Google-API-Lücke gefährdet Gemini-KI und Nutzerdaten
27.02.2026 - 03:00:29 | boerse-global.de
Eine kritische Sicherheitslücke in Googles Cloud-Infrastruktur verwandelt öffentliche API-Schlüssel in heimliche Zugangscodes für die sensible Gemini-KI. Betroffen sind Tausende Unternehmen – darunter auch Finanzkonzerne.
Die Gefahr lauert in alten Schlüsseln. Forscher des Sicherheitsunternehmens Truffle Security deckten auf: Öffentlich einsehbare API-Schlüssel, etwa für Google Maps, erhalten automatisch Zugriff auf die Gemini-API, sobald diese in einem Cloud-Projekt aktiviert wird. Aus einem vermeintlich harmlosen Code-Schnipsel wird so über Nacht ein geheimer Schlüssel zu privaten Nutzerdaten und abrechenbaren KI-Diensten.
Warum 73% der deutschen Unternehmen auf Cyberangriffe nicht vorbereitet sind – neue Gesetze und komplexe Cloud-Strukturen verschärfen die IT-Sicherheitslage massiv. Dieser kostenlose Leitfaden zeigt, wie Sie Ihr Unternehmen mit einfachen Maßnahmen vor kostspieligen Datenlecks schützen. IT-Sicherheits-Leitfaden jetzt kostenlos herunterladen
So funktioniert die gefährliche Rechte-Eskalation
Das Problem ist kein klassischer Bug, sondern ein Konstruktionsfehler. Google behandelte bestimmte API-Schlüssel jahärang als öffentliche Identifikatoren, die sicher im Quellcode von Webseiten stehen durften. Doch diese Annahme kippt schlagartig.
Aktiviert ein Entwickler die Gemini-API (früher Generative Language API) für sein Projekt, werden alle bestehenden Schlüssel desselben Projekts stillschweigend mit den neuen Rechten ausgestattet. Angreifer können das ausnutzen, indem sie das Internet nach diesen öffentlichen Schlüsseln durchsuchen – eine gängige Praxis.
Truffle Security fand auf diese Weise 2.863 aktive, angreifbare Schlüssel. Die Bandbreite der betroffenen Organisationen ist enorm: Von großen Finanzinstituten über Sicherheitsfirmen bis hin zu Google selbst. Mit einem erbeuteten Schlüssel lassen sich nicht nur hochsensible Daten abgreifen. Angreifer können auch im Namen des Opfers die kostenpflichtige Gemini-API nutzen und so binnen Tagesfrist Tausende Euro an Gebühren verursachen.
Googles Reaktion: Blockaden, aber keine grundlegende Lösung
Die Forscher meldeten den Vorfall bereits am 21. November 2025 an Google. Nach anfänglicher Einschätzung als „beabsichtigt“ stufte der Konzern das Problem am 13. Januar 2026 doch als Sicherheitslücke ein.
Google hat inzwischen Gegenmaßnahmen ergriffen. Die internen Systeme zur Erkennung geleakter Zugangsdaten wurden erweitert. Sie blockieren nun gezielt den Einsatz öffentlich gewordener API-Schlüssel für die Gemini-API. Das schützt Kunden, deren Schlüssel bereits im Umlauf sind. Eine architektonische Lösung für die Ursache des Problems steht jedoch noch aus.
Der aktuelle Vorfall zeigt, wie schnell neue KI-Technologien bestehende Sicherheitsmodelle aushebeln und rechtliche Risiken schaffen. Erfahren Sie in unserem kompakten E-Book zur EU-KI-Verordnung, welche Dokumentations- und Sorgfaltspflichten Unternehmen jetzt bei der Nutzung von KI-Systemen erfüllen müssen. Kostenloses E-Book zur KI-Verordnung sichern
KI-Boom stellt alte Sicherheitsmodelle auf den Prüfstand
Der Fall zeigt ein grundsätzliches Dilemma im Zeitalter der KI-Integration. Neue, mächtige Dienste wie Gemini werden auf bestehende Cloud-Infrastrukturen aufgesattelt – und bringen dabei veraltete Sicherheitsannahmen zu Fall. Die klare Trennung zwischen öffentlichen Identifikatoren und geheimen Zugangsberechtigungen verschwimmt.
Sicherheitsexperten fordern eine branchenweite Überprüfung, wie API-Berechtigungen vergeben und verwaltet werden. Vor allem dann, wenn neue, leistungsstarke Dienste in bestehende Ökosysteme eingeführt werden. Die Verantwortung liegt dabei klar bei den Plattform-Anbietern wie Google.
Was Entwickler jetzt tun müssen
Google kündigte an, künftig Schlüssel aus der AI Studio standardmäßig nur noch für Gemini freizuschalten. Bis dahin ist Eigeninitiative gefragt.
Unternehmen und Entwickler auf der Google Cloud Platform sollten sofort handeln:
1. Prüfen Sie alle Projekte: Ist die Generative Language/Gemini-API aktiviert?
2. Auditieren Sie alle API-Schlüssel: Stehen Schlüssel im Quellcode von Webseiten oder öffentlichen Code-Repositories?
3. Rotieren Sie gefährdete Schlüssel: Alle öffentlich einsehbaren Schlüssel in betroffenen Projekten müssen umgehend erneuert werden.
Der Einsatz von Sicherheitstools zum Scannen des eigenen Codes nach offengelegten Schlüsseln ist dringend empfohlen. Die Lücke bei Google ist eine eindringliche Warnung: In der KI-Ära kann die Sicherheit von gestern die Bedrohung von morgen sein.
Hol dir jetzt den Wissensvorsprung der Aktien-Profis.
Seit 2005 liefert der Börsenbrief trading-notes verlässliche Aktien-Empfehlungen – dreimal pro Woche, direkt ins Postfach. 100% kostenlos. 100% Expertenwissen. Trage einfach deine E-Mail Adresse ein und verpasse ab heute keine Top-Chance mehr.
Jetzt abonnieren.
