Deine MCP-Tools liefen. Slack, GitHub, Jira, eine Datenbank — alles über MCP verbunden, den universellen Steckerstandard für KI-Tools. Du hast API-Keys in eine JSON-Config gepastet, lokal gestartet und dich wie ein Zauberer gefühlt. Alles sprach mit allem.

Dann kam dein Security-Team vorbei. Wo werden diese Credentials gespeichert? Wie werden sie rotiert? Wer kann sie noch lesen? Die Antwort auf alle drei Fragen: keiner weiß es. Und diese leise Panik, die du gespürt hast? Multiplizier sie mit jedem Unternehmen, das versucht, KI-Agenten von der Demo in die Produktion zu bringen.

Im April 2026 haben alle drei großen KI-Plattformen ihre Credential-Lösungen für MCP ausgeliefert — und keine davon ist mit den anderen kompatibel.

Ein Protokoll, drei Tresore

Am 9. April hat Anthropic Managed Agents gelauncht — mit Credential Vault, einem verschlüsselten Proxy, der deine Secrets abruft, damit der Code deines Agenten nie die echten Credentials berührt. OAuth mit Auto-Refresh, statische Bearer-Tokens, das volle Programm. Begrenzt auf 20 Credentials pro Vault, weil Enterprise-Sicherheit offenbar mit Stempelkarte kommt.

Am 15. April hat OpenAI sein Agents SDK aktualisiert. Deren Pitch: Schieb einen Bearer-Token in den Header, kümmere dich selbst um den Refresh. OAuth brauchst du? Bau es dir. Aber jetzt wird's lustig: ChatGPT Apps verlangen OAuth 2.1 — Bearer-Tokens werden an der Tür abgewiesen. Ein Unternehmen, dessen SDK sagt 'Tokens sind okay" und dessen Produkt sagt 'auf keinen Fall." OpenAI führt mit sich selbst einen öffentlichen Streit über Authentifizierung, und Entwickler dürfen sich eine Seite aussuchen.

Am 17. April hat Google ADK 1.0 veröffentlicht — später auf der Cloud Next am 22. April präsentiert. Fünf Credential-Typen inklusive Service Accounts, Application Default Credentials und einem Pause-and-Resume-OAuth-Flow. Funktioniert wunderbar — wenn du bereits GCP die Treue geschworen hast. Für alle anderen bedeutet es eine komplette Auth-Neuschreibung mit Google-Akzent.

Drei clevere Ansätze. Drei inkompatible Systeme. MCP sollte USB für KI sein. Stellt sich raus: Jeder Port braucht ein anderes Netzteil.

Die Spec, an die sich niemand hält

Die MCP-Spezifikation (Version 2026-03-15) schreibt OAuth 2.1 mit Resource Indicators vor — sauber gescopte Tokens, ordentliche Sicherheit, alles dabei. Auf dem Papier ist das Problem gelöst.

In der Praxis hat das Ökosystem die Nachricht nicht bekommen. Wie wir letzte Woche in unserer Supply-Chain-Analyse berichtet haben, haben MCP-Server ein grundsätzliches Hygieneproblem — die Mehrheit der Community-Server setzt immer noch auf statische API-Keys in Config-Dateien. AgentSeals Audit vom 10. April über 1.808 Server fand bei zwei Dritteln Schwachstellen, von Auth-Bypasses bis Command Injection. Nichts davon hat sich in zwei Wochen verbessert.

Aber der Auth-spezifische Aspekt ist hier wichtiger: Von den Launch-Partnern der drei Plattformen implementiert fast keiner OAuth 2.1 gemäß der tatsächlichen Spec. Anthropics Credential Vault startete mit Notion, Asana und Sentry — drei verwaltete Integrationen von Hunderten von Servern, die Entwickler tatsächlich nutzen. Googles ADK-Docs zeigen fünf Auth-Patterns, setzen in ihren Beispielen aber standardmäßig auf API-Keys. OpenAIs SDK drückt sich komplett — 'Bring your own Auth" bedeutet, dass die meisten Entwickler den Weg des geringsten Widerstands nehmen: einen statischen Token, der aus einem Dashboard kopiert wurde.

Warum die Lücke? OAuth 2.1 erfordert serverseitige Infrastruktur. Ein Solo-Entwickler, der am Wochenende einen Open-Source-MCP-Connector pflegt, hat keinen Token-Endpoint, keinen Redirect-Server und keinen Refresh-Flow. Wie ein frustrierter Maintainer in Community-Threads schrieb: "Ich hasse es einfach, dass nicht alle Clients OAuth oder API-Key unterstützen, sodass ich beides unterstützen muss!" Die Spec verlangt, was die Belegschaft des Ökosystems nicht liefern kann.

Die echten Kosten: Einmal schreiben, überall eingesperrt

Das Auth-Modell jeder Plattform ergibt intern Sinn. Anthropic spielt den Familienvater — schließt den Medikamentenschrank ab, damit die Kinder sich nicht vergiften. Google nutzt seinen Cloud-Identity-Stack — effizient, wenn du schon ins GCP-Haus eingezogen bist. OpenAI maximiert die Entwicklerfreiheit — was eine diplomatische Umschreibung dafür ist, dass sie keine Auth-Infrastruktur bauen wollten und es als Feature verkauft haben.

Die kollektiven Kosten sind Lock-in auf der Credential-Ebene. Ein Tool, das an Anthropics Credential Vault angebunden ist, funktioniert nicht in Google ADK, ohne die Auth komplett umzuschreiben. Ein Tool, das auf GCP-Service-Accounts setzt, ist in OpenAIs SDK nutzlos. MCP versprach 'einmal schreiben, überall verbinden." Auth hat daraus gemacht: 'einmal schreiben, dann die Authentifizierung für jede Plattform nochmal schreiben." Gleiches Tool, drei Integrationssteuer-Bescheide.

Der Futurum Group MCP Security Report brachte es auf den Punkt: 'Die Frage, die Unternehmen wirklich stellen, ist nicht, ob MCP funktioniert. Sondern ob sie kontrollieren können, was es tut."

Dein Security-Team wartet immer noch

Erinnerst du dich an die? Stehen immer noch in deiner Tür. Nur dass du jetzt statt einer unangenehmen Antwort drei parat haben musst — und jede sperrt dich in die Theologie einer anderen Plattform ein, wie Credentials zu funktionieren haben.

Wenn du MCP-Tools für den Produktivbetrieb evaluierst, reichen Funktionalitätstests nicht aus. Der Slack-Connector, der in Claudes Managed Agents vor sich hin brummt? Budget eine komplette Auth-Neuschreibung für Google ADK ein. Dein Team hat OpenAIs SDK wegen der 'Flexibilität" gewählt? Viel Spaß beim OAuth-Selbstbau, während ChatGPT Apps sich weigern zu nutzen, was du gebaut hast.

MCP hat ein Protokoll und drei Credential-Religionen. Das Protokoll funktioniert. Das 'universell" ist an der Authentifizierungsschicht zerbrochen — genau dort, wo Demos zu Deployments werden. Wer standardbasierte Auth für die Leute reibungslos macht, die MCP-Server tatsächlich bauen, und nicht nur für die, die sie nutzen, erobert den Produktionsmarkt. Im Moment hat das niemand geschafft. Stell mehr Stühle hin für dein Security-Team — dieses Meeting wird lang.