Cisco hat das erste Enterprise-Produkt vorgestellt, das MCP-Server als vollwertige Angriffsfläche behandelt. Auf der Cisco Live EMEA am 10. Februar 2026 in Amsterdam präsentierte das Unternehmen sein bislang größtes AI-Defense-Update zusammen mit einer neuen Initiative namens AgenticOps, die agentische KI-Fähigkeiten im gesamten Netzwerk-, Sicherheits- und Observability-Portfolio verankert. Das zentrale Feature: ein MCP-Laufzeit-Gateway, das jeden Aufruf zwischen einem KI-Agenten und seinen Tools abfängt, den Intent prüft und Policies in Echtzeit durchsetzt.
Das ist relevant, weil MCP zur Standard-Integrationsschicht für KI-Agenten wird und es bis jetzt kein produktionsreifes Security-Control-Plane dafür gab.
Was Cisco auf der Cisco Live Amsterdam konkret vorgestellt hat
Ciscos Ankündigung umfasst drei Säulen: AI Defense (Sicherheit für KI-Workloads), AgenticOps (agentische KI in IT-Operationen) und Infrastruktur-Upgrades für Netzwerke im KI-Zeitalter. Jeetu Patel, Ciscos President und Chief Product Officer, sprach von “kritischer Infrastruktur, die unsere Kunden brauchen, um schnell zu handeln und KI sicher einzusetzen.” Hier die Aufschlüsselung.
AI Defense Erweiterung bringt vier neue Fähigkeiten. AI BOM (Bill of Materials) gibt Unternehmen zentrale Sichtbarkeit über ihre KI-Software-Assets, einschließlich Modelldateien, MCP-Server und Drittanbieter-Abhängigkeiten. Man kann es sich als SBOM für KI vorstellen: ein Inventar jedes Modells und jedes Tools, das die Agenten nutzen, mit Schwachstellen-Scanning über eine Hugging-Face-Partnerschaft. Der MCP-Katalog entdeckt und inventarisiert MCP-Server in der gesamten Umgebung und markiert Risiken, bevor Agenten sich verbinden. Erweitertes algorithmisches Red Teaming führt adaptive Single-Turn- und Multi-Turn-Tests in mehreren Sprachen durch. Und Echtzeit-Agentic-Guardrails bieten kontinuierliches Monitoring, um Manipulation und unsicheres Verhalten zur Laufzeit zu erkennen, mit einer NVIDIA NeMo Guardrails Integration für produktionsreife Absicherung.
AgenticOps für Security bringt agentische KI in Cisco Security Cloud Control. Statt manueller Firewall-Alert-Triage analysieren agentische Fähigkeiten proaktiv Traffic, Kapazität, Zustand und Konfigurationsdaten der gesamten Firewall-Flotte, liefern priorisierte Empfehlungen und beheben Probleme autonom. Der Kernpunkt: “unter Einhaltung von Sicherheit und Compliance”. Cisco positioniert das als autonome Remediation innerhalb von Policy-Leitplanken, nicht als unbegrenzte Agentenaktionen.
AI-Aware SASE ergänzt Ciscos Secure Access Service Edge um KI-Traffic-Erkennung und -Optimierung. Das umfasst MCP-Visibilität, Logging und Policy-Kontrolle, die MCP-Kommunikation mit In-Path-Kontrollen erkennt und steuert. Intent-aware Inspection bewertet nicht nur den Inhalt agentischen Traffics, sondern warum ein Agent einen bestimmten Aufruf macht und wie er in den Gesprächskontext passt. Das geht deutlich über Pattern Matching hinaus.
Infrastruktur erhält Post-Quanten-Kryptografie-Support in IOS XE 26, den neuen Cisco 8000 Series Secure Routern und C9000 Series Smart Switches. Cisco kündigte außerdem Critical National Services Centers (CNSCs) in Großbritannien, Frankreich und Spanien an (Italien folgt), die Air-Gapped- und souveräne Deployment-Optionen bieten.
Die meisten Sicherheitsfunktionen zielen auf allgemeine Verfügbarkeit im Mai 2026. AgenticOps für Campus, Branch und Industrial begann im Februar 2026 auszurollen.
AI Defense wird agentisch: Das MCP-Gateway im Detail
Das Herzstück des AI-Defense-Updates ist der Laufzeitschutz, der als MCP-Gateway funktioniert. Wenn ein KI-Agent einen MCP-Server aufruft, um ein Tool zu nutzen, sitzt Cisco AI Defense dazwischen und fängt den Request ab. Es führt eine bidirektionale Inspektion durch, prüft also sowohl was der Agent sendet als auch was das Tool zurückgibt.
Das ist architektonisch der richtige Ansatz. Die OWASP Top 10 für agentische Anwendungen zählen Tool Compromise und Supply Chain Poisoning zu den fünf größten Risiken. Invariant Labs hat festgestellt, dass 5,5% der MCP-Server in freier Wildbahn Tool-Poisoning-Angriffe enthalten. Ein reales Beispiel: ein bösartiger MCP-Server, der bei jeder über den Agenten gesendeten E-Mail eine unbefugte dritte Partei ins BCC setzte. Das Tool funktionierte für seine Hauptfunktion exakt wie beschrieben. Die Datenexfiltration geschah geräuschlos nebenbei.
Ciscos Intent-aware Inspection kombiniert schnelle On-Device-Erkennung mit cloudbasierter Analyse, um den Intent hinter agentischen Nachrichten zu bewerten. Das geht über statische Signatur-Erkennung hinaus. Wenn ein Agent einen mehrstufigen Workflow startet, verfolgt das System den Gesprächskontext und markiert Abweichungen von erwarteten Verhaltensmustern. Wenn ein Agent mitten im Workflow plötzlich versucht, SSH-Keys zu exfiltrieren, erkennt das Gateway die Intent-Abweichung, selbst wenn der einzelne Tool-Aufruf syntaktisch normal aussieht.
Auch das AI-BOM-Feature verdient Aufmerksamkeit. Es überträgt das Software-Supply-Chain-Sicherheitsmodell erstmals in dieser Größenordnung auf KI. Jede Modelldatei, jeder MCP-Server, jede Drittanbieter-Abhängigkeit wird katalogisiert und gescannt. Chirag Mehta, VP und Principal Analyst bei Constellation Research, bringt es auf den Punkt: “Mit AI BOM und MCP Governance plus Multi-Turn Red Teaming und Echtzeit-Guardrails adressiert Cisco AI Defense den gesamten Risikopfad von der KI-Supply-Chain bis zur agentischen Laufzeit.”
Der Vorbehalt: Ciscos Blog-Post merkt an, dass einige Features “in unterschiedlichen Entwicklungsstadien verbleiben.” Das ist kein Vaporware, aber manche Fähigkeiten sind weiter als andere. Unternehmen, die das evaluieren, sollten nach einem Feature-für-Feature-Verfügbarkeitsplan fragen.
AgenticOps über den gesamten Stack
AgenticOps ist Ciscos Bezeichnung dafür, agentische KI in IT-Operationen über Netzwerk, Sicherheit und Observability einzubetten. Das ist getrennt von der Absicherung von Agenten (dafür ist AI Defense zuständig); AgenticOps nutzt Agenten, um die eigene Infrastruktur zu betreiben.
Data-Center-Netzwerke erhalten Früherkennung und intelligente Event-Korrelation. Statt darauf zu warten, dass Menschen Alerts von mehreren Switches und Routern korrelieren, erkennt agentische KI Muster über die gesamte Fabric und liefert konkrete Handlungsempfehlungen. Kontrollierte Verfügbarkeit ist für Juni 2026 geplant.
Service-Provider-Netzwerke profitieren von agentischen Fähigkeiten in Crosswork AI, die komplexe Multi-Vendor-Probleme identifizieren, diagnostizieren und lösen. Service Provider betreiben einige der heterogensten Umgebungen überhaupt; autonome Diagnostik über Cisco-, Juniper-, Nokia- und andere Hersteller-Geräte hinweg ist der Punkt, an dem der ROI greifbar wird.
Campus, Branch und Industrial sehen den frühesten Rollout ab Februar 2026. Der Use Case ist operativ: automatisierte Netzwerk-Fehlerbehebung, Kapazitätsplanung und Configuration-Drift-Erkennung, ohne dass ein Netzwerk-Ingenieur vor Ort sein muss.
Splunk AI Agent Monitoring verbindet die Observability-Schicht. Allgemein verfügbar ab 25. Februar 2026, visualisiert es Agenten-Workflows und wird mit Cisco AI Defense integriert, um Risiken wie Bias, Halluzinationen, Datenlecks und Prompt Injection sichtbar zu machen. AGNTCY-Qualitätsmetriken, darunter Relevanz- und Halluzinations-Scores, fließen direkt als Standard-Telemetrie in die Splunk-Plattform ein. Das ist das fehlende Puzzlestück, das KI-Sicherheit (AI Defense) und KI-Betrieb (AgenticOps) über ein einziges Dashboard verbindet.
Der strategische Zug ist klar. Cisco hat Splunk 2024 für 28 Milliarden Dollar übernommen, um Netzwerk und Observability zu vereinen. AgenticOps ist das erste Produkt, das dieses Versprechen für das KI-Zeitalter einlöst. Mauricio Sanchez, Senior Director bei der Dell’Oro Group, stellt fest: “Cisco hat seinen Marktanteil stetig ausgebaut, um rund 20% seit 2023. Anbieter, die Networking, Security und Policy Enforcement aufeinander abstimmen, sind zunehmend gut positioniert.”
Was europäische Unternehmen beachten sollten
Die Souveränitäts-Komponente ist bemerkenswert. Cisco hat Critical National Services Centers in Großbritannien, Frankreich und Spanien angekündigt (Italien folgt). Diese bieten Air-Gapped-, On-Premises-Deployments mit sicherheitsüberprüftem Personal und getrennten Prozessen. Für europäische Organisationen, die DORA, NIS2 oder nationalen Sicherheitsanforderungen unterliegen, ist das die Art von Infrastruktur-Commitment, die Cisco vom “möglichen Anbieter” auf die Shortlist bringt.
Der EU-AI-Act-Aspekt ist ebenso relevant. Bis zum 2. August 2026 brauchen Unternehmen, die Hochrisiko-KI-Systeme einsetzen, darunter viele agentenbasierte Anwendungen, dokumentierte Risikomanagementprozesse, Mechanismen zur menschlichen Aufsicht und technisches Logging. Ciscos AI BOM, MCP Governance und Laufzeit-Guardrails adressieren direkt die Artikel 9, 12 und 14 des EU AI Act. Ob ein Cisco-Produkt allein die Compliance erfüllt, muss rechtlich bewertet werden, aber die Fähigkeiten decken die richtigen Anforderungen ab.
Post-Quanten-Kryptografie über den gesamten Netzwerk-Stack ist vorausschauend. Die europäische ENISA treibt PQC-Adoption seit 2024 voran, und das BSI (Bundesamt für Sicherheit in der Informationstechnik) empfiehlt hybride klassische/PQC-Verschlüsselung für sensible Workloads ab 2026. Ciscos vollständiger PQC-Support in IOS XE 26 kommt dieser Entwicklung zuvor.
Der Zeitplan ist entscheidend für die Planung. Security-Features zielen auf allgemeine Verfügbarkeit im Mai 2026, drei Monate vor dem EU-AI-Act-Stichtag. Das ist knapp, aber machbar. Splunk AI Agent Monitoring ist ab 25. Februar allgemein verfügbar. AgenticOps für Rechenzentren erreicht kontrollierte Verfügbarkeit im Juni. Europäische CISOs sollten diese Termine jetzt mit ihren Compliance-Zeitplänen abgleichen, nicht erst im dritten Quartal, wenn der Audit-Druck steigt.
Häufig gestellte Fragen
Was ist Cisco AgenticOps?
AgenticOps ist Ciscos Initiative, agentische KI-Fähigkeiten im gesamten Netzwerk-, Sicherheits- und Observability-Portfolio zu verankern. Es nutzt KI-Agenten zur Automatisierung von IT-Operationen wie Netzwerk-Fehlerbehebung, Firewall-Management und Event-Korrelation über Rechenzentrum, Campus, Branch und Service-Provider-Umgebungen hinweg.
Was ist das Cisco AI Defense MCP-Gateway?
Das MCP-Gateway ist eine Laufzeitschutz-Funktion in Cisco AI Defense, die Aufrufe zwischen KI-Agenten und MCP-Servern (Model Context Protocol) abfängt. Es führt bidirektionale Inspektion durch, bewertet den Intent hinter agentischen Nachrichten und setzt Sicherheits-Policies in Echtzeit durch, um Tool Poisoning, Datenexfiltration und Manipulation zu verhindern.
Wann sind die Cisco AI Defense Security-Features verfügbar?
Ciscos AI Defense Security-Features zielen auf allgemeine Verfügbarkeit im Mai 2026. Splunk AI Agent Monitoring ist ab 25. Februar 2026 allgemein verfügbar. AgenticOps für Campus, Branch und Industrial begann im Februar 2026 auszurollen, während Data-Center-Features kontrollierte Verfügbarkeit im Juni 2026 anstreben.
Was ist AI BOM (AI Bill of Materials)?
AI BOM ist eine Funktion in Cisco AI Defense, die zentrale Sichtbarkeit und Governance für KI-Software-Assets bietet. Sie katalogisiert Modelldateien, MCP-Server und Drittanbieter-Abhängigkeiten und scannt sie über eine Partnerschaft mit Hugging Face auf Schwachstellen. Sie überträgt das SBOM-Konzept (Software Bill of Materials) auf die KI-Supply-Chain.
Hilft Cisco AgenticOps bei der EU-AI-Act-Compliance?
Ciscos AI BOM, MCP Governance, Laufzeit-Guardrails und technische Logging-Fähigkeiten adressieren die Artikel 9, 12 und 14 des EU AI Act, die Risikomanagement, Aufzeichnungspflichten und menschliche Aufsicht abdecken. Ob diese Features allein die Compliance-Anforderungen erfüllen, hängt vom konkreten Einsatz ab und sollte juristisch bewertet werden.