"Ihr neues iPhone abholen" klingt vielversprechend, sollte aber als Termineintrag im Kalender stutzig machen. Dennoch fanden viele User von Gmail bzw. dem Google-Kalender diesen und andere Vermerke in ihren Tagesplänen. Cyberkriminelle hatten in den vergangenen Monaten die Einladefunktion des Kalenders gezielt für die Verbreitung von betrügerischen Botschaften missbraucht.

Ein Phänomen, das vielen sauer aufstieß, bekommt doch niemand gerne plötzlich Benachrichtigungen für Termine, die er selbst nicht eingetragen hat. Allerdings sahen manche Beobachter darin ein Sicherheitsproblem, vor allem in Bezug auf weniger weberfahrene Nutzer, die auf derlei Scam hineinfallen und in den Terminen vermerkten dubiosen Links folgen und sich so Malware einfangen oder auf einer Phishing-Seite sensible Daten "verlieren" könnten.

Die Einladefunktion könnte auch für Social Engineering missbraucht werden, etwa um sich selbst unter Verweis auf einen Termin Zutritt zu einem Gebäude oder zu einer bestimmten Person zu verschaffen.

Lösung nun in Arbeit

Google kennt das Problem schon länger, griff aber auf technischer Ebene zuerst nicht ein. Denn dies hätte "erhebliche Funktionalitätseinbußen bedeutet", erklärte man gegenüber Forbes. Zudem versuchte der Konzern, die Angelegenheit ausschließlich als ein Spam-Problem darzustellen.

Nun hat Google-Entwickler Lesley Pace im Community-Forum für den Google-Kalender angekündigt, dass man unter Hochdruck an einer Lösung arbeite, auch wenn man weiter nur von Spam und nicht von einer Sicherheitsgefahr spricht. Dazu verlinkt er auch auf einen Hilfseintrag, der Tipps zum Umgang mit unerwünschten Einträgen gibt.

Wie man sich schützen kann

Dort steht auch, wie man diese vermeiden kann. In den Einstellungen für Termine ist standardmäßig festgelegt, dass Einladungen zu Events automatisch als Termin hinzugefügt werden. Das lässt sich umschalten, sodass nur noch Termine im Kalender auftauchen, zu denen man auch tatsächlich zugesagt hat. Wer noch restriktiver sein will, kann Einladungen auch generell verweigern. Vorgenommen werden müssen diese Einstellungen allerdings über die Desktop-Version des Kalenders. In der App stehen sie noch nicht zur Verfügung.

Mit Fake-Einladungen haben außerdem auch User von Microsofts und Apples Kalenderdiensten zu kämpfen. Die Seite Phishingtackle verrät, wie man dort die Einstellungen so ändern kann, dass man nicht mehr von Terminspam belästigt wird. (gpi, 10.09.2019)