MCP in Produktion — agentische KI, die in Schweizer Unternehmen wirklich arbeitet

Whitepaper · Veröffentlicht 24.05.2026 · Aktualisiert 25.05.2026 · Joel Barmettler

Worum es geht

Mit MCP (Model Context Protocol) wird das Sprachmodell vom Antwortgeber zum Akteur: Es ruft Werkzeuge auf, liest aus Ihren Fachsystemen, erstellt Vorgänge, löst Workflows aus. Die Verschiebung von «KI antwortet» zu «KI arbeitet» ist die folgenreichste Produktivitäts-Erweiterung in der Unternehmens-KI seit RAG.

Für Schweizer Unternehmen, die in den letzten zwei Jahren RAG produktiv gemacht haben, ist MCP die nächste Stufe — und sie ist näher dran als viele annehmen. Die Standards sind offen, die Architekturmuster sind erprobt, und die ersten Mandate laufen seit Monaten ruhig in Produktion.

Dieses Whitepaper zeigt, wie Schweizer Unternehmen MCP heute bauen, was die Architektur tragend macht, welche Anwendungsfälle den schnellsten Wert liefern — und worauf Sie achten sollten, wenn Sie die Implementation selbst angehen oder mit einem Partner beschleunigen wollen.

Was MCP heute ermöglicht

Konkret und ohne Verschnörkelung — Anwendungsmuster, die in Schweizer Unternehmen bereits in Produktion laufen oder mit überschaubarem Aufwand realisierbar sind.

Das alles ist heute möglich. Die Komponenten sind verfügbar, die Patterns sind dokumentiert, der Nutzen ist nach den ersten Wochen messbar — wenn die Architektur tragend gewählt ist.

Die Architektur, die in Produktion bleibt

Eine MCP-Architektur, die in Schweizer Unternehmen über das erste Quartal hinaus produktiv bleibt, hat drei tragende Eigenschaften. Sie sind keine Gates, sondern Enabler — sie machen es überhaupt erst möglich, neue Anwendungsfälle zügig freizuschalten, Vorfälle in Minuten zu klären und nachts ruhig zu schlafen.

  1. 01

    Identität — Aktionen mit den richtigen Rechten

    Der Agent agiert mit der Identität der aufrufenden Person — und erbt damit deren Berechtigungen. Konkret: OIDC-Identitätsfluss, durchgängige User-Token-Weitergabe an die Backend-APIs, Tools mit explizit eingegrenztem Scope. Die Backend-Berechtigungen gelten unverändert weiter; das wichtigste Mittel gegen Hintertüren.

  2. 02

    Nachvollziehbarkeit — jede Handlung rekonstruierbar

    Jeder Werkzeugaufruf wird mit aufrufender Person, Eingabe, Ergebnis und Zeitstempel protokolliert. Wer das so baut, kann neue Agenten schneller freischalten — Vorfälle sind in Minuten rekonstruierbar — und die revDSG-Rechenschaftspflicht fällt als Nebenprodukt der guten Architektur ab, nicht als Pflichtübung.

  3. 03

    Steuerung — zentraler Eintritt, schnelle Roll-outs

    Ein Gateway zwischen LLM-Client und MCP-Servern ist der Punkt, an dem neue Werkzeuge freigeschaltet, Lastspitzen abgefedert und Beobachtbarkeit zentral zusammengeführt werden. Ein neuer MCP-Server geht damit in Produktion an einem Nachmittag, nicht in einem Quartal — der Gateway übernimmt Allow-List, Rate-Limit und Logging.

Die souveräne MCP-Referenzarchitektur

Die in Schweizer Unternehmen tragfähige Architektur, von der anwendenden Person bis zu den Backend-Systemen:

Schicht 01

Anwendender Mensch

↕   OIDC-Identität

Schicht 02

LLM-Client

  • Web-UI, Chat, Inline

↕   Prompt + User-Token

Schicht 03

LLM-Inferenz

  • Apertus on-prem · Open-Weight im CH-Hosting
  • Microsoft Copilot (EU-Tenant, je nach Datenklasse)

↕   Tool-Use-Aufrufe (MCP)

Schicht 04

MCP-Gateway

  • Tool-Allow-List pro Agent · Rate-Limit · Audit-Logging
  • Identitätspropagation (User-Token bleibt erhalten)

Schicht 05

MCP-Server (mehrere, je Domäne)

  • Eigenimplementation oder Open-Source-MCP-Server
  • Tools mit explizit deklarierten Scopes

↕   Backend-API-Aufruf mit User-Token

Schicht 06

Backend-Systeme

  • CRM · ERP · Dokumenten-Index · Ticketing · …
  • Klassische Zugriffskontrolle gilt UNVERÄNDERT

Sieben Muster, die Ihren Roll-out tragen

Aus echten MCP-Roll-outs — Architektur-Entscheidungen, die den Unterschied zwischen «läuft seit Monaten ruhig» und «ständig Feuerwehrübungen» machen. Jede ist eine bewusste Bauentscheidung, nicht eine zusätzliche Compliance-Anforderung.

  1. 01

    User-Token bis ins Backend durchreichen

    Der Agent erbt automatisch die richtigen Berechtigungen; das Backend-Berechtigungssystem gilt weiter. Sie sparen sich eine parallele Berechtigungsverwaltung und vermeiden die häufigste Drift-Quelle.

  2. 02

    Tool-Outputs als Daten behandeln

    Inhalte von Tools (z. B. Text aus einem PDF) sind Eingabe für das Modell, nicht Steuerung. Aktionen laufen über separate, klar deklarierte Bestätigungsschritte — manipulierte Tool-Inhalte können den Agenten damit nicht umlenken.

  3. 03

    Schema-Validierung als Standard

    Tool-Argumente werden vor der Ausführung gegen das deklarierte Schema geprüft. Im Zweifel wird gefragt, nicht ausgeführt — der Punkt, an dem Halluzinationen keine echten Aktionen mehr auslösen können.

  4. 04

    Berechtigungen einmal am Backend definieren

    Was im Backend erlaubt ist, ist überall erlaubt. Der MCP-Server ist Ausführer, nicht Gewährer. Das hält das Berechtigungssystem konsistent und macht Audits einfach.

  5. 05

    Korrelations-IDs durch alle Hops

    Wenn Agent A einen Agent B aufruft, der wiederum ein Tool nutzt, bleiben die ursprüngliche User-Identität und ein Trace-Identifier durch jede Stufe sichtbar. Mehrstufige Agentenketten verlieren ihren Schrecken.

  6. 06

    Kurzlebige Tokens mit Rotation

    User-Tokens sind kurzlebig (Minuten bis Stunden) und werden bei Berechtigungsänderungen sofort wirksam revoziert. Personalwechsel werden sauber, langfristige Reststeuerungsprobleme verschwinden.

  7. 07

    Schneller Tool-Onboarding-Prozess

    Die Tool-Allow-List ist nur dann ein gutes Steuerinstrument, wenn die Freigabe schnell ist — Tage, nicht Monate. Schaffen Sie einen niederschwelligen Meldeweg; sonst entsteht unweigerlich Schatten-KI und unterläuft die Architektur.

Souveräne LLM-Optionen

Die LLM-Frage bei MCP ist nicht «brauchen wir das beste Modell der Welt», sondern «welches Modell führt strukturierte Tool-Aufrufe verlässlich aus, auf einer Infrastruktur, die zu unseren Datenklassen passt». Die produktiven Optionen Stand 2026:

  • Apertus (Swiss AI Initiative) — Schweizer Open-Weight-Modell; geeignet für alle Datenklassen, abhängig von der Hosting-Konfiguration. Die Tool-Use-Qualität ist für interne Geschäftsprozesse heute ausreichend und entwickelt sich rasch.
  • Open-Weight-Modelle (Llama, Mistral, Qwen) on-premise oder bei Schweizer Hosting-Partnern — gute Tool-Use-Leistung in den jeweils grossen Varianten. Die Infrastruktur ist über Schweizer Compute-Anbieter (siehe netzwerksds.ch) gut verfügbar.
  • Microsoft Copilot mit EU-Tenant und Data Residency Switzerland — geeignet für interne und teils vertrauliche Datenklassen; für viele Mittelstands-Roll-outs der pragmatische Mittelweg.

Die Wahl ist real und gut. Souveränität und produktive Tool-Use-Leistung sind 2026 kein Tradeoff mehr.

Was Sie heute bauen können

Drei Anwendungsfälle, die in den letzten zwölf Monaten in Schweizer Mandaten gebaut wurden — als konkrete Anker dafür, was «MCP in Produktion» heisst.

Wann RAG die elegantere Antwort ist

MCP ist mächtig, aber nicht in jeder Konstellation die richtige Stufe. Die folgenden Muster deuten darauf hin, dass eine schlankere Architektur mehr Wert liefert:

  • Der Anwendungsfall braucht Antworten, keine Aktionen. Reines RAG mit einer guten UI ist oft eleganter, schneller zu bauen, und ohne die zusätzliche Komplexität von Tool-Use.
  • Die Backend-APIs sind nicht stabil. MCP setzt stabile, autorisierte Backend-APIs voraus. Wenn die nicht da sind, ist deren Aufbau die eigentliche Modernisierungsaufgabe — der Agent kommt danach.
  • Sie wollen mit RAG starten, MCP später dazu. Das ist die häufigste und meist beste Sequenz. Eine produktive RAG-Basis macht den späteren MCP-Schritt deutlich einfacher.
2/3
der Mandate, die mit «wir wollen Agenten» beginnen, sind mit RAG plus einer schlanken UI besser bedient für die ersten Monate. Das ist kein Verzicht; das ist gute Auftragsklärung.

Häufige Fragen

Was bauen wir typischerweise als ersten MCP-Anwendungsfall?
Die ergiebigsten Einstiege sind interne Suche mit Aktionen («finde den Vertrag und entwirf die Ergänzung»), Kundendaten-Lookups mit Audit, Ticket-Erstellung aus Konversationen, und Dokumenten-Workflows. Was sie eint: ein klar umrissener Anwendungsfall, ein stabiles Backend-API, und ein Mehrwert, der sich nach zwei Wochen Pilot bereits messen lässt.
Brauchen wir MCP, wenn wir bereits RAG haben?
RAG ist die richtige Stufe, wenn die KI antworten soll. MCP ist die nächste, wenn sie handeln soll. Beides hat seinen Platz; viele Anwendungsfälle brauchen ehrlich gesagt nie MCP. Wenn aber konkrete Aktionen das Ziel sind — Vorgang erstellen, Datensatz aktualisieren, Workflow auslösen — ist MCP der pragmatischste Weg dorthin.
Können wir MCP selbst bauen, ohne externe Unterstützung?
Absolut. Die Architektur ist offen, die Patterns sind erprobt, und mehrere Open-Source-Implementierungen existieren — auch von Souverana selbst. Was Sie brauchen, ist ein erfahrenes Team, das Identitätspropagation, Audit und Tool-Schemata sauber implementiert. Souverana beschleunigt dort, wo Sie schneller oder mit weniger Eigenrisiko ankommen wollen — der Weg ohne uns ist nicht versperrt.
Welche Werkzeuge eignen sich heute für MCP in Schweizer Unternehmen?
Sowohl die LLM-Seite (Apertus, Open-Weight-Modelle on-premise oder im CH-Hosting, Microsoft Copilot im EU-Tenant) als auch die MCP-Server-Seite (eigene Implementierung oder Open-Source-Komponenten) lassen sich heute souverän bauen. Die produktiven Optionen sind real und gut — die Wahl ist keine zwischen Souveränität und Leistungsfähigkeit.

Für die Geschäftsleitung

Dieses Dossier als PDF

Den vollständigen Beitrag plus eine kompakte Management-Zusammenfassung und Checkliste — als sauberes PDF zum Speichern und Weiterleiten.

Sie erhalten das PDF sofort. Mit dem Absenden stimmen Sie zu, dass Souverana Sie zu diesem Thema kontaktieren darf. Verarbeitung in der Schweiz/EU, keine Weitergabe an Dritte, Widerruf jederzeit (revDSG).