Zum Inhalt springen
QubeLogix

MCP-Server entwickeln lassen: Leitfaden für Unternehmen

Ein MCP-Server macht interne Systeme – Datenbanken, ERP, CRM, Fachanwendungen – für KI-Assistenten wie Claude, ChatGPT oder Copilot kontrolliert nutzbar. Das Model Context Protocol ist ein offener Standard unter dem Dach der Linux Foundation, den alle großen KI-Anbieter unterstützen. Die Entwicklung kostet bei QubeLogix ab 2.500 € für eine einzelne Systemanbindung, komplexere Server mit Rechtemodell 6.000–15.000 €. Typische Dauer: zwei bis vier Wochen.

Von Rudolf Schwartz — Inhaber & Entwickler von QubeLogix · Zuletzt aktualisiert 15. Juli 2026

Was ist das Model Context Protocol?

Das Model Context Protocol (MCP) ist ein offener Standard, über den KI-Assistenten auf externe Systeme zugreifen: Daten lesen, Aktionen ausführen, Kontext abrufen. Anthropic hat MCP im November 2024 veröffentlicht und das Protokoll im Dezember 2025 an die Agentic AI Foundation übergeben, einen Fonds unter der Linux Foundation – mitgegründet von Anthropic, OpenAI und Block, unterstützt unter anderem von Google, Microsoft und AWS. MCP ist damit kein Anbieter-Feature mehr, sondern herstellerneutrale Infrastruktur.

Praktisch heißt das: Ein einziger MCP-Server macht Ihr System für Claude, ChatGPT, Microsoft Copilot und Gemini-basierte Agenten gleichermaßen erreichbar – statt für jeden Assistenten eine eigene Integration zu bauen. Die Verbreitung ist messbar: In der Stacklok-Umfrage „State of MCP in Software 2026“ geben 41 % der befragten Software-Organisationen an, MCP-Server produktiv zu betreiben. Das offizielle MCP-Verzeichnis listete im Mai 2026 rund 9.600 Server.

Warum ein eigener MCP-Server?

Für verbreitete SaaS-Produkte wie GitHub, HubSpot oder Cloudflare existieren fertige MCP-Server – die müssen Sie nicht neu entwickeln. Ein eigener Server lohnt sich dort, wo es keinen fertigen gibt: für Ihre internen APIs, Ihre Datenbanken, Ihr ERP, Ihre gewachsene Fachanwendung. Genau diese Systeme enthalten meist das Wissen, das KI-Assistenten für nützliche Antworten brauchen – Aufträge, Lagerbestände, Kundenhistorie, Preislisten.

Der zweite Grund ist Kontrolle. Ein selbst entwickelter MCP-Server legt fest, welche Daten ein KI-Assistent überhaupt sehen darf, welche Aktionen er auslösen kann und was protokolliert wird. Der Assistent bekommt keine Datenbank-Zugangsdaten, sondern nur die Werkzeuge, die Sie definieren – etwa „Auftragsstatus abfragen“, aber nicht „Auftrag löschen“. Das ist der entscheidende Unterschied zu dem, was Mitarbeitende heute oft tun: Daten per Copy-and-paste in ein Chatfenster übertragen, unkontrolliert und unprotokolliert.

Lokal oder remote: die wichtigste Architekturfrage

MCP kennt zwei Betriebsarten. Ein lokaler Server (stdio-Transport) läuft auf dem Rechner des Nutzers, etwa neben Claude Desktop, und authentifiziert sich über hinterlegte Zugangsdaten. Das ist schnell gebaut und für Einzelnutzer oder einen Pilotversuch oft völlig ausreichend.

Sobald mehrere Mitarbeitende oder Cloud-Dienste zugreifen sollen, brauchen Sie einen Remote-Server über Streamable HTTP – seit der Spezifikation vom März 2025 der Standard-Transport. Dann gehört OAuth 2.1 dazu: Die Spezifikation vom Juni 2025 schreibt PKCE für alle Clients vor und bindet Zugriffstoken an genau einen Server. Für das Hosting reicht anfangs oft die kostenlose Stufe von Cloudflare Workers (100.000 Anfragen pro Tag); alternativ läuft der Server auf Ihrer eigenen Infrastruktur. Welche Variante Sie brauchen, entscheidet sich an einer Frage: Wer greift zu – eine Person lokal oder Ihre Organisation?

Kosten: realistische Zahlen statt Bauchgefühl

QubeLogix entwickelt MCP-Server zu den veröffentlichten Preisen für API-Integrationen: Eine einzelne Systemanbindung – ein MCP-Server vor einer API oder Datenbank, mit definierten Werkzeugen und Eingabevalidierung – beginnt bei 2.500 € netto. Server mit mehreren Quellsystemen, Rechtemodell und Audit-Logging liegen bei 6.000–15.000 €. Kommt eigene KI-Logik dazu (etwa serverseitige Auswertung oder ein Agent-Workflow), gelten die Sätze für KI-Software: Machbarkeitsnachweis ab 3.900 €, typische Projekte 12.000–25.000 €. Der Tagessatz für Entwicklung liegt bei 900 €.

Zur Einordnung: Internationale Agenturen rufen für einen Single-Source-MCP-Server etwa 8.000–25.000 US-Dollar auf, für Enterprise-Server mit Rollenmodell und Observability 25.000–80.000 US-Dollar. Deutsche Marktpreise sind bislang kaum publiziert – die US-Zahlen dienen als Benchmark, nicht als Angebot. Zeitlich ist ein einfacher Server in zwei bis vier Wochen produktiv.

Sicherheit: die nicht verhandelbaren Punkte

MCP-Server sind ein attraktives Angriffsziel, weil sie KI-Systeme mit echten Daten und echten Aktionen verbinden. Die zwei wichtigsten Bedrohungsklassen: Prompt Injection (versteckte Anweisungen in Dokumenten oder API-Antworten, die der Assistent als Befehl interpretiert) und Tool Poisoning (manipulierte Werkzeugbeschreibungen, die den Assistenten zu ungewollten Aktionen verleiten).

Daraus folgt eine klare Mindestausstattung: OAuth 2.1 mit PKCE und Prüfung der Token-Audience bei Remote-Servern; strikte Validierung jeder Werkzeug-Eingabe; kein Durchreichen des Client-Tokens an nachgelagerte APIs – das verbietet die Spezifikation ausdrücklich; Blockieren von Zugriffen auf interne IP-Bereiche und Cloud-Metadaten-Endpunkte; Least Privilege bei jedem Werkzeug; menschliche Bestätigung vor unumkehrbaren Aktionen; lückenloses Audit-Log. Wer als „wichtige“ oder „besonders wichtige“ Einrichtung unter das seit Dezember 2025 geltende NIS2-Umsetzungsgesetz fällt, muss einen MCP-Server ohnehin ins Risikomanagement einbeziehen – eine MCP-spezifische Regulierung existiert nicht, die allgemeinen Pflichten gelten aber uneingeschränkt.

Betrieb und Wartung: der unterschätzte Posten

MCP ist ein junger Standard, der sich schnell weiterentwickelt: drei Spezifikations-Revisionen in rund 20 Monaten, zuletzt im November 2025 mit asynchronen Tasks für langlaufende Aufträge; ein Release-Kandidat für die nächste Version ist bereits angekündigt. Ein MCP-Server ohne Wartung veraltet also schneller als eine klassische REST-API.

Als internationale Faustregel gelten 20–30 % der Entwicklungskosten pro Jahr für Pflege und Anpassung. QubeLogix bietet Betrieb und Weiterentwicklung als laufende Betreuung ab 450 € pro Monat an – inklusive Anpassung an neue Spezifikationsversionen und Monitoring. Planen Sie diesen Posten von Anfang an ein, nicht erst beim ersten Breaking Change.

Wann Sie das nicht brauchen

Ein eigener MCP-Server ist die falsche Investition, wenn eine dieser Bedingungen zutrifft: Für Ihr Zielsystem existiert bereits ein offizieller, gepflegter MCP-Server – prüfen Sie zuerst das offizielle Verzeichnis. Ihre Mitarbeitenden nutzen KI-Assistenten bislang gar nicht oder nur sporadisch – dann fehlt der Anwendungsfall, der die Investition trägt. Oder Sie wollen nur Dateien und Dokumente durchsuchbar machen – dafür reichen oft die eingebauten Konnektoren der KI-Anbieter.

Auch reines Abwarten kann rational sein: Wer keine internen Systeme mit relevanten Daten hat und keinen konkreten Prozess, der durch KI-Zugriff schneller würde, verliert durch Warten nichts – der Standard wird durch die Linux-Foundation-Governance eher stabiler als instabiler. Umgekehrt gilt: Wenn Mitarbeitende heute schon Unternehmensdaten manuell in Chatfenster kopieren, ist der unkontrollierte Zustand bereits da. Dann ist ein MCP-Server keine Innovation, sondern nachgeholte Ordnung.

Häufige Fragen

Häufige Fragen
Was kostet es, einen MCP-Server entwickeln zu lassen?

Bei QubeLogix beginnt ein MCP-Server für eine einzelne API oder Datenbank bei 2.500 € netto; Server mit mehreren Quellsystemen, Rechtemodell und Audit-Logging kosten 6.000–15.000 €. Internationale Agenturen berechnen für vergleichbare Projekte 8.000–25.000 US-Dollar (Single Source) bis 25.000–80.000 US-Dollar (Enterprise). Für laufende Wartung sind 20–30 % der Entwicklungskosten pro Jahr eine realistische Faustregel.

Welche KI-Assistenten können einen MCP-Server nutzen?

Das Model Context Protocol ist herstellerneutral: Claude, ChatGPT, Microsoft Copilot und Gemini-basierte Agenten unterstützen es ebenso wie Plattformen von IBM und Amazon. Seit Anthropic das Protokoll im Dezember 2025 an die Agentic AI Foundation unter der Linux Foundation übergeben hat, liegt die Weiterentwicklung nicht mehr bei einem einzelnen Anbieter. Ein einziger MCP-Server bedient damit alle gängigen Assistenten.

Wie lange dauert die Entwicklung eines MCP-Servers?

Ein MCP-Server für ein einzelnes System – etwa eine interne API oder eine PostgreSQL-Datenbank – ist typischerweise in zwei bis vier Wochen produktiv. Server mit mehreren Quellsystemen, OAuth-2.1-Authentifizierung und Rechtemodell brauchen vier bis acht Wochen. Die Dauer hängt vor allem davon ab, wie gut die anzubindenden Systeme dokumentiert sind und ob ein Test-Zugang existiert.

Ist MCP zukunftssicher oder nur ein Anthropic-Standard?

MCP wurde im November 2024 von Anthropic veröffentlicht, gehört aber seit Dezember 2025 der Agentic AI Foundation unter der Linux Foundation – mitgegründet von Anthropic, OpenAI und Block, unterstützt von Google, Microsoft und AWS. In einer Stacklok-Umfrage von 2026 betreiben 41 % der befragten Software-Organisationen MCP-Server produktiv. Das Protokoll entwickelt sich weiter (drei Revisionen in 20 Monaten), Wartung sollte daher eingeplant werden – ein Verschwinden des Standards ist angesichts der Trägerschaft unwahrscheinlich.

Brauchen wir für einen internen MCP-Server OAuth?

Nicht zwingend. Läuft der MCP-Server lokal auf dem Rechner des Nutzers (stdio-Transport), sieht die Spezifikation Zugangsdaten aus der Umgebung vor – OAuth ist dort nicht nötig. Sobald der Server aber remote über HTTP erreichbar ist und mehrere Personen zugreifen, ist OAuth 2.1 mit PKCE der spezifizierte Weg: Token werden an genau einen Server gebunden und dürfen nicht an nachgelagerte APIs durchgereicht werden.

Fällt ein MCP-Server unter NIS2?

Eine MCP-spezifische Regulierung gibt es nicht. Das deutsche NIS2-Umsetzungsgesetz gilt aber seit dem 6. Dezember 2025 ohne Übergangsfrist und stellt rund 29.500 Unternehmen unter BSI-Aufsicht. Wer als wichtige oder besonders wichtige Einrichtung erfasst ist, muss einen MCP-Server wie jedes andere IT-System in das Risikomanagement einbeziehen: Zugriffskontrolle, Protokollierung, Härtung. Die Registrierungsfrist über das BSI-Portal ist am 6. März 2026 abgelaufen.

Welche Aufgabe soll bei Ihnen zuerst verschwinden?

Kontakt

Schildern Sie uns Ihr Vorhaben, vom ersten KI-Assistenten bis zur Übernahme eines bestehenden Systems. Sie bekommen innerhalb von zwei Werktagen eine ehrliche Einschätzung.