Datenschutz-Risiko: 2.000 Schatten-Apps ohne Zugangskontrolle entdeckt

Sicherheitsforscher von Kaspersky haben einen besorgniserregenden Trend identifiziert: Immer mehr Cyberkriminelle missbrauchen Google AppSheet, um ihre Opfer zu täuschen. Die Angreifer versenden ihre Nachrichten über die legitime „noreply“-Infrastruktur der Plattform – und umgehen damit mühelos etablierte Sicherheitsprotokolle wie SPF, DKIM und DMARC. Da die Mails direkt von einer vertrauenswürdigen Google-Domain kommen, landen sie ungefiltert in den Posteingängen der Zielpersonen.

Gefälschte HR-Anfragen als Köder

Anzeige: Die 2.000 öffentlich zugänglichen Shadow Builder in Unternehmen sind nur die Spitze des Eisbergs. Ohne Zugangskontrolle gefährden sie sensible CRM- und ERP-Daten – und Ihr Unternehmen riskiert DSGVO-Strafen von bis zu vier Prozent des Jahresumsatzes. Unser Report liefert die Checkliste, um Shadow Builder zu identifizieren und eine No-Code-Governance aufzusetzen. Jetzt kostenlosen Sicherheits-Report anfordern

Die aktuellen Kampagnen setzen auf eine perfide Masche: Die Opfer erhalten E-Mails, die angeblich von Personalabteilungen großer Konzerne wie Google, Meta, Apple, Coca-Cola oder Volvo stammen. Die Nachrichten enthalten Links zur Terminbuchung, die über eine mehrstufige Weiterleitungskette schließlich auf professionell gestaltete Phishing-Seiten führen. Dort werden die Zugangsdaten zu Google- und Facebook-Konten abgegriffen.

„Der Missbrauch vertrauenswürdiger Plattformen macht die Erkennung solcher Kampagnen für automatisierte Sicherheitssysteme extrem schwierig“, warnt Anna Lazaricheva, Sicherheitsexpertin bei Kaspersky.

„Shadow Builders“: Die unkontrollierte Schatten-IT

Parallel dazu zeigt eine umfassende Sicherheitsanalyse aus dem Jahr 2026 ein weiteres massives Problem auf. Bei der Untersuchung von 380.000 Web-Assets entdeckten die Forscher über 2.000 öffentlich zugängliche Anwendungen – sogenannte „Shadow Builders“. Diese wurden von Mitarbeitern mit No-Code-Plattformen erstellt, ohne dass die IT-Sicherheitsabteilungen davon wussten.

Die Gefahr ist enorm: Diese Schatten-Anwendungen verbinden sensible CRM-, ERP- und Business-Intelligence-Systeme direkt mit dem Internet. Von 5.000 analysierten Unternehmensanwendungen enthielten mehr als 2.000 vertrauliche Geschäftsdaten – und das ohne jede Zugangskontrolle. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt: Solche Datenlecks können zu DSGVO-Strafen von bis zu vier Prozent des Jahresumsatzes führen.

Das Zeitfenster für die Abwehr schrumpft dramatisch

Die Geschwindigkeit, mit der Sicherheitslücken ausgenutzt werden, hat sich in den vergangenen Monaten drastisch erhöht. Branchendaten von Ende Mai 2026 zeigen: Die Zeitspanne zwischen der Entdeckung einer Schwachstelle und der Entwicklung eines aktiven Exploits ist von durchschnittlich 125 Tagen (Anfang 2025) auf nur noch 0,5 Tage im Frühjahr 2026 geschrumpft.

Hinzu kommt: KI-gestütztes Phishing macht inzwischen 86 Prozent aller Kampagnen aus. Der geschätzte globale Schaden für 2026 beläuft sich auf 442 Milliarden Euro.

Auch andere Google-Dienste im Visier

Die Sicherheitsforscher von KnowBe4 ThreatLabs haben weitere Angriffsvektoren identifiziert. Eine Kette von Weiterleitungen über Google Meet, Google Search und Google Ad Services umgeht sichere E-Mail-Gateways und führt zum Diebstahl von Microsoft-365-Zugangsdaten. Marktforscher registrierten einen Anstieg von Phishing auf legitimen Plattformen um 67,4 Prozent im Jahr 2025. Besonders dramatisch: Der Einsatz von Google Slides als Angriffsvektor stieg zwischen September 2024 und Februar 2025 um über 200 Prozent.

Anzeige: Phishing-Mails von Google-Domain umgehen SPF, DKIM und DMARC – und landen direkt im Posteingang Ihrer Mitarbeiter. Mit dem Toolkit aus unserem Report rüsten Sie sich gegen diese neue Angriffswelle, die auf Google AppSheet und Google Slides setzt. Sichern Sie sich jetzt die Schritt-für-Schritt-Anleitung zur Abwehr. Toolkit zur Phishing-Abwehr jetzt sichern

Google schlägt zurück – mit KI

Als Reaktion auf die Flut KI-gesteuerter Cyberangriffe hat Google Ende Mai 2026 eine KI-basierte Echtzeit-Schutzplattform gestartet. Das System verkürzt die Reaktionszeit des Konzerns auf neue Bedrohungen von acht Stunden auf rund 22 Sekunden. Auch das im Mai 2026 veröffentlichte Android 17 bringt spezifische Schutzmechanismen gegen KI-gestützte Betrugsanrufe und verbesserte Diebstahlsicherung.

Am 28. Mai 2026 erweiterte Google Cloud sein Sicherheitsportfolio mit der AI Threat Defense Platform. Sie integriert Technologien von Gemini, Mandiant, Wiz und CodeMender. Doch trotz dieser Fortschritte warnen Behörden wie das indische CERT-In weiterhin vor kritischen Schwachstellen – etwa in Microsoft SharePoint (CVE-2026-45659) und dem Windows-Kernel (CVE-2026-40369). Experten empfehlen hier ein Patch-Fenster von maximal zwölf Stunden, um Angriffe durch staatlich gesteuerte Gruppen oder professionelle kriminelle Organisationen zu verhindern.

de | wirtschaft | 69449156 |