Google-Dienste als Einfallstor für globale Phishing-Welle

Eine neue Phishing-Attacke missbraucht legitime Google-Cloud-Dienste, um Sicherheitsfilter zu umgehen und hat bereits Tausende Firmen weltweit getroffen. Experten warnen vor der Ausnutzung vertrauenswürdiger Infrastruktur.

Eine neue Phishing-Kampagne missbraucht die eigene Google-Infrastruktur und hat bereits über 3.000 Unternehmen weltweit getroffen – darunter viele deutsche Konzerne. Die Angreifer nutzen vertrauenswürdige Google-Dienste, um alle gängigen Sicherheitsfilter zu umgehen.

Die Attacke markiert eine gefährliche Eskalation sogenannter „Living-off-the-Land“-Angriffe. Wie Sicherheitsforscher am Freitag, dem 2. Januar 2026, bekanntgaben, instrumentalisieren Kriminelle legale Google-Dienste für ihre Betrugsmasche. Anstatt gefälschte Domains zu nutzen, versenden sie Phishing-Mails direkt über Google Cloud Application Integration und tarnen sie als Google Tasks-Benachrichtigungen.

So funktioniert der mehrstufige Betrug

Die seit Ende Dezember 2025 intensivierte Kampagne folgt einem ausgeklügelten Ablauf, der auf psychologische Druckmittel setzt.

Aktuelle Phishing-Kampagnen operieren zunehmend über legitime Cloud-Dienste – klassische Filter greifen oft nicht mehr. Das kostenlose Anti-Phishing-Paket liefert eine praxisorientierte 4‑Schritte-Anleitung: Erkennen von Brand-Impersonation, Absicherung von Workflow-Integrationen, technische Gegenmaßnahmen und Mitarbeiterschulungen. Besonders hilfreich für IT- und Sicherheitsverantwortliche in Unternehmen, die ihre E-Mail-Prozesse und Awareness sofort stärken wollen. Anti-Phishing-Paket jetzt kostenlos herunterladen

Zunächst erhalten Mitarbeiter täuschend echte Google Tasks-E-Mails. Der Betreff suggeriert Dringlichkeit, etwa „Mitarbeiterüberprüfung“, „Q4-Berichtsprüfung“ oder „Voicemail-Hinweis“. Der Mail-Text imitiert das Google-Tasks-Design perfekt, inklusive der bekannten Buttons „Aufgabe anzeigen“.

Ein Klick darauf führt das Opfer jedoch nicht auf eine verdächtige Seite, sondern zunächst auf eine legitime Google Cloud Storage-URL (storage.cloud.google.com). Dort erscheint eine gefälschte CAPTCHA-Abfrage, die automatisierte Sicherheitsscanner aussieben soll. Erst danach landet der Nutzer auf der eigentlichen Phishing-Seite – etwa einem gefakten Microsoft-365-Login-Portal zur Abfrage von Zugangsdaten.

„Der Angriff nutzt drei fundamentale Schwachstellen aus: vertrauenswürdige Sender-Infrastruktur, hochwertiges Brand-Impersonating und auf vertrauenswürdigen Domains gehostete Payloads“, analysierten Experten. „Wenn alle drei Elemente legitim erscheinen, sind herkömmliche Reputations-basierte Sicherheitstools machtlos.“

Deutsche Industrie und Tech-Konzerne im Visier

Besonders betroffen ist der Industriesektor. Fast 20 Prozent der angegriffenen Organisationen stammen aus dem verarbeitenden Gewerbe – eine Branche mit wertvollem geistigem Eigentum, aber oft heterogenem IT-Sicherheitsniveau. Es folgen die Technologie- und Finanzbranche. Die Angreifer zielen also offenbar auf hochwertige Zugangsdaten, die den Weg zu sensiblen Unternehmensdaten oder Finanzsystemen ebnen können.

Die Kampagne ist global. Fast die Hälfte der Ziele sitzt in den USA, doch auch im asiatisch-pazifischen Raum und in Europa wurde erhebliche Aktivität festgestellt. Generische, dringliche Betreffzeilen wie „Projektprüfung“ ermöglichen es den Angreifern, mit minimalem Aufwand ein breites Netz über verschiedene Branchen und Regionen zu werfen – inklusive deutscher DAX- und Mittelstandsunternehmen.

Das blinde Vertrauen in Tech-Giganten wird zum Risiko

Die Attacke offenbart eine kritische Schwachstelle moderner E-Mail-Sicherheit: das blinde Vertrauen in große Dienstleister. Die meisten Unternehmen listen Kommunikation von google.com oder microsoft.com in ihren Sicherheitssystemen explizit als vertrauenswürdig ein, um Geschäftsabläufe nicht zu stören. Indem sie ihren gesamten Angriff in diesem vertrauten Ökosystem ansiedeln, haben die Cyberkriminellen den „Türsteher“ der E-Mail-Sicherheit ausgetrickst.

„Wir erleben einen Wechsel von Infrastruktur-Spoofing hin zum Missbrauch von Workflow-Tools“, warnten Sicherheitsforscher. „Die Angreifer versuchen nicht mehr, in die Burg einzubrechen. Sie nutzen den eigenen Botendienst der Burg, um ihr Gift zu überbringen.“

Die Zukunft gehört der Verhaltensanalyse

Google hat nach Angaben vom 3. Januar 2026 bereits reagiert und die identifizierten Kampagnen blockiert. Das Unternehmen betonte, es handele sich um den Missbrauch eines Workflow-Automatisierungstools, nicht um einen Kompromittierung der Kerndienste. Die zugrundeliegende Methode – das Ausnutzen legitimer SaaS-Features – bleibt jedoch eine akute Bedrohung.

Die einhellige Expertenmeinung lautet daher: Unternehmen müssen über Reputations-basierte Filter hinausgehen. Gefordert sind nun intent-zentrierte Erkennungssysteme. Diese fortschrittlichen Tools analysieren den Kontext und das Verhalten einer E-Mail – etwa wenn ein externer Absender eine interne HR-Aktion anfordert – und verlassen sich nicht mehr nur auf die verifizierte Identität des Senders.

IT-Administratoren sollten ihre Richtlinien für Google-Cloud-Benachrichtigungen überprüfen. Und Mitarbeiter müssen geschult werden: Selbst legitim aussehende Mails von „vertrauenswürdigen“ Tech-Giganten können bösartig sein. Die Ära, in der eine Domain allein wegen ihres bekannten Namens Vertrauen genoss, scheint vorbei zu sein.

PS: Phisher nutzen gezielt psychologische Druckmittel – von fingierten Vorgesetzten-Mails bis zu angeblich dringenden HR-Anfragen. Der Gratis-Guide im Anti-Phishing-Paket erklärt die sieben psychologischen Schwachstellen, die Angreifer ausnutzen, und liefert sofort anwendbare Checklisten für Awareness-Trainings, Incident-Response und sichere Workflow-Regeln. Ein praktisches Toolset für Sicherheits- und HR-Teams, das Schutzmaßnahmen direkt umsetzbar macht. Gratis Anti-Phishing-Guide hier anfordern