Blog

Google Gemini Calendar Leak: Prompt Injection per Meeting-Invite

Der Gemini Calendar Leak zeigt, wie indirekte Prompt Injection über Meeting-Invites zu Datenabfluss führen kann und welche Schutzmaßnahmen jetzt zählen.

Mika Schmidt

IT Security Experte

Veröffentlicht: 19. Januar 2026 Aktualisiert: 19. Januar 2026 6 Min. Lesezeit

Ein aktueller Vorfall zeigt, wie sich Google Gemini in Verbindung mit Google Calendar über eine scheinbar normale Meeting-Einladung manipulieren ließ. In der beschriebenen Angriffskette wurde indirekte Prompt Injection genutzt, um private Kalenderinformationen zusammenzufassen und über neu angelegte Termine wieder auszuleiten.

Das ist kein klassischer Malware-Fall. Kritisch ist die Kombination aus Sprache, Kontext und Tool-Rechten: Ein KI-Assistent liest externe Inhalte, interpretiert darin versteckte Anweisungen und kann anschließend Aktionen ausführen, etwa neue Termine erstellen. Genau diese Kombination macht GenAI-Assistenzfunktionen zu einem Security- und Governance-Thema.

Kurz erklärt

Beim Google-Gemini-Calendar-Leak handelt es sich um eine semantische Angriffskette. Der Angreifer platziert Anweisungen in einem legitimen Datenfeld, etwa der Beschreibung eines Kalendertermins. Sobald Gemini diese Inhalte beim Beantworten einer Kalenderfrage als Kontext liest, kann der Text zur Steuereingabe werden.

Wichtigste Punkte

Sicherheitsgrenzen werden bei KI-Assistenten nicht nur durch Code, sondern auch durch Kontext und Sprache angegriffen.
Kalender-, E-Mail- und Dokumenteninhalte sind nicht automatisch vertrauenswürdige Instruktionen.
KI-Assistenzfunktionen mit Tool-Zugriff brauchen Governance wie andere privilegierte SaaS-Integrationen.

Hintergrund: Was ist passiert?

In der Berichterstattung und dem zugehörigen Research wird ein Szenario beschrieben, in dem ein Angreifer eine Kalendereinladung versendet und in der Beschreibung des Termins eine versteckte Anweisung platziert. Diese Anweisung wird nicht sofort ausgeführt. Sie bleibt liegen, bis ein Benutzer später eine normale Frage an den Assistenten stellt, zum Beispiel ob am Wochenende ein freier Slot besteht.

Dann liest Gemini den Kalenderkontext, inklusive der bösartigen Beschreibung, und kann den Prompt interpretieren. Entscheidend ist weniger ein Bug im klassischen Sinn, sondern das Zusammenspiel aus Kontextaufnahme und Handlungsfähigkeit: Kalenderdaten werden zur Antwortbildung gelesen, während der Assistent gleichzeitig über Tools oder APIs Aktionen ausführen kann.

Angriffskette: vom Invite bis zur Exfiltration

Angriffskette in 60 Sekunden

1
Payload platzieren
Der Angreifer verschickt einen Meeting-Invite und versteckt eine Anweisung im Beschreibungstext.
2
Trigger abwarten
Der Nutzer stellt später eine normale Kalenderfrage. Der Assistent liest den Kalenderkontext und damit auch die präparierte Beschreibung.
3
Tool-Aktion missbrauchen
Der Assistent erstellt einen scheinbar harmlosen neuen Termin und schreibt eine Zusammenfassung privater Meetings in dessen Beschreibung.

Warum ist das schwer zu verhindern?

Klassische Security-Kontrollen suchen häufig nach auffälligen Mustern: Signaturen, typischen Payloads oder verdächtigen Strings. Prompt Injection ist schwieriger, weil das Risiko semantisch ist. Der Text kann sprachlich plausibel wirken, aber in Kombination mit Tool-Rechten trotzdem unerwünschte Aktionen auslösen.

Deshalb reicht ein Keyword-Filter nicht. GenAI-Funktionen sollten wie eine neue Anwendungsschicht behandelt werden: mit Berechtigungen, Policies, Telemetrie, Freigaben und klaren Grenzen zwischen Datenquelle, Modellkontext und Tool-Aktion.

Bin ich betroffen?

Auch wenn die konkret beschriebene Schwachstelle laut Research und Berichterstattung mitigiert wurde, bleibt die Risikoklasse für viele KI-Assistenten relevant. Für die praktische Betroffenheitsprüfung zählen diese Fragen:

Ist eine KI-Assistenzfunktion im Kalenderkontext aktiv, etwa Termin-Zusammenfassungen, freie Slots oder automatische Planungsassistenz?
Hat die Assistenz Tool-Rechte, also darf sie Termine erstellen oder ändern, oder darf sie nur lesen?
Welche Sichtbarkeits- und Sharing-Regeln gelten im Kalender?
Können externe Teilnehmer Termindetails sehen oder Termine erzeugen, die für andere sichtbar werden?
Gibt es Monitoring und Auditing für Termine, die durch Assistenten oder Service-Identitäten erstellt wurden?

Was sich in Logs prüfen lässt

Wenn Ihre Umgebung Kalender-Auditdaten oder Admin-Reports bereitstellt, lohnen sich diese Suchansätze:

Unerwartete Termin-Erstellungen mit generischen Titeln wie „free“ oder „available“ in kurzen Zeitfenstern.
Serienhafte Änderungen an Beschreibungsfeldern von Terminen.
Erstellungen durch Service-Identitäten oder Assistenten-Integrationen außerhalb erwarteter Prozesse.
Termine, deren Beschreibung Zusammenfassungen anderer Meetings oder ungewöhnlich viele Detailinformationen enthält.

Maßnahmen gegen Prompt Injection in Kalender- und Assistenz-Workflows

Der Kern ist nicht „KI abschalten“, sondern Risiko minimieren: Tool-Zugriffe kontrollieren, Datenflüsse bewusst gestalten und Missbrauch detektieren. Diese Maßnahmen sind für Kalender- und Assistenz-Workflows besonders relevant.

Pragmatische Schutzmaßnahmen

1
Least Privilege für KI-Tools erzwingen
Wenn eine Assistenzfunktion nur Termine anzeigen soll, braucht sie keine Create- oder Update-Rechte. Schreibende Aktionen gehören in klar definierte Use Cases.
2
High-Risk-Actions bestätigen lassen
Aktionen mit Datenabfluss-Potenzial, etwa Erstellen, Teilen, Weiterleiten oder Exportieren, sollten eine explizite Nutzerbestätigung verlangen.
3
Policy-Checks statt Keyword-Filter nutzen
Kontrollen sollten Datenherkunft, Intention und Zielaktion bewerten: Welche Daten werden aus welcher Quelle in welche Tool-Aktion übernommen?
4
Kalender-Sharing härten
Detailsichtbarkeit, externe Einladungen und automatische Terminannahmen so konfigurieren, dass unnötiger Kontext nicht breit sichtbar wird.
5
Audit und Alerts einschalten
Ungewöhnliche Termin-Erstellungen, Änderungen an Beschreibungen und Aktionen durch Assistenten-Identitäten sollten nachvollziehbar sein.

Kalender-Kontrollen

Kontrolle	Ziel	Praxis-Tipp
Externe Einladungen	Angriffsfläche reduzieren	Regeln definieren, welche Teams externe Einladungen automatisch annehmen dürfen und wo Ausnahmen gelten.
Sichtbarkeit von Details	Datenminimierung	Wo fachlich möglich nur Busy-Informationen statt vollständiger Termindetails freigeben.
Schreibrechte für Assistenten	Stille Exfiltration verhindern	Create- und Update-Rechte getrennt von Read-Rechten verwalten und für kritische Aktionen Bestätigung verlangen.
Audit und Alerts	Detektion und Forensik	Alarme auf ungewöhnliche Termin-Erstellungen oder Änderungen durch Assistenten-Identitäten setzen.

Governance und Compliance: warum das ein Management-Thema ist

Der Fall zeigt, dass GenAI nicht nur ein Produktivitäts-Feature ist, sondern eine Form integrierter Automatisierung. Sobald Assistenten Tools bedienen, entstehen typische Governance-Fragen:

Wer genehmigt KI-Integrationen, wer betreibt sie und wer überwacht sie?
Welche Datenklassen dürfen in Assistenz-Kontexte gelangen?
Welche Policies sind technisch erzwungen und welche sind nur Guidelines?
Wie wird dokumentiert, welche Tool-Aktionen ein Assistent ausführen durfte?
Welche Logs stehen im Incident-Fall tatsächlich zur Verfügung?

Für einen strukturierten Ansatz lohnt sich die Orientierung an etablierten Risk-Management-Methoden wie dem NIST AI RMF, ergänzt um LLM-spezifische Kontrollziele aus der OWASP Top 10 for LLM Applications.

FAQ

FAQ zum Gemini Calendar Leak

Was bedeutet indirekte Prompt Injection im Kontext von Kalender-Invites?

Indirekte Prompt Injection bedeutet, dass Anweisungen nicht direkt im Chat stehen, sondern in einem externen Kontext, etwa in der Beschreibung einer Kalendereinladung. Ein Assistenzsystem kann diese Anweisungen beim Lesen des Kontexts trotzdem als steuernde Instruktion interpretieren.

Muss ein Benutzer auf einen Link klicken, damit der Angriff funktioniert?

Laut der beschriebenen Angriffskette nicht zwingend. Der Payload kann in der Event-Beschreibung liegen bleiben und erst aktiv werden, wenn der Nutzer später eine normale Kalenderfrage an den Assistenten stellt.

Welche Daten sind potenziell betroffen?

Je nach Berechtigungen und Produktintegration können Metadaten und Inhalte von Terminen betroffen sein, etwa Titel, Zeiten, Teilnehmer, Beschreibungen und private Meetings.

Ist das Problem bereits behoben?

Nach Angaben der Forschenden und der Berichterstattung wurde die konkret demonstrierte Schwachstelle durch Google mitigiert. Das Grundrisiko semantischer Angriffe auf KI-Assistenzfunktionen bleibt aber relevant.

Was sollten Unternehmen kurzfristig tun?

Kurzfristig zählen Governance und technische Leitplanken: KI-Assistenzfunktionen mit Tool-Zugriff gezielt aktivieren, Berechtigungen minimieren, Logging einschalten und Data-Loss-Risiken in Threat Models aufnehmen.

Fazit: Der Fall ist ein Muster und damit planbar

Der Google-Gemini-Calendar-Leak ist vor allem ein Lehrstück: Wenn KI-Assistenten Kontext aus Geschäftsdaten lesen und gleichzeitig Tool-Rechte besitzen, entstehen neue Angriffswege, oft ohne klassische Indicators of Compromise.

Die gute Nachricht: Mit Least Privilege, Bestätigungs-Workflows für kritische Aktionen, Audit-Mechanismen und klarer Governance lässt sich das Risiko praxisnah reduzieren. Entscheidend ist, KI-Assistenten nicht als Chatfenster zu betrachten, sondern als Integration mit Datenzugriff, Handlungsmöglichkeiten und Betriebsverantwortung.

Quellen

Hackread: Google Gemini AI Tricked Into Leaking Calendar Data via Meeting InvitesHackread, 19. Januar 2026
Miggo Security Research: Weaponizing Calendar InvitesMiggo Security Research, 19. Januar 2026
OWASP: Top 10 for LLM ApplicationsOWASP, laufend aktualisiert
NIST: AI Risk Management FrameworkNIST AI RMF 1.0, 2023