Ein KI-Agent im Unternehmen ist nicht deshalb wertvoll, weil er einen längeren Chat führen kann. Nützlich wird er erst, wenn er sicher die richtigen Daten liest, ein freigegebenes Werkzeug aufruft und ein Ergebnis an einen echten Arbeitsprozess zurückgibt.
Hier kommen MCP und A2A ins Spiel. Sie werden oft zusammen genannt, lösen aber unterschiedliche Probleme. MCP verbindet einen Agenten mit Werkzeugen und Daten. A2A ermöglicht es eigenständigen Agenten, einander zu finden, eine Aufgabe zu delegieren und Ergebnisse auszutauschen.
Kein Protokoll ist eine fertige Sicherheitsrichtlinie. Ihr Unternehmen entscheidet weiterhin, wer sich verbinden darf, was jede Identität lesen kann, welche Schreibvorgänge eine menschliche Freigabe brauchen und wie ein Vorfall untersucht wird.
Beginnen Sie mit Chatbot, Workflow und Agent
Ein Chatbot antwortet einem Nutzer. Ein deterministischer Workflow folgt vordefinierten Schritten. Ein Agent erhält ein Ziel, wählt Werkzeuge und kann sein Vorgehen anhand von Zwischenergebnissen anpassen.
Viele Geschäftsprozesse brauchen keinen vollwertigen Agenten. Stabile Regeln lassen sich als gewöhnliche Integration meist günstiger umsetzen und leichter prüfen. Unser Leitfaden Agent versus Automatisierung geht näher auf diese Entscheidung ein.
MCP und A2A standardisieren die Kommunikation. Sie machen die zugrunde liegenden Entscheidungen nicht zuverlässig.
MCP verbindet einen Agenten mit einer Fähigkeit
Model Context Protocol nutzt eine Host-Client-Server-Architektur. Die Host-Anwendung verwaltet den Nutzer, die Berechtigungen und die Verbindungen. Für jeden MCP-Server erstellt sie einen isolierten Client. Jeder Server stellt eng abgegrenzte Werkzeuge, Ressourcen oder Prompts bereit.
Ein CRM-Server kann zum Beispiel die Kundensuche und das Anlegen einer Notiz bereitstellen. Ein Abrechnungsserver kann den Rechnungsstatus und den Entwurf einer Zahlungserinnerung bereitstellen. Ein Analyseserver kann eine freigegebene Kennzahl aus dem Data Warehouse zurückgeben.
Der Agent braucht keine drei eigenen SDKs. Er sieht die beschriebenen Fähigkeiten über ein gemeinsames Protokoll. Der Host bestimmt weiterhin, welche Server verfügbar sind und welcher Kontext sie erreicht.
Die offizielle MCP-Architektur betont die Isolation. Ein Server soll nicht automatisch die gesamte Konversation oder die Inhalte anderer Server sehen.
A2A verbindet eigenständige Agenten
Das Agent2Agent Protocol regelt die Kommunikation zwischen eigenständigen Agenten. Ein Agent kann eine Agent Card veröffentlichen, die seine Fähigkeiten, unterstützten Schnittstellen und Sicherheitsschemata beschreibt. Ein Client wählt eine passende Schnittstelle und übergibt eine Aufgabe.
Stellen Sie sich einen Vertriebsagenten vor, der ein Angebot vorbereitet. Er braucht keinen direkten Zugriff auf jedes System. Er kann einen Analyseagenten um eine freigegebene Kennzahl und einen Rechtsagenten um die Prüfung einer Vertragsklausel bitten. Jeder Agent bleibt ein eigenständiger Dienst mit seiner eigenen Zugriffsgrenze.
Die aktuelle A2A-Spezifikation unterstützt API-Schlüssel, HTTP-Authentifizierung, OAuth 2.0, OpenID Connect und mTLS. Agent Cards können signiert werden, damit Clients Herkunft und Integrität prüfen können.
MCP und A2A ergänzen sich
Die A2A-Dokumentation zieht eine klare Grenze:
- MCP ist die Kommunikation zwischen Agent und Werkzeug.
- A2A ist die Kommunikation zwischen Agent und Agent.
Ein Agent kann über MCP auf das CRM zugreifen und gleichzeitig über A2A eine separate Aufgabe an einen anderen Agenten delegieren. Sie brauchen nicht standardmäßig beide Protokolle. Wenn ein interner Agent zwei stabile APIs aufruft, bedeutet eine weitere Protokollschicht möglicherweise nur zusätzlichen Aufwand.
Ein beispielhafter Geschäftsablauf
Ein Vertriebsmitarbeiter bittet einen Agenten, offene Rechnungen zu prüfen und einen nächsten Schritt vorzuschlagen.
- Der Agent liest über MCP den Kunden und die offenen Rechnungen.
- Deterministische Regeln schließen strittige Posten aus.
- Muss ein Vertrag ausgelegt werden, delegiert A2A diese eng umrissene Aufgabe an einen Rechtsagenten.
- Das Ergebnis ist ein E-Mail-Entwurf mit den zugrunde liegenden Belegen.
- Ein Mensch gibt den Versand frei.
Das Lesen einer Rechnung hat ein anderes Risikoprofil als der Kontakt mit einem Kunden. Teilen Sie Werkzeuge und Berechtigungen nach Auswirkung auf, nicht nach dem, was bei der Umsetzung bequem ist.
Kontrollen, die die Protokolle nicht ersetzen
Geben Sie jedem Agenten eine eigene Workload-Identität. Wenden Sie das Prinzip der minimalen Rechte an. Verlangen Sie eine ausdrückliche Freigabe für Zahlungen, ausgehende Nachrichten, Vertragsänderungen und den Export personenbezogener Daten.
Protokollieren Sie Identität, Werkzeug, Eingabe, Ergebnis, menschliche Entscheidung und Kosten. Ein A2A-Server muss jede Operation autorisieren und die Ergebnisse auf den Nutzer, das Projekt oder den Mandanten des Aufrufers begrenzen. Legen Sie einen klaren Weg zum Abschalten und zum Entzug von Zugangsdaten fest.
Nutzen Sie unsere Governance-Checkliste für KI-Agenten, bevor Sie Produktivsysteme anbinden.
Wann eine gewöhnliche API genügt
MCP ist sinnvoll, wenn mehrere Agenten-Clients dieselben fachlichen Fähigkeiten nutzen oder sich der Werkzeugsatz häufig ändert. A2A passt zu eigenständig betriebenen Agenten, die länger laufende Aufgaben delegieren müssen.
Bleiben Sie bei einer gewöhnlichen API oder einer Nachrichtenwarteschlange, wenn der Prozess einen bekannten Client und eine feste Abfolge hat. Weniger Schichten bedeuten weniger Fehlerquellen.
Um einen konkreten Prozess zu bewerten, kartieren Sie zunächst Daten, Aktionen, Identitäten und Freigaben in einem Workshop zur KI-Automatisierung. Entscheiden Sie sich erst danach für MCP, A2A oder eine einfache API.