Auf einen Blick: Anthropic hat im Mai 2026 zwei neue Privacy-Features für Claude Managed Agents nachgereicht. MCP-Tunnels öffnen interne Netze für Agenten, ohne MCP-Server öffentlich exponieren zu müssen. Self-Hosted Sandboxes halten Code-Execution in deiner eigenen Infrastruktur. Beides ist im Team- und Enterprise-Tarif verfügbar, beides ist aufwändiger als das Marketing nahelegt.
Anthropic hat im Mai 2026 zwei Enterprise-Features für Claude Managed Agents angekündigt, die direkt auf die zwei häufigsten Compliance-Einwände gegen agentische Systeme zielen. MCP-Tunnels lösen das Problem, dass ein Agent auf interne Tools zugreifen muss, ohne dass diese Tools im offenen Internet stehen. Self-Hosted Sandboxes adressieren die Sorge, dass sensible Operationen in der Cloud des Anbieters laufen.
Beide Features sind nicht für jeden gedacht. Wer als KMU mit 15 Mitarbeitern Claude für Marketing-Texte und interne Recherche einsetzt, braucht weder das eine noch das andere. Wer in einer Bank arbeitet oder ein Krankenhaus betreut, sollte beide Features verstehen, bevor er den nächsten Tarif bucht.
Was MCP-Tunnels technisch lösen
Das Model Context Protocol ist seit dem Launch durch Anthropic 2024 der De-facto-Standard für die Anbindung von Tools an LLMs. Ein MCP-Server bietet Funktionen an, ein LLM ruft sie auf. Das funktioniert, solange der Server erreichbar ist.
Bisher war diese Erreichbarkeit ein Problem. Wer einen MCP-Server für seine interne Ticket-Datenbank baut, muss ihn entweder ins öffentliche Internet stellen oder den Agent in das interne Netz holen. Beides hat seine Probleme. Ein öffentlich erreichbarer MCP-Server ist ein zusätzliches Angriffsziel. Ein Agent im internen Netz funktioniert nur, wenn er dort als Container oder Service betrieben wird, was wieder Setup-Aufwand verursacht.
MCP-Tunnels drehen das um. Anthropic betreibt einen Tunnel-Endpunkt in der eigenen Cloud. In deinem internen Netz läuft ein kleiner tunneld-Client, der eine ausgehende Verbindung zu diesem Endpunkt aufbaut. Wenn der Agent einen Tool-Call macht, geht der Request über den Tunnel ins interne Netz und kommt mit der Antwort zurück. Der MCP-Server bleibt unerreichbar von außen.
Die Authentifizierung läuft entweder über mTLS oder OAuth-Token. Beide Wege sind aus dem Enterprise-Networking-Alltag bekannt, was die Integration in bestehende Identity-Provider erleichtert. Wer schon mit Keycloak, Okta oder Azure AD arbeitet, kann die Token-Issuance dort aufhängen.
Self-Hosted Sandboxes für regulierte Branchen
Das zweite Feature ist die Sandbox. Wenn ein Agent Code ausführt (Python, JavaScript, Shell-Befehle), lief das bisher in einer Sandbox-Umgebung in Anthropics Cloud. Für viele Anwendungsfälle ist das gut genug, weil die Sandbox nach jedem Lauf zerstört wird und keine persistenten Daten enthält.
Für regulierte Branchen reicht das nicht. Eine Bank, die KYC-Daten durch einen Agent prüfen lässt, darf diese Daten nicht in eine fremde Cloud schicken. Ein Krankenhaus mit Patienten-CT-Bildern darf das erst recht nicht. Die öffentliche Verwaltung hat ähnliche Einschränkungen.
Self-Hosted Sandboxes erlauben, die Sandbox in einer Container-Runtime deiner Wahl zu betreiben. Docker, Podman oder Kubernetes sind unterstützt. Anthropic liefert ein Sandbox-Image, dazu eine Konfigurations-DSL, mit der du festlegst, welche Aktionen die Sandbox ausführen darf.
Das klingt einfacher, als es ist. Die DSL ist eine Konfigurationssprache, kein Web-UI. Wer sie falsch konfiguriert, hat entweder einen Agent, der nichts mehr machen kann, oder einen, der mehr darf, als er sollte. Beides ist schlecht.
Wer das wirklich braucht
Die Realität bei KMU mit 5 bis 50 Mitarbeitern: Du brauchst beide Features selten. Die meisten internen Tools haben öffentliche APIs oder lassen sich mit einem normalen HTTPS-Endpunkt absichern. Ein Reverse-Proxy mit Basic Auth oder OAuth reicht für 80 Prozent der Anwendungsfälle.
Wirklich relevant wird das ab zwei Schwellenwerten. Erstens: Du arbeitest in einer Compliance-Branche (Finanzdienstleistung, Gesundheit, öffentliche Verwaltung). Zweitens: Du hast 250+ Mitarbeiter und damit eigene IT-Abteilung, internes SIEM, formalisierte Change-Prozesse und eine echte Netzwerk-Segmentierung.
Wer beides erfüllt, profitiert. Wer nur eines erfüllt, sollte sich fragen, ob der Setup-Aufwand wirklich gerechtfertigt ist. Die Tunnel-Konfiguration plus Sandbox-DSL plus interne Freigabe-Prozesse sind realistisch 5 bis 10 Tage Aufwand für einen mittelgroßen Mandanten.
Praxis: Schneider Pharma in Erlangen
Ein Beispiel aus dem Beratungsalltag, mit anonymisierter Firma. Schneider Pharma, ein mittelständischer Wirkstoffhersteller mit 180 Mitarbeitern in Erlangen, wollte Claude in der Qualitätssicherung einsetzen. Konkret: Abweichungsberichte automatisiert klassifizieren und mit historischen Vorgängen abgleichen.
Das Problem: Die historischen Vorgänge liegen in einem internen Validierungs-System (ein altes Java-Tool, kein Cloud-Anschluss). Die Daten dürfen nicht ins öffentliche Internet, weil pharmazeutische Validierungsdaten unter GMP-Regelungen fallen und Datenleaks regulatorische Konsequenzen hätten.
Setup-Variante 1, vor MCP-Tunnels: Hätten ein Reverse-Proxy ins interne Netz, dazu IP-Whitelisting auf Anthropic, dazu ein internes API-Gateway, das die Validierungs-Datenbank kapselt. Aufwand geschätzt 4 Wochen, plus quartalsweise Re-Audits.
Setup-Variante 2, mit MCP-Tunnels: tunneld-Client im Validierungs-Netz, mTLS-Zertifikat über die interne PKI, MCP-Server als kleines Python-Modul. Aufwand realistisch 6 Tage. Die Verbindung ist ausgehend, was die Firewall-Diskussion mit der IT erheblich vereinfacht.
Die Sandbox-Frage stellte sich für Schneider nicht, weil der Agent keinen Code ausführen muss. Er liest, klassifiziert und schreibt strukturierte Antworten. Wäre der Use-Case "berechne Stabilitätsmodelle aus Rohdaten", hätten wir die Self-Hosted Sandbox brauchen.
Was beim Datenschutz bleibt
Die wichtige Klarstellung: MCP-Tunnels und Self-Hosted Sandboxes reduzieren den Datentransfer in die USA, aber sie eliminieren ihn nicht. Das Prompt-Routing bleibt bei Anthropic. Was der Agent denkt, was er als Eingabe bekommt und welche Tool-Calls er plant, geht weiterhin durch Anthropics Modell.
Die Rechtsgrundlage bleibt das EU-US Data Privacy Framework (Angemessenheitsbeschluss C(2023) 4745 der EU-Kommission). Anthropic ist DPF-zertifiziert. Für viele KMU reicht das. Für Branchen mit strengeren Anforderungen reicht es nicht, und dann ist die Frage, ob ein Sovereign-Cloud-Anbieter (OVH, Stackit) mit einem europäischen Modell (Mistral, eigene Open-Weights) nicht die ehrlichere Antwort ist.
Ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO ist auch mit MCP-Tunnels und Self-Hosted Sandboxes weiter Pflicht. Anthropic bietet einen Standard-AVV für Team und Enterprise an. Den Inhalt solltest du mit deinem Datenschutzbeauftragten prüfen, gerade die Klauseln zu Subprozessoren und Datenlöschung.
Setup-Realität im Detail
Wie ein MCP-Tunnel-Setup praktisch aussieht, ohne Marketing-Glanz:
| Schritt | Aufwand | Stolperfalle |
|---|---|---|
| Tunnel-Konto bei Anthropic anlegen | 30 Min | Team- oder Enterprise-Tarif Pflicht |
tunneld-Client im internen Netz deployen |
2-4 Std | Container-Runtime muss laufen, Firewall-Egress zu Anthropic offen |
| mTLS-Zertifikate oder OAuth-Token einrichten | 2-6 Std | Interne PKI oder IDP muss bereits stehen |
| MCP-Server für internen Use-Case bauen | 1-3 Tage | Python/TS SDK, hängt von Komplexität ab |
| Konfiguration testen und absichern | 1 Tag | Falsche Tunnel-Konfiguration leakt Service-Discovery |
| Interne Freigabe (IT-Sicherheit, DSB) | 1-2 Wochen | Hängt vom Unternehmen ab |
Die Sandbox-Konfiguration ist ein eigenes Thema. Die DSL erlaubt fein-granulare Kontrolle (welche Pakete dürfen installiert werden, welche Netzwerk-Endpunkte sind erreichbar, welche Filesystem-Pfade sind beschreibbar). Wer das ernst meint, plant 3 bis 5 Tage für eine produktionsreife Konfiguration, inklusive Tests gegen Eskalationsversuche.
Wer das unterschätzt
In der Praxis sehen wir bei Mandanten regelmäßig zwei Fehlhaltungen. Die erste: "Wir brauchen MCP-Tunnels, weil unsere Daten sensibel sind." Bei genauerer Prüfung stellt sich heraus, dass die Daten zwar sensibel sind, aber der Agent nur auf öffentliche APIs zugreifen muss. Dann ist der Tunnel reine Komplexität ohne Mehrwert.
Die zweite Fehlhaltung ist umgekehrt: "Wir brauchen das nicht, wir machen das schon irgendwie." Drei Monate später kommt der DSB mit Fragen, die niemand beantworten kann, und das Projekt wird zurückgerollt. Wer in einer regulierten Branche mit Claude ernsthaft arbeiten will, plant den Compliance-Aufwand von Anfang an mit ein.
Die Faustregel: Wenn der Use-Case ein BAIT-pflichtiges oder MaRisk-pflichtiges Verfahren berührt, ist MCP-Tunnel plus Self-Hosted Sandbox die Pflichtkür, nicht das Goodie. Wenn der Use-Case "Marketing-Texte schreiben" ist, lass die Finger davon und nutze den Standard-Tarif.
Was als Nächstes kommt
Anthropic hat angedeutet, dass weitere Privacy-Features in den nächsten Quartalen folgen. Beobachtenswert sind insbesondere Erweiterungen zur Audit-Trail-Integration (Anbindung an externe SIEM-Systeme) und zu föderiertem Identity-Management. Beide Themen sind für Großkunden in Europa relevant.
Für die meisten Leser dieser Seite ist die wichtigere Frage: Wann lohnt sich der Schritt von Claude Pro zu Claude Cowork Team? Die Antwort hängt am Use-Case. Wer mehr als drei strukturierte Agenten-Workflows produktiv hat, oder wer Compliance-Anforderungen erfüllen muss, sollte den Wechsel prüfen. Wer Claude nur als besseres Notion nutzt, bleibt im Pro-Tarif.
Wer den Schritt zu agentischen Systemen strukturiert lernen will, findet bei uns Material und Beratung. Der Digitalisierungsmanager deckt unter anderem die Bewertung und Einführung solcher Setups ab. Begleitend dazu sind die Anthropic Managed Agents und ihre Dreaming- und Multiagent-Funktionen im zugehörigen Spoke-Artikel beschrieben.
Häufige Fragen
Brauche ich für MCP-Tunnels einen Enterprise-Tarif?
Nein. MCP-Tunnels sind ab Claude Cowork Team verfügbar. Self-Hosted Sandboxes ebenfalls. Der Enterprise-Tarif bringt zusätzliche Features wie erweiterten AVV-Umfang, Customer Success Manager und höhere Rate Limits, ist für reines Tunnel-Setup aber nicht zwingend.
Was passiert mit den Daten, die durch den Tunnel laufen?
Die Tool-Call-Daten gehen durch Anthropics Tunnel-Endpunkt, werden aber nicht persistent gespeichert. Das Prompt-Routing bleibt bei Anthropic. Wer die strikte Datenresidenz braucht, kommt um eine eigene Architektur (Mistral self-hosted, Open-Weights-Modelle) nicht herum. Die DSGVO-Pflichten nach Art. 28 bleiben bestehen, auch mit Tunnel.
Wie sicher ist die Self-Hosted Sandbox?
Die Sicherheit hängt zu 80 Prozent an der Konfiguration. Anthropic liefert ein gehärtetes Sandbox-Image, aber die DSL-Konfiguration ist deine Verantwortung. Eine falsch konfigurierte Sandbox kann genauso unsicher sein wie eine offene Shell. Wer das ernsthaft betreibt, plant einen Penetrationstest gegen die Sandbox-Konfiguration.
Ist Self-Hosting wirklich BAIT-konform?
Self-Hosted Sandboxes reduzieren den Datentransfer, machen aber kein BAIT-konformes Setup automatisch. BAIT verlangt unter anderem Cloud-Auslagerungs-Anzeige an die BaFin, dokumentierte Risikoanalyse und etablierte Notfallprozesse. Self-Hosted Sandboxes erleichtern die Anzeige, ersetzen aber nicht den ganzen Prozess. Im Zweifel mit dem Compliance-Officer und der Internen Revision abstimmen.
Über den Autor
Dr. Jens Aichinger ist promovierter Wirtschaftspädagoge und Inhaber von SkillSprinters, einem DEKRA-zertifizierten Bildungsträger. Er entwickelt seit 2024 KI-gestützte Weiterbildungs- und Prozessautomatisierungslösungen für den Mittelstand. Über Skill-Sprinters läuft auch der Digitalisierungsmanager, eine 4-monatige geförderte Weiterbildung.
Bereit für den nächsten Schritt? Wenn du KI im Geschäftsalltag systematisch einsetzen willst, statt nur an einzelnen Tools zu basteln, schau dir den Digitalisierungsmanager an. Vier Monate, komplett online, mit Bildungsgutschein 0 Euro.
Zuletzt geprüft am 23. Mai 2026.
Bereit für deinen nächsten Karriereschritt?
Lass dich kostenlos beraten. Wir finden die passende Weiterbildung und Förderung für dich.