Kalendereinladungen und die Gmail-Integration von ChatGPT: das Angriffsmuster
Am 12. September 2025 demonstrierte der Sicherheitsforscher Eito Miyamura einen Exploit, der wohl der erste, aber ganz sicher nicht der letzte seiner Art ist: Ein bösartiger Google Kalender schleust Prompts in ChatGPT ein, das, wenn es mit Gmail verbunden ist, als Antwort private E-Mails preisgibt. Ja, es gibt bestimmte Voraussetzungen — Sie müssen die Verbindung zwischen der KI und Gmail herstellen und Google Kalender so intensiv nutzen, dass eine unbekannte Einladung ihren Weg hineinfinden kann — aber solche Muster entwickeln sich meist weiter und weiten die Angriffsfläche aus, daher ist es am besten, genau zu wissen, was passiert und wie Sie sich schützen können. Lesen Sie weiter für beides.
Bösartige Google-Kalender-Einladungen: Was steckt dahinter
Die Waffe hier heißt “indirekte Prompt-Injektionen.” Sie nutzen die Gründlichkeit der KI aus, indem sie bösartige Anweisungen in externe Daten einschleusen, die vom Modell verarbeitet werden, darunter Websites, E-Mails, Kalendereinladungen oder Dokumente. Im Fall von Google-Kalender-Einladungen und der ChatGPT-Integration mit Gmail nahm die KI die Einladung wie vorgesehen entgegen und wurde durch in diesen Einladungen verborgene Befehle dazu gebracht, E-Mails preiszugeben (sobald verbunden, hat sie Zugriff auf eine Menge Daten).
Der Begriff “Prompt-Injektion” wurde 2022 von Simon Willison geprägt; der Forscher beschrieb, wie böswillige Akteure KI-Systemen auf ähnliche Weise Anweisungen geben könnten wie bei SQL-Injektionen. “Indirekte Prompt-Injektionen,” wie der Name schon sagt, verbergen diese Befehle unter einer Schicht harmlos wirkenden Materials. Der Begriff selbst wird Kai Greshake und dem NVIDIA-Team zugeschrieben, die 2025 das Angriffsmuster formalisiert und Abwehrstrategien dagegen beschrieben haben.
Wie schützen Sie sich vor Angriffen mit indirekten Prompt-Injektionen?
Es bringt nichts, vollständig auf den Einsatz künstlicher Intelligenz zu verzichten: Heute gelingt Ihnen die gewünschte Isolation vielleicht, aber morgen werden große Sprachmodelle auf der Anbieterseite in Dienste integriert sein, und Sie werden sie schlicht nicht mehr von Ihren Konten abkoppeln können. Mehr noch: Sie werden nicht einmal wissen, dass die Verbindung besteht. Was können Sie also tun, um Ihre Ressourcen abzusichern?
- Wachsamkeit. An erster Stelle steht, wachsam zu bleiben und nichts Verdächtiges in Ihren Kalender oder ein anderes System zu lassen, das sich für diesen oder jenen Zweck auf KI stützt.
- Ordnung. Halten Sie Ordnung. Wenn Sie ChatGPT nicht wirklich für E-Mails brauchen, deaktivieren Sie es. Vielleicht haben Sie die Funktion ausprobiert und sie sogar gemocht, aber wenn es keinen praktischen Anwendungsfall dafür gibt — zögern Sie nicht, und schieben Sie es nicht auf die lange Bank.
- Grenzen. Schon heute lassen sich KI-Integrationen so anpassen, dass Sie mehr Kontrolle darüber haben, womit das Modell arbeitet und unter welchen Bedingungen es auf die Daten zugreifen darf. Ziehen Sie in Betracht, alle automatischen Routinen zu deaktivieren. Ja, das bringt zusätzliche manuelle Freigaben mit sich, aber so ist es sicherer.
- Vorhandene Schutzmechanismen. In Google Kalender können Sie beispielsweise einstellen, dass nur Einladungen von bekannten Absendern zugelassen werden. Das ist ein Schutzmechanismus; nutzen Sie solche, wann immer möglich.
OpenAI hat das Problem anerkannt und vorgeschlagen, Konnektoren zu deaktivieren. Das Unternehmen arbeitet an Abwehrmaßnahmen gegen solche Angriffe, aber es ist ein Wettrennen zwischen Schild und Schwert, daher ergibt es Sinn, sich eine vorausschauende Sicherheits-Suite zuzulegen. Finden Sie hier eine:
