Ein einziger MCP-Server kann einem KI-Agenten Lese- und Schreibzugriff auf eure Produktionsdatenbank, euer CRM, euer Dateisystem und euren Slack-Workspace geben. Bei über 17.000 MCP-Servern in öffentlichen Registries habt ihr zwei Probleme: Tool-Entdeckung und Tool-Steuerung. MCP-Registries lösen das erste. MCP-Gateways lösen das zweite. Die meisten Unternehmen brauchen beides, und wer die beiden verwechselt, landet beim unkontrollierten Agent-Tool-Wildwuchs.
Die Registry ist der Katalog: Sie sagt Agenten, welche Tools existieren, was sie tun und wie man sich verbindet. Das Gateway ist die Kontrollstelle: Es sitzt zwischen Agent und MCP-Server, erzwingt Authentifizierung, Autorisierung, Rate Limits und Audit-Logging, bevor eine Anfrage das Backend erreicht. Stellt euch die Registry als internen App-Store vor und das Gateway als den Sicherheitsdienst am Rechenzentrum.
Was eine MCP-Registry konkret leistet
Die offizielle MCP-Registry, im September 2025 als Preview gestartet, funktioniert wie ein Paketmanager für MCP-Server. Entwickler veröffentlichen Server-Metadaten (Capabilities, Version, Transport-Typ, Authentifizierungsanforderungen) und Clients fragen die Registry-API ab, um verfügbare Tools zur Laufzeit zu finden. Schluss mit hardcodierten Server-URLs in Agent-Konfigurationen.
Drei Designprinzipien sind für den Unternehmenseinsatz relevant. Erstens: Die Registry ist herstellerneutral, verwaltet unter der Agentic AI Foundation (Linux Foundation) mit Anthropic, Google, Microsoft und OpenAI als Mitglieder. Zweitens: Sie unterstützt sowohl öffentliche als auch private Instanzen, sodass Unternehmen interne Registries betreiben können, in denen nur freigegebene Server sichtbar sind. Drittens: Sie stellt eine REST-API mit Cursor-basierter Paginierung bereit, die programmatische Integration ermöglicht.
Öffentliche vs. private Registries
Die öffentliche Registry eignet sich für Open-Source-Entdeckung. In Produktion wollt ihr aber eine private Registry, in der nur geprüfte, freigegebene MCP-Server erscheinen. Genau dieses Modell verfolgt Kongs MCP-Registry (Februar 2026, Teil von Kong Konnect): ein kuratierter Katalog innerhalb eurer bestehenden API-Management-Plattform, in dem Server die gleichen Policy-Kontrollen erben wie eure REST-APIs.
ARegistry verfolgt einen breiteren Ansatz als zentrale Registry für alle KI-Artefakte: Agenten, MCP-Server, Skills und Modelle. Unternehmen importieren Artefakte aus beliebigen Quellen, prüfen sie in einem Freigabe-Workflow und deployen auf verwaltete Infrastruktur.
Die entscheidende Unterscheidung: Öffentliche Registries optimieren auf Auffindbarkeit. Private Registries optimieren auf Kontrolle. Unternehmen brauchen beides: die öffentliche Registry zur Erstbewertung und eine private zur Produktionsnutzung.
Server-Discovery zur Laufzeit
Die MCP-Spezifikation unterstützt dynamische Discovery über .well-known-URLs, die es Servern erlauben, ihre Capabilities zu bewerben, ohne dass Clients sich zuerst verbinden müssen. Kombiniert mit Registry-APIs kann ein Agent fragen “Welche MCP-Server bieten CRM-Zugriff?” und bekommt eine Liste freigegebener Optionen mit Verbindungsdaten, Authentifizierungsanforderungen und Versions-Metadaten zurück, ohne manuelle Konfiguration durch Entwickler.
Klingt praktisch. Genau deshalb existieren Gateways: Weil Komfort ohne Kontrolle dazu führt, dass Agenten sich mit jedem MCP-Server verbinden, der auf eine Capability-Anfrage mit “Ja” antwortet.
MCP-Gateways: Die Steuerungsebene für Agent-Tool-Zugriff
Ein MCP-Gateway ist eine Infrastrukturschicht zwischen KI-Agenten und MCP-Servern, die als Reverse Proxy mit agenten-spezifischer Sicherheit funktioniert. Kong definiert es als “einen zentralen, sicheren Einstiegspunkt für KI-Clients” mit vier Aufgaben: interne Server schützen, Authentifizierung durchsetzen, Anfragen intelligent routen und zentrale Sichtbarkeit schaffen.
Die Architektur kennt ihr von API-Gateways. Anfragen laufen vom Agenten durch das Gateway, das Credentials prüft, Policies auswertet, die Anfrage protokolliert und sie dann an den passenden MCP-Server weiterleitet (oder ablehnt). Der Unterschied: MCP-Gateways verstehen agentenspezifische Muster wie mehrstufige Tool-Ketten, Session-Affinität über Gesprächsrunden hinweg und Tool-basiertes Routing, bei dem das Gateway die angefragte Capability inspiziert und Traffic an das richtige Backend leitet.
Authentifizierung und Autorisierung
Enterprise-MCP-Gateways unterstützen OAuth 2.0, OpenID Connect (OIDC) und SAML zur Anbindung an Identity Provider. Aber Authentifizierung allein reicht nicht. Ihr braucht Autorisierung, die berücksichtigt, was jeder Agent tun darf.
Hier kommen Role-Based Access Control (RBAC) und Attribute-Based Access Control (ABAC) ins Spiel. Ein Kundenservice-Agent darf das CRM lesen, aber keine Finanzsysteme beschreiben. Ein Code-Review-Agent darf mit GitHub interagieren, aber nie Produktions-Deployment-Tools anfassen.
Stratas Maverics AI Identity Gateway geht noch weiter mit ephemeren, aufgabenbezogenen Tokens: Statt einem Agenten dauerhaften Zugriff zu gewähren, stellt das Gateway kurzlebige Tokens aus, die nach Abschluss der jeweiligen Aufgabe ablaufen. Eine eingebettete Open Policy Agent (OPA)-Engine wertet feingranulare Policies zur Laufzeit aus und berücksichtigt dabei nicht nur die Rolle des Agenten, sondern auch den aktuellen Ausführungskontext.
Rate Limiting und Kostenkontrolle
Agenten arbeiten mit Maschinengeschwindigkeit. Ohne Leitplanken kann ein einzelner durchdrehender Agent API-Kontingente aufbrauchen, Cloud-Rechnungen in die Höhe treiben oder einen Backend-Dienst in einen Denial-of-Service-Zustand hämmern. MCP-Gateways erzwingen Rate Limits pro Agent, pro Tool und pro Zeitfenster. Rollenbasierte Profile können Budget-Grenzen setzen, damit der experimentelle Agent eines Praktikanten nicht über Nacht 10.000 Euro an API-Kosten verursacht.
Audit-Logging und Compliance
Jeder Tool-Aufruf, der durch das Gateway läuft, wird protokolliert: welcher Agent welches Tool aufgerufen hat, mit welchen Parametern, zu welcher Zeit und was die Antwort war. Für regulierte Branchen ist das keine Option, sondern Pflicht. MintMCPs Gateway ist SOC 2 Type II zertifiziert, was bedeutet, dass die Audit-Trail-Kontrollen unabhängig auf Sicherheit, Verfügbarkeit und Vertraulichkeit geprüft wurden.
Für die DSGVO-Compliance können Gateways EU-Datenresidenz-Anforderungen durchsetzen und die vollständigen Audit-Trails liefern, die Artikel 30 verlangt. Das ist besonders relevant für DACH-Unternehmen, die gleichzeitig DSGVO und EU AI Act Anforderungen erfüllen müssen.
Sieben MCP-Gateways im Vergleich
Der Markt ist von zwei Anbietern Ende 2025 auf ein dichtes Feld Anfang 2026 gewachsen. Hier die wichtigsten Plattformen.
Kong AI Gateway integriert MCP-Server-Management in Kong Konnect, die Plattform, die bereits API-Gateway-Aufgaben für Tausende Unternehmen übernimmt. Stärke: MCP-Server neben bestehenden APIs mit vererbten Policy-Kontrollen verwalten. Schwäche: überdimensioniert für Teams, die nur MCP-Governance brauchen.
MintMCP Gateway ist speziell für MCP gebaut mit One-Click-STDIO-Deployment, OAuth/SSO-Schutz und SOC 2 Type II Zertifizierung. Stärke: schnellster Weg von null zu governed MCP in Produktion. Schwäche: jüngerer Anbieter, kleineres Ökosystem.
Strata Maverics nähert sich MCP-Governance über ein Identity Fabric, das MCP-Server über euren bestehenden Identity Provider föderiert. Stärke: ephemere Tokens und OPA-basierte Policy-Engine. Schwäche: primär identitätsfokussiert; braucht Ergänzung für volle Observability.
Docker MCP Gateway nutzt container-native Infrastruktur für Teams, die bereits Docker einsetzen. Open Source (MIT-Lizenz) mit Kubernetes-Orchestrierung. Stärke: kein Vendor Lock-in. Schwäche: ihr baut und wartet die Governance-Schicht selbst.
Lasso Security Gateway fokussiert auf Bedrohungserkennung mit einem Triple-Gate-Sicherheitsmuster über KI-, MCP- und API-Ebene. Echtzeit-Prompt-Injection-Erkennung und Parametervalidierung. Stärke: Security-first für regulierte Branchen. Schwäche: weniger Fokus auf Developer Experience.
Lunar.Dev MCPX bietet zentrale Policy-Durchsetzung mit RBAC und vollständigem Request-Tracing. Unterstützt sowohl STDIO als auch Remote-HTTP/SSE-Server. Stärke: starkes Observability-Dashboard. Schwäche: früheres Stadium als Kong oder MintMCP.
Traefik Hub erweitert den beliebten Traefik Reverse Proxy mit MCP-Middleware. OpenTelemetry-Integration für Metriken. Stärke: nahtlose Integration für Teams, die bereits Traefik nutzen. Schwäche: MCP ist eine Erweiterung, nicht das Kernprodukt.
Enterprise-MCP-Governance-Stack aufbauen
Eine Registry und ein Gateway bilden zusammen die minimale Governance-Schicht für MCP in Produktion. Der Weg von “wir sollten unsere MCP-Server steuern” zum tatsächlichen Tun braucht aber einen konkreten Plan.
Schritt 1: Inventur eurer MCP-Server
Bevor ihr irgendetwas steuern könnt, müsst ihr wissen, was existiert. Führt ein Audit aller MCP-Server-Verbindungen in eurer Organisation durch. Die Gravitee-Studie “State of AI Agent Security 2026” ergab, dass nur 14,4% der Unternehmen eine vollständige Sicherheitsfreigabe für alle deployten Agenten haben. Die restlichen 85,6% haben MCP-Server in Betrieb, die niemand aus der Security-Abteilung geprüft hat.
Schritt 2: Private Registry deployen
Richtet eine interne MCP-Registry ein (der offizielle Registry-Code ist Open Source auf GitHub) oder nutzt eine Managed-Option wie Kongs Konnect Catalog. Füllt sie ausschließlich mit freigegebenen Servern. Konfiguriert eure Agenten so, dass sie diese Registry abfragen, nicht die öffentliche.
Schritt 3: Gateway vor alles schalten
Leitet allen MCP-Traffic durch ein Gateway. Erzwingt OAuth/OIDC-Authentifizierung, definiert RBAC-Policies pro Agentenrolle, setzt Rate Limits und aktiviert Audit-Logging. Startet mit einer Deny-by-Default-Haltung: Agenten dürfen nur auf Tools zugreifen, die für ihre Rolle explizit freigegeben sind.
Schritt 4: Überwachen und iterieren
Nutzt die Observability-Features des Gateways, um Tool-Nutzungsmuster zu verfolgen, ungenutzte Server zu identifizieren (entfernt sie), anomale Zugriffsmuster zu erkennen und Rate Limits anhand tatsächlicher Verbrauchsdaten zu optimieren.
Das Ziel ist nicht, Agenten auszubremsen. Das Ziel ist, unkontrollierten Tool-Zugriff unmöglich zu machen und gleichzeitig den kontrollierten Zugriff schnell und reibungslos zu gestalten.
Häufig gestellte Fragen
Was ist der Unterschied zwischen einer MCP-Registry und einem MCP-Gateway?
Eine Registry katalogisiert verfügbare MCP-Server und hilft Agenten beim Entdecken vorhandener Tools. Ein Gateway kontrolliert den Zugriff auf diese Server durch Authentifizierung, Autorisierung, Rate Limits und Audit-Logging. Die Registry beantwortet “Welche Tools gibt es?” Das Gateway beantwortet “Darfst du dieses Tool gerade nutzen?”
Brauche ich ein MCP-Gateway, wenn meine Agenten nur interne Tools nutzen?
Ja. Interne Tools sind oft sensibler als externe (Produktionsdatenbanken, HR-Systeme, Finanzdaten). Ein Gateway stellt sicher, dass auch interner MCP-Server-Zugriff authentifiziert, autorisiert, protokolliert und ratenlimitiert wird. Ohne Gateway kann jeder Agent mit Netzwerkzugriff jeden internen MCP-Server aufrufen.
Wie funktioniert die Authentifizierung bei einem MCP-Gateway?
Die meisten Enterprise-MCP-Gateways unterstützen OAuth 2.0, OpenID Connect und SAML. Sie binden an bestehende Identity Provider (Okta, Azure AD, Keycloak) an, sodass Agenten die gleiche Infrastruktur wie menschliche Nutzer verwenden. Fortgeschrittene Gateways stellen ephemere, aufgabenbezogene Tokens aus, die nach Abschluss der Operation ablaufen.
Welches MCP-Gateway eignet sich für regulierte Branchen in der DACH-Region?
MintMCP ist SOC 2 Type II zertifiziert. Lasso Security bietet ein Triple-Gate-Sicherheitsmuster mit Echtzeit-Bedrohungserkennung. Strata Maverics liefert OPA-basierte Policy-Durchsetzung mit Identity-Fabric-Integration. Für DACH-Unternehmen sind zusätzlich DSGVO-konforme Audit-Trails und EU-Datenresidenz entscheidend.
Kann ich die offizielle MCP-Registry intern nutzen?
Ja. Die offizielle MCP-Registry ist Open Source und unterstützt sowohl öffentliche als auch private Instanzen. Ihr könnt eure eigene Registry deployen, die nur die freigegebenen MCP-Server eures Unternehmens indexiert, und so Agenten einen kuratierten Katalog bieten, ohne sie der gesamten öffentlichen Registry auszusetzen.