Google Drive for desktop erhält eine neue KI-gestützte Ransomware-Erkennung, die verdächtige Massendateiänderungen erkennt, das Cloud-Sync automatisch stoppt und betroffenen Nutzern Wiederherstellungsoptionen anbietet. Die Funktion wurde von Google am 30. September 2025 vorgestellt und basiert auf einem spezialisierten Modell, das laut Hersteller mit Millionen realer Ransomware-Proben trainiert wurde. Die Erkennung läuft auf Windows und macOS in der Drive-Desktop-Anwendung; die automatische Dateiwiederherstellung steht zusätzlich für Privat- und Workspace-Konten zur Verfügung. Kerngedanke: statt allein auf Prävention durch Antiviren-Signaturen zu setzen, soll die KI im Moment der Veränderung eingreifen und so eine weitere Ausbreitung verhindern.

Wie die Technik funktioniert und welche Grenzen bestehen

Technisch beobachtet Drive for desktop Dateiänderungen beim Sync und sucht nach Verhaltensmustern, die auf Massenverschlüsselung oder Korruption hindeuten; bei Verdacht wird das Hochladen pausiert und Nutzer sowie Admins erhalten Benachrichtigungen. Google nennt außerdem die Integration von Threat-Intelligence-Feeds (unter anderem VirusTotal) zur laufenden Anpassung des Modells. Wichtig ist die Einschränkung: die Maßnahme wirkt nur auf Dateien, die über Drive for desktop synchronisiert werden — Dateien außerhalb dieses Ökosystems oder verschlüsselte Backups bleiben ungeschützt. Außerdem ist die Erkennungsfunktion in der Praxis nur so wirksam wie die Qualität der Trainingsdaten und der Fehlalarmrate; Expertinnen und Experten sehen das Feature als wichtige zusätzliche Schutzschicht, nicht als alleiniges Heilmittel gegen Ransomware.

Verfügbarkeit, Verwaltungsoptionen und Wiederherstellung

Google rollt die Funktion als offene Beta aus; die Erkennung ist standardmäßig aktiviert, Administratoren können sie jedoch in der Admin-Konsole abschalten. Alle Dateien, die innerhalb der vergangenen 25 Tage verändert wurden, lassen sich laut Google im Notfall in Bulk auf einen früheren, sauberen Zustand zurücksetzen — das vereinfacht die Wiederherstellung gegenüber aufwendigen Re-Imaging-Prozessen. Während die Dateiwiederherstellung auch Consumer-Konten zugutekommt, ist die aktive Ransomware-Erkennung primär für kommerzielle Workspace-Pläne vorgesehen; für volle Abdeckung in großen Unternehmen bleibt eine abgestimmte Endpoint-Strategie mit Antivirus, Backups und Netzwerksegmentierung nötig.

Einordnung: Chancen, Risiken und praktische Folgen

Chancen: Die automatische Unterbrechung des Syncs kann unmittelbar vermeiden, dass verschlüsselte Dateien saubere Cloud-Versionen überschreiben, und reduziert dadurch potenzielle Erpressungsschäden und Ausfallzeiten. Google nennt in der Ankündigung Zahlen, die die Relevanz unterstreichen — laut Mandiant machten Ransomware-bezogene Vorfälle einen signifikanten Anteil der beobachteten Intrusionen aus, und einzelne Vorfälle verursachen im Schnitt Millionenschäden. Risiken und offene Fragen sind Fehlalarme (False Positives), Abdeckungslücken für nicht-synchronisierte Daten und die Frage, wie gut die KI neue, bisher unbekannte Angriffsvarianten erkennt. Praktisch bedeutet das: IT-Verantwortliche sollten die neue Funktion in ihre bestehenden Sicherheitsprozesse einbinden, Testläufe durchführen und weiterhin auf mehrschichtige Abwehr sowie regelmäßige, offline gehaltene Backups setzen.

Google liefert mit der KI-Erkennung in Drive for desktop eine pragmatische Ergänzung zu klassischen Antivirus-Maßnahmen: schnellere Eindämmung plus einfache Rollback-Optionen können im Ernstfall Schäden begrenzen. Die Lösung ist aber kein Ersatz für umfassende Backup- und Endpoint-Sicherheitskonzepte; ihre Wirksamkeit hängt von der konkreten Umgebung (Nutzung von Drive for desktop, Admin-Einstellungen, Ergänzungsmaßnahmen) und der realen Fehlalarmrate ab. Organisationen sollten die Beta zügig testen, aber gleichzeitig die Grenzen der Technologie beachten und weiterhin auf Backup-Hygiene und Netzwerk-Segmentierung setzen.