Google Cloud: Alte API-Schlüssel bedrohen Gemini-Daten
28.02.2026 - 09:39:37 | boerse-global.de
Eine gefährliche Sicherheitslücke verwandelt harmlose Google-Cloud-Schlüssel in Vollzugriff auf private KI-Daten. Der Fehler untergräbt jahrelange Sicherheitspraktiken und zeigt die Risiken, wenn generative KI in alte Systeme integriert wird.
Warum 73% der deutschen Unternehmen auf Cyberangriffe nicht vorbereitet sind, zeigt die aktuelle Bedrohungslage durch solche Sicherheitslücken in Cloud-Systemen deutlich. Dieser kostenlose Leitfaden hilft Ihnen, Ihr Unternehmen mit einfachen Maßnahmen vor kostspieligen IT-Risiken zu schützen. Effektive Strategien gegen Cyberkriminelle entdecken
Wie aus harmlosen Schlüsseln Masterkeys werden
Jahrelang galten bestimmte API-Schlüssel von Google Cloud als unkritisch. Entwickler bauten sie in Webseiten oder öffentliche Code-Repositories ein, um Dienste wie Google Maps zu nutzen. Diese Schlüssel dienten primär der Abrechnung, nicht der sicheren Authentifizierung.
Mit dem Rollout von Googles generativer KI änderte sich das schlagartig. Wie Sicherheitsforscher von Truffle Security Ende Februar 2026 aufdeckten, erhalten alle alten Schlüssel in einem Cloud-Projekt automatisch Vollzugriff auf Gemini-Endpunkte, sobald der Generative Language API aktiviert wird. Diese Rechteausweitung geschieht stillschweigend – ohne Warnung für die Projektverantwortlichen. Plötzlich können die ehemals harmlosen Schlüssel private Datensätze lesen und kostenpflichtige KI-Abfragen ausführen. Der Fehler liegt in unsicheren Standardeinstellungen: Neue Dienste vertrauten bedingungslos allen alten Zugangscodes.
Tausende Schlüssel und fatale Folgen
Das Ausmaß ist gewaltig. Bei einer Analyse öffentlich zugänglichen Codes fanden Sicherheitsexperten fast 3.000 aktive Google-API-Schlüssel, die unbeabsichtigt Zugriff auf Gemini hatten. Betroffen sind Finanzinstitute, Personaldienstleister, Cybersicherheitsfirmen und sogar eigene Google-Webproperties.
Für Angreifer ist die Ausnutzung simpel: Sie sammeln die öffentlich einsehbaren Schlüssel und testen sie gegen Gemini-Schnittstellen. Im Erfolgsfall können sie sensible Firmendokumente extrahieren. Noch gravierender sind die finanziellen Konsequenzen. Da Gemini nutzungsbasiert abgerechnet wird, können Angreifer mit einem kompromittierten Schlüssel tausende Euro an unberechtigten Kosten pro Tag verursachen – zu Lasten des Opfers.
Googles Reaktion: Blockaden und neue Standards
Die Aufdeckung des Problems gestaltete sich schwierig. Forscher meldeten die Lücke bereits Ende November 2025 an Google. Das Unternehmen stufte das Verhalten zunächst als beabsichtigt ein. Erst nachdem konkrete Beispiele aus der eigenen Infrastruktur vorgelegt wurden, erkannte Google den Bug Mitte Januar 2026 offiziell an.
Nach Ablauf der 90-tägigen Embargofrist im Februar 2026 ergriff Google erste Gegenmaßnahmen. Neue Zugangsdaten aus der AI Studio erhalten nun standardmäßig nur noch Gemini-Zugriff. Zudem scannt ein erweitertes System aktiv nach geleakten Schlüsseln. Wird ein kompromittierter Schlüssel für KI-Anfragen genutzt, blockiert die Automatik den Zugang und benachrichtigt die Administratoren.
Paradigmenwechsel im Cloud-Security
Dieser Vorfall markiert einen fundamentalen Wandel im Credential-Management. Bisher ging die Branche davon aus, dass das Risiko eines Zugangscodes statisch bleibt, es sei denn, ein Administrator ändert es aktiv. Die Gemini-Lücke widerlegt diese Annahme: Hochprivilegierte KI-Dienste können alte Infrastruktur nachträglich „bewaffnen“, ohne dass der Nutzer etwas tut.
Experten ziehen Parallelen zur Passwort-Wiederverwendung, sehen aber einen entscheidenden Unterschied in der Verantwortung. Während schlechte Passwort-Praxis auf Nutzerfehler trotz Warnungen zurückgeht, folgten Entwickler hier offiziellen, nun obsolet gewordenen Anleitungen des Anbieters. Der Vorfall zeigt: Bequeme Standardeinstellungen mit uneingeschränktem Zugriff sind mit den Sicherheitsanforderungen moderner KI-Integrationen nicht mehr vereinbar.
Neben technischen Sicherheitslücken müssen Unternehmen nun auch die rechtlichen Anforderungen der neuen EU-KI-Verordnung erfüllen, um Bußgelder zu vermeiden. Dieser kostenlose Leitfaden erklärt kompakt die neuen Kennzeichnungspflichten und Risikoklassen für Ihre KI-Systeme. Gratis E-Book zur KI-Verordnung herunterladen
Was Unternehmen jetzt tun müssen
Cloud-Administratoren sind zu sofortigen Audits aufgerufen. Sicherheitsexperten empfehlen, jedes Google-Cloud-Projekt zu prüfen: Ist der Generative Language API aktiv? Falls ja, müssen alle zugehörigen Schlüssel inventarisiert werden. Solche, die in öffentlichen Repositories oder Client-Code liegen, müssen umgehend ausgetauscht werden.
Langfristig dürften Regulierer und Konsortien auf strengere Standardkonfigurationen bei allen Cloud-Anbietern drängen. Der Trend zu Least-Privilege-Architekturen, bei denen Zugriffsrechte explizit erteilt werden müssen, wird sich beschleunigen. Während Google seine Schutzmechanismen verbessert, muss die gesamte Tech-Branche anerkennen: Die schnelle Einführung von KI erfordert eine grundlegende Überprüfung veralteter Sicherheitspraktiken.
Hol dir den Wissensvorsprung der Aktien-Profis.
Seit 2005 liefert der Börsenbrief trading-notes verlässliche Aktien-Empfehlungen - Dreimal die Woche, direkt ins Postfach. 100% kostenlos. 100% Expertenwissen. Trage einfach deine E-Mail Adresse ein und verpasse ab heute keine Top-Chance mehr. Jetzt kostenlos anmelden
Jetzt abonnieren.
