Anthropic hat am 19. Mai 2026 zwei neue Funktionen für seine „Claude Managed Agents” nachgereicht: Self-Hosted Sandboxes (Public Beta) und MCP Tunnels (Research Preview). Beide adressieren das gleiche Kernproblem: Wie können KI-Agenten interne Werkzeuge und Daten eines Unternehmens nutzen, ohne dass diese Daten das eigene Haus verlassen oder interne Dienste ins öffentliche Internet gestellt werden müssen. Für den Mittelstand, der bisher zwischen Komfort und Datenschutz abwägen musste, verschiebt sich damit die Rechnung.
Self-Hosted Sandboxes: Werkzeug-Ausführung bleibt im Haus
Bisher lief bei Claude Managed Agents alles auf Anthropics Cloud-Infrastruktur: sowohl die Orchestrierung (also der Agent-Loop, der Aufgaben plant und Schritte koordiniert) als auch die eigentlichen Werkzeug-Aufrufe, etwa Skript-Ausführung oder Dateiverarbeitung. Mit der Public Beta läuft die Orchestrierung weiter bei Anthropic, die Werkzeug-Ausführung wandert aber in eine vom Unternehmen kontrollierte Sandbox. Sensible Dateien werden dort verarbeitet, wo sie ohnehin liegen. Als Anbieter werden Cloudflare (MicroVMs mit Zero-Trust-Secrets), Daytona (zustandsbehaftete, langlebige Sandboxes), Modal (für KI-Workloads optimiert) und Vercel (VPC-Peering, schneller Kaltstart) unterstützt (Quelle: claude.com).
MCP Tunnels: Interne Schnittstellen ohne öffentliche Adresse
Das zweite Feature löst ein verwandtes Problem. Wer Claude bisher Zugriff auf einen internen Dienst geben wollte, etwa eine eigene Datenbank, ein internes Ticketsystem oder eine selbstgehostete API, musste diesen Dienst entweder öffentlich erreichbar machen oder ein VPN-Konstrukt bauen. Mit MCP Tunnels öffnet stattdessen ein leichtes Gateway im eigenen Netz eine einzige ausgehende, verschlüsselte Verbindung zu Anthropic. Es gibt keinen eingehenden Firewall-Port und keinen öffentlichen Endpoint. Der Datenverkehr ist Ende-zu-Ende verschlüsselt. Die Funktion ist aktuell als Research Preview verfügbar, der Zugang läuft über ein Antragsformular bei Anthropic (Quelle: infoq.com).
Was DSGVO und Audit davon haben
Für den deutschen Mittelstand mit DSGVO-Auflagen und oft expliziten Datenresidenz-Anforderungen ist das ein praktisch nutzbarer Schritt. Wenn ein KI-Agent Belege, Mandantenkommunikation oder Pflegedaten verarbeitet, mussten diese Informationen bislang vollständig durch eine US-Cloud reichen. Mit Self-Hosted Sandboxes lässt sich die Verarbeitung in eine Umgebung verlagern, die der Mittelständler vertraglich und technisch kontrolliert: eigener Account bei Cloudflare oder Vercel in EU-Region, oder die eigene Server-Infrastruktur. Log-Daten, Netzwerkregeln und Egress-Policies bleiben im Haus. Was der Agent gemacht hat, ist nachvollziehbar und auditierbar. Das ist genau die Belastbarkeit, die Datenschutzbeauftragte und Wirtschaftsprüfer sehen wollen, bevor sie KI-Projekten produktive Zugriffe gewähren.
Konkrete Anwendungen im Mittelstand
Was das praktisch ermöglicht, lässt sich gut an typischen KMU-Szenarien zeigen:
- Pflegevermittlung: Ein Agent koordiniert Schichtwechsel mit dem internen Dienstplan-Tool. Das Tool muss nicht ins Internet, der Agent ruft es über den MCP-Tunnel an.
- Steuerkanzlei oder Buchhaltung: Ein Agent prüft Belege auf eigenen DATEV- oder sevDesk-Daten in einer Sandbox in der eigenen EU-Cloud. Mandantendaten verlassen die Kanzlei nicht.
- Handwerksbetrieb: Ein Auftrags-Workflow läuft gegen das hauseigene ERP. Welche Endpunkte der Agent erreichen darf, definiert das Unternehmen per Egress-Policy.
- Tanzschule oder Verein: Mitgliederdaten bleiben im hauseigenen System, der Agent erledigt Aufgaben wie Beitragsnachfassung oder Probebenachrichtigung, ohne die Daten auszuleiten.
Der Haken: Diese Architekturen sind technisch nicht trivial. Sandbox-Anbieter müssen ausgewählt, der MCP-Server konfiguriert, Egress-Policies definiert, Audit-Logs eingerichtet werden. Für einen kleinen Betrieb ohne eigene IT-Abteilung ist das nicht in einem Nachmittag erledigt. Es braucht jemanden, der DSGVO, technische Integration und KI-Logik gemeinsam denkt und sauber aufeinander abstimmt.
Was das für KMU bedeutet
Bisher war das Datenschutz-Argument der Show-Stopper für viele KI-Projekte im Mittelstand. „Wir können unsere Kundendaten nicht einfach an einen US-Dienst geben” war oft das Ende der Diskussion. Mit Self-Hosted Sandboxes und MCP Tunnels ist diese Tür konkret offen. Eine Cloudflare- oder Vercel-Sandbox kostet im Einstieg einstellige Beträge im Monat, ein MCP-Server-Setup ist mit ein bis zwei Tagewerken realistisch. Damit wird ernsthafter KI-Einsatz mit echten Geschäftsdaten technisch und rechtlich machbar.
Wer KI-Automatisierung plant, sollte bei der Auswahl von Werkzeugen und Partnern aktiv nach „Self-Hosted Sandbox” und „Private MCP” fragen. Wer Claude oder vergleichbare Agenten bereits einsetzt, sollte prüfen, welche bisher öffentlich zugänglichen Schnittstellen sich durch einen Tunnel ersetzen lassen. In beiden Fällen entscheidet die Implementierung darüber, ob am Ende ein sauber abgesichertes System steht oder ein neues Sicherheits-Risiko. Es lohnt sich, das nicht als reine Tool-Frage zu behandeln, sondern als Architektur-Entscheidung.
Quellen
- claude.com: New in Claude Managed Agents: self-hosted sandboxes and MCP tunnels
- infoq.com: Anthropic Introduces MCP Tunnels for Private Agent Access to Internal Systems
- the-decoder.com: Anthropic adds self-hosted sandboxes and MCP tunnels to Claude Managed Agents
- thenewstack.io: Anthropic debuts MCP tunnels and self-hosted sandboxes