Thought Leadership
Google Cloud sperrt ab dem 19. Juni 2026 unbeschränkte Standard-API-Schlüssel für Gemini, um kostspielige Missbräuche durch Hacker zu verhindern.
Google führt eine weitreichende Sicherheitsänderung für die Nutzung seiner künstlichen Intelligenz Gemini ein. Über Jahre hinweg stuften Entwickler herkömmliche API-Schlüssel, die für Dienste wie Google Maps oder Firebase genutzt wurden, als nicht geheimhaltungspflichtig ein. Diese Schlüssel wurden häufig direkt in den öffentlich einsehbaren Quellcode von Webseiten oder Anwendungen integriert.
Durch die nachträgliche Aktivierung der Generative Language API innerhalb der jeweiligen Google-Cloud-Projekte erhielten diese unbeschränkten Standard-Schlüssel jedoch automatisch Zugriff auf Gemini-Schnittstellen. Cyberkriminelle nutzten öffentlich auffindbare Schlüssel aus, um auf Kosten der betroffenen Entwickler rechenintensive KI-Abfragen durchzuführen, was zu massiven Abrechnungssteigerungen bis hin zum finanziellen Ruin von Unternehmen führte.
Zweistufiger Zeitplan für den Systemwechsel bei Google Gemini
Um diesen Missbrauch zu stoppen, setzt Google nun restriktive Maßnahmen durch. In den aktualisierten Richtlinien des Unternehmens heißt es dazu:
„Am 19. Juni 2026 wird die Gemini-API Anfragen von unbeschränkten Standardschlüsseln ablehnen. Standard-API-Schlüssel, auf die explizite Einschränkungen angewendet wurden, funktionieren weiterhin. Diese Einschränkung verhindert die unbefugte Nutzung von Schlüsseln, die öffentlich geteilt oder mit anderen Diensten verknüpft sein könnten.“
Betroffene Entwickler müssen bestehende Schlüssel im Google AI Studio oder in der Cloud-Konsole explizit auf die Gemini-API einschränken, um eine Dienstunterbrechung zu vermeiden.
Umstellung auf personalisierte Berechtigungen
Im September 2026 folgt der zweite Schritt der Sicherheitsinitiative. Ab diesem Zeitpunkt verweigert die Gemini-Schnittstelle jegliche Anfragen über klassische Standard-API-Schlüssel. Google migriert den Zugriff vollständig auf einen neuen Schlüsseltyp namens Auth-Keys. Diese Autorisierungsschlüssel sind direkt an ein Dienstkonto innerhalb von Google Cloud gebunden.
Durch diese Koppelung werden Anfragen unter der spezifischen Identität des jeweiligen Dienstkontos verarbeitet. Das ermöglicht eine granulare Zugriffskontrolle und sorgt dafür, dass vom System erkannte, kompromittierte Schlüssel sofort und gezielt blockiert werden können. Neue Schlüssel, die in Google AI Studio erzeugt werden, erhalten dieses Sicherheitsmerkmal bereits automatisch.
(red)
