Fragen Sie die meisten Anbieter, was ihr KI-Agent tut, erhalten Sie eine flüssige Antwort: Er beantwortet Fragen, fasst Dokumente zusammen, bearbeitet Tickets. Haken Sie nach — “Aber wie liest er konkret unser ERP?” — und das Gespräch wird schnell vage.
Diese Vagheit ist es wert, aufzuhorchen. Die Lücke zwischen einem Agenten, der über eine Aufgabe spricht, und einem, der sie tatsächlich erledigt, hängt an einer einzigen Sache: dem Einsatz von Werkzeugen. Konkret daran, wie ein Agent mit Ihren realen Systemen verbunden ist — Datenbanken, CRMs, ERPs, Kalendern, Dokumentenspeichern — und welche Standards diese Verbindung regeln.
Dieser Artikel erklärt, wie KI-Agenten Werkzeuge einsetzen, was das Model Context Protocol (MCP) tatsächlich ist, und welche konkreten Fragen Sie jedem Anbieter stellen sollten, bevor Sie sich binden.
Der Unterschied zwischen einem Chatbot und einem Agenten, der wirklich arbeitet
Ein Sprachmodell allein hat keine Hände. Es verarbeitet Text und liefert Text zurück. Das ist für Entwürfe und Zusammenfassungen nützlich — aber es kann weder Ihren Bestand prüfen noch einen Kundendatensatz aktualisieren oder eine Bestellung auslösen, ohne etwas Zusätzliches.
Dieses Zusätzliche ist der Werkzeugeinsatz — der Mechanismus, mit dem ein Agent externe Funktionen, APIs oder Dienste mitten in einer Konversation aufruft und die Ergebnisse in sein Denken einbezieht. Der Agent erhält eine Beschreibung verfügbarer Werkzeuge (etwa: „get_order_status(order_id)”, „create_calendar_event(…)”), entscheidet, welches Werkzeug er mit welchen Parametern aufruft, führt es aus und nutzt die Antwort, um ein nützliches Ergebnis zu produzieren oder den nächsten Schritt einzuleiten.
Genau das unterscheidet einen KI-Agenten von einem einfachen Chatbot oder Copilot. Ein Chatbot ruft ab und reformuliert. Ein Agent mit Werkzeugen liest, entscheidet, handelt.
Wie Werkzeugeinsatz in der Praxis aussieht
Stellen Sie sich eine Logistikkoordinatorin vor, die einen Agenten fragt: „Welche offenen Bestellungen laufen Gefahr, den Freitagstermin zu verpassen?”
Ohne Werkzeuge erfindet der Agent eine plausibel klingende Antwort. Mit Werkzeugen sieht die Abfolge so aus:
- Der Agent ruft
get_open_orders(status="pending", due_before="2026-06-13")in Ihrem ERP auf. - Er erhält eine Liste von zwölf Bestellungen mit den aktuellen Versandstatus.
- Er ruft
get_estimated_delivery(order_id=...)für jede Bestellung auf, bei der der Status unklar ist. - Er vergleicht die voraussichtlichen Lieferdaten mit dem Termin und kennzeichnet die drei gefährdeten Bestellungen.
- Er gibt eine Zusammenfassung mit Bestellnummern, dem Verzug in Tagen und dem Namen der zuständigen Account-Managerin aus Ihrem CRM zurück.
Nichts davon ist ohne die Werkzeuge möglich. Die Werkzeuge — und die Fähigkeit des Agenten, sie in mehreren Aufrufen zu verketten — machen das Ergebnis operativ nutzbar. Diese Verkettung von Werkzeugaufrufen innerhalb einer einzigen Aufgabe ist der Kern dessen, was agentische Workflows in der Praxis bedeuten.
Wo MCP ins Spiel kommt: die Integrationsschicht erklärt
Einzelne Werkzeuge für jedes System zu definieren, das ein Agent erreichen soll, ist aufwendige Ingenieursarbeit. Sie schreiben die Funktion, verwalten die Authentifizierung, das API-Versioning — und wiederholen das für jede Datenquelle. Bei wenigen Integrationen in einer kontrollierten Umgebung ist das handhabbar. Für ein Unternehmen mit CRM, ERP, Dokumentenspeicher, Ticketing-System und Kalender — alle von verschiedenen Anbietern — wird es zu einem erheblichen Wartungsaufwand.
Model Context Protocol (MCP) ist ein offener Standard, den Anthropic Ende 2024 veröffentlicht hat und der dieses Problem lösen soll. Im Dezember 2025 übertrug Anthropic MCP an die Agentic AI Foundation (AAIF), einen Directed Fund der Linux Foundation, der von Anthropic, Block und OpenAI mitgegründet wurde — was seinen Status als echten anbieterunabhängigen Standard festigt. Der Gedanke ist einfach: Statt Integrationen direkt in den Agenten einzubauen, definiert MCP eine gemeinsame Schnittstelle. Ein System, das MCP implementiert, stellt seine Daten und Aktionen als „MCP-Server” bereit. Eine Agenten-Laufzeitumgebung, die MCP unterstützt, kann sich mit jedem konformen Server verbinden — ohne individuelle Integrationsarbeit pro System.
Stellen Sie es sich vor wie den USB-Standard für Daten. Vor USB hatte jedes Peripheriegerät seinen eigenen Anschluss. Mit USB müssen Gerät und Peripherie nur noch ein einziges Protokoll unterstützen.
Praktisch bedeutet das: Ein Unternehmen könnte einen MCP-Server für sein CRM haben, einen weiteren für sein ERP und einen für das Dateisystem. Ein MCP-kompatibler Agent kann entdecken, was jeder Server anbietet, und ihn aufrufen — ohne dass der Agentenentwickler für jede Integration eigenen Code schreibt.
Was MCP nicht ist
Es lohnt sich, den aktuellen Stand von MCP präzise zu betrachten. Mitte 2026 ist MCP ein Standard mit solider und wachsender Verbreitung. Die wichtigsten Modellanbieter (Anthropic, OpenAI, Google) haben sich auf dessen Unterstützung zubewegt, und eine erhebliche Zahl von Enterprise-Software-Anbietern hat MCP-konforme Schnittstellen entwickelt. Doch viele Systeme, die Ihr Unternehmen tatsächlich betreibt — insbesondere individuell entwickelte Datenbanken, stark angepasste ERP-Instanzen und Nischen-Branchenanwendungen — verfügen noch nicht über MCP-Server-Unterstützung und erfordern individuelle Integrationsarbeit.
In den meisten realen Deployments ist daher weiterhin ein Mix nötig: MCP, wo verfügbar, individuelle Werkzeugdefinitionen, wo nicht. Jeder Anbieter, der behauptet, MCP eliminiere alle Integrationsarbeit, übertreibt.
Die Fragen, die jeder Käufer stellen muss
Zu verstehen, wie Agenten Werkzeuge einsetzen, ist nicht nur Theorie. Es verändert, wie Sie Anbieter bewerten und was Sie in einen Vertrag schreiben. Hier sind die Fragen, auf die es wirklich ankommt:
Wie erreicht der Agent meine spezifischen Systeme? Nicht „kann er sich mit CRMs integrieren” — fragen Sie: „Wie verbindet er sich mit meiner Instanz von HubSpot / SAP / Odoo, und wer pflegt diese Verbindung, wenn wir ein Upgrade durchführen?”
Welche Werkzeuge nutzt er, und welche Berechtigungen hat jedes davon? Ein Werkzeug, das nur lesen kann, hat ein grundlegend anderes Risikoprofil als eines, das schreiben oder löschen kann. Sie sollten ein Werkzeug-Manifest einsehen — eine Liste, was der Agent aufrufen kann und welchen Scope jeder Aufruf hat. Das ist zentral für die Sicherheit von KI-Agenten und verdient dieselbe Sorgfalt wie die Zugriffskontrolle in jedem anderen System.
Unterstützt er MCP, und welche meiner Systeme haben MCP-Server verfügbar? Lautet die Antwort „wir nutzen MCP”, folgt die Rückfrage: „Für welche Systeme konkret, und welche Integrationen sind noch individuell?” Seriöse Anbieter unterscheiden beides klar.
Was passiert, wenn ein Werkzeugaufruf fehlschlägt? Ein Agent, der einen fehlgeschlagenen API-Aufruf stillschweigend ignoriert und weitermacht, ist gefährlich. Sie sollten wissen: Wiederholt er den Versuch, meldet er den Fehler, eskaliert er zu einem Menschen oder hält er an? Das Fehlerverhalten bei Werkzeugaufrufen ist in den meisten Agentenspezifikationen ein unterschätzter Aspekt.
Wie werden Werkzeug-Credentials verwaltet und rotiert? Jeder Werkzeugaufruf, der ein reales System berührt, erfordert Authentifizierung. API-Schlüssel und OAuth-Tokens veralten und müssen rotiert werden. Fragen Sie, wer das übernimmt und ob das Credential-Management automatisiert ist.
Ein Beispiel: Was das für einen mittelständischen Händler bedeutet
Ein Großhändler mit 40 Mitarbeitenden betreibt sein Geschäft auf einem mittelständischen ERP, einem tabellenbasierten Angebotsprozess und einem CRM, das der Vertrieb uneinheitlich nutzt. Gesucht ist ein Agent, der Kundenanfragen zum Bestellstatus bearbeitet und dem Einkaufsteam Nachbestellauslöser meldet.
Auf dem Papier ist der Anwendungsfall klar. In der Praxis bedeutet die Umsetzung:
- MCP-kompatible Werkzeuge für das ERP zu bauen oder zu beschaffen (oder individuelle API-Wrapper zu schreiben, wenn MCP-Support in der vorhandenen Version fehlt)
- Den genauen Umfang festzulegen, was der Agent lesen gegenüber schreiben darf
- Authentifizierungsabläufe einzurichten, die der Agent zur Laufzeit nutzen kann
- Randfälle zu testen — was passiert, wenn Bestandsdaten veraltet sind, wenn eine Bestellnummer nicht existiert, wenn die ERP-API während der Geschäftszeiten ausfällt
Nichts davon ist unlösbar, aber nichts davon ist „einfach einen Agenten einstöpseln.” Die Integrationsschicht ist der Ort, wo die eigentliche Ingenieurarbeit stattfindet — und wo die Lücke zwischen einer überzeugenden Demo und einem zuverlässigen Produktivsystem sichtbar wird. Mehr zu dem, was diese Integrationsarbeit konkret umfasst, finden Sie in unserem Leitfaden zur Anbindung von KI-Agenten an Ihr CRM und ERP.
Wie gute Agentenarchitektur hier aussieht
Ein gut entwickelter Agent hat Werkzeuge nicht nachträglich angehängt bekommen. Die Werkzeugschicht wird von Anfang an gestaltet mit:
- Minimalem Privilege: Jedes Werkzeug hat den kleinstmöglichen Berechtigungsumfang, der die Aufgabe noch ermöglicht
- Beobachtbaren Aufrufen: Jede Werkzeugausführung wird mit Eingaben, Ausgaben, Zeitstempel und dem ausgelösten Reasoningschritt protokolliert
- Geordnetem Degradieren: Der Agent weiß, was zu tun ist, wenn ein Werkzeug nicht verfügbar ist — oft bedeutet das „den Menschen fragen” statt zu raten
- Versionierten Schnittstellen: Ändert sich eine zugrundeliegende API, aktualisiert sich die Werkzeugdefinition, ohne dass die zentrale Reasoning-Logik des Agenten angepasst werden muss
Einen tieferen Einblick in das Zusammenspiel dieser Komponenten bietet KI-Agentenarchitektur, erklärt für Entscheider, das das übergeordnete Systemdesign behandelt.
Wer sich jetzt damit befassen sollte
Wenn Sie ein KI-Agenten-Projekt evaluieren und Ihre Antwort auf „Wie verbindet sich der Agent mit unseren Systemen?” lautet „Das weiß ich nicht genau” — dann tragen Sie ein technisches Risiko, das sich bei der Implementierung materialisieren wird. Das ist kein Grund zu warten, sondern ein Grund, die richtigen Fragen früher zu stellen.
Wenn Sie bereits einen Agenten im Produktivbetrieb haben, den Sie nicht selbst gebaut haben, ist jetzt ein guter Moment, sein Werkzeug-Manifest zu prüfen. Was kann er aufrufen? Mit welchen Credentials? Was sind die Ausfallszenarien? Die meisten Organisationen, die Drittanbieter-Agenten einsetzen, haben das noch nie untersucht.
Sprechen Sie mit uns über Ihre Integrationsanforderungen
Bei Orange ITS entwickeln wir Agenten, bei denen die Integrationsschicht von Anfang an eine zentrale Rolle spielt — kein Nachgedanke. Unser KI-Agenten-Entwicklungsservice deckt den gesamten Stack ab: Werkzeugdesign, MCP-Einsatz wo sinnvoll, individuelle Integration wo nötig, sowie die Credential- und Observability-Infrastruktur, die den zuverlässigen Betrieb in der Produktion sichert.
Wenn Sie ein Agentenprojekt evaluieren und eine zweite Meinung zur Qualität des Integrationsansatzes wünschen — oder wenn Sie bei null anfangen und die häufigsten Fallstricke vermeiden möchten — buchen Sie ein 30-minütiges Gespräch mit unserem Team. Wir analysieren Ihre Systemlandschaft und geben Ihnen eine direkte Einschätzung, was ein Agent benötigen würde, um sich damit zu verbinden.