spec v0.1
DE

Begriffe

Glossar

Die zentralen Begriffe des MCP-first-Architekturmusters, präzise definiert für Entwickler, Architekten und Produktverantwortliche.

Dieses Glossar erklärt die Kernbegriffe des MCP-first-Ansatzes so, wie sie in Architektur, Sicherheitsmodell und Capability Design verwendet werden.

Grundbegriffe

  • MCP, Das Model Context Protocol; ein offenes Protokoll, das es KI-Agenten ermöglicht, typisierte Fähigkeiten eines Systems (Tools, Resources, Workflows) strukturiert und berechtigungsgeprüft aufzurufen.

  • MCP-first, Architekturprinzip, bei dem Software zuerst als vollständig steuerbares, maschinenlesbares Capability-System beschrieben wird; Webapp, Mobile App und Admin-UI entstehen danach als sekundäre Clients dieses Capability Layers.

  • Capability, Eine fachliche Fähigkeit des Systems, die strukturiert beschrieben, typisiert, berechtigungsgeprüft und auditierbar ist; der eigentliche Kern des Produkts, unabhängig von einem konkreten Interface.

  • Action / Action Layer, Eine einzelne ausführbare Fähigkeit (z. B. create_project, send_external_email) als erste Schicht unterhalb aller Interfaces; Webapp, Agent, CLI und Worker rufen dieselbe Action auf.

  • Adapter, Eine Schicht (z. B. MCP Server, Webapp-Backend, Mobile-App-API), die Anfragen entgegennimmt, Auth-Kontext mappt, Policies prüft und Aufrufe an den Action Layer weiterleitet, aber keine Business Logic enthält.

Bausteine

  • Tool, Eine aufrufbare Aktion im MCP-System mit typisiertem Input-Schema, Output-Schema, Risikostufe und Confirmation Policy; entspricht einer Capability aus Agentenperspektive (Beispiel: contacts.create).

  • Resource, Ein lesbarer Datenpunkt oder Kontext, den ein Agent abrufen kann (Beispiel: projects.list, contacts.get); liefert aufbereiteten Kontext statt roher Datenbankabfragen.

  • Workflow / Prompt, Ein vorgefertigter, mehrschrittiger Ablauf, der einen Agenten durch einen komplexen Prozess führt; im MCP-Kontext oft als Prompt-Template modelliert, das Resources und Tools koordiniert.

  • Policy, Maschinenlesbare Regel, die festlegt, wer welches Tool unter welchen Bedingungen aufrufen darf, welche Bestätigung nötig ist und ob autonome Ausführung erlaubt ist.

  • Audit Event, Ein strukturierter, unveränderlicher Logeintrag für jede ausgeführte MCP-Aktion; enthält Identitäten, Risikostufe, Confirmation-ID und Zeitstempel, um vollständige Nachvollziehbarkeit herzustellen.

  • Risk Metadata, Maschinenlesbare Kennzeichnung eines Tools oder einer Resource mit Risikostufe (low / medium / high / critical / restricted) und weiteren Metadaten wie Reversibilität und externen Nebeneffekten.

  • Human Confirmation Gate, Mechanismus, bei dem ein Agent vor der Ausführung eines riskanten Tools explizit die Zustimmung des Benutzers einholen muss; blockiert autonome Ausführung bis zur Bestätigung.

Identität & Zugriff

  • Human User, Ein echter, eingeloggter Benutzer des Systems (z. B. Admin, Mitarbeiter, Projektmanager); Ausgangspunkt für Berechtigungsprüfungen und Delegationsketten.

  • MCP Client, Die Anwendung, die mit dem MCP Server verbunden ist und Anfragen im Namen eines Benutzers oder Agents stellt (z. B. Claude Desktop, eine interne AI-App oder ein Worker-Prozess).

  • Agent Identity, Die konkrete Identität eines Agenten oder automatisierten Workflows (z. B. sales-assistant, payroll-agent); wird separat von der Benutzeridentität verwaltet und hat eigene Scopes und Beschränkungen.

  • Delegated User Context, Der Mechanismus, bei dem ein Agent nicht mit globalen Systemrechten handelt, sondern ausschließlich im Rahmen der Rechte und des Kontexts eines bestimmten Benutzers oder einer konfigurierten Service-Rolle.

  • Service Identity, Identität für Backend-zu-Backend-Prozesse ohne menschlichen Auftraggeber (z. B. Import Worker, Scheduled Job, Sync Worker); authentifiziert sich über mTLS oder signierte Service Tokens.

  • Scope, Granulare Berechtigungseinheit, die genau beschreibt, welche Aktion auf welcher Resource erlaubt ist (Beispiel: contacts:read, emails:send, billing:write); Tools und Resources prüfen Scopes vor der Ausführung.

  • Tenant, Mandant in einem Multi-Tenant-System; jeder Datenzugriff ist tenantgebunden (tenant:abc), sodass Agents niemals mandantenübergreifend handeln können, auch wenn ihre sonstigen Scopes dies technisch erlauben würden.

  • Role, Bündel von Scopes, das einem Benutzer oder einer Agent Identity zugewiesen wird (Beispiel: admin, manager, viewer); bildet die erste Autorisierungsebene vor tenant- und toolspezifischen Scope-Prüfungen.

Sicherheit & Kontrolle

  • Risk Level, Klassifizierung eines Tools in low, medium, high, critical oder restricted; bestimmt, ob autonome Ausführung erlaubt ist, ob Bestätigung erforderlich ist und ob Step-up Authentication verlangt wird.

  • Schutzklasse, Kategorisierung jeder Resource und jedes Tools nach Datensensitivität: Public (frei lesbar), Internal (nur eingeloggte Nutzer), Confidential (explizite Rolle erforderlich), Sensitive (eingeschränkte Kontextweitergabe), Critical (kein autonomes Handeln der KI), Forbidden for AI (darf durch KI-Agenten weder gelesen noch aufgerufen werden).

  • Confirmation Policy, Regel pro Tool, die festlegt, welche Art von Zustimmung vor der Ausführung nötig ist: no_confirmation_required, confirmation_required, step_up_auth_required, admin_approval_required, four_eyes_required oder not_allowed_for_ai.

  • Step-up Authentication, Zusätzliche Authentifizierungsanforderung für besonders sensible Aktionen (z. B. Passwortabfrage, TOTP, Passkey), die über die laufende Session hinausgeht; wird bei critical-Tools oder privilegierten Admin-Aktionen ausgelöst.

  • Consent Ledger, Persistenter Datensatz aller erteilten Benutzerfreigaben für Agentenaktionen; speichert wer, wann, für welches Tool, in welchem Umfang und mit welcher Methode zugestimmt hat, Grundlage für Audit und Haftbarkeit.

  • Human-in-the-loop, Prinzip, nach dem ein Agent bei sensiblen oder riskanten Aktionen aktiv die Entscheidung des Benutzers einholen muss, bevor er handelt; MCP-first bedeutet vollständig steuerbar, nicht vollautomatisch.

  • Redaction / Context Filtering, Gezielte Bereinigung oder Zusammenfassung von Daten, bevor sie in den KI-Kontext gelangen; verhindert, dass Agents unnötig sensible Felder (z. B. bankAccount, privateNotes) sehen, selbst wenn der Benutzer grundsätzlich Zugriff hätte.

  • Dry Run, Ausführungsmodus eines Tools, bei dem alle Eingaben validiert und Nebeneffekte prognostiziert werden, ohne dass die Aktion tatsächlich durchgeführt wird (Beispiel: emails.bulk_send(dryRun: true)); ermöglicht Vorabprüfung vor riskanten Operationen.

  • Idempotenz, Eigenschaft eines Tools, bei wiederholtem Aufruf mit denselben Parametern kein unnötiges Duplikat zu erzeugen; wichtig für Retry-Logik und agentische Workflows, bei denen eine Aktion versehentlich mehrfach ausgelöst werden kann.

  • Tool Discovery / Tool-Sichtbarkeit, Der Prozess, bei dem ein MCP Client die verfügbaren Tools eines Servers abfragt; in einem MCP-first System werden Tools bereits bei der Discovery nach Benutzer, Client, Tenant, Rolle und Scopes gefiltert, nicht erst beim Aufruf abgelehnt.