Technik
· 05.03.2026 05:05
Sicherheitsrisiken durch ungeschützte Google API-Keys
In den letzten Wochen haben Sicherheitsforscher alarmierende Entdeckungen bezüglich der Sicherheit von Google API-Keys gemacht. Fast 3000 dieser Schlüssel, die für den Zugang zu Googles Cloud-Diensten, einschließlich der neuen Gemini-KI, verwendet werden, sind öffentlich zugänglich. Dies stellt ein erhebliches Risiko für Datenschutz und finanzielle Integrität dar.
Was sind API-Keys und warum sind sie wichtig?
API-Keys sind eindeutige Codes, die es Entwicklern ermöglichen, auf verschiedene Dienste und Funktionen innerhalb der Google Cloud zuzugreifen. Diese Schlüssel sind in vielen Webseiten im Klartext integriert und ermöglichen den Zugriff auf Dienste wie Google Maps oder Firebase. Die Verwendung solcher Schlüssel ist seit der Einführung der Google Cloud im Jahr 2017 üblich, doch die Einführung der Gemini-KI hat die Situation erheblich kompliziert.
Die Rolle von Gemini in der Sicherheitsproblematik
Die Gemini-KI, die eine generative Sprach-API bietet, erlaubt es Entwicklern, KI-Funktionen in ihre Anwendungen zu integrieren. Das Problem entsteht, weil bestehende API-Keys auch für den Zugriff auf diese neue KI verwendet werden können. Sicherheitsforscher von Truffle Security haben festgestellt, dass es keinerlei Warnung oder Bestätigung gibt, wenn diese alten Schlüssel für neue Zwecke aktiviert werden.
Unzureichende Sicherheitsmaßnahmen
Zusätzlich zu den bestehenden Sicherheitslücken bei den API-Keys hat Google bei der Generierung neuer Schlüssel eine unsichere Standardeinstellung eingeführt. Diese neuen Schlüssel können ebenfalls für alle APIs, einschließlich der Gemini-API, verwendet werden.
Folgen des Missbrauchs von API-Keys
Die Sicherheitsrisiken sind erheblich. Dritte können sich durch einfaches Auslesen des Quelltexts von Webseiten Zugang zu diesen API-Keys verschaffen. Dies ermöglicht nicht nur den unautorisierten Zugriff auf persönliche Daten, sondern auch die Nutzung von KI-Diensten, was zu hohen Kosten führen kann. Ein Beispiel verdeutlicht dies: Ein kleines mexikanisches Start-up berichtete von einer Rechnung von über 82.000 US-Dollar, nachdem Unbefugte ihren API-Key für kostenintensive KI-Dienste missbraucht hatten.
Umfang des Problems
Laut den Berichten von Sicherheitsforschern sind insgesamt 2863 öffentlich sichtbare API-Keys entdeckt worden, die für unbefugte Zugriffe auf Gemini verwendet werden könnten. Dies betrifft nicht nur private Projekte, sondern auch Unternehmen aus verschiedenen Branchen, einschließlich Finanzinstitute und Sicherheitsfirmen.
Google reagiert auf die Sicherheitsbedenken
Angesichts dieser alarmierenden Situation hat Google angekündigt, an der Behebung der Sicherheitsprobleme zu arbeiten. Im Dezember 2025 wurde der Konzern auf die Thematik aufmerksam, und Anfang Februar 2026 gab Google bekannt, dass man an der Lösung des Problems arbeite. In der Dokumentation der Gemini-API gibt es bereits Hinweise zu unerwarteten Kosten und zu Sicherheitsmaßnahmen, die Nutzer ergreifen sollten, um sich zu schützen.
Empfehlungen für API-Nutzer
Google empfiehlt, dass Nutzer der API-Keys ihre Einstellungen in der Google Cloud Platform überprüfen. Insbesondere sollten sie kontrollieren, ob die Gemini-API aktiviert ist und gegebenenfalls ihre Schlüssel austauschen. Öffentlich sichtbare API-Keys sollten sofort ersetzt werden, um das Risiko eines Missbrauchs zu minimieren.
Ausblick und zukünftige Schritte
Die Situation um die ungeschützten API-Keys ist eine ernstzunehmende Herausforderung für Google und seine Nutzer. Es bleibt abzuwarten, wie schnell und effektiv der Konzern die Sicherheitslücken schließen kann und welche weiteren Maßnahmen ergriffen werden, um die Integrität seiner Dienste zu gewährleisten. Die Sicherheitscommunity wird die Entwicklungen in diesem Bereich aufmerksam beobachten, um sicherzustellen, dass ähnliche Vorfälle in der Zukunft vermieden werden können.