MCP-Sicherheits-Checkliste: Sichere Assistenten-Integration ausliefern
Nutzen Sie diese druckbare Checkliste, um Ihre MCP-Integration abzusichern. Themen: Authentifizierung, Schlüsselrotation, Least Privilege, Bestätigungsabläufe, Logging, Monitoring und Incident Response – mit Links zu detaillierten Anleitungen.
📄 Druckbare Checkliste
Seite drucken oder als PDF speichern und als Sicherheits-Checkliste für Ihr MCP-Setup nutzen.
Authentifizierung & API-Keys
API-Key-Verwaltung
- API-Key sicher gespeichert (nicht in der Versionskontrolle, nicht im Code)
- Eigener API-Key pro Client/Rechner zur besseren Nachverfolgung
- API-Key aussagekräftig benannt (z. B. „Claude Desktop – Arbeits-Laptop“)
- Schlüsselrotation geplant (z. B. alle 90 Tage)
- Widerrufsprozess dokumentiert und getestet
- Umgebungstrennung: unterschiedliche Keys für Dev/Staging/Prod
Least Privilege & Zugriffskontrolle
Zugriffskontrolle
- API-Key mit minimal nötigen Rechten (nach Möglichkeit nur Lese-Zugriff)
- Schreibrechte nur bei Bedarf vergeben
- Workspace-Zugriff auf nötige Projekte beschränkt
- Team-Rollen und -Berechtigungen für MCP-Nutzung geprüft
- Zugriffe regelmäßig prüfen (empfohlen: vierteljährlich)
Bestätigungsabläufe & Schreibsicherheit
Sicherheit bei Schreiboperationen
- Alle Schreiboperationen erfordern ausdrückliche Bestätigung
- Vorschau/Diff vor Erstellen/Aktualisieren/Löschen anzeigen
- Bestätigungstoken für kritische Operationen verwenden
- Read-first-Muster: immer zuerst lesen, dann aktualisieren
- Aufgaben-ID vor Aktionen prüfen
- Löschoperationen erfordern zusätzliche Bestätigung
Logging & Monitoring
Beobachtbarkeit
- MCP-Toolaufrufe protokolliert: Toolname, Zeitstempel, Nutzer, Status
- Schreiboperationen mit vollem Kontext protokolliert
- Fehlerprotokollierung aktiv und überwacht
- Alarme für ungewöhnliche Muster konfiguriert (Spitzen, Fehler)
- Regelmäßige Prüfung der Schreibaktionen-Logs (wöchentlich empfohlen)
- Prüfprotokoll für Compliance-Anforderungen geführt
Incident Response
Reaktionsbereitschaft
- Incident-Response-Plan dokumentiert
- Schlüssel-Widerrufsprozess getestet und dokumentiert
- Kontaktdaten des Sicherheitsteams verfügbar
- Rollback-Prozedur bei versehentlichen Schreibzugriffen dokumentiert
- Nachbearbeitung nach Vorfällen etabliert
Datenschutz & Compliance
Datenschutz & Compliance
- Personenbezogene Daten nicht in Prompts oder Kommentaren
- Datenminimierung: nur nötige Daten in Prompts
- Schwärzmuster für sensible Informationen nutzen
- Compliance-Anforderungen geprüft (DSGVO, HIPAA usw.)
- Datenaufbewahrungsrichtlinien bekannt und eingehalten
Team-Schulung & Dokumentation
Schulung & Dokumentation
- Team in sicheren MCP-Prompt-Mustern geschult
- Sicherheits-Best-Practices dokumentiert und zugänglich
- Freigabe-Workflows von allen Nutzern verstanden
- Regelmäßige Sicherheitsüberprüfungen (empfohlen: vierteljährlich)
- Sicherheits-Checkliste regelmäßig prüfen und aktualisieren
Schneller Sicherheits-Check
Kritische Sicherheitspunkte
Diese Punkte sind für die Sicherheit entscheidend – bei Nicht-Erfüllung umgehend angehen:
- ✅ API-Keys nicht in der Versionskontrolle
- ✅ Schreiboperationen erfordern Bestätigung
- ✅ Least Privilege: minimale nötige Rechte
- ✅ Schlüsselrotation geplant
- ✅ Logging für Schreiboperationen aktiv
Weitere Ressourcen
MCP-Sicherheitsanleitung
Umfassender Sicherheitsleitfaden
API-Key-Verwaltung
Schlüsselrotation und -verwaltung
Least Privilege
Sichere Schreib-Workflows
Schreib-Freigabe-Muster
Bestätigungsmuster
MCP-Integration absichern
Nutzen Sie diese Checkliste, damit Ihr MCP-Setup Sicherheits-Best-Practices entspricht