Wenn Sie dazu tendieren, Ihre Passwörter im Browser zu speichern, dann sollten Sie jetzt aufpassen. Der norwegische Sicherheitsforscher Tom Jøran Sønstebyseter Rønning hat eine gravierende Schwachstelle in Microsoft Edge aufgedeckt, die dafür sorgt, dass Passwörter unverschlüsselt im Speicher vorliegen, berichtet das Fachmagazin PC-Welt.
Der Passwort-Manager von Microsoft Edge speichert Passwörter als Klartext im Arbeitsspeicher des Computers ab. Wie Rønning beim Kurznachrichtendienst X schreibt, macht das Programm das bereits beim Start des Browsers. Und zwar unabhängig davon, ob die Passwörter gerade benötigt werden oder nicht.
Wer möchte, kann die Passwörter somit ganz einfach auslesen und abfangen. Sicherheitsexperten erklären, warum das ein Problem ist und wie Sie sich schützen können.
Warum ist der Mangel beim Passwort-Manager gefährlich?
Das Problem betrifft explizit den Passwort-Manager von Microsoft Edge. In der Regel nutzen Passwort-Manager Ende-zu-Ende-Verschlüsselung und legen die Kennwörter in einem Cloud-Speicher ab, damit Nutzerinnen und Nutzer später wieder Zugriff darauf haben.
Cyber-Sicherheit: Passwörter im Alltag oft unsicher – was schützt wirklich?
Wenn sie gebraucht werden, entschlüsselt der Passwort-Manager die benötigten Passwörter und löscht diese im Anschluss wieder. Dass in Edge sämtliche Passwörter geladen werden, und das komplett ohne Verschlüsselung, ist Sicherheitsexperten zufolge ungewöhnlich und gefährlich zugleich.
Was ist der Unterschied von Edge zu anderen Browsern?
Nach Angaben des Sicherheitsforschers verhalte sich Edge damit anders als andere Passwort-Manager – auch solche, die Teil eines Browsers sind. Google Chrome entschlüssele Passwörter etwa nur bei Bedarf. Zusätzlich nutze Chrome unter Windows die Funktion „App-Bound Encryption“, die den Zugriff auf Daten zusätzlich absichere.
Dadurch seien Passwörter dort nur kurzzeitig sichtbar, etwa beim automatischen Ausfüllen in einem geöffneten Browserfenster oder wenn Nutzerinnen und Nutzer sich die Kennwörter aktiv anzeigen lassen. Bei Edge hingegen blieben diese dauerhaft im Speicher verfügbar.
Zwar verlangt Edge zwischenzeitlich eine Authentifizierung, um die Passwörter in den Passwort-Manager zu laden. Diese nutze jedoch recht wenig, wenn Angreifer durch das Auslesen des Arbeitsspeichers darauf Zugriff haben – was bei Microsoft Edge der Fall ist.
Welches Risiko besteht beim Microsoft Edge Passwort-Manager?
Besonders kritisch könne das Verhalten des Edge-Passwort-Managers laut Rønning in gemeinsam genutzten Systemen wie in Firmennetzwerken sein. Angreifer mit administrativen Rechten könnten Passwörter aus den Prozessen anderer Nutzer auslesen. Auch dann, wenn diese selbst aktuell nicht aktiv seien.
Fake-Mails im Umlauf: So schützen sich Klarna-Nutzer vor Betrügern
Der Zugriff könne demnach sogar über einfache Mittel wie einen Speicherauszug aus dem Task-Manager von Windows erfolgen. Es sei lediglich notwendig, den richtigen Prozess zu identifizieren, so Rønning weiter.
Warum sieht Microsoft angeblich kein Problem?
Offenbar teilte Rønning seine Erkenntnisse auch Microsoft mit und erhielt eine unerwartete Antwort. Laut seiner offiziellen Stellungnahme soll es sich bei der Zwischenspeicherung als Klartext nicht um einen Fehler, sondern eine bewusste Design-Entscheidung handeln. Welchen Vorteil das für Nutzer haben soll, bleibt unklar.
Microsoft selbst äußerte sich auf Anfrage der NW bisher nicht dazu.
Was können Microsoft Edge Nutzer tun? - 5 Tipps
Wenn Sie Edge verwenden und Passwörter im Browser gespeichert haben, empfiehlt die Verbraucherzentrale NRW, die Passwörter zu löschen und auf einen sicheren, externen Passwort-Manager umzusteigen. Weitere Tipps, um sich vor Cyberangriffen zu schützen, sind:
Tipp 1: Regelmäßige Updates
Wer seinen Computer regelmäßig aktualisiert, schließt Sicherheitslücken, die Kriminelle nutzen, um Daten und Passwörter abzugreifen. Virenschutzprogramm, Betriebssystem und Browser sollten daher stets auf dem neuesten Stand gehalten werden – am einfachsten gelingt das mit aktivierten automatischen Updates.
Tipp 2: Zwei-Faktor-Authentifizierung nutzen
Die Zwei-Faktor-Authentifizierung bietet einen deutlich stärkeren Schutz vor Fremdzugriffen und Identitätsdiebstahl, indem sie die Identität über zwei unabhängige Quellen bestätigt.
Tipp 3: Passkeys oder hardware-gebundene Authentifizierung nutzen
Passkeys gelten als die sicherere Alternative zum klassischen Passwort. Statt einer Kombination aus Benutzername und Passwort setzt das Verfahren auf eine kryptografische Schlüsseltechnik, die nur in Verbindung mit einem persönlichen Merkmal funktioniert: Fingerabdruck, Gesichtserkennung oder PIN.
Tipp 4: In Unternehmen Passwort-Manager Nutzung prüfen
Besonders in gemeinsam genutzten Systemen, wie sie häufig in Unternehmen zum Einsatz kommen, besteht ein hohes Sicherheitsrisiko. In solchen Umgebungen ist es sinnvoll, den Einsatz von Edge-Passwortmanagern kritisch zu prüfen. Bei weiteren Fragen oder Unsicherheiten können Sie sich an zuständige IT-Verantwortliche wenden. Diese sollten regelmäßig prüfen, wann das Unternehmen ein neues Sicherheitsupdate zur Verfügung stellt.
Tipp 5: Auf einen sicheren, externen Passwort-Manager umsteigen
Einen Vergleich von Passwort-Managern hat etwa die Verbraucherzentrale Nordrhein-Westfalen auf ihrer Seite veröffentlicht. Zusammen mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) haben sie zehn Passwort-Speicher geprüft – darunter die der Browser Chrome und Firefox.
Was einen guten Passwort-Manager ausmacht
Sämtliche Daten sind nach aktuellem Stand der Technik verschlüsselt.
Nur die notwendigsten Daten, welche zur Bereitstellung des Dienstes unumgänglich sind, werden verarbeitet.
Werden die Daten im Passwort-Manager in einer Cloud gespeichert, informiert der Hersteller über den Ort der Speicherung und dessen Schutzniveau.
Was Nutzer bei Passwort-Managern beachten sollten
„Vor der Wahl des Passwortmanagers sollten Verbraucherinnen und Verbraucher unbedingt die Datenschutzhinweise der jeweiligen Anbieter prüfen und darauf achten, dass die Passwortmanager keine unnötigen Daten erheben und weitergeben“, rät Ayten Öksüz, Datenschutz-Expertin der Verbraucherzentrale NRW.
Die Verbraucherzentrale empfiehlt Nutzerinnen und Nutzer, auf folgende Sicherheitsmerkmale zu achten:
Die Verwendung eines starken Masterpassworts ist Pflicht.
Wo möglich, sollte die Zwei-Faktor-Authentifizierung aktiviert werden.
Nutzer sollten prüfen, ob der Passwortmanager automatisch Backups erstellt oder ob sie selbst regelmäßig Sicherungen anlegen müssen.
