Aktueller Standard: Dieses Dokument spiegelt die Sicherheitsanforderungen der MCP-Spezifikation 2025-11-25 sowie die offiziellen MCP Security Best Practices wider.
Das Model Context Protocol (MCP) hat sich mit erweiterten Sicherheitskontrollen, die sowohl traditionelle Software-Sicherheit als auch KI-spezifische Bedrohungen adressieren, deutlich weiterentwickelt. Dieses Dokument bietet umfassende Sicherheitskontrollen für sichere MCP-Implementierungen, die mit dem OWASP MCP Top 10-Rahmenwerk übereinstimmen.
Für praktische Erfahrungen bei der Sicherheitsimplementierung empfehlen wir den MCP Security Summit Workshop (Sherpa) – eine umfassende geführte Expedition zur Absicherung von MCP-Servern in Azure mit der Methodik „angreifbar → ausnutzen → beheben → validieren“.
Alle Sicherheitskontrollen in diesem Dokument stimmen mit dem OWASP MCP Azure Security Guide überein, der Referenzarchitekturen und Azure-spezifische Umsetzungsleitlinien für die OWASP MCP Top 10-Risiken bietet.
VERBOTEN: MCP-Server DÜRFEN KEINE Tokens akzeptieren, die nicht explizit für den MCP-Server ausgestellt wurden
VERBOTEN: MCP-Server DÜRFEN KEINE Sitzungen für die Authentifizierung verwenden
ERFORDERLICH: MCP-Server, die Autorisierung implementieren, MÜSSEN ALLE eingehenden Anfragen überprüfen
VERPFLICHTEND: MCP-Proxy-Server, die statische Client-IDs verwenden, MÜSSEN für jeden dynamisch registrierten Client die Zustimmung des Benutzers einholen
Aktueller MCP-Standard (2025-11-25) erlaubt MCP-Servern, die Authentifizierung an externe Identitätsanbieter zu delegieren, was eine bedeutende Sicherheitsverbesserung darstellt:
Adressiertes OWASP MCP-Risiko: MCP07 - Unzureichende Authentifizierung & Autorisierung
Sicherheitsvorteile:
- Eliminierung von Risiken benutzerdefinierter Authentifizierung: Verringerung der Angriffsfläche durch Vermeidung individueller Authentifizierungsimplementierungen
- Enterprise-Grade-Sicherheit: Nutzung etablierter Identitätsanbieter wie Microsoft Entra ID mit fortgeschrittenen Sicherheitsfunktionen
- Zentralisiertes Identitätsmanagement: Vereinfachtes Management des Benutzerlebenszyklus, Zugriffskontrolle und Compliance-Audits
- Multi-Faktor-Authentifizierung: Übernahme von MFA-Funktionalitäten der Unternehmens-Identitätsanbieter
- Bedingte Zugriffspolitiken: Vorteile durch risikobasierte Zugriffskontrollen und adaptive Authentifizierung
Implementierungsanforderungen:
- Token-Zielgruppenvalidierung: Überprüfung, dass alle Tokens explizit für den MCP-Server ausgegeben wurden
- Ausstellerprüfung: Validierung, dass der Token-Aussteller dem erwarteten Identitätsanbieter entspricht
- Signaturprüfung: Kryptographische Validierung der Token-Integrität
- Ablaufdurchsetzung: Strikte Einhaltung der Token-Lebensdauer
- Scope-Validierung: Sicherstellung, dass Tokens die entsprechenden Berechtigungen für angeforderte Operationen enthalten
Kritische Kontrollen:
- Umfassende Autorisierungsprüfungen: Regelmäßige Sicherheitsüberprüfungen aller Autorisierungsentscheidungen
- Ausfallsichere Defaults: Zugriff verweigern, wenn die Autorisierungslogik keine eindeutige Entscheidung treffen kann
- Berechtigungsgrenzen: Klare Trennung zwischen verschiedenen Privilegienstufen und Ressourcenzugriff
- Audit-Logging: Vollständige Protokollierung aller Autorisierungsentscheidungen zur Sicherheitsüberwachung
- Regelmäßige Zugriffsprüfungen: Periodische Validierung von Benutzerberechtigungen und Privilegienzuweisungen
Adressiertes OWASP MCP-Risiko: MCP01 - Fehlerhafte Token-Verwaltung & Geheimnisexposition
Token-Passthrough ist in der MCP-Autorisierungsspezifikation aufgrund kritischer Sicherheitsrisiken ausdrücklich verboten:
Adressierte Sicherheitsrisiken:
- Kontrollumgehung: Umgeht wesentliche Sicherheitskontrollen wie Ratenbegrenzung, Anfragenvalidierung und Verkehrsüberwachung
- Verlust der Verantwortlichkeit: Verhindert Client-Identifikation, was Audit-Trails und Vorfalluntersuchungen beeinträchtigt
- Proxy-basierte Datenexfiltration: Ermöglicht Angreifern, Server als Proxies für unautorisierten Datenzugriff zu nutzen
- Verletzung von Vertrauensgrenzen: Bricht Vertrauen downstream-basierter Dienste bezüglich der Token-Herkunft
- Laterale Bewegungen: Kompromittierte Tokens in mehreren Diensten erlauben eine breitere Ausdehnung von Angriffen
Umsetzungskontrollen:
Token Validation Requirements:
audience_validation: MANDATORY
issuer_verification: MANDATORY
signature_check: MANDATORY
expiration_enforcement: MANDATORY
scope_validation: MANDATORY
Token Lifecycle Management:
rotation_frequency: "Short-lived tokens preferred"
secure_storage: "Azure Key Vault or equivalent"
transmission_security: "TLS 1.3 minimum"
replay_protection: "Implemented via nonce/timestamp"Best Practices:
- Kurzlebige Tokens: Minimierung des Angriffsfensters durch häufigen Token-Wechsel
- Just-in-Time-Ausgabe: Tokens werden nur bei Bedarf für spezifische Operationen ausgegeben
- Sichere Speicherung: Einsatz von Hardware-Sicherheitsmodulen (HSMs) oder sicheren Schlüsseltresoren
- Token-Bindung: Bindung von Tokens an spezifische Clients, Sitzungen oder Operationen, wo möglich
- Überwachung & Alarmierung: Echtzeit-Erkennung von Token-Missbrauch oder unautorisierten Zugriffsmustern
Adressierte Angriffsvektoren:
- Session Hijack Prompt Injection: Einschleusen bösartiger Ereignisse in gemeinsam genutzten Sitzungsstatus
- Session-Impersonation: Unbefugte Nutzung gestohlener Session-IDs zur Umgehung der Authentifizierung
- Wiederaufnehmbare Stream-Angriffe: Ausnutzung von Server-Sent Event-Wiederaufnahme für bösartige Inhaltseinschleusung
Verpflichtende Sitzungs-Kontrollen:
Session ID Generation:
randomness_source: "Cryptographically secure RNG"
entropy_bits: 128 # Minimum recommended
format: "Base64url encoded"
predictability: "MUST be non-deterministic"
Session Binding:
user_binding: "REQUIRED - <user_id>:<session_id>"
additional_identifiers: "Device fingerprint, IP validation"
context_binding: "Request origin, user agent validation"
Session Lifecycle:
expiration: "Configurable timeout policies"
rotation: "After privilege escalation events"
invalidation: "Immediate on security events"
cleanup: "Automated expired session removal"Transportsicherheit:
- HTTPS-Durchsetzung: Sämtliche Sitzungs-Kommunikation über TLS 1.3
- Sichere Cookie-Attribute: HttpOnly, Secure, SameSite=Strict
- Zertifikat-Pinning: Für kritische Verbindungen zur Verhinderung von MITM-Angriffen
Für zustandsbehaftete Implementierungen:
- Gemeinsamer Sitzungsstatus erfordert zusätzlichen Schutz gegen Injection-Angriffe
- Warteschlangenbasierte Sitzungsverwaltung benötigt Integritätsprüfung
- Mehrfache Serverinstanzen erfordern sichere Synchronisation des Sitzungsstatus
Für zustandslose Implementierungen:
- JWT oder ähnliche tokenbasierte Sitzungsverwaltung
- Kryptographische Verifikation der Sitzungsstatusintegrität
- Reduzierte Angriffsfläche, erfordert jedoch robuste Token-Validierung
Adressierte OWASP MCP-Risiken:
- MCP06 - Prompt Injection über kontextuelle Nutzlasten
- MCP03 - Tool Poisoning
- MCP05 - Befehlsinjektion & -ausführung
Microsoft Prompt Shields Integration:
Detection Mechanisms:
- "Advanced ML-based instruction detection"
- "Contextual analysis of external content"
- "Real-time threat pattern recognition"
Protection Techniques:
- "Spotlighting trusted vs untrusted content"
- "Delimiter systems for content boundaries"
- "Data marking for content source identification"
Integration Points:
- "Azure Content Safety service"
- "Real-time content filtering"
- "Threat intelligence updates"Umsetzungskontrollen:
- Eingabesanierung: Umfassende Validierung und Filterung sämtlicher Benutzereingaben
- Definition von Inhaltsgrenzen: Klare Trennung zwischen Systemanweisungen und Benutzerinhalten
- Anweisungshierarchie: Korrekte Vorrangregeln bei widersprüchlichen Anweisungen
- Ausgabeüberwachung: Erkennung potenziell schädlicher oder manipulierten Ausgaben
Tool-Sicherheitsframework:
Tool Definition Protection:
validation:
- "Schema validation against expected formats"
- "Content analysis for malicious instructions"
- "Parameter injection detection"
- "Hidden instruction identification"
integrity_verification:
- "Cryptographic hashing of tool definitions"
- "Digital signatures for tool packages"
- "Version control with change auditing"
- "Tamper detection mechanisms"
monitoring:
- "Real-time change detection"
- "Behavioral analysis of tool usage"
- "Anomaly detection for execution patterns"
- "Automated alerting for suspicious modifications"Dynamisches Tool-Management:
- Freigabeworkflows: Explizite Zustimmung der Nutzer für Tooländerungen
- Rollback-Fähigkeiten: Möglichkeit zur Rückkehr zu vorherigen Tool-Versionen
- Änderungsprotokollierung: Vollständige Historie der Tool-Definition-Änderungen
- Risikobewertung: Automatisierte Bewertung der Sicherheit des Tools
Angriffspräventions-Kontrollen:
Client Registration:
static_client_protection:
- "Explicit user consent for dynamic registration"
- "Consent bypass prevention mechanisms"
- "Cookie-based consent validation"
- "Redirect URI strict validation"
authorization_flow:
- "PKCE implementation (OAuth 2.1)"
- "State parameter validation"
- "Authorization code binding"
- "Nonce verification for ID tokens"Implementierungsanforderungen:
- Überprüfung der Nutzereinwilligung: Zustimmung bei dynamischer Client-Registrierung niemals überspringen
- Validierung von Redirect-URIs: Strikte Whitelist-basierte Validierung der Zieladressen für Redirects
- Schutz von Autorisierungscodes: Kurzlebige Codes mit Einmalverwendung
- Validierung der Client-Identität: Robuste Überprüfung von Client-Zugangsdaten und Metadaten
Container-basierte Isolation:
Execution Environment:
containerization: "Docker/Podman with security profiles"
resource_limits:
cpu: "Configurable CPU quotas"
memory: "Memory usage restrictions"
disk: "Storage access limitations"
network: "Network policy enforcement"
privilege_restrictions:
user_context: "Non-root execution mandatory"
capability_dropping: "Remove unnecessary Linux capabilities"
syscall_filtering: "Seccomp profiles for syscall restriction"
filesystem: "Read-only root with minimal writable areas"Prozessisolation:
- Separate Prozesskontexte: Jede Tool-Ausführung in isoliertem Prozessraum
- Interprozesskommunikation: Sichere IPC-Mechanismen mit Validierung
- Prozessüberwachung: Laufzeitanalyse von Verhalten und Anomalieerkennung
- Ressourcenbeschränkung: Harte Limits für CPU, Speicher und I/O-Operationen
Berechtigungsmanagement:
Access Control:
file_system:
- "Minimal required directory access"
- "Read-only access where possible"
- "Temporary file cleanup automation"
network_access:
- "Explicit allowlist for external connections"
- "DNS resolution restrictions"
- "Port access limitations"
- "SSL/TLS certificate validation"
system_resources:
- "No administrative privilege elevation"
- "Limited system call access"
- "No hardware device access"
- "Restricted environment variable access"Adressiertes OWASP MCP-Risiko: MCP04 - Lieferkettenangriffe
Umfassende Komponentensicherheit:
Software Dependencies:
scanning:
- "Automated vulnerability scanning (GitHub Advanced Security)"
- "License compliance verification"
- "Known vulnerability database checks"
- "Malware detection and analysis"
verification:
- "Package signature verification"
- "Checksum validation"
- "Provenance attestation"
- "Software Bill of Materials (SBOM)"
AI Components:
model_verification:
- "Model provenance validation"
- "Training data source verification"
- "Model behavior testing"
- "Adversarial robustness assessment"
service_validation:
- "Third-party API security assessment"
- "Service level agreement review"
- "Data handling compliance verification"
- "Incident response capability evaluation"Erkennung von Lieferkettendrohungen:
- Überwachung der Abhängigkeitsgesundheit: Ständige Bewertung aller Abhängigkeiten auf Sicherheitsprobleme
- Integration von Bedrohungsinformationen: Echtzeit-Updates zu neuen Lieferkettendrohungen
- Verhaltensanalyse: Erkennung ungewöhnlichen Verhaltens in externen Komponenten
- Automatisierte Reaktion: Sofortige Eindämmung kompromittierter Komponenten
Adressiertes OWASP MCP-Risiko: MCP08 - Fehlender Audit & Telemetrie
Umfassende Protokollierungsstrategie:
Authentication Events:
- "All authentication attempts (success/failure)"
- "Token issuance and validation events"
- "Session creation, modification, termination"
- "Authorization decisions and policy evaluations"
Tool Execution:
- "Tool invocation details and parameters"
- "Execution duration and resource usage"
- "Output generation and content analysis"
- "Error conditions and exception handling"
Security Events:
- "Potential prompt injection attempts"
- "Tool poisoning detection events"
- "Session hijacking indicators"
- "Unusual access patterns and anomalies"Verhaltensanalysen:
- User Behavior Analytics (UBA): Erkennung ungewöhnlicher Benutzerzugriffsmuster
- Entity Behavior Analytics (EBA): Überwachung des Verhaltens von MCP-Servern und Tools
- Maschinelles Lernen zur Anomalieerkennung: KI-gestützte Identifikation von Sicherheitsbedrohungen
- Korrelation mit Bedrohungsinformationen: Abgleich beobachteter Aktivitäten mit bekannten Angriffsmustern
Sofortmaßnahmen:
Threat Containment:
session_management:
- "Immediate session termination"
- "Account lockout procedures"
- "Access privilege revocation"
system_isolation:
- "Network segmentation activation"
- "Service isolation protocols"
- "Communication channel restriction"
Recovery Procedures:
credential_rotation:
- "Automated token refresh"
- "API key regeneration"
- "Certificate renewal"
system_restoration:
- "Clean state restoration"
- "Configuration rollback"
- "Service restart procedures"Unterstützung bei Untersuchungen:
- Erhaltung des Audit-Trails: Unveränderliche Protokollierung mit kryptographischer Integrität
- Sammeln von Beweismitteln: Automatisierte Erfassung relevanter Sicherheitsartefakte
- Zeitleistenrekonstruktion: Detaillierte Ereignisfolge vor Sicherheitsvorfällen
- Auswirkungsbewertung: Einschätzung des Kompromittierungsumfangs und Datenexposition
- Mehrere Sicherheitsschichten: Kein einziger Fehlerpunkt in der Sicherheitsarchitektur
- Redundante Kontrollen: Überschneidende Sicherheitsmaßnahmen für kritische Funktionen
- Ausfallsichere Mechanismen: Sichere Voreinstellungen bei Systemfehlern oder Angriffen
- Nie vertrauen, immer verifizieren: Kontinuierliche Validierung aller Entitäten und Anfragen
- Prinzip des geringsten Privilegs: Minimale Zugriffsrechte für alle Komponenten
- Micro-Segmentierung: Granulare Netzwerk- und Zugriffskontrollen
- Anpassung an Bedrohungslandschaft: Regelmäßige Updates zur Bewältigung neuer Bedrohungen
- Wirksamkeit der Sicherheitskontrollen: Fortlaufende Bewertung und Verbesserungen der Kontrollen
- Einhaltung der Spezifikation: Ausrichtung an sich weiterentwickelnden MCP-Sicherheitsstandards
- OWASP MCP Azure Security Guide – Umfassende OWASP MCP Top 10 mit Azure-Implementierung
- OWASP MCP Top 10 – Offizielle OWASP MCP-Sicherheitsrisiken
- MCP Security Summit Workshop (Sherpa) – Praktische Sicherheitsschulung für MCP auf Azure
- OAuth 2.0 Security Best Practices (RFC 9700)
- OWASP Top 10 für große Sprachmodelle
- NIST Cybersecurity Framework
Wichtig: Diese Sicherheitskontrollen entsprechen der aktuellen MCP-Spezifikation (2025-11-25). Bitte prüfen Sie stets die neueste offizielle Dokumentation, da sich Standards schnell weiterentwickeln.
- Zurück zu: Übersicht Sicherheitsmodul
- Weiter zu: Modul 3: Erste Schritte
Haftungsausschluss:
Dieses Dokument wurde mit dem KI-Übersetzungsdienst Co-op Translator übersetzt. Obwohl wir um Genauigkeit bemüht sind, können automatisierte Übersetzungen Fehler oder Ungenauigkeiten enthalten. Das Originaldokument in der Ursprungssprache gilt als maßgebliche Quelle. Für wichtige Informationen wird eine professionelle menschliche Übersetzung empfohlen. Wir übernehmen keine Haftung für Missverständnisse oder Fehlinterpretationen, die durch die Nutzung dieser Übersetzung entstehen.