Gemini AI: Kalender-Einladungen als Daten-Trojaner

Ein neuer Angriff auf Googles KI-Assistenten zeigt: Schon eine scheinbar harmlose Termineinladung kann private Daten ausspähen. Die Schwachstelle liegt in der Sprache selbst.

Ein schwerwiegendes Sicherheitsleck in Googles KI-Assistenten Gemini hat es Angreifern ermöglicht, vertrauliche Nutzerdaten auszuspionieren – und zwar über manipulierte Google-Kalender-Einladungen. IT-Sicherheitsforscher von Miggo Security entdeckten die Lücke. Sie demonstrierten, wie ein Angreifer die KI dazu bringen konnte, vertrauliche Termine eines Nutzers zusammenzufassen und die Informationen zu stehlen. Der Nutzer musste dabei weder auf einen verdächtigen Link klicken noch Malware herunterladen. Der Angriff nutzte eine Technik namens „Indirect Prompt Injection“ und verwandelte eine harmlos wirkende Kalendereinladung in ein trojanisches Pferd für den Datendiebstahl.

Die Schwachstelle markiert eine neue, herausfordernde Front in der Cybersicherheit. Die Bedrohung ist hier kein bösartiger Code, sondern geschickt formulierte Sprachbefehle, die in alltäglichen Inhalten versteckt sind. Google hat das spezifische Problem inzwischen behoben. Die Entdeckung unterstreicht jedoch grundlegende Schwächen und potenzielle Sicherheitslücken in zunehmend integrierten KI-Systemen. Der Vorfall ist eine kritische Warnung für die gesamte Branche. Er zeigt, wie genau die Funktionen, die KI-Assistenten hilfreich machen sollen – wie der Zugriff auf und die Zusammenfassung persönlicher Daten – gegen die Nutzer verwendet werden können.

Der unsichtbare Angriff: So funktionierte die Prompt-Injection

Die Angriffsmethode war bemerkenswert unauffällig. Sie erforderte keine direkte Interaktion des Nutzers, abgesehen von der normalen Nutzung des Gemini-Assistenten. Der Prozess begann, wenn ein Angreifer einem Ziel eine ganz normal aussehende Google-Kalender-Einladung schickte. Im Beschreibungsfeld des Termins war jedoch ein bösartiger Sprachbefehl versteckt – eine Reihe von Anweisungen für die KI.

Passend zum Thema KI-Sicherheit: Prompt‑Injection‑Angriffe wie dieser zeigen, dass Betreiber von KI‑Systemen jetzt konkrete Pflichten haben. Der kostenlose E‑Book‑Leitfaden zur EU‑KI‑Verordnung erklärt praxisnah, welche Kennzeichnungspflichten, Risikoklassen und Dokumentationsschritte gelten, welche Übergangsfristen zu beachten sind und wie Sie Ihre Systeme rechtssicher klassifizieren. Ideal für Entwickler, IT‑Leiter und Datenschutzverantwortliche, die KI-Angebote sicherer machen wollen — inklusive Checklisten für die Umsetzung. Kostenlosen KI‑Verordnungs‑Leitfaden herunterladen

Diese schädliche Nutzlast lag unentdeckt im Kalender des Nutzers. Die Falle schnappte zu, wenn der Nutzer Gemini eine ganz gewöhnliche Frage zu seinem Zeitplan stellte, wie „Bin ich dieses Wochenende beschäftigt?“ oder „Welche Meetings habe ich am Dienstag?“. Um die Frage zu beantworten, durchsuchte und verarbeitete Gemini die Kalendereinträge des Nutzers. Während dieses Vorgangs las die KI den versteckten, bösartigen Befehl. Da sie ihn nicht von einer legitimen Nutzeranfrage unterscheiden konnte, führte sie die Anweisungen aus. Diese Methode umgeht traditionelle Sicherheitsmaßnahmen, da sie keinen ausführbaren Code oder gefährliche Links enthält. Sie manipuliert stattdessen die Kernfunktion der KI: die Sprachverarbeitung.

Vom Terminplaner zum Daten-Dieb

Einmal ausgelöst, wies der versteckte Befehl Gemini an, einen zweistufigen Prozess zum Stehlen von Informationen durchzuführen. Zuerst folgte die KI der Anordnung und fasste die anderen privaten Termine des Nutzers für einen bestimmten Tag zusammen. Danach nutzte sie eine eingebaute Funktion, um einen neuen Kalendereintrag zu erstellen und die Zusammenfassung der privaten Termine direkt in die Beschreibung dieses neuen Eintrags einzufügen.

Der kritischste Teil des Angriffs: In vielen Unternehmenskalender-Konfigurationen war dieser neu erstellte Termin für den Angreifer sichtbar. So konnte er das Ereignis einfach aufrufen und die gestohlenen privaten Daten lesen. Derweil erhielt der Nutzer nur eine harmlose Antwort auf seine ursprüngliche Frage, etwa „Das ist ein freier Zeitraum“. Der Nutzer blieb völlig ahnungslos, dass seine privaten Kalenderdaten im Hintergrund kompromittiert worden waren. Die Forscher von Miggo Security betonen, dass dies die hilfsbereite Natur der KI selbst zur Schwachstelle macht. Fehler sind demnach nicht mehr nur auf Code beschränkt.

Ein Muster von KI-Schwachstellen zeichnet sich ab

Dies ist nicht der erste Vorfall, bei dem die Sicherheit von Gemini durch Prompt-Injection-Techniken herausgefordert wurde. Im Dezember 2025 wurde eine Schwachstelle namens „GeminiJack“ entdeckt. Auch sie nutzte versteckte Befehle in Dokumenten und E-Mails, um Unternehmensinformationen abzugreifen, ohne Alarm auszulösen. Frühere Forschung, unter anderem von der Universität Tel Aviv und SafeBreach, hatte zudem gezeigt, dass ähnliche Angriffe für mehr als nur Datendiebstahl genutzt werden können. Die Studie mit dem Titel „Invitation Is All You Need“ demonstrierte, wie bösartige Befehle in Kalendereinladungen Gemini dazu bringen konnten, Smart-Home-Geräte zu steuern, Spam-Nachrichten zu versenden, Zoom-Calls zu starten oder Kalendereinträge zu löschen.

Diese wiederkehrenden Vorfälle verdeutlichen eine grundlegende Herausforderung für KI-Entwickler: Systeme zu sichern, die riesige Mengen an nicht vertrauenswürdigen Daten von Dritten verarbeiten. Die tiefe Integration von KI-Assistenten in das digitale Leben der Nutzer – von E-Mails und Dokumenten bis hin zu Kalendern und Smart-Home-Geräten – schafft eine breite Angriffsfläche. Google bestätigte, die spezifische von Miggo gefundene Schwachstelle behoben zu haben. Das grundsätzliche Problem der indirekten Prompt-Injection bleibt jedoch eine erhebliche, branchenweite Sorge.

Analyse: Die neue Ära der „bösen Sprache“

Die Gemini-Kalender-Schwachstelle markiert einen Paradigmenwechsel in der Anwendungssicherheit. Traditionelle Cybersicherheitsmaßnahmen sind darauf ausgelegt, bösartigen Code, verdächtige Dateien und Phishing-Links zu erkennen und zu blockieren. Diese neuen, KI-eigenen Angriffe operieren jedoch auf einer anderen Ebene. Sie nutzen „böse Sprache“ statt „bösen Code“ und nutzen die Art und Weise aus, wie große Sprachmodelle (LLMs) natürliche Sprachbefehle interpretieren und ausführen.

Das Kernproblem ist, dass KI-Modelle wie Gemini Schwierigkeiten haben, zwischen den Anweisungen des Nutzers und den Anweisungen zu unterscheiden, die ein Angreifer in die zu verarbeitenden Daten eingebettet hat. Das bedeutet: Jedes Textstück von Drittanbietern, das das Modell verarbeitet – ob aus einer E-Mail, einem Dokument oder einer Kalendereinladung – ist potenziell ausführbarer Code. Experten argumentieren, dass eine wirksame Abwehr gegen diese Bedrohungen neue Sicherheitskontrollen erfordert. Diese müssen in der Lage sein, Semantik zu verstehen, Absichten zu erkennen und die Herkunft von Daten nachzuverfolgen. Das Sprachmodell muss als vollwertige Anwendungsschicht mit sorgfältig kontrollierten Berechtigungen behandelt werden.

Ausblick: Das Wettrüsten um KI-Sicherheit

Da KI autonomer wird und sich tiefer in persönliche und geschäftliche Arbeitsabläufe integriert, wird die potenzielle Auswirkung solcher Schwachstellen nur wachsen. Die Fähigkeit eines KI-Assistenten, basierend auf Kalendereinträgen mit anderen Anwendungen zu interagieren oder sogar physische Geräte zu steuern, ist eine mächtige Funktion – aber auch ein erhebliches Risiko. Die Vorfälle mit Gemini und anderen KI-Assistenten zeigen, dass die Cybersicherheitsbranche in einem Wettrüsten steckt, um Verteidigungsmechanismen zu entwickeln, die mit den neuen KI-gesteuerten Bedrohungen Schritt halten können.

Unternehmen und Nutzer müssen ihre Sicherheitsstrategie anpassen und erkennen, dass KI-Assistenten nun Teil der Angriffsfläche sind. Für Entwickler bedeutet der Weg nach vorn, eine robustere kontextuelle Isolierung zu schaffen, um zu verhindern, dass Befehle in Daten das KI-Verhalten beeinflussen. Für Nutzer ist ein vorsichtigerer Umgang nötig, mit dem Verständnis, dass die Ausgaben von KI-Assistenten nicht immer harmlos sind. Die Ära, in der Code ausgenutzt wird, mag nicht vorbei sein. Die Ära, in der Sprache ausgenutzt wird, hat jedoch definitiv begonnen.

PS: Diese Vorfälle zeigen, dass Handlungsbedarf besteht – und die Zeit drängt. Der kostenlose Umsetzungsleitfaden zur EU‑KI‑Verordnung fasst die wichtigsten Anforderungen, Übergangsfristen und Pflichten zusammen, damit Ihr Unternehmen Kennzeichnungs- und Dokumentationspflichten rechtzeitig erfüllt. Der praxisorientierte Report richtet sich an Produktteams, Entwickler und Entscheider, die KI-Systeme sicher betreiben wollen. Jetzt kostenlosen KI‑Umsetzungsleitfaden sichern