Seit dem Mai-Update steuert Gemini das Google-Zuhause, und die Frage nach der Gemini Smart Home Sicherheit ist damit eine andere geworden. Vorher hat ein Sprachassistent Befehle abgeglichen. Jetzt liest eine KI deinen Kalender, deine Benachrichtigungen, deine Mails, und darf daraufhin Geräte schalten. Klingt praktisch. Sicherheitsforscher haben genau diese Bequemlichkeit genommen und damit fremde Rollläden geöffnet, einen Wasserkocher angestellt und das Licht blinken lassen. Ohne dass der Besitzer etwas davon mitbekam.
Vorweg, weil es wichtig ist: Die konkrete Lücke ist gemeldet und gepatcht. Es geht hier nicht um Panik vor einer offenen Tür. Es geht um das Muster dahinter, das mit jeder neuen KI-Integration wiederkommt.
Weiße Schrift auf weißem Grund, und die KI gehorcht
Forscher der Universität Tel Aviv und von SafeBreach haben den Angriff auf der Black Hat vorgeführt, unter dem Titel „Invitation Is All You Need“. Der Trick ist fast beleidigend simpel. Sie schicken dir eine Google-Kalender-Einladung, in der ein Befehl versteckt ist, zum Beispiel als weiße Schrift auf weißem Hintergrund. Du siehst einen normalen Termin. Fragst du Gemini später beiläufig nach deinem Tag, liest die KI den Kalender, findet die versteckte Anweisung und führt sie aus. In den Tests sprangen Rollläden hoch, der Wasserkocher ging an, die Lampen blinkten.
Das Prinzip heißt indirekte Prompt-Injection, also ein eingeschleuster Befehl, der nicht vom Nutzer kommt, sondern aus den Daten, die die KI nebenbei verarbeitet. Der Mensch tippt nichts Böses ein. Der schädliche Befehl sitzt in der Einladung, in der Mail, in der Push-Nachricht, und wartet darauf, dass die KI ihn als vermeintlichen Wunsch des Besitzers liest.
Warum man das nicht einfach wegpatcht
Google wurde die Schwachstelle Anfang 2025 gemeldet und hat nachgebessert, mehrfach. Das ist die gute Nachricht. Die unbequeme: Es ist kein einzelner Tippfehler im Code, den man zuklappt und gut. Ein Sprachmodell kann bis heute nicht zuverlässig zwischen „das ist ein Befehl, dem ich folgen soll“ und „das sind nur Daten, die ich lesen soll“ unterscheiden. Für die KI sieht beides aus wie Text. Genau diese Lücke zwischen Befehl und Inhalt ist die Angriffsfläche, und sie verschwindet nicht, sie verschiebt sich nur.
Schön zu sehen ist das daran, dass der nächste Hebel schon beschrieben wird, diesmal über manipulierte Android-Benachrichtigungen statt über den Kalender. Google hat serverseitige Filter eingezogen, die versteckte Anweisungen erkennen sollen, und in Tests wurden die wieder umgangen, worauf Google wieder nachschärfte. Ein Katz-und-Maus-Spiel, kein Schlusspunkt. Wer einen KI-Assistenten ins Haus lässt, sollte das als Dauerzustand verstehen, nicht als einmal behobenen Fehler.
Was Siegel und Gesetze hier ausrichten, und was nicht
Parallel laufen gerade zwei Versuche, Smart-Home-Geräte sicherer zu machen. In den USA ist das Cyber Trust Mark live, ein FCC-Label mit QR-Code, das nach NIST-Kriterien bescheinigt, dass ein Gerät ein Mindestmaß an Sicherheit mitbringt. Hilfreich beim Kauf, aber freiwillig, und in Deutschland gilt es ohnehin nicht. Bei uns greift der EU Cyber Resilience Act, und der ist verpflichtend: Hersteller müssen Geräte über die Lebenszeit mit Updates versorgen und Schwachstellen melden, die ersten Pflichten ziehen ab Herbst 2026 an.
Beides ist sinnvoll, beides setzt aber an der Hardware an, nicht an der KI. Ein Label sagt dir, dass die Kamera ordentliche Passwörter und Update-Versorgung hat. Es sagt dir nicht, ob die Sprach-KI, die diese Kamera steuern darf, auf eine präparierte Kalendereinladung hereinfällt. Die Geräte werden geprüft, die Logik, die sie kommandiert, bisher nicht.
Gemini Smart Home Sicherheit: Was du heute tun kannst
- Sensible Geräte aus der KI-Reichweite nehmen. Türschloss, Garagentor, Alarmanlage. Prüf in Google Home und in der Gemini-App, welche Geräte und welche Aktionen der Assistent ohne Rückfrage ausführen darf. Was die KI nicht schalten darf, kann sie auch nicht versehentlich für einen Angreifer schalten.
- Datenquellen trennen, die du nicht brauchst. Jede App, die Gemini auslesen darf, ist eine mögliche Einfallsspur. Wenn die KI deinen Kalender oder deine Benachrichtigungen nicht zwingend sehen muss, nimm ihr den Zugriff. Weniger Input heißt weniger versteckte Befehle.
- Auf Bestätigung bestehen, wo es zählt. Kritische Aktionen sollten eine ausdrückliche Freigabe verlangen, kein stilles Durchwinken. Und halt Geräte wie App aktuell, die CRA-Update-Pflicht kommt nicht ohne Grund.
Für wen ist das jetzt ein echtes Problem? Wenn deine KI nur Lampen und Stecker schaltet, ist der Schaden im schlimmsten Fall ein blinkendes Wohnzimmer. Sobald Schlösser, Tore oder Kameras an derselben KI hängen, wird aus einer Spielerei ein Zugang. Dann lohnt der Blick in die Berechtigungen wirklich.
Vertrauen ist ein Vorschuss, kein Beweis
Eine KI im Hub ist bequem, und ich nutze die Gemini-Steuerung im Google-Zuhause selbst gern. Aber man sollte ehrlich benennen, was man da tut: Man gibt einer Sprach-KI die Fernbedienung fürs Haus und vertraut darauf, dass sie nur auf einen selbst hört. Solange diese KI jeden Text als möglichen Befehl lesen kann, ist dieses Vertrauen ein Vorschuss, kein Beweis. Pikant wird es spätestens dann, wenn dasselbe Gemini bald auch in Apples Siri stecken soll. Wer sein Zuhause an eine KI hängt, sollte ihr nicht aus Versehen mehr Schlüssel geben, als er einem Nachbarn geben würde.
Häufige Fragen
Ist die Gemini-Lücke in meinem Google Home noch offen?
Die konkrete, über Kalendereinladungen ausgenutzte Schwachstelle wurde Anfang 2025 an Google gemeldet und mehrfach gepatcht. Akut ausnutzbar ist sie nach Herstellerangaben nicht mehr. Das zugrunde liegende Problem, dass eine KI eingeschleuste Befehle aus Daten nicht sicher von echten Nutzerbefehlen trennt, bleibt aber bestehen und taucht in neuen Varianten wieder auf. Halte App und Geräte aktuell.
Was ist indirekte Prompt-Injection einfach erklärt?
Ein Angreifer versteckt einen Befehl nicht im Chat mit der KI, sondern in Daten, die die KI nebenbei verarbeitet: eine Kalendereinladung, eine Mail, eine Benachrichtigung. Liest die KI diese Quelle, führt sie den versteckten Befehl aus, als käme er vom Nutzer. Der Mensch tippt nichts Schädliches ein, der Angriff sitzt im Input, den die KI für harmlos hält.
Kann das mit Alexa+ oder der neuen Siri auch passieren?
Im Prinzip ja. Das Problem hängt nicht an Google, sondern an der Funktionsweise großer Sprachmodelle, die Kontext aus vielen Quellen ziehen und daraufhin handeln. Alexa+ basiert ebenfalls auf generativer KI, und Apples kommende Siri soll auf Google Gemini aufsetzen. Jede dieser Assistenten-KIs, die Geräte steuern und externe Inhalte lesen darf, hat dieselbe Angriffsfläche.
Welche Geräte sollte ich nicht von der KI steuern lassen?
Alles, dessen Missbrauch echten Schaden anrichtet: Türschlösser, Garagentore, Alarmanlagen und Kameras. Lampen und Steckdosen sind unkritisch, hier ist der schlimmste Fall ein blinkendes Zimmer. Prüfe in den Einstellungen von Google Home und Gemini, welche Geräte und Aktionen der Assistent ohne ausdrückliche Bestätigung ausführen darf.
Schützt das Cyber Trust Mark vor solchen Angriffen?
Nein. Das US-Label Cyber Trust Mark und der EU Cyber Resilience Act prüfen die Sicherheit der Geräte selbst, etwa Passwörter, Update-Versorgung und Schwachstellen-Meldepflicht. Sie bewerten nicht, wie robust die KI ist, die diese Geräte steuert. Gegen Prompt-Injection helfen sie deshalb nicht direkt, sie heben nur das allgemeine Sicherheitsniveau der Hardware.
