Thought Leadership
Ein neuer Kaspersky-Bericht zeigt, wie Angreifer den Google-Dienst AppSheet missbrauchen, um IT-Sicherheitsfilter über legitime Domains zu umgehen.
Im Mai 2026 haben IT-Sicherheitsanalysten eine neue Angriffswelle dokumentiert, bei der Cyberkriminelle gezielt die No-Code-Plattform AppSheet von Google für betrügerische Zwecke zweckentfremden. Das Sicherheitsunternehmen Kaspersky warnt in einer aktuellen Bedrohungsanalyse davor, dass die Angreifer den legitimen Dienst nutzen, um professionell gestaltete Phishing-E-Mails zu verbreiten.
Diese Methode reiht sich in eine Reihe von Vorfällen ein, bei denen Angreifer bewährte Cloud-Dienste missbrauchen, um herkömmliche Sicherheitsbarrieren in Unternehmensnetzwerken zu unterwandern. Durch die Verwendung von AppSheet gelingt es den Tätern, die technischen Erkennungsmechanismen von E-Mail-Filtern auszuhebeln, da die Nachrichten direkt über die offizielle und als sicher eingestufte Infrastruktur von Google versendet werden. Dies erhöht die Zustellrate der schädlichen Nachrichten in den Postfächern der Mitarbeiter erheblich.
Die Täuschungsmanöver über gefälschte HR-Aufforderungen
Der Ablauf der aktuellen Kampagne basiert auf der Manipulation von Absenderdaten und der Imitation bekannter globaler Marken. Die über AppSheet generierten E-Mails nutzen die vollkommen legitime Absenderadresse [email protected]. Um den Empfänger zu täuschen, fügen die Angreifer über die Plattformkonfiguration einen gefälschten Anzeigenamen hinzu, wie beispielsweise GG Recruiting Team. Inhaltlich sind die Nachrichten so formuliert, dass sie den Eindruck erwecken, von etablierten Unternehmen wie Google, Meta, Apple, Coca-Cola oder Volvo zu stammen.
Häufig imitieren die Täter die typischen Kommunikationswege von Personalabteilungen und Recruiting-Teams. In den E-Mails werden die Empfänger unter dem Vorwand vermeintlicher Karrierechancen dazu gedrängt, über eine integrierte Schaltfläche einen Besprechungstermin zu vereinbaren. Diese Schaltflächen tragen oft Aufschriften wie Schedule Your Appointment. In manchen Varianten der Kampagne verzichten die Kriminellen bewusst auf direkte Links und versuchen stattdessen, das Opfer in eine direkte textliche Konversation zu verwickeln, um schrittweise Vertrauen aufzubauen.
Die mehrstufige Architektur der Datenerfassung
Sobald ein Angestellter die Schaltfläche zur Terminvereinbarung anklickt, startet eine mehrstufige Weiterleitungskette im Webbrowser. Der Nutzer gelangt zunächst auf eine täuschend echt gestaltete Zwischenseite, die ein offizielles Karriereportal wie Google Careers oder das Talent-Acquisition-Team von Volvo imitiert. Auf dieser ersten Landingpage fragen die Täter allgemeine Kontaktdaten sowie bevorzugte Besprechungszeiten ab.
Ziel dieses Schrittes ist es, die Wachsamkeit des Opfers durch gewohnte administrative Abläufe zu beruhigen. Nach der Eingabe von Name, Telefonnummer und Geburtsdatum erfolgt eine automatische Weiterleitung auf die eigentliche Phishing-Zielseite. Hier fordern die Angreifer den Benutzer auf, sich mit seinen bestehenden Zugangsdaten für Google- oder Facebook-Konten zu authentifizieren, um die Terminbuchung abzuschließen. Die dort eingegebenen Passwörter und Benutzernamen fließen direkt auf die Server der Cyberkriminellen, was eine vollständige Übernahme der betroffenen Konten ermöglicht.
Technische Hürden für die automatisierte E-Mail-Filterung
Aus technischer Sicht stellt diese Kampagne das IT-Sicherheitsmanagement vor erhebliche Probleme. Da die E-Mails direkt aus den Rechenzentren von Google verschickt werden, bestehen sie die gängigen Authentifizierungsprüfungen für den Mailverkehr fehlerfrei. Die Sicherheitsstandards SPF (Sender Policy Framework), DKIM (DomainKeys Identified Mail) und DMARC (Domain-based Message Authentication, Reporting, and Conformance) stufen die Nachrichten als legitim ein, da die versendende Domain tatsächlich Google gehört. Herkömmliche Sicherheitslösungen, die sich primär auf die Reputation der Absenderdomain oder statische Indikatoren verlassen, schlagen daher keinen Alarm.
Zudem nutzen die Täter die Automatisierungsfunktionen von AppSheet aus, um externe Empfänger-Verteiler aus eigenen Datenbanken einzuspielen und massenhaft personalisierte E-Mails oder SMS-Nachrichten zu generieren. Für den Zugriff auf diese mächtigen Werkzeuge benötigen die Angreifer lediglich ein herkömmliches, kostenpflichtiges Abonnement der Plattform.
„Wenn vertrauenswürdige Plattformen missbraucht werden, gestaltet sich die Erkennung deutlich schwieriger.“
Anna Lazaricheva, leitende Spam-Analystin bei Kaspersky
Implikationen für die IT-Governance und das IT-Risikomanagement
Das Ausnutzen von No-Code-Plattformen für komplexe Phishing-Angriffe erfordert eine Anpassung der IT-Governance und des strategischen IT-Risikomanagements in modernen Unternehmen im Jahr 2026. Da rein technische Filter auf Protokollebene wie DMARC bei diesem Angriffsvektor an ihre Grenzen stoßen, muss das Risikomanagement um kontextbezogene und organisatorische Kontrollmechanismen erweitert werden. Eine vorausschauende Governance darf Kommunikation nicht allein aufgrund einer vertrauenswürdigen Absenderdomain als sicher einstufen. Unternehmen müssen proaktive Richtlinien etablieren, um Mitarbeiter für die Gefahren durch den Missbrauch von Cloud-Infrastrukturen zu sensibilisieren.
Das IT-Sicherheitsmanagement ist gefordert, E-Mail-Sicherheitslösungen zu implementieren, die neben die Domain-Reputation auch den Inhalt, die eingebetteten URLs und den Kontext der Nachricht mittels verhaltensbasierter Analysen in Echtzeit untersuchen. Flankierend dazu muss die Unternehmensinfrastruktur durch kontinuierliche Schulungen gehärtet werden, damit Angestellte unerwartete HR-Anfragen grundsätzlich über verifizierte, interne Kommunikationskanäle der jeweiligen Unternehmen validieren und die Gefährdung der betrieblichen Compliance minimieren.
