Start Blog Neue MCP-Spezifikation Juli 2026: Stateless-Core & MCP Apps
Alle Artikel
Model Context Protocol 23. Juni 2026 11 Min. Lesezeit

Die neue MCP-Spezifikation vom 28. Juli 2026: Stateless-Core, MCP Apps und Tasks

Am 28. Juli 2026 erscheint die größte Revision des Model Context Protocol seit dem Launch. Der neue Stateless-Core erlaubt MCP-Server hinter einem simplen Load-Balancer ohne Sticky-Sessions – genau das, was Mittelständler brauchen, die KI-Agenten in der eigenen Docker- oder Kubernetes-Infrastruktur skalieren wollen. Wir ordnen die Änderungen für On-Premise-Deployments ein.

Vom Stateful-Handshake zum Stateless-Core
Vorher · Stateful
Client
Mcp-Session-Id
Sticky-Session
MCP-Server
hält Session-State
Nachher · Stateless-Core
Client
Load-Balancer
Round-Robin
Replica 1
Replica 2
Replica 3
zustandslos
Neue Extensions: MCP Apps Tasks

Das Model Context Protocol (MCP) hat sich in weniger als zwei Jahren vom Anthropic-Experiment zum De-facto-Standard für die Anbindung von KI-Modellen an Werkzeuge und Datenquellen entwickelt. Mit der Spezifikationsversion vom 28. Juli 2026 kommt nun die folgenreichste Überarbeitung seit dem Launch – und sie ist ausgerechnet für Unternehmen interessant, die ihre KI-Infrastruktur im eigenen Rechenzentrum betreiben.

Der Kern der Neuerung: ein Stateless-Core, der MCP-Server endlich so betreibbar macht wie jeden anderen zustandslosen Microservice – beliebig replizierbar, hinter einem simplen Load-Balancer, ohne Session-Klebrigkeit. Dazu kommen zwei neue Extensions (MCP Apps und Tasks) und sechs handfeste Verbesserungen bei der Autorisierung. Wir ordnen ein, was das konkret für selbst gehostete Deployments im Mittelstand bedeutet.

MCP in 60 Sekunden

Falls Sie neu im Thema sind: MCP ist ein offener Standard, der definiert, wie ein KI-Modell strukturiert mit externen Tools, Datenquellen und Diensten kommuniziert. Statt für jede Anbindung eine eigene, proprietäre Integration zu bauen, sprechen KI-Agenten und Server über ein einheitliches Protokoll miteinander. MCP ist damit für Tool Use und Function Calling das, was USB-C für die Hardware-Peripherie ist: eine Steckverbindung, die überall passt.

Die Adoption spricht für sich: Anthropic nennt mittlerweile über 10.000 aktive öffentliche MCP-Server, und laut einer Erhebung von Stacklok betreiben bereits 41 % der Software-Organisationen MCP-Server in Produktion. MCP ist also kein Nischenthema mehr, sondern Infrastruktur. Die fachlichen Grundlagen – Architektur, Tools, Resources, Prompts und das Lock-in-Argument – haben wir im Artikel Model Context Protocol 2026: Enterprise-Standard gegen Lock-in ausführlich behandelt. Dieser Beitrag konzentriert sich auf das, was die Juli-Spezifikation ändert.

Der Stateless-Core: Skalierung ohne Sticky Sessions

Bisher war jede MCP-Verbindung zustandsbehaftet. Ein Client startete eine Sitzung mit einem initialize-Aufruf, der Server antwortete, der Client bestätigte mit initialized – und ab diesem Moment war die Verbindung an genau diese Server-Instanz gebunden. Der Mcp-Session-Id-Header sorgte dafür, dass alle folgenden Anfragen wieder bei derselben Instanz landeten. In der Cloud mit einem einzelnen Managed-Endpoint ist das verschmerzbar. Im eigenen Rechenzentrum, wo Sie horizontal skalieren wollen, ist es ein echtes Ärgernis.

Mit dem Stateless-Core entfällt dieser Zwang. Der initialize/initialized-Handshake und der Mcp-Session-Id-Header werden für den zustandslosen Betrieb nicht mehr benötigt. Jede Anfrage trägt den nötigen Kontext selbst – der Server muss sich nichts merken. Damit kann ein MCP-Server hinter einem ganz gewöhnlichen Round-Robin-Load-Balancer betrieben werden, der Anfragen frei auf beliebig viele identische Instanzen verteilt.

Warum das für On-Premise entscheidend ist: Sticky Sessions sind der natürliche Feind horizontaler Skalierung. Wer Server-State pro Verbindung halten muss, braucht entweder Session-Affinität im Load-Balancer (fragil bei Ausfällen) oder einen externen Session-Store wie Redis (zusätzliche Komponente, zusätzliche Fehlerquelle). Der Stateless-Core macht beides überflüssig: Sie deployen den MCP-Server als Docker-Container, skalieren ihn in Kubernetes auf so viele Replicas wie nötig und lassen den Load-Balancer frei verteilen. Fällt eine Instanz aus, übernimmt die nächste – ohne Sitzungsverlust.

Für die Agenten-Orchestrierung im eigenen Netz ist das ein Qualitätssprung. Plötzlich verhält sich ein MCP-Server wie jeder andere zustandslose Microservice in Ihrer Architektur: Rolling Updates ohne Verbindungsabbrüche, automatisches Hochskalieren bei Lastspitzen, einfache Health-Checks. Die Betriebskomplexität sinkt deutlich – und damit die Hürde, KI-Agenten produktiv und ausfallsicher im Mittelstand zu betreiben.

MCP Apps: Interaktive UIs in der Sandbox

Bisher war die Kommunikation zwischen Agent und Server im Wesentlichen textbasiert: Der Server liefert Daten, das Modell formuliert daraus eine Antwort. Die neue Apps-Extension durchbricht diese Beschränkung. Ein Server kann jetzt interaktive HTML-Oberflächen ausliefern, die der Client in einer abgeschotteten Sandbox-iframe rendert. Statt nur Text zurückzugeben, kann ein KI-Agent so ein vollwertiges Bedienelement direkt im Chat darstellen.

Die Use-Cases sind unmittelbar einleuchtend:

  • Freigabe-Workflows: Ein Agent, der eine Bestellung auslösen oder eine Rechnung freigeben soll, rendert ein Bestätigungsformular mit den konkreten Daten – der Mensch klickt bewusst auf „Freigeben", statt dem Modell blind zu vertrauen.
  • Dashboards im Chat: Ein Reporting-Agent zeigt nicht nur Zahlen als Fließtext, sondern ein interaktives Dashboard mit filterbaren Kennzahlen direkt im Gespräch.
  • Strukturierte Eingabe: Statt den Nutzer fünf Angaben in Prosa eintippen zu lassen, blendet der Agent ein sauberes Formular ein – weniger Missverständnisse, sauberere Daten.

Der entscheidende Sicherheitsaspekt: Die UI läuft in einer Sandbox-iframe, also strikt isoliert vom restlichen Client. Die App kann nicht beliebig auf das umgebende System zugreifen, sondern kommuniziert nur über definierte Kanäle mit dem MCP-Host. Gerade für Human-in-the-Loop-Szenarien ist das Gold wert: Sie behalten an den kritischen Punkten die bewusste menschliche Kontrolle, ohne den Komfort einer modernen Oberfläche aufzugeben.

Tasks: Langlaufende Aufträge sauber steuern

Das ursprüngliche MCP-Modell war auf kurze, synchrone Anfrage-Antwort-Zyklen ausgelegt. Was aber, wenn ein Tool-Aufruf nicht in Sekunden, sondern in Stunden abgeschlossen ist? Ein Datenexport über Millionen Datensätze, ein Batch-Lauf, eine umfangreiche Dokumentenanalyse – solche Aufgaben sprengen das synchrone Modell. Die neue Tasks-Extension schließt diese Lücke mit drei Operationen: tasks/get, tasks/update und tasks/cancel.

Das Prinzip ist von asynchronen APIs bekannt: Der Agent stößt eine langlaufende Aufgabe an und erhält sofort eine Task-Referenz zurück, statt blockiert auf das Ergebnis zu warten. Über tasks/get fragt er den Status ab (Polling), tasks/update erlaubt Statusmeldungen während der Ausführung und tasks/cancel bricht den Auftrag kontrolliert ab.

Praxisbeispiel: Mehrstündiger Datenexport bei einem Großhändler
Ein mittelständischer Großhändler aus Oberfranken setzt einen KI-Agenten ein, der auf Zuruf vollständige Artikel- und Bewegungsdaten für die Jahresabschlussprüfung exportiert – ein Lauf über mehrere Millionen Datensätze, der je nach Last zwei bis vier Stunden dauert. Vor der Tasks-Extension lief eine solche Anfrage entweder in einen Timeout oder blockierte die gesamte Agenten-Sitzung. Heute stößt der Agent den Export per Tool-Aufruf an, erhält eine Task-ID und meldet dem Sachbearbeiter „Export gestartet, geschätzte Dauer 3 Stunden". Im Hintergrund pollt er per tasks/get den Fortschritt und meldet sich proaktiv, sobald die Datei im Zielverzeichnis liegt – alles innerhalb der eigenen, DSGVO-konformen Infrastruktur, ohne dass Daten das Haus verlassen.

Für Agentic AI im Unternehmenseinsatz ist das ein wichtiger Reifeschritt: Echte Geschäftsprozesse sind selten in Sekunden erledigt. Mit Tasks lassen sich langlaufende Vorgänge robust modellieren, ohne auf brüchige Workarounds wie künstliche Keep-Alive-Tricks oder eigene Job-Queues neben dem Protokoll auszuweichen.

Sechs Sicherheits-Verbesserungen bei der Autorisierung

Mit der Verbreitung von MCP wächst die Angriffsfläche. Die Juli-Spezifikation reagiert darauf mit sechs gezielten Verbesserungen bei der Autorisierung, die das Protokoll näher an etablierte Standards wie OAuth 2.0 und OpenID Connect heranführen. Die folgende Tabelle fasst die wichtigsten Änderungen zusammen:

Verbesserung Was sich ändert Nutzen für On-Premise
iss-Validierung (RFC 9207) Verpflichtende Prüfung des Token-Ausstellers (Issuer) Schützt vor Mix-up-Angriffen mit untergeschobenen Tokens
OAuth 2.0 Alignment Engere Anlehnung an etablierte OAuth-Flows Anbindung an bestehende IdP/SSO im eigenen RZ
OpenID Connect Klarere Identity-Layer-Vorgaben Eindeutige Nutzeridentität für Audit-Logs
Token-Scope-Schärfung Präzisere Geltungsbereiche pro Tool Least-Privilege: Agent erhält nur nötige Rechte
Resource Indicators Tokens werden an konkrete Ziel-Ressource gebunden Gestohlene Tokens taugen nicht für andere Server
Metadaten-Discovery Standardisierte Auth-Server-Metadaten Weniger Fehlkonfiguration beim Self-Hosting

Besonders hervorzuheben ist die nun verpflichtende iss-Validierung nach RFC 9207. Sie verhindert eine ganze Klasse von Angriffen, bei denen ein Token eines vertrauenswürdigen Ausstellers gegen einen anderen Server ausgespielt wird. Zusammen mit den Resource Indicators wird das Protokoll damit deutlich widerstandsfähiger gegen Token-Diebstahl und Wiederverwendung.

Autorisierung allein macht einen MCP-Server allerdings nicht sicher. Die wohl gefährlichste Schwachstelle der MCP-Welt liegt in den Tool-Beschreibungen selbst – Stichwort Tool Poisoning, bei dem versteckte Anweisungen in Tool-Definitionen das Modell manipulieren. Warum gerade das ein starkes Argument für den Betrieb im eigenen, kontrollierten Netz ist, lesen Sie in unserem Beitrag MCP-Sicherheit: Tool Poisoning und das On-Premise-Argument.

Migration selbst gehosteter MCP-Server

Die gute Nachricht für alle, die bereits MCP-Server betreiben: Es besteht kein Zeitdruck. Die Juli-Spezifikation führt eine formale Deprecation-Policy ein, die abgekündigten Features mindestens zwölfmonatige Übergangsfenster zusichert. Bestehende Server funktionieren also weiter, während Sie die Umstellung planvoll angehen. Zusätzlich vereinheitlicht die Spezifikation die Schema-Validierung auf JSON Schema 2020-12, was die Interoperabilität zwischen Implementierungen verbessert.

Für die Umstellung empfehlen wir folgende Schritt-für-Schritt-Checkliste:

  1. Stateless-Tauglichkeit prüfen: Hält Ihr Server Zustand pro Verbindung (z. B. im Arbeitsspeicher)? Identifizieren Sie diese Stellen und lagern Sie nötigen Kontext in die Anfrage selbst oder einen geteilten Speicher aus.
  2. Session-Logik entkoppeln: Entfernen Sie die Abhängigkeit vom Mcp-Session-Id-Header für den regulären Betrieb. Der Server soll jede Anfrage eigenständig bedienen können.
  3. Autorisierung härten: Setzen Sie die verpflichtende iss-Validierung nach RFC 9207 um und binden Sie Tokens über Resource Indicators an den konkreten Server. Verknüpfen Sie die Auth mit Ihrem bestehenden Identity-Provider.
  4. Schemata aktualisieren: Migrieren Sie Ihre Tool- und Resource-Definitionen auf JSON Schema 2020-12 und validieren Sie sie gegen die neue Referenz.
  5. Replicas testen: Deployen Sie den Server als mehrere identische Docker-Replicas hinter einem Round-Robin-Load-Balancer und prüfen Sie unter Last, dass Anfragen instanzunabhängig korrekt beantwortet werden.
  6. Optionale Extensions evaluieren: Entscheiden Sie use-case-bezogen, ob MCP Apps oder Tasks für Ihre Agenten einen Mehrwert bieten – beide sind additiv und müssen nicht sofort eingeführt werden.

Wenn Sie diese Migration nicht selbst stemmen wollen, unterstützt Sie unser Team bei der MCP-Integration – von der Architekturbewertung bestehender Server bis zum produktiven Stateless-Deployment in Ihrer Infrastruktur.

Was Mittelständler jetzt tun sollten

Die MCP-Spezifikation vom 28. Juli 2026 ist mehr als ein Routine-Update – sie macht das Protokoll betriebsreif für ernsthafte On-Premise-Deployments. Unsere Handlungsempfehlung in drei Punkten:

  • Bestandsserver auf Stateless-Tauglichkeit prüfen. Das ist der größte Hebel. Ein zustandsloser Server lässt sich im eigenen Rechenzentrum robust und einfach skalieren – nutzen Sie die Gelegenheit für eine Architektur-Inventur.
  • Das Timing zum 28.07. nutzen. Mit der finalen Veröffentlichung wird die Tooling-Landschaft nachziehen. Wer früh umstellt, profitiert vom wachsenden Ökosystem und vermeidet späteren Migrationsstau.
  • Autorisierung härten. Setzen Sie die sechs Auth-Verbesserungen zeitnah um – insbesondere die iss-Validierung. Sicherheit ist im Agenten-Kontext kein Nice-to-have.

Der Blick nach vorn stimmt optimistisch: Das MCP-Ökosystem wächst rasant, und mit ergänzenden Standards wie A2A (Agent-to-Agent) für die direkte Kommunikation zwischen Agenten entsteht ein zunehmend ausgereiftes Fundament für agentische KI-Lösungen. Für den Mittelstand bedeutet das: Die Werkzeuge, um KI-Agenten kontrolliert, DSGVO-konform und im eigenen Netz zu betreiben, sind 2026 endgültig erwachsen geworden. Wer jetzt eine saubere On-Premise-Basis schafft, ist für die nächste Welle bestens aufgestellt.

Häufig gestellte Fragen zur neuen MCP-Spezifikation

Was ist neu an der MCP-Spezifikation vom Juli 2026?

Die wichtigste Änderung ist der Stateless-Core: Der bisherige Session-Handshake und der Mcp-Session-Id-Header entfallen, sodass Server zustandslos hinter einem einfachen Load-Balancer laufen. Hinzu kommen zwei neue Extensions – MCP Apps für interaktive UIs und Tasks für langlaufende Aufträge – sowie sechs Verbesserungen bei der Autorisierung.

Muss ich meine bestehenden MCP-Server umbauen?

Nicht sofort. Die Spezifikation enthält eine formale Deprecation-Policy mit mindestens zwölfmonatigen Übergangsfenstern. Sie sollten aber prüfen, ob Ihre Server stateless betrieben werden können, um von der einfacheren Skalierung zu profitieren, und die neuen Autorisierungsanforderungen umsetzen.

Warum ist der Stateless-Core für On-Premise wichtig?

Ohne Sticky-Sessions können Sie MCP-Server als beliebig viele identische Replicas in Docker oder Kubernetes betreiben und über einen simplen Round-Robin-Load-Balancer verteilen. Das macht horizontale Skalierung im eigenen Rechenzentrum deutlich einfacher und robuster – ohne externen Session-Store.

Was sind MCP Apps?

MCP Apps sind eine neue Extension, mit der ein Server interaktive HTML-Oberflächen in einer Sandbox-iframe ausliefern kann. Statt nur Text zurückzugeben, kann ein KI-Agent so etwa ein Formular, ein Dashboard oder eine Bestätigungs-UI direkt im Chat darstellen – nützlich für Freigabe- und Human-in-the-Loop-Schritte.

Passende Leistungen
MCP-Integration Agentic AI Lösungen On-Premise-KI KI-System aufbauen

MCP-Server fit für den Stateless-Core machen

Wir bewerten Ihre bestehenden MCP-Server, planen die Migration zum Stateless-Core und richten ein skalierbares, DSGVO-konformes Deployment in Ihrer eigenen Infrastruktur ein. Kostenlose Erstberatung.

Weitere Artikel
MCP

Model Context Protocol (MCP) 2026: Enterprise-Standard gegen Lock-in

Die Grundlagen des MCP-Standards für Unternehmen.
Sicherheit

MCP-Sicherheit: Tool Poisoning und das On-Premise-Argument

Warum verwundbare MCP-Server für Kontrolle im eigenen Netz sprechen.