Cyber-Spionage: Hacker stehlen Forschungsdaten über Google-Workspace-Regeln
Veröffentlicht: 12.07.2026 um 15:46 Uhr, Redaktion boerse-global.de
Eine bislang unbekannte Cyber-Spionagekampagne hat über Monate hinweg sensible E-Mail-Kommunikation mehrerer US-Forschungseinrichtungen abgeschöpft. Die Angreifer nutzten eine raffinierte Kombination aus Server-Backdoors und manipulierten Google-Workspace-Regeln – und blieben dabei mehr als ein Jahr lang unentdeckt.
Die Attacke richtet sich gegen REDCap-Server (Research Electronic Data Capture), die von wissenschaftlichen Instituten zur Datenerfassung genutzt werden. Über eine als INFINITERED identifizierte Schadsoftware verschafften sich die Täter Zugang zu den Systemen. Ihr eigentliches Ziel: die Google-Workspace-Umgebungen der Einrichtungen.
So funktionierte der Datendiebstahl
Die Hacker nutzten eine Schwachstelle im Regelwerk von Google Workspace aus. Statt auf herkömmliche Phishing-Mails zu setzen, manipulierten sie die sogenannten Content-Compliance-Regeln. Das Prinzip ist ebenso einfach wie effektiv: Sie legten Filter auf Basis bewusst falsch geschriebener Schlüsselwörter an. Kopien bestimmter ein- und ausgehender E-Mails wurden daraufhin automatisch an fremde Postfächer weitergeleitet – ohne dass Sicherheitssysteme anschlagen.
Die erbeuteten Daten sind brisant: Sie umfassen geostrategische Analysen, militärische Unterlagen und medizinische Forschung. Konkret genannt wird etwa Dokumentation zum Chikungunya-Virus.
KI-Klau im industriellen Maßstab
Der Einbruch in die Forschungssysteme fällt in eine Zeit verschärfter Warnungen aus dem Weißen Haus. Bereits im April 2026 warnten US-Behörden vor systematischem Diebstahl geistigen Eigentums im KI-Sektor. Chinesische Akteure versuchten demnach, den technologischen Rückstand durch sogenannte Distillation aufzuholen – also durch massenhafte automatisierte Abfragen, um proprietäre KI-Modelle nachzubauen.
Wer die aktuellen INFINITERED-Angriffe auf Forschungseinrichtungen analysiert, erkennt: Manipulierte Google-Workspace-Regeln sind eine der gefährlichsten Einfallstore 2026. Dieser Report liefert eine konkrete Checkliste, um Ihre Content-Compliance-Regeln zu härten und Backdoor-Angriffe frühzeitig zu erkennen. Jetzt kostenlosen Sicherheits-Report anfordern
Die Zahlen sind beeindruckend: Der KI-Entwickler Anthropic meldete rund 25.000 Fake-Konten, die innerhalb von sechs Wochen 28,8 Millionen Abfragen tätigten, um Modelldaten zu extrahieren. Auch OpenAI informierte den Gesetzgeber über Versuche des chinesischen Unternehmens DeepSeek, über verschleierte Netzwerkwege eigene Modelle zu kopieren.
Dass die Bedrohung real ist, zeigt ein Präzedenzfall: Der ehemalige Google-Ingenieur Linwei Ding wurde kürzlich verurteilt – es war die erste Verurteilung wegen Wirtschaftsspionage im KI-Bereich in den USA.
Weltweite Angriffswelle
Die Attacke auf US-Forschungseinrichtungen ist kein Einzelfall. Sicherheitsforscher dokumentieren eine Zunahme chinesisch gesteuerter Cyberoperationen auf mehreren Kontinenten:
Die Gefahr durch KI-Modell-Distillation wächst: Allein Anthropic meldete 28,8 Millionen Abfragen von 25.000 Fake-Konten innerhalb von sechs Wochen. Schützen Sie Ihre proprietären Modelle und Forschungsdaten mit den 5 Schritten aus diesem Whitepaper – bevor Ihre Einrichtung das nächste Ziel wird. Whitepaper: Schutz vor KI-Datendiebstahl jetzt sichern
- Singapur: Die Behörden schlossen nach elf Monaten die „Operation CYBER GUARDIAN" ab. Über 100 Experten waren beteiligt, nachdem die Gruppe UNC3886 vier große Telekommunikationsanbieter – M1, SIMBA Telecom, Singtel und StarHub – mit Zero-Day-Exploits attackiert hatte.
- Pakistan: Von Februar 2024 bis April 2026 nutzten Angreifer manipulierte Polizeiportale in Belutschistan, um an biometrische Daten und Ermittlungsakten zu gelangen.
- Europa: In Büroroutern und Druckern kleiner Unternehmen wurden Hintertüren entdeckt. Die EU blockierte im Mai 2026 zudem chinesische Wechselrichter für Solaranlagen – aus Sorge vor Fernzugriffen, die flächendeckende Stromausfälle auslösen könnten.
Die Google Threat Intelligence Group (GTIG) konnte immerhin eine separate Kampagne namens UNC2814 (auch Gallium) stoppen. Diese hatte in 42 Ländern Regierungen und Telekommunikationsanbieter infiltriert – über eine neuartige Hintertür namens Gridtide. GTIG sperrte die Zugänge und legte die Infrastruktur lahm. Ob die aktuellen Angriffe auf die Forschungsserver damit zusammenhängen, ist bislang unklar.
Disclaimer zu unseren Artikeln: Keine Anlageberatung, keine Kauf oder Verkaufsempfehlung. Angaben zu Kursen, Unternehmen und Märkten ohne Gewähr; Änderungen jederzeit möglich. Börsengeschäfte können zu hohen Verlusten führen. Unsere Beiträge werden ganz oder teilweise automatisiert mit Unterstützung von AI erstellt und geprüft.
