> ## Documentation Index > Fetch the complete documentation index at: https://craft-support.mintlify.site/llms.txt > Use this file to discover all available pages before exploring further. # MCP-Sicherheit > Verstehe die mehrschichtige Sicherheit, die deine Craft MCP-Verbindungen schützt. Craft MCP-Tools sind durch mehrere Sicherheitsebenen geschützt, damit deine Inhalte sicher bleiben und gleichzeitig für die Tools zugänglich sind, denen du Zugriff gewährst. ## Sicherheitsebenen ### 1. Space-basierte MCP-Serververwaltung MCP-Server sind an Spaces gebunden, sodass nur angemeldete Craft-Nutzer mit Zugang zu einem bestimmten Space dessen MCP-Einstellungen verwalten können. Bei einem Einzelplan bist nur du derjenige, der deine MCP-Server verwalten kann. ### 2. Geheime MCP-Links Jeder MCP-Link enthält eine kryptografisch sichere, nicht erratbare Zeichenfolge. Das funktioniert automatisch ohne zusätzliche Konfiguration. Selbst ohne Passwortschutz (z. B. "public" Zugriff) können deine MCP-Verbindungen nur von Personen genutzt werden, mit denen du die URL explizit teilst oder die Zugriff auf den betreffenden Space haben. ### 3. Optionaler Passwortschutz (OAuth 2.0) Wenn du befürchtest, die URL versehentlich preiszugeben, kannst du Passwortschutz hinzufügen. Lege ein Passwort auf der Imagine page fest – du musst es beim ersten Verbinden deines MCP-Clients (z. B. ChatGPT, Claude) eingeben. Manche MCP-Clients fragen nach einer "OAuth Client ID" und einem "OAuth Client Secret." Du kannst diese Felder für Craft MCPs leer lassen. **Unser Passwortschutz verwendet OAuth 2.0 mit [dynamischer Client-Registrierung](https://oauth.net/2/dynamic-client-registration/), sodass außer der URL und dem Passwort keine vorkonfigurierten Zugangsdaten nötig sind.** Wir haben uns für passwortbasierte Authentifizierung entschieden, weil andere OAuth-Methoden (wie vorab geteilte Client-Secrets) aus UX-Sicht weniger bequem wirkten, während die passwortbasierte Authentifizierung trotzdem zwei Geheimnisse bietet (den geheimen Link und das Passwort). ### 4. Lese-/Schreibberechtigungen Du kannst Agenten auf nur Lese- oder nur Schreiboperationen beschränken und damit einschränken, welche Aktionen sie ausführen dürfen. ### 5. Einschränkung des Zugriffsumfangs Du kannst den Zugriff eines Agenten auf folgende Bereiche beschränken: * Eine vordefinierte Auswahl an Dokumenten * Tägliche Notizen und Aufgaben in einem Space * Bestimmte Ordner (v3.3.5+) * Dokumente, die bestimmten Suchkriterien entsprechen (v3.3.5+) ## Schutz für eingebettete Inhalte Diese Sicherheitsebenen schützen auch Inhalte innerhalb deiner Dokumente, einschließlich Links zu Dateien und Bildern. Da Dateien und Bilder keine separate Authentifizierung haben (aufgrund begrenzter MCP-Client-Unterstützung), können ihre nicht erratbaren Links erst nach der Authentifizierung am MCP-Server abgerufen werden. **Die Links zu Dateien und Bildern werden jedes Mal neu erzeugt, wenn du das Passwort deines MCP-Servers änderst, sodass zuvor geteilte Links ungültig werden.** ## Empfehlungen * Verwende Passwortschutz für MCP-Verbindungen, die auf sensible Inhalte zugreifen * Überprüfe regelmäßig und wechsele/rotiere MCP-Passwörter * Beschränke den Verbindungsumfang auf nur die benötigten Dokumente * Verwende Lesezugriff, wenn Schreibzugriff nicht erforderlich ist * Überwache die Nutzung von MCP-Verbindungen in den Einstellungen deines Space