Das MCP-Ökosystem wuchs schnell — die Sicherheit nicht
Das Model Context Protocol startete Ende 2024. In unter 18 Monaten wurde es zum Standard für die Verbindung von KI-Tools mit externen Systemen. Bis März 2026 umfasst das Ökosystem Datenbank-Konnektoren, Dateiserver, GitHub-Bridges, Slack-Clients, E-Mail-Tools und Hunderte domänenspezifischer Endpoints.
Die Wachstumskurve ist steil. Das Sicherheitsbild nicht.
Stand März 2026 befinden sich mehr als 8.000 MCP-Server im öffentlichen Internet. Forscher fanden 492 ohne jede Authentifizierung — kein API-Schlüssel, kein OAuth, kein IP-Filter. Jeder HTTP-Client kann sie aufrufen. 36,7 % der getesteten Endpoints sind anfällig für SSRF (Server-Side Request Forgery). Das bedeutet: Ein Angreifer, der die Tool-Eingabe kontrolliert, kann interne Netzwerkressourcen erreichen.
Im selben Zeitraum wurden 30+ CVEs in 60 Tagen gemeldet. Diese Rate zeigt, wie jung das Ökosystem ist und wie intensiv Forscher es untersuchen.
Warum das Protokoll PII-Risiken schafft
MCP gibt KI-Assistenten die Fähigkeit, auf Daten zu handeln. Genau das macht es auch zu einem PII-Risiko.
Wenn ein Entwickler Cursor oder Claude Desktop mit einem Datenbankkonnektor nutzt, schreibt die KI SQL aus einfachem Text. Diese Abfragen geben echte Zeilen zurück — Namen, E-Mails, Zahlungsdaten oder andere personenbezogene Daten. Diese Daten bewegen sich durch eine Kette:
- Datenbank-Endpoint → Kontextfenster des KI-Assistenten
- Kontextfenster → Log-Systeme des Modellanbieters
- Gesprächsverlauf → lokale Maschine des Entwicklers
- Debug-Sitzungen → andere KI-Tools, wenn der Entwickler Kontext einfügt
Keiner dieser Schritte ist ein Angriff. So funktioniert das System. Aber PII landet an mehreren Stellen, die nicht dafür gebaut wurden, oft ohne Verschlüsselung zwischen Endpoint und KI-Client.
CVE-2026-25253 (CVSS 8.8), veröffentlicht im Februar 2026, zeigte einen konkreten Angriffsweg. Ein bösartiger Endpoint konnte versteckte Anweisungen in seine Antworten einschleusen. Diese Anweisungen veranlassten die verbundene KI, Daten von anderen aktiven Tools abzurufen. Ein Entwickler, der einen kompromittierten Community-Endpoint neben seinem eigenen Datenbankkonnektor nutzte, konnte die gesamte Datenbank leaken.
Die 492 Server ohne Authentifizierung
Die 492 offenen Endpoints sind ein anderes Problem als CVE-2026-25253. Sie wurden nicht gehackt. Sie wurden falsch konfiguriert.
Die meisten waren für den lokalen Betrieb gedacht. Jemand hat sie per Port-Forwarding oder Cloud-Deployment ohne Zugriffskontrollen exponiert.
Was diese Endpoints häufig preisgeben:
- Dateisystem-Tools mit Lesezugriff auf Home-Verzeichnisse
- Datenbank-Konnektoren mit Live-Credentials in der Konfiguration
- E-Mail-Tools, die mit echten Postfächern verbunden sind
- Code-Ausführungs-Tools — beliebiger Code, keine Authentifizierung, keine Grenzen
Die Entwickler wollten sie fast sicher nicht exponieren. Aber Cursor und Claude Desktop verbinden sich mit jeder URL in der Konfiguration. Es gibt keine eingebaute Prüfung, ob ein Host lokal oder öffentlich ist.
Die anonym.legal MCP-Lösung
Die strukturelle Lösung für PII-Risiken in Tool-Pipelines ist es, Daten zu anonymisieren, bevor sie einen LLM-Aufruf erreichen. Genau das bietet der anonym.legal MCP-Server.
Er stellt 7 Tools bereit:
| Tool | Zweck |
|---|---|
analyze_text | PII-Entitäten erkennen und ihre Positionen und Typen zurückgeben |
anonymize_text | Erkannte PII entfernen oder pseudonymisieren |
deanonymize_text | Pseudonymisierung mit Ihrem Verschlüsselungsschlüssel rückgängig machen |
anonymize_batch | Mehrere Texte in einem Aufruf verarbeiten |
get_supported_entities | Alle 285+ Entitätstypen für eine Sprache auflisten |
get_supported_languages | Alle 48 unterstützten Sprachen auflisten |
health_check | Konnektivität prüfen |
Wenn ein KI-Assistent sowohl den anonym.legal-Server als auch einen Datenbankkonnektor konfiguriert hat, kann der Entwickler anweisen: „Ruf vor der Anzeige von Kundendaten anonymize_text auf dem Ergebnis auf." Die KI übernimmt die Orchestrierung. PII erreicht niemals die sichtbare Ausgabe oder den Gesprächsverlauf in identifizierbarer Form.
Cursor IDE einrichten
So fügen Sie den anonym.legal-Server in Cursor hinzu:
// .cursor/mcp.json
{
"mcpServers": {
"anonym-legal": {
"url": "https://anonym.legal/mcp",
"transport": "sse",
"headers": {
"Authorization": "Bearer YOUR_API_KEY"
}
}
}
}
Nach der Konfiguration fragen Sie Cursor: „Analysiere dieses Support-Ticket auf PII, bevor ich es in den Tracker einfüge." Cursor ruft analyze_text auf, gibt die Entitätsliste zurück, und Sie entscheiden, ob Sie vor dem Einfügen anonymisieren.
Claude Desktop einrichten
// claude_desktop_config.json
{
"mcpServers": {
"anonym-legal": {
"command": "npx",
"args": ["-y", "@anonym-legal/mcp-server"],
"env": {
"ANONYM_API_KEY": "YOUR_API_KEY"
}
}
}
}
Mit dieser Konfiguration kann Claude Desktop jeden Text anonymisieren, bevor er in Tool-Aufrufe an andere Endpoints eingebettet wird. PII erreicht Anthropics Server nie in identifizierbarer Form.
Setup absichern
Zusätzlich zu anonym.legal empfehlen wir diese Schritte. Siehe auch unsere Sicherheitsübersicht und unser Compliance-Center.
Tool-Liste prüfen. Überprüfen Sie jeden Eintrag in Ihrer Konfiguration. Vertrauen Sie dem Betreiber? Wissen Sie, auf welche Daten er zugreifen kann?
Lokale gegenüber Remote bevorzugen. Lokale Endpoints laufen über stdio und erzeugen keine Netzwerkexposition. Nutzen Sie Remote-Endpoints nur, wenn keine lokale Option besteht.
Authentifizierung prüfen. Jeder Remote-Endpoint sollte einen API-Schlüssel oder OAuth-Token erfordern. Wenn nicht, nutzen Sie ihn nicht mit echten Nutzerdaten.
Entwicklung von Produktion trennen. Getrennte Konfigurationen für Entwicklungsarbeit (Testdaten, keine PII) und jeden Ablauf, der echte Nutzer berührt.
Audit-Logging aktivieren. Wenn es Logs unterstützt, schalten Sie sie ein. Wissen Sie, welche Daten durch welchen Aufruf flossen.
Unsere MCP-Features-Seite enthält eine vollständige Liste der Entitätstypen und Sprachen.
Die 30+ CVEs in 60 Tagen zeigen, dass das Protokoll aktiv untersucht wird. Neue Schwachstellen werden auftauchen. Aber die Kernverteidigung — Anonymisierung vor jedem LLM-Aufruf — wirkt gegen jeden spezifischen CVE, der als nächstes kommt.
anonym.legal-Server in Cursor konfigurieren →
anonym.legal verarbeitet PII-Anonymisierung serverseitig mit Ihrem Verschlüsselungsschlüssel. Pseudonymisierte Daten können nur mit diesem Schlüssel wiederhergestellt werden. Veröffentlicht von anonym.legal, ISO 27001 zertifiziert.
Quellen
- Shodan MCP-Server-Expositionsdaten, März 2026 — 8.000+ Server, 492 ohne Authentifizierung
- CVE-2026-25253, CVSS 8.8, Cross-Server-Injektion über das Model Context Protocol
- SSRF-Daten: Sicherheitsforschungs-Scan öffentlich zugänglicher Endpoints, März 2026
- Anthropic MCP-Spezifikation v1.2, Abschnitt Sicherheitsüberlegungen