Google-Kalender: Phishing-Welle nutzt automatische Termine

Eine neue Phishing-Welle überflutet die Google-Kalender von Nutzern. Angreifer nutzen eine Standardfunktion aus, um Schadlinks direkt in die Terminübersicht zu schleusen.

So funktioniert die Kalender-Phishing-Masche

Die Angreifer setzen auf eine bequeme Einstellung: Viele Nutzer lassen sich Einladungen, die per E-Mail eintreffen, automatisch in ihren Kalender eintragen. Cyberkriminelle versenden nun massenhaft gefälschte Einladungen mit Ködern wie „Sie haben ein Paket erhalten“ oder „Ihr iPhone-Gewinn wartet“. In der Terminbeschreibung verstecken sie Links zu bösartigen Webseiten.

Das Ziel ist klassisches Phishing: Opfer sollen auf gefälschten Login-Seiten sensible Daten preisgeben. Sicherheitsforscher beobachten großangelegte Kampagnen, bei denen tausende Einladungen an hunderte Unternehmen gehen. Die Absenderadressen werden dabei gefälscht, um Vertrauen vorzutäuschen.

Kalender‑Einladungen sind ein unterschätzter Phishing-Kanal: Viele Nutzer übersehen gefälschte Termine und klicken auf Schadlinks. Das kostenlose Anti‑Phishing‑Paket erklärt in vier klaren Schritten, wie Sie verdächtige Einträge erkennen, welche technischen Einstellungen Sie sofort ändern sollten und wie Sie Vorfälle melden. Mit praktischen Checklisten für Privatanwender und Teams. Anti‑Phishing‑Paket jetzt kostenlos herunterladen

Achtung: Selbst das Ablehnen einer solchen Einladung kann ein Signal an die Angreifer sein. Es bestätigt, dass die E-Mail-Adresse aktiv ist – und könnte zu noch mehr Spam führen.

KI-Assistent Gemini war kürzlich selbst ein Einfallstor

Eine bereits geschlossene Sicherheitslücke zeigt das Gefahrenpotenzial durch KI-Integration. Sicherheitsexperten von Miggo deckten eine Schwachstelle im Zusammenspiel mit Googles Gemini auf.

Über eine Methode namens „Indirect Prompt Injection“ platzierten Angreifer versteckte Befehle in einer Kalenderbeschreibung. Fragte der Nutzer anschließend Gemini nach seinen Terminen, führte die KI diese Befehle aus. Sie konnte so private Meetings auslesen und in einen für Angreifer sichtbaren Kalender kopieren. Die Lücke ist geschlossen, aber das Prinzip bleibt bedrohlich.

So schützen Sie sich vor bösartigen Kalendereinladungen

Der wirksamste Schutz ist, die Automatik abzustellen. Deaktivieren Sie die Funktion, die Einladungen direkt in den Kalender überträgt.

So deaktivieren Sie automatische Einladungen im Google Kalender:
* Öffnen Sie den Google Kalender im Webbrowser.
* Klicken Sie auf das Zahnrad (Einstellungen) und wählen Sie „Einstellungen“.
* Navigieren Sie zu „Termineinstellungen“.
* Wählen Sie bei „Automatisch Einladungen hinzufügen“ die Option: „Nein, nur Einladungen anzeigen, auf die ich geantwortet habe“.

Zusätzlich sollten Sie prüfen, ob Termine aus Gmail automatisch hinzugefügt werden. Melden Sie verdächtige Einladungen zudem immer als Spam, um Google bei der Bekämpfung zu helfen.

Warum der Kalender zum attraktiven Ziel wird

E-Mail-Spamfilter werden immer besser. Also weichen Kriminelle auf andere Kanäle aus. Kalenderbenachrichtigungen genießen oft mehr Vertrauen als eine unbekannte E-Mail und werden seltener hinterfragt.

Experten erwarten, dass solche Angriffe weiter zunehmen. Die fortschreitende Integration von KI in Alltags-Apps könnte neue, unerwartete Angriffsflächen eröffnen. Die Grundregel lautet daher: Digitale Wachsamkeit ist entscheidend. Hinterfragen Sie unerwartete digitale Interaktionen – egal wo sie auftauchen.

PS: Selbst das Ablehnen einer Einladung kann Angreifer bestätigen — reagieren Sie lieber vorbeugend. Dieses Gratis‑Paket fasst die wichtigsten Erkennungsmerkmale zusammen, zeigt konkrete Gegenmaßnahmen für Google Kalender und enthält eine sofort anwendbare Checkliste für Teams und Privatnutzer. So reduzieren Sie das Risiko, dass Schadlinks ins Kalenderformat gelangen. Jetzt kostenloses Anti‑Phishing‑Paket anfordern