ist Enterprise-Managed Authorization (EMA)?
EMA ist eine Erweiterung, die MCP-Zugriffe zentral über den Identity-Provider eines Unternehmens steuert. Statt wiederholter Einzelfreigaben pro Nutzer und Server melden sich Anwenderinnen und Anwender einmal an; die Rechtevergabe erfolgt zentral durch die IT-Administration.
Müssen bestehende MCP-Server sofort angepasst werden?
Die Zehn-Wochen-Phase zwischen Release Candidate und finaler Spezifikation dient genau dazu, bestehende Implementierungen gegen die neuen Anforderungen zu testen. Wer heute schon Server betreibt, sollte insbesondere die neuen Pflicht-Header für die Streamable-HTTP-Transportschicht prüfen.
Wie profitieren Abrechnungs- und Billing-Systeme konkret von MCP?
Ein MCP-Server übersetzt zwischen KI-Agent und bestehender REST-API, sodass Agenten direkt auf Kunden-, Vertrags- oder Artikeldaten zugreifen können, ohne dass für jede Anwendung eine eigene proprietäre Integration entwickelt werden muss. Fakturia stellt dafür einen offenen MCP-Server bereit.