MCP Tunnels: KI-Agenten sicher mit internen Systemen verbinden
Zwei von drei Schweizer KMU nutzen KI – aber Kundendaten in externen Tools? MCP Tunnels verbinden KI-Agenten mit CRM, ERP und Datenbank, ohne die Firewall zu öffnen.
Zwei von drei Schweizer KMU experimentieren bereits mit künstlicher Intelligenz oder setzen sie produktiv ein. Die Frage, ob KI genutzt werden soll, hat sich damit erledigt. Die eigentliche Frage lautet heute: Wie nutzt man KI, ohne Kundendaten, Geschäftsgeheimnisse und personenbezogene Informationen aus der Hand zu geben?
Das Unbehagen ist verständlich. Wer einem KI-Assistenten eine Frage über einen Kunden stellt, fragt sich zurecht, wo diese Information landet. Externe KI-Dienste verarbeiten Anfragen auf fremden Servern – oft in den USA. Das kollidiert mit dem revidierten Datenschutzgesetz (revDSG), das seit dem 1. September 2023 in Kraft ist und für jede KI-gestützte Datenbearbeitung gilt. Hinzu kommt die Realität der sogenannten Schatten-KI: Laut einer Erhebung von Netzwoche (April 2026) nutzen 57 Prozent der Angestellten bereits private Accounts für berufliche Zwecke – und ein Drittel lädt dabei sensible Unternehmensdaten in nicht autorisierte Tools hoch.
Anthropic hat auf genau dieses Problem reagiert. Am 19. Mai 2026 stellte das Unternehmen auf der "Code with Claude"-Konferenz in London zwei neue Funktionen vor: Self-hosted Sandboxes und MCP Tunnels. Beide drehen die Logik bisheriger Cloud-KI-Dienste um – und könnten für Schweizer KMU mit Datenschutzanforderungen relevant sein.
Was ist das Model Context Protocol (MCP)?
Bevor MCP Tunnels Sinn ergeben, braucht es kurz den Kontext. Das Model Context Protocol (MCP) ist ein offener Standard, den Anthropic Ende 2024 veröffentlicht hat. Er beschreibt, wie KI-Modelle mit externen Datenquellen und Werkzeugen kommunizieren können – ähnlich einem Stecker-Standard für KI-Integrationen.
Konkret bedeutet das: Ein MCP-Server ist ein kleines Programm, das zwischen Ihrem internen System (z.B. CRM oder ERP) und dem KI-Agenten sitzt. Der KI-Agent fragt den MCP-Server nach Informationen; der MCP-Server fragt das interne System und gibt die Antwort zurück. Das KI-Modell selbst hat damit keinen direkten Datenbankzugriff – der MCP-Server kontrolliert, was abgefragt werden darf.
MCP hat sich seit seiner Einführung schnell verbreitet. Heute unterstützen Hunderte von Tools und Diensten das Protokoll, darunter GitHub, Datenbanken, Ticketsysteme und Wissensdatenbanken. Der entscheidende Vorteil: Der Standard ist herstellerunabhängig und kann mit verschiedenen KI-Modellen verwendet werden.
Das Schatten-KI-Problem und warum es gefährlich ist
Nur eines von drei Schweizer KMU hat klare interne Regeln für den KI-Einsatz – obwohl zwei von drei Unternehmen bereits mit KI arbeiten. Diese Lücke zwischen Nutzung und Governance ist der Nährboden für Schatten-KI.
Schatten-KI bezeichnet den unkontrollierten Einsatz von KI-Tools ausserhalb der IT-Abteilung: der Mitarbeitende im Verkauf, der Kundenangebote in ChatGPT tippt; die Buchhalterin, die Vertragsklauseln von einem kostenlosen Summarizer zusammenfassen lässt; der Servicetechniker, der Fehlerbeschreibungen mit Kundennamen in ein KI-Tool eingibt. Jede dieser Handlungen ist ein potenzieller Datenschutzvorfall.
Das revDSG verlangt bei Hochrisiko-Datenbearbeitungen eine Datenschutz-Folgenabschätzung (DSFA). Wer sie unterlässt, riskiert nicht nur Bussgelder, sondern auch Reputationsschäden. Und: Personendaten dürfen nur dann ins Ausland übermittelt werden, wenn das Empfängerland ein angemessenes Schutzniveau bietet oder geeignete Garantien bestehen. Für viele US-amerikanische KI-Dienste ist diese Anforderung schwierig zu erfüllen.
Das Grundproblem bisher: Wer KI-Agenten sicher auf interne Daten zugreifen lassen wollte, musste interne Systeme aus dem Internet erreichbar machen – oder auf KI verzichten. Beides ist keine gute Lösung.
MCP Tunnels: Die technische Lösung verständlich erklärt
MCP Tunnels lösen dieses Dilemma, indem sie die Verbindungsrichtung umkehren. Statt dass der KI-Agent von aussen auf interne Systeme zugreift, baut ein leichtgewichtiger Gateway-Dienst im eigenen Netzwerk eine ausgehende, verschlüsselte Verbindung zu Anthropics Infrastruktur auf.
Das Ergebnis: Der KI-Agent kann auf interne Ressourcen zugreifen – ohne dass diese aus dem Internet erreichbar sein müssen. Keine eingehenden Firewall-Öffnungen, keine exponierten Ports, keine öffentlichen API-Endpunkte für interne Systeme.
Der technische Ablauf in drei Schritten:
- Gateway-Dienst starten: Im eigenen Netzwerk läuft ein MCP-Server, der Zugriff auf das interne System hat. Ein leichtgewichtiger Gateway-Prozess baut eine ausgehende TLS-Verbindung zu Anthropic auf.
- KI-Agent stellt Anfrage: Der Claude-Agent (in Claude.ai oder über die API) sendet eine Anfrage, z.B. "Zeig mir die offenen Angebote für Kunde Meyer AG".
- Antwort über den Tunnel: Der MCP-Server im eigenen Netzwerk fragt das CRM, erhält die Daten und sendet sie über den verschlüsselten Tunnel zurück. Die Antwort landet beim KI-Agenten – die Rohdaten haben das eigene Netzwerk nie verlassen müssen.
Ergänzt wird das durch Self-hosted Sandboxes: Diese erlauben es, auch die Code-Ausführungsumgebung des KI-Agenten im eigenen Netzwerk zu betreiben – wichtig, wenn Agenten nicht nur lesen, sondern auch Aktionen ausführen sollen. Sandbox-Partner sind Cloudflare, Daytona, Modal und Vercel.
Praxisbeispiele für Schweizer KMU
Was bedeutet das konkret? Einige realistische Szenarien:
Angebotswesen und Kundendaten: Ein Vertriebsmitarbeitender tippt "Erstelle eine Zusammenfassung aller offenen Angebote über CHF 50'000 für den Bericht Dienstag" in einen KI-Assistenten. Der Agent fragt über den MCP Tunnel das CRM ab – ohne dass der Mitarbeitende Rohdaten kopieren oder einfügen muss, und ohne dass das CRM aus dem Internet erreichbar ist.
Technischer Support: Ein Service-Desk-Mitarbeitender fragt den KI-Agenten: "Was waren die häufigsten Supportfälle bei Kunde XY in den letzten 90 Tagen?" Der Agent durchsucht das interne Ticketsystem und liefert eine strukturierte Übersicht – direkt aus den eigenen Daten, nicht aus dem Gedächtnis des Mitarbeitenden.
Interne Wissensdatenbank: Neue Mitarbeitende fragen einen KI-Assistenten nach internen Prozessen, Produktdokumentationen oder Sicherheitsvorgaben. Der Agent greift auf die eigene Wissensdatenbank zu und gibt präzise Antworten – ohne dass vertrauliche Dokumente manuell hochgeladen werden müssen.
Buchhaltung und ERP: Monatliche Auswertungen, Budgetvergleiche, Lieferantenanfragen – all das kann ein KI-Agent aus dem ERP zusammenstellen, wenn er über MCP Zugriff hat. Die Ausgabe landet direkt beim Nutzer, die Buchhaltungsdaten verlassen das eigene System nicht.
In jedem dieser Fälle bleibt die Kontrolle über die Daten im Unternehmen. Der MCP-Server definiert, welche Abfragen erlaubt sind – nicht der KI-Anbieter.
Verfügbarkeit und erste Schritte
MCP Tunnels befinden sich aktuell in der Research Preview. Das heisst: Die Technologie ist real und einsatzbereit, aber der Zugang muss bei Anthropic beantragt werden. Self-hosted Sandboxes sind bereits in der Public Beta allgemein zugänglich.
Wer die Möglichkeiten heute schon erkunden möchte, kann dies tun:
MCP ohne Tunnel: Wer intern über ein lokales Modell oder über Claude for Work mit entsprechenden Datenschutzeinstellungen arbeitet, kann MCP-Server bereits heute lokal betreiben. Die Tunneling-Schicht macht es lediglich einfacher, diese Verbindung sicher über Netzwerkgrenzen hinweg herzustellen.
Architektur planen: Auch ohne sofortigen Zugang lohnt es sich, jetzt zu verstehen, welche internen Systeme für eine KI-Anbindung interessant wären. CRM? ERP? Welche Abfragen wären am nützlichsten? Diese Vorarbeit beschleunigt die spätere Implementierung erheblich.
Datenschutzkonzept erstellen: Parallel zur technischen Planung sollte ein Datenschutzkonzept entstehen: Welche Daten darf der KI-Agent abfragen? Wer hat Zugriff auf welche Ressourcen? Wie werden Zugriffe protokolliert? Das ist nicht nur eine rechtliche Anforderung des revDSG – es ist gute Praxis.
Zugang zur Research Preview kann über anthropic.com beantragt werden.
Was bedeutet das für revDSG-Compliance?
MCP Tunnels wurden explizit für Umgebungen entwickelt, in denen Datensouveränität und Compliance zentrale Anforderungen sind. Das heisst nicht automatisch, dass jede Konfiguration revDSG-konform ist – die konkrete rechtliche Beurteilung hängt immer vom Einzelfall ab. Aber der Ansatz adressiert die wichtigsten Knackpunkte:
Datenminimierung: Der MCP-Server entscheidet, was der KI-Agent sehen darf. Es können granulare Berechtigungen definiert werden – der Agent fragt nur ab, was er für eine spezifische Aufgabe braucht.
Keine unkontrollierte Datenübermittlung: Da die Verbindung über einen selbst kontrollierten Gateway läuft, besteht Transparenz darüber, welche Daten fliessen. Das ist eine grundlegende Voraussetzung für eine DSFA.
Protokollierung: Zugriffe können auf dem eigenen MCP-Server vollständig geloggt werden. Wer hat wann was abgefragt? Diese Audit-Trails sind sowohl für interne Governance als auch für eine allfällige Auskunftspflicht gegenüber dem EDÖB relevant.
Kein Shadow-KI-Ersatz für strukturlose Nutzung: MCP Tunnels lösen das Problem nur, wenn sie als strukturierte Lösung eingeführt werden. Parallel dazu braucht es klare interne Regeln, welche KI-Tools für welche Zwecke genutzt werden dürfen. Technologie allein ersetzt keine Governance.
Die Einführung einer MCP-basierten KI-Integration ist damit auch eine Gelegenheit, die KI-Governance im Unternehmen grundsätzlich auf solide Beine zu stellen – nicht als bürokratische Pflichtübung, sondern als Voraussetzung für nachhaltigen und sicheren Einsatz.
KI-Agenten, die auf Ihre eigenen Daten zugreifen können, ohne dass diese Daten unkontrolliert das Unternehmen verlassen – das ist kein Zukunftsszenario mehr. Wenn Sie evaluieren möchten, welche internen Systeme sich für eine sichere KI-Anbindung eignen und wie ein revDSG-konformes Konzept für Ihr KMU aussehen könnte, ist Hedinger-Digital der richtige Ansprechpartner. Mehr zu den Möglichkeiten finden Sie unter KI-Integration für KMU – oder melden Sie sich direkt für ein unverbindliches Gespräch: Jetzt Kontakt aufnehmen.
