sdx15 - stock.adobe.com

Feature

Microsoft Build: Sichere Integration des MCP in Windows 11

Das Model Context Protocol ist ein wichtiger Baustein fürs agentenbasierte Computing, birgt aber Risiken. Windows 11 soll künftig ab Werk eine MCP-Sicherheitsarchitektur erhalten.

Malte Jeschke
von
Zuletzt aktualisiert:22 Mai 2025

Das Model Context Protocol (MCP) ist ein offener Standard, der den Einsatz von KI-Werkzeugen nachhaltig verändern soll. MCP erlaubt bidirektionale Verbindungen zwischen Datenquellen und KI-Werkzeugen. Das Ganze geschieht über eine relativ übersichtliche Architektur.

Auf der Build 2025 hat Microsoft angekündigt, wie das Model Context Protocol in Windows 11 unterstützt wird, um eine sichere Kommunikation zwischen Tools und Agenten zu gewährleisten.

Der Einsatz des Model Context Protocol soll die KI-Nutzung beflügeln und sehr leistungsstarke Anwendungen ermöglichen. Dabei bestehe allerdings das Risiko, das sensible Daten offengelegt werden könnten. Microsoft sieht an dieser Stelle eine Reihe von Angriffsvektoren, die in einer sicheren agentenbasierten Architektur berücksichtigt werden müssten.

So würden Agenten, die mit vollständigen Benutzerrechten agieren, das Risiko der Offenlegung von Anmeldedaten oder sensibler Tokens bergen. Bei der Cross-Prompt Injection können in Dokumente oder Elemente des Nutzer-Interfaces eingebettete schädliche Inhalte Agentenanweisungen überschreiben und zu unbeabsichtigten Aktionen führen. Exemplarisch werden Datenexfiltration oder Malware-Installation angeführt.

Ein einmal kompromittierter Agent könne ohne Isolierung die gesamte Benutzersitzung und das gesamte System in Mitleidenschaft ziehen. Beim Tool Poisoning könnten nicht überprüfte MCP-Server Funktionen offenlegen oder zur Rechteausweitung genutzt werden.

Künftig soll Windows 11 den Risiken die mit dem Einsatz von KI-Agenten und MCP einhergehen mit einer Sicherheitsarchitektur begegnen.

Die MCP-Sicherheitsarchitektur in Windows 11

Um die Nutzung von MCP abzusichern, müssten einige grundlegende Sicherheitsfunktionen erfüllt werden. Dies müsste von Entwicklern von MCP-Servern entsprechend berücksichtigt werden. So müsse jeder Server über eine eindeutige Identität verfügen und der Code signiert sein. Dies ermögliche es bei Bedarf eine Herkunftsüberprüfung sowie auch Widerrufe zu ermöglichen.

Darüber hinaus müsse der Anwender die Kontrolle über alle sicherheitsrelevanten Vorgänge behalten, die in seinem Namen ausgeführt. Arbeitet ein Agent im Auftrag eines Anwenders, dann müssen der Umfang und die Vorgänge für den Benutzer transparent. Beispielsweise, wenn eine Änderung am Betriebssystem durchgeführt würde. Darüber hinaus müsse der Zugriff auf Anmeldeinformationen offengelegt werden. Kurz gesagt, sollen eine sensiblen Aktionen, die im Auftrag des Benutzers erfolgen, überprüfbar sein.

Damit ein Angriff auf einen MCP-Server, der erfolgt, nur begrenzten Schaden anrichten kann, müsse das Prinzip der geringsten Berechtigungen (POLP) zur Anwendung kommen. Zudem soll Windows 11 deklarative Funktionen und Isolierung für Server erzwingen. Damit sollen die Auswirkungen von Angriffen eingegrenzt werden.

Damit dieser Ansatz gelingt, soll Windows 11 diesbezüglich einige Sicherheitskontrollen erhalten. So würden alle MCP-Client-Server-Interaktionen über einen Proxy geleitet. Hierdurch soll eine Durchsetzung von Richtlinien und Zustimmungen ermöglicht werden. Dies beinhalte die Möglichkeit Authentifizierung und Autorisierung durchzusetzen. So ließen sich auch alle im Auftrag durchgeführten Vorgänge nachvollziehen.

Darüber hinaus sollen Anwender jedes Client-Tool-Paar ausdrücklich genehmigen müssen, inklusive einer granularen Berechtigungsvergabe.

Geht es um MCP-Server, soll eine Art Laufzeitisolierung erfolgen. Das Prinzip der geringsten Berechtigungen soll durch Isolierung und granulare Berechtigungen umgesetzt werden. So soll sichergestellt werden, welche Berechtigungen ein MCP-Server über ein deklaratives Modell erhält.

Damit all dies funktioniert, müssen MCP-Server eine Reihe von Sicherheitsanforderungen erfüllen.

Für Entwickler soll nach der Build-Konferenz eine Private Preview auf die MCP-Serverfunktionen zur Verfügung stehen. Diese soll ausschließlich zu Feedbackzwecken dienen und nicht die vollständigen Sicherheitsfunktionen erhalten.

Abseits der Integration von Sicherheitsfunktionen, arbeite Microsoft auch mit Anthropic und anderen Akteuren im MCP Steering Committee zusammen, um auch künftigen Sicherheitsanfoderungen zu begegnen.

Erfahren Sie mehr über Anwendungs- und Plattformsicherheit