Forschende von Miggo Security haben einen ungewöhnlichen Angriffsvektor auf den KI-Assistenten Google Gemini offengelegt: Ein scheinbar harmloses Kalender‑Einladungsemail reicht aus, um über Prompt-Injection vertrauliche Informationen aus dem Google-Kalender eines Nutzers abzufliessen – ganz ohne Malware auf dem Endgerät.
Prompt-Injection über Google Calendar: Funktionsweise des Angriffs
Die Schwachstelle beruht darauf, wie Google Gemini mit dem Kalender des Nutzers interagiert. Fordert eine Person den Assistenten etwa auf: „Zeig mir meine Termine für heute“, liest Gemini alle relevanten Einträge aus – einschliesslich jener, die über externe Einladungen ins Postfach gelangt sind.
Verborgene Anweisungen im Beschreibungstext eines Termins
Angreifende versenden dazu eine Kalender‑Einladung, in deren Beschreibungstext sich ein speziell formulierter Prompt befindet. Nach aussen wirkt er wie eine normale Notiz zum Termin, ist aber in Wahrheit eine versteckte Anweisung an das Sprachmodell.
Gemäss Miggo Security lässt sich eine Kette von Instruktionen so formulieren, dass der KI-Assistent beispielsweise:
— alle Termine eines bestimmten Tages einschliesslich privater Meetings ausliest und zusammenfasst;
— automatisch einen neuen Kalendereintrag erzeugt und die gesammelten Informationen in die Beschreibung dieses neuen Termins schreibt;
— dem Nutzer anschliessend eine unauffällige, harmlose Antwort präsentiert, ohne die internen Aktionen offenzulegen.
Damit wird das Beschreibungfeld eines einzigen Termins faktisch zum Steuerkanal für den KI-Agenten und zum Auslöser eines stillen Datenlecks – ausgelöst durch Inhalte, die der Nutzer selbst angefordert hat („zeige meine Termine“).
Warum die Sicherheitsfilter von Google Gemini umgangen werden konnten
Nach Angaben von Miggo Security nutzt Google für Gemini eine separate, isolierte Schutzschicht, um schädliche Prompts zu filtern und direkte Prompt-Injection-Angriffe zu blockieren. Im vorliegenden Fall griff dieser Mechanismus jedoch nicht, weil der Text im Kalendereintrag legitime Handlungen zu beschreiben schien: Arbeiten mit Terminen, Erstellen eines neuen Events, Rückmeldung an den Nutzer.
Grenzen syntaktischer Erkennung von Prompt-Injection
Viele Schutzmechanismen für Large Language Models (LLMs) setzen auf die Erkennung von „verdächtigem“ Syntaxmuster oder typischen Angriffssignaturen. Die von Miggo demonstrierten Befehle waren hingegen semantisch neutral: Formulierungen wie „fasse alle heutigen Meetings strukturiert zusammen“ wirken für sich genommen nicht bösartig, führen im Kontext eines befugten Kalender‑Agents aber direkt zu einem Datenabfluss.
Dieses Problem ist in der Fachliteratur anerkannt. So warnen etwa die OWASP „Top 10 for LLM Applications“ und das NIST AI Risk Management Framework explizit davor, dass LLMs zugleich Dateninterpret und Befehlsausführender sind. Enthalten Daten – wie ein Kalendereintrag – versteckte Instruktionen, verschwimmt die Grenze zwischen „Inhalt“ und „Befehl“ und klassische Filterlogik greift nur bedingt.
Erhöhte Risiken für Unternehmen und sensible Kalenderdaten
Besonders kritisch ist dieser Angriffsvektor in Unternehmensumgebungen, in denen Kalender intensiv für Projektplanung, Kundengespräche und strategische Meetings genutzt werden. In vielen Organisationen sind Beschreibungen von Terminen standardmässig für alle eingeladenen Teilnehmenden sichtbar.
Wenn Gemini den eingeschleusten Anweisungen folgt und einen neuen Termin mit einer Konzentration vertraulicher Informationen anlegt – etwa Agenda-Punkte, Teilnehmerlisten, interne Projektbezeichnungen oder Budgetcodes –, werden diese Inhalte automatisch weiteren Personen oder Gruppen zugänglich, sofern sie diesen neuen Eintrag sehen können.
Gemäss dem Bericht genügt es Angreifenden somit, Zugriff auf ein einziges geteiltes Ereignis oder eine Einladung zu haben, um indirekt sensible Unternehmensinformationen abzugreifen. Bereits im August 2025 hatten zudem Forschende von SafeBreach demonstriert, dass manipulierte Google-Calendar-Einladungen zur Fernsteuerung von Gemini-Agenten auf dem Gerät des Opfers und zur Exfiltration persönlicher Daten genutzt werden können – ein Hinweis auf ein systemisches Risiko rund um Kalenderintegrationen.
Googles Reaktion und der Bedarf an kontextorientierter KI-Sicherheit
Google verweist auf eine mehrstufige Sicherheitsstrategie gegen Prompt-Injection. Ein zentrales Element ist die Anforderung einer expliziten Bestätigung durch den Nutzer, bevor neue Termine automatisch erstellt oder verändert werden. Dadurch soll verhindert werden, dass versteckte Anweisungen ohne menschliche Kontrolle ausgeführt werden.
Aus Sicht von Miggo Security und anderer Fachkreise reicht ein rein syntaktischer oder regelbasierter Ansatz jedoch nicht aus. Erforderlich ist eine kontextorientierte Verteidigung, die nicht nur den Wortlaut, sondern auch folgende Faktoren bewertet:
— die Herkunft der Daten (externe Einladung, geteiltes Dokument, E-Mail);
— den Kontext der Aktion (Welche Ressourcen und APIs dürfen angesprochen werden?);
— das potenzielle Schadensausmass (Zugriff auf private Meetings, Dateien, Kontakte, CRM-Daten usw.).
Solche mehrdimensionalen Bewertungen entsprechen dem Prinzip von „Zero Trust for Data“: Auch scheinbar harmlose Inhalte aus vertrauten Anwendungen wie Kalendern sollten nicht automatisch als vertrauenswürdig für KI-Agenten behandelt werden.
Praktische Empfehlungen für Organisationen zur Absicherung von KI-Assistenten
Unternehmen, die Gemini oder andere LLM-basierte Assistenten produktiv einsetzen, sollten ihre Sicherheitsarchitektur und Berechtigungskonzepte gezielt anpassen. In der Praxis haben sich unter anderem folgende Massnahmen als sinnvoll erwiesen:
— Rechtebeschränkung: Standardmässig nur lesenden Zugriff auf Kalender gewähren; Erstellung und Änderung von Terminen nur nach expliziter Freigabe erlauben.
— Datensegmentierung: Strikte Trennung von geschäftlichen und privaten Kalendern, Aufgabenlisten und Dokumentquellen, um Querverknüpfungen zu minimieren.
— Protokollierung von KI-Aktivitäten: Transparente Logs darüber, welche Daten der KI-Agent ausliest, welche Aktionen er ausführt und wann neue Objekte angelegt werden.
— Sensibilisierung der Mitarbeitenden: Schulungen zu Prompt-Injection-Risiken, einschliesslich Angriffen über vertraute Dienste wie E-Mail, Kalender und Office-Dokumente.
— Regelmässige Sicherheitstests: Gezielte Testszenarien für Prompt-Injection und „Red-Teaming“ von KI-Assistenten, analog zu klassischen Penetrationstests.
Angriffe wie der beschriebene Fall von Prompt-Injection über Google Calendar verdeutlichen, dass jede externe Eingabe – selbst eine gewöhnliche Meeting-Einladung – zum Angriffsvektor werden kann, sobald KI-Agenten automatisiert darauf zugreifen. Organisationen, die frühzeitig auf kontextbasierte Schutzmechanismen, restriktive Berechtigungskonzepte und kontinuierliche Sicherheitstests setzen, reduzieren ihr Risiko erheblich und schaffen die Grundlage für einen verantwortungsvollen, sicheren Einsatz von KI im Unternehmensalltag.
