● 03· LEHRTAFEL · DIE WERKZEUGE· ARTICLE · THE TOOLS

Womit ein Agent
arbeitet.

What an Agent
works with.

Tools sind die Hände eines Agents. MCP ist der Stecker. Skills sind vorbereitete Werkzeuggürtel. Wer das versteht, weiß warum ein Agent etwas Reales tun kann und warum er manchmal scheitert. Diese Tafel zeigt das Innere des Werkzeugkastens.

Tools are an agent’s hands. MCP is the connector. Skills are pre-prepared tool belts. Understanding this reveals why an agent can do real things and why it sometimes fails. This article shows the inside of the toolbox.

12
WerkzeugfamilienTool families
1
Offener Standard · MCPOpen standard · MCP
0
MagieMagic
METHODE LESENREAD THE APPROACH ┌──→ ZURÜCK ZU 02BACK TO 02 ┌──→
FILE · 03 / SERIE AI & AGENTIC EXPLAINEDFILE · 03 / SERIES AI & AGENTIC EXPLAINED LESEZEIT · 11 MINUTENREADING TIME · 11 MINUTES VERSION · v.2026.05
● 04· DIE GRUNDLAGE· THE FOUNDATION

Was Tools wirklich sind.

What Tools really are.

Ein Tool ist eine Funktion mit klarem Namen, klaren Eingaben und einer klaren Antwort. Nicht mehr, nicht weniger. Der Agent liest die Beschreibung, entscheidet wann er es ruft, und nutzt das Ergebnis im nächsten Gedanken.

A tool is a function with a clear name, clear inputs, and a clear response. Nothing more, nothing less. The agent reads the description, decides when to call it, and uses the result in the next thought.

Drei Bestandteile pro Tool

Three components per tool

Jedes Tool hat einen Namen, eine kurze Beschreibung in natürlicher Sprache und ein Schema für die Parameter. Mehr braucht es nicht. Der Agent versteht aus dem Schema, was hineinpasst und was nicht.

Every tool has a name, a short natural-language description, and a schema for its parameters. Nothing else is needed. The agent understands from the schema what fits and what doesn’t.

FORMEL

NAME  ┌──→  SCHEMA  ┌──→  FUNKTION

Die Beschreibung ist wichtiger als der Code. Sie ist das, was der Agent liest. Schlechte Beschreibung, schlechte Wahl.

The description matters more than the code. It’s what the agent reads. Bad description, bad choice.

EIN TOOL · IM SCHEMAONE TOOL · IN THE SCHEMA

name: send_email
desc: Sendet eine E-Mail an einen Empfänger.
desc: Sends an email to a recipient.
params:
to: string · Pflichtrequired
subject: string · Pflichtrequired
body: string · Pflichtrequired
cc: string[] · optionaloptional
returns: { ok, message_id }

Vereinfacht. Reale Schemas folgen JSON-Schema-Konventionen.Simplified. Real schemas follow JSON Schema conventions.

● 05· DREI FAMILIEN· THREE FAMILIES

Lesen, schreiben, handeln.

Read, write, act.

Tools fallen in drei klare Familien, je nachdem, was sie mit der Welt machen. Die Unterscheidung ist nicht akademisch. Sie entscheidet darüber, welches Risiko bei einem falschen Aufruf entsteht und wie viel Aufsicht ein Agent braucht.

Tools fall into three clear families, depending on what they do to the world. The distinction isn’t academic. It determines what risk a wrong call creates and how much oversight an agent needs.

DIMENSIONDIMENSION READ WRITE ACTION
Tut wasDoes what Holt InformationFetches information Verändert DatenChanges data Bewegt RealesMoves real things
BeispieleExamples web_search, db_query, calendar_read db_update, doc_edit, file_save send_email, payment_run, deploy_release
Risiko bei FehlerRisk if wrong Falsche AntwortWrong answer Beschädigte DatenCorrupted data Echte Konsequenz draußenReal consequence outside
Empfohlene AufsichtRecommended oversight StichprobeSpot check Diff-Vorschau, UndoDiff preview, undo Approval-Gate, Rate-LimitApproval gate, rate limit
ReversibelReversible Ja, immerYes, always Meist, mit UndoUsually, with undo Selten, oft gar nichtRarely, often not at all

┌──→ EINE FAUSTREGEL: JE WEITER RECHTS, DESTO STRENGER DIE GUARDRAIL.┌──→ A RULE OF THUMB: THE FURTHER RIGHT, THE STRICTER THE GUARDRAIL.

● 06· DER STANDARD· THE STANDARD

MCP: ein Stecker für alles.

MCP: one connector for everything.

Bevor MCP da war, schrieb jedes Team eigene Adapter, jeder Hersteller eigenes Schema, jeder Agent eigene Konventionen. Heute gibt es einen offenen Standard, der das alles eindampft. Model Context Protocol. Stell es dir wie USB für AI vor.

Before MCP existed, every team wrote its own adapters, every vendor its own schema, every agent its own conventions. Today there’s an open standard that distills it all. Model Context Protocol. Think of it like USB for AI.

MCP · ARCHITEKTURARCHITECTURE

CLIENT DEIN AGENT CLAUDE / GPT / ETC. MCP PROTOCOL SERVER · GMAIL 3 TOOLS SERVER · NOTION 7 TOOLS SERVER · CRM 12 TOOLS EIN PROTOKOLL · BELIEBIG VIELE SERVER Jeder Server bringt seine eigenen Tools mit.

Was MCP konkret leistet

What MCP concretely does

01 · ENTDECKUNG01 · DISCOVERY

Der Agent fragt einen Server: was kannst du? Der Server antwortet mit einer Liste seiner Tools, mitsamt Beschreibung und Schema.

The agent asks a server: what can you do? The server responds with a list of its tools, including description and schema.

02 · AUFRUF02 · CALL

Der Agent ruft ein Tool mit den geforderten Parametern. Der Server führt aus, antwortet mit Ergebnis oder Fehler. Immer im selben Format.

The agent calls a tool with the required parameters. The server executes, responds with result or error. Always in the same format.

03 · KONTEXT / CONTEXT

Server können Dateien, Prompts oder Wissen mitgeben. Nicht nur Tools, auch Kontext fließt durch denselben Stecker.

Servers can provide files, prompts, or knowledge. Not just tools, context also flows through the same connector.

04 · OFFEN04 · OPEN

Spec ist offen, Implementierungen sind frei. Wer einen Server schreibt, ist sofort kompatibel mit jedem Client am Markt.

The spec is open, implementations are free. Anyone who writes a server is immediately compatible with every client on the market.

● 07· LIVE-ANATOMIE

Ein Tool-Call, von nah.

A tool call, up close.

Fünf Phasen, ein einziger Tool-Call. Klick durch und sieh, was zwischen Agent und Server tatsächlich hin und her läuft. Die JSON-Beispiele entsprechen einem realen MCP-Aufruf, gekürzt für die Lesbarkeit.

Five phases, one single tool call. Click through and see what actually passes back and forth between agent and server. The JSON examples correspond to a real MCP call, shortened for readability.

Auftrag: „Finde freie Slots für ein Kundengespräch nächste Woche.“
Task: “Find free slots for a customer call next week.”
SERVER · CALENDAR

SIMULATION · VEREINFACHTER MCP-AUFRUF.SIMULATION · SIMPLIFIED MCP CALL.

● 08· BÜNDELUNG· BUNDLING

Skills bündeln Tools.

Skills bundle tools.

Ein einzelnes Tool ist eine Funktion. Ein Skill ist ein vorbereiteter Workflow: mehrere Tools, Reihenfolge, Tonalität, Beispiele. Plugins gehen einen Schritt weiter und liefern fertige Skill-Pakete für ganze Berufsfelder. So musst du nicht jedes Mal von vorn anfangen.

A single tool is a function. A skill is a prepared workflow: multiple tools, sequence, tone, examples. Plugins go a step further and deliver ready-made skill packages for entire domains. So you don’t have to start from scratch every time.

1.0 · TOOL

Eine Funktion.

One function.

Ein Aufruf, eine Antwort. Beispiel: send_email. Das kleinste Bauteil im Werkzeugkasten.

One call, one response. Example: send_email. The smallest building block in the toolbox.

2.0 · MCP-SERVER

Mehrere Tools.

Multiple tools.

Ein Server bündelt verwandte Tools eines Anbieters. Beispiel: Gmail-Server mit lesen, suchen, senden, archivieren.

A server bundles related tools from one provider. Example: Gmail server with read, search, send, archive.

3.0 · SKILL

Eine Anleitung.

A workflow guide.

Ein Skill ist ein dokumentierter Workflow plus die Tools, die er braucht. Beispiel: „Wettbewerber-Report bauen“, inkl. Reihenfolge und Tonalität.

A skill is a documented workflow plus the tools it needs. Example: “Build competitor report”, including sequence and tone.

4.0 · PLUGIN

Ein Berufspaket.

A domain package.

Ein Plugin liefert mehrere Skills plus Server, die zusammen einen Use-Case abdecken. Beispiel: Sales-Plugin mit Recherche, Outreach, Pipeline-Sicht.

A plugin delivers multiple skills plus servers that together cover a use case. Example: sales plugin with research, outreach, pipeline view.

×4

VERVIERFACHUNG · TYPISCHER EFFEKTQUADRUPLICATION · TYPICAL EFFECT

Ein Skill, der drei bis fünf Tools sinnvoll kombiniert, liefert in der Praxis das Vier- bis Fünffache an verlässlichem Output gegenüber rohem Tool-Use. Der Grund ist nicht das Modell, sondern die Anleitung.

A skill that meaningfully combines three to five tools delivers in practice four to five times the reliable output compared to raw tool use. The reason isn’t the model, it’s the instructions.

● 09· SICHERHEIT· SECURITY

Wer darf was?

Who may do what?

Ein Tool, das mehr darf als nötig, ist eine offene Tür. Drei Mechanismen kommen in jedem ernsthaften Setup zum Einsatz, oft kombiniert: Scopes, Approval-Gates, Audit-Trails.

A tool that can do more than necessary is an open door. Three mechanisms are used in every serious setup, often combined: scopes, approval gates, audit trails.

A · SCOPES

Der minimale Schlüsselbund

The minimal keychain

Ein Tool bekommt nur die Rechte, die es wirklich braucht. Lesen reicht für eine Recherche, Schreibrechte sind tabu. Wer Scopes weit zieht, baut sich ein Loch.

A tool gets only the permissions it actually needs. Read access suffices for research, write permissions are off-limits. Setting scopes wide builds in a vulnerability.

B · APPROVAL-GATES

Halt vor der Aktion

Stop before the action

Bei Action-Tools wartet der Agent auf eine Freigabe. Du siehst, was er tun will, prüfst kurz, drückst Ja oder Nein. Maximal zwei Klicks.

For action tools, the agent waits for approval. You see what it wants to do, review briefly, press yes or no. Maximum two clicks.

C · AUDIT-TRAIL

Jeder Aufruf wird protokolliert

Every call is logged

Jeder Tool-Call landet im Log. Wer hat was wann gerufen, mit welchen Parametern, mit welchem Ergebnis. Im Zweifel forensisch nachvollziehbar.

Every tool call lands in the log. Who called what when, with which parameters, with which result. Forensically traceable if needed.

3

FAUSTREGEL · SICHERHEITRULE OF THUMB · SECURITY

Drei Fragen vor jedem neuen Tool: Was darf es lesen? Was darf es ändern? Wer bekommt eine Benachrichtigung, wenn es ausschlägt? Wer eine davon nicht beantworten kann, sollte das Tool nicht verbinden.

Three questions before each new tool: What can it read? What can it change? Who gets notified when it fires? Anyone who can’t answer one of them shouldn’t connect the tool.

● 10· GLOSSAR· GLOSSARY

Sechs Begriffe
für die Werkstatt.

Six terms
for the workshop.

TOOL Eine Funktion mit Namen, Schema und Beschreibung. Der kleinste Baustein, mit dem ein Agent die Welt anfässt. A function with a name, schema, and description. The smallest building block with which an agent touches the world.
FUNCTION CALLING Die Technik, mit der ein Modell Tools auswählt und aufruft. Heißt bei manchen Anbietern auch Tool Use. Gleiche Idee. The technique by which a model selects and calls tools. Some vendors also call it Tool Use. Same idea.
MCP Model Context Protocol. Offener Standard, mit dem Agents Tools und Kontext anbinden. Wie USB für AI: ein Stecker, beliebig viele Geräte. Model Context Protocol. Open standard for connecting tools and context to agents. Like USB for AI: one connector, any number of devices.
MCP-SERVER Ein Programm, das Tools über MCP bereitstellt. Anbieter wie Notion, GitHub, Slack liefern eigene Server, jeder mit seiner Tool-Liste. A program that provides tools via MCP. Providers like Notion, GitHub, and Slack ship their own servers, each with its tool list.
SKILL Ein dokumentierter Workflow plus die Tools, die er nutzt. Liefert dem Agent die Anleitung, nicht nur die Werkzeuge. A documented workflow plus the tools it uses. Gives the agent the instructions, not just the tools.
SCOPE Die Berechtigungsgrenze eines Tools. Lesen, Schreiben, Senden. Der wichtigste Hebel für Sicherheit. Eng setzen, niemals offen lassen. The permission boundary of a tool. Read, write, send. The most important lever for security. Set it narrow, never leave it open.
● 11· NÄCHSTE LEHRTAFEL· NEXT ARTICLE

Du kennst die Werkzeuge.
Was kommt als Nächstes?

You know the tools.
What’s next?

04

Risiko und Trust

Risk and Trust

Wo Agents schiefgehen, wie du sie absicherst, wann der Mensch im Loop bleiben muss. Mit Checkliste für eigene Setups.

Where agents go wrong, how to secure them, when humans must stay in the loop. With checklist for your own setups.

05

Dein erster Agent

Your First Agent

Vom Anwendungsfall bis zum Prototyp. Welche Schritte, welche Werkzeuge, welche Stolperfallen.

From use case to prototype. What steps, what tools, what pitfalls.

06

Agent-Teams

Agent Teams

Mehrere Agents, die zusammen arbeiten. Rollen, Übergaben, Orchestrierung. Wo das funktioniert und wo nicht.

Multiple agents working together. Roles, handoffs, orchestration. Where this works and where it doesn’t.

┌──→ ZURÜCK ZU 01BACK TO 01 ┌──→ ZURÜCK ZU 02BACK TO 02 LEHRTAFEL 04 LESENREAD ARTICLE 04 ┌──→