Eine aktuelle Sicherheitsanalyse zu Microsoft Edge zeigt sehr deutlich, warum ich seit Jahren davor warne, Browser in Unternehmensumgebungen ungehärtet zu betreiben.
Der konkrete Vorwurf ist brisant: Microsoft Edge soll gespeicherte Passwörter bereits beim Start des Browsers vollständig in den Prozessspeicher laden und dort im Klartext vorhalten. Nicht erst dann, wenn der Benutzer die passende Webseite besucht. Nicht erst dann, wenn ein Login-Formular automatisch ausgefüllt wird. Sondern direkt nach dem Start des Browsers.
Damit entsteht ein dauerhaftes Ziel im Arbeitsspeicher.
Besonders kritisch: Zu der Analyse wurde auch ein Proof-of-Concept veröffentlicht. Dieses Tool, in Berichten unter anderem als EdgeSavedPasswordsDumper beschrieben, demonstriert, dass gespeicherte Zugangsdaten aus laufenden Edge-Prozessen ausgelesen werden können, wenn ein Angreifer den Prozessspeicher lesen darf. Laut Berichten wurde in einer Demonstration gezeigt, dass auf einem gemeinsam genutzten System sogar Zugangsdaten aus mehreren angemeldeten beziehungsweise getrennten Benutzersitzungen extrahiert werden konnten.
Und genau hier wird aus einer technischen Designentscheidung ein echtes Unternehmensrisiko.
Worum geht es bei der aktuellen Schwachstelle?
Browser-Passwortmanager speichern Zugangsdaten normalerweise verschlüsselt auf dem Datenträger. Das klingt zunächst beruhigend. Viele Benutzer gehen deshalb davon aus, dass ihre gespeicherten Passwörter sicher sind.
Das Problem liegt aber nicht nur auf der Festplatte.
Das Problem liegt zur Laufzeit.
Wenn Microsoft Edge beim Start alle gespeicherten Zugangsdaten entschlüsselt und im Klartext im Arbeitsspeicher des Browserprozesses vorhält, dann hilft die Verschlüsselung auf dem Datenträger im konkreten Angriffsszenario nur noch begrenzt. Denn der Angreifer muss dann nicht zwingend die Passwortdatenbank sauber entschlüsseln. Er kann versuchen, den laufenden Prozessspeicher auszulesen.
Genau dieses Verhalten wurde nun öffentlich thematisiert. Laut Cybersecurity News lädt Edge die gespeicherten Passwörter beim Browserstart in den Prozessspeicher und hält sie dort im Klartext vor — unabhängig davon, ob die jeweilige Webseite überhaupt verwendet wird. Heise beschreibt ebenfalls einen einfachen Test: Passwort im Edge-Passwortmanager gespeichert, Browser neu gestartet, Speicherabbild erzeugt, Klartext-Passwort im Dump gefunden.
Das ist aus Unternehmenssicht kein Detailproblem. Das ist genau die Art von Verhalten, die Angreifer lieben.
Die EXE macht das Risiko greifbar
Der veröffentlichte Proof-of-Concept ist deshalb so relevant, weil er das Problem aus der Theorie in die Praxis holt.
Solange über „Passwörter im Arbeitsspeicher“ gesprochen wird, klingt das für viele Entscheider abstrakt. Sobald aber eine ausführbare Datei beziehungsweise ein Demonstrationswerkzeug zeigt, dass gespeicherte Zugangsdaten aus laufenden Edge-Prozessen extrahiert werden können, wird das Risiko greifbar.
Wichtig ist dabei: Ein solches Tool ist nicht automatisch ein magischer Generalschlüssel. Ein Angreifer benötigt passende Rechte und Zugriff auf das System beziehungsweise auf die relevanten Prozesse. Aber genau das ist in realen Angriffsketten kein unrealistisches Szenario.
Nach einer erfolgreichen Kompromittierung suchen Angreifer fast immer nach Zugangsdaten. Credential Dumping ist ein Standardziel in Post-Exploitation-Szenarien. Passwörter, Tokens, Cookies, Sessions und Browserdaten sind für Angreifer extrem wertvoll, weil sie laterale Bewegung, Cloud-Zugriffe und Zugriff auf Fachanwendungen ermöglichen.
Wenn der Browser gespeicherte Kennwörter bereits im Klartext im Speicher bereithält, wird dem Angreifer die Arbeit erleichtert.
„By Design“ ist kein Freifahrtschein
Microsoft soll das Verhalten als „by design“ eingeordnet haben. Auch Microsofts eigene Dokumentation zu Browser-Sicherheit und Richtlinien macht deutlich, dass Browser über zentrale Policies in Unternehmen gesteuert werden können und sollten.
Das Argument „by design“ ist technisch nicht automatisch falsch. Hersteller definieren Threat Models. Häufig gilt: Wenn ein Angreifer bereits im lokalen Benutzerkontext oder mit administrativen Rechten auf dem System aktiv ist, liegt das Problem außerhalb des engeren Browser-Sicherheitsmodells.
Für die Praxis reicht diese Sichtweise aber nicht.
Professionelle IT-Sicherheit besteht aus mehreren Schutzschichten. Wenn ein Angreifer eine Schicht überwindet, darf nicht automatisch alles offenliegen. Genau deshalb gibt es Least Privilege, Applikationskontrolle, MFA, Conditional Access, Privileged Access Workstations, Credential Guard, EDR, Monitoring und Netzwerksegmentierung.
Ein integrierter Browser-Kennwortmanager, der alle gespeicherten Passwörter komfortabel im Speicher verfügbar hält, passt in vielen Unternehmensszenarien nicht zu diesem Schutzgedanken.
Er reduziert Reibung für Benutzer.
Leider reduziert er auch Reibung für Angreifer.
Die Re-Authentifizierung täuscht Sicherheit vor
Viele Benutzer kennen die Funktion: Wenn gespeicherte Passwörter im Browser angezeigt werden sollen, verlangt Edge eine erneute Authentifizierung, zum Beispiel über Windows Hello oder eine Windows-Anmeldung.
Das sieht sicher aus.
Aber genau hier liegt der Widerspruch.
Wenn die Zugangsdaten bereits im Klartext im Prozessspeicher liegen, schützt diese Abfrage in erster Linie die Oberfläche des Passwortmanagers. Sie verhindert nicht automatisch, dass ein Angreifer mit passenden Rechten den Speicher des Browserprozesses ausliest.
Die Benutzeroberfläche sagt: „Du musst dich erneut authentifizieren.“
Der Prozessspeicher sagt im schlechtesten Fall: „Die Daten sind bereits da.“
Das ist ein gefährlicher Unterschied zwischen gefühlter Sicherheit und tatsächlicher Schutzwirkung.
Terminalserver, RDS und Citrix: Der Jackpot für Angreifer
Besonders kritisch wird das Thema in geteilten Umgebungen wie Terminalservern, Remote Desktop Services, Citrix-Systemen oder anderen Multi-User-Plattformen.
Dort arbeiten mehrere Benutzer auf derselben Maschine oder Plattform. Es laufen mehrere Sitzungen, mehrere Browserprozesse, mehrere Benutzerprofile und häufig Zugriffe auf zentrale Fachanwendungen, Cloud-Portale, Kundensysteme oder Administrationsoberflächen.
Wenn in einer solchen Umgebung Browser-Kennwortmanager erlaubt sind, entsteht ein hochattraktives Ziel.
Für einen Angreifer ist das ein Jackpot.
Ein kompromittierter Terminalserver ist ohnehin ein schwerwiegender Vorfall. Wenn dort aber zusätzlich gespeicherte Browser-Passwörter im Klartext im Speicher laufender Prozesse verfügbar sind, kann aus einem einzelnen kompromittierten System eine Sammelstelle für Zugangsdaten werden.
Besonders gefährlich sind getrennte, aber weiterhin aktive Sitzungen. Benutzer melden sich oft nicht sauber ab, sondern trennen nur die Verbindung. Der Prozess läuft weiter. Der Browser bleibt geöffnet oder wird später wiederhergestellt. Die Sitzung bleibt ein lohnendes Ziel.
In solchen Umgebungen darf es aus meiner Sicht keine Diskussion geben:
Integrierte Browser-Kennwortmanager gehören auf Terminalservern, RDS-Hosts, Citrix-Systemen und VDI-Umgebungen deaktiviert.
Das eigentliche Problem ist größer als Microsoft Edge
Auch wenn die aktuelle Meldung Microsoft Edge betrifft, wäre es falsch, das Thema nur auf einen einzelnen Browser zu reduzieren.
Das eigentliche Problem ist grundsätzlicher: Viele Unternehmen behandeln Browser noch immer nicht als sicherheitskritische Anwendung.
Dabei ist der Browser heute der zentrale Zugangspunkt zu:
- Microsoft 365
- Entra ID
- Azure-Portalen
- CRM-Systemen
- ERP-Anwendungen
- Helpdesk-Systemen
- Cloud-Speichern
- Banking-Portalen
- internen Webanwendungen
- Administrationsoberflächen
- Kundensystemen
Wer den Browser kompromittiert oder dort gespeicherte Zugangsdaten auslesen kann, braucht oft keinen klassischen Domain-Admin mehr. Der Zugriff erfolgt dann direkt über legitime Webportale.
Deshalb sage ich seit Jahren: Browser dürfen in Unternehmensumgebungen nicht ungehärtet betrieben werden.
Und zur Härtung gehört ganz klar die Deaktivierung der integrierten Kennwortmanager.
Was Unternehmen jetzt konkret tun müssen
Die richtige Reaktion ist nicht, abzuwarten, ob Microsoft das Verhalten irgendwann ändert.
Die richtige Reaktion ist, die eigene Umgebung sofort zu prüfen und Browser-Härtung verbindlich umzusetzen.
1. Browser-Passwortmanager sofort prüfen
Unternehmen sollten kurzfristig prüfen:
- Ist der Edge-Passwortmanager aktiv?
- Können Benutzer Passwörter im Browser speichern?
- Gibt es gespeicherte Passwörter in bestehenden Profilen?
- Ist Autofill für Zugangsdaten aktiv?
- Werden Passwörter über Browserprofile synchronisiert?
- Gilt das auch auf Terminalservern, RDS, Citrix oder VDI?
- Gibt es unterschiedliche Regeln für Clients, Server und Admin-Systeme?
Gerade auf Terminalservern sollte diese Prüfung höchste Priorität haben.
2. Speichern von Passwörtern im Browser deaktivieren
Der integrierte Passwortmanager sollte in Unternehmensumgebungen per Richtlinie deaktiviert werden.
Für Microsoft Edge lässt sich das zentral über Gruppenrichtlinien, Intune, MDM oder andere Managementsysteme steuern. Microsoft stellt dafür umfangreiche Browser-Policies bereit, mit denen Unternehmen das Verhalten von Edge zentral konfigurieren können.
Wichtig ist: Es reicht nicht, Benutzer zu bitten, keine Passwörter zu speichern.
Das muss technisch verhindert werden.
3. Bereits gespeicherte Passwörter entfernen
Wenn der Passwortmanager deaktiviert wird, sollte zusätzlich geprüft werden, ob bereits gespeicherte Zugangsdaten in vorhandenen Browserprofilen liegen.
Sonst bleibt ein Altbestand bestehen, der weiterhin ein Risiko darstellen kann.
Hier braucht es ein sauberes Vorgehen:
- Bestandsaufnahme
- Kommunikation an Benutzer
- Migration in einen Enterprise-Passwortmanager
- Entfernung gespeicherter Browser-Passwörter
- technische Sperre gegen erneutes Speichern
Gerade dieser Punkt wird in der Praxis häufig vergessen. Eine Policy für die Zukunft ist gut. Aber sie löst nicht automatisch das Problem bereits gespeicherter Zugangsdaten.
4. Enterprise-Passwortmanager einsetzen
Wenn Benutzer viele Passwörter verwalten müssen, braucht es eine dafür geeignete Lösung.
Ein Enterprise-Passwortmanager sollte mindestens bieten:
- zentrale Verwaltung
- MFA
- Rollen- und Rechtekonzept
- Auditierung
- sicheres Teilen von Zugangsdaten
- Offboarding-Prozesse
- Richtlinien für Passwortqualität
- Zugriffskontrolle
- Trennung privater und geschäftlicher Zugangsdaten
Ein Browser-Passwortmanager ist kein Ersatz für ein professionelles Passwortmanagement.
5. Autofill restriktiv behandeln
Autofill ist bequem, aber ebenfalls kritisch. Automatisch ausgefüllte Zugangsdaten können missbraucht werden, insbesondere bei Phishing, manipulierten Formularen oder kompromittierten Webseiten.
In sensiblen Bereichen sollte Autofill deaktiviert oder stark eingeschränkt werden.
Das gilt besonders für:
- Admin-Portale
- Cloud-Management
- Banking
- Kundensysteme
- Fachanwendungen mit sensiblen Daten
- Terminalserver
- gemeinsam genutzte Arbeitsplätze
6. Browser-Synchronisation kontrollieren
Browser-Synchronisation kann ein weiteres Risiko sein.
Wenn Passwörter, Favoriten, Erweiterungen, Formulardaten und Einstellungen über private Konten oder unkontrollierte Profile synchronisiert werden, verliert die Organisation die Kontrolle über geschäftliche Daten.
Deshalb sollten Unternehmen klar regeln:
- Welche Konten dürfen im Browser angemeldet werden?
- Ist private Synchronisation erlaubt?
- Welche Daten dürfen synchronisiert werden?
- Sind geschäftliche Profile verpflichtend?
- Werden private Microsoft- oder Google-Konten blockiert?
Private Browser-Synchronisation hat auf Unternehmenssystemen nichts verloren.
7. Erweiterungen zentral verwalten
Browser-Erweiterungen sind eine massive Angriffsfläche.
Sie können Webseiteninhalte lesen, Formulare beeinflussen, Daten übertragen, Sitzungen manipulieren oder Benutzerverhalten auswerten. Deshalb sollten Erweiterungen nicht frei installierbar sein.
Empfehlung:
- Allowlist statt freier Installation
- Blocklist für bekannte Risiken
- regelmäßige Prüfung installierter Erweiterungen
- getrennte Regeln für Standardbenutzer und Administratoren
- keine privaten Erweiterungen auf Unternehmenssystemen
8. Terminalserver und RDS besonders absichern
Für Terminalserver, RDS, Citrix und VDI müssen strengere Regeln gelten als für normale Clients.
Dort sollten mindestens umgesetzt werden:
- Browser-Passwortmanager deaktivieren
- Autofill deaktivieren oder einschränken
- Browser-Synchronisation deaktivieren
- private Konten blockieren
- Erweiterungen zentral verwalten
- Sitzungen sauber beenden
- getrennte Profile kontrollieren
- lokale Administratorrechte stark begrenzen
- Monitoring auf verdächtige Prozesszugriffe
- EDR-Regeln für Credential-Dumping-Verhalten
- regelmäßige Bereinigung alter Profile
Ein Terminalserver ist kein normaler Arbeitsplatz. Er ist ein Konzentrator von Risiko.
9. Admin-Zugriffe vom Alltag trennen
Administrative Tätigkeiten gehören nicht in denselben Browserkontext wie normales Arbeiten.
Admin-Portale sollten über getrennte, gehärtete Umgebungen genutzt werden:
- separate Admin-Konten
- separate Browserprofile
- Privileged Access Workstations
- Conditional Access
- MFA
- keine Passwortspeicherung
- keine privaten Erweiterungen
- keine parallele Alltagsnutzung
Wer mit demselben Browser gleichzeitig Mails liest, Webseiten besucht und Admin-Portale öffnet, schafft unnötige Angriffsfläche.
10. Browser-Härtung regelmäßig überprüfen
Browser ändern sich ständig. Neue Funktionen kommen hinzu. Richtlinien ändern sich. Hersteller passen Standardverhalten an. Neue Synchronisations-, KI- oder Komfortfunktionen werden aktiviert.
Deshalb reicht es nicht, Browser-Härtung einmal einzurichten und dann jahrelang nicht mehr anzufassen.
Browser-Policies gehören regelmäßig geprüft.
Mindestens bei:
- neuen Browser-Versionen
- neuen Unternehmensanforderungen
- Einführung von M365-/Cloud-Diensten
- RDS-/VDI-Projekten
- Security-Audits
- Kunden- oder Compliance-Anforderungen
- bekannten Schwachstellen oder neuen PoCs
Die falsche Frage: „Ist das wirklich eine Schwachstelle?“
In Diskussionen zu solchen Themen kommt oft schnell die Frage auf, ob es sich im engeren Sinne um eine Schwachstelle handelt.
Diese Frage ist für die Praxis zweitrangig.
Die bessere Frage lautet:
Will ich als Unternehmen, dass gespeicherte Unternehmenspasswörter in Browserprofilen und laufenden Browserprozessen verfügbar sind?
Meine Antwort ist klar: Nein.
Gerade in professionellen IT-Umgebungen darf man sich nicht auf Standardkonfigurationen verlassen. Standards sind auf breite Nutzbarkeit ausgelegt. Nicht auf das höchste Sicherheitsniveau für jede Unternehmensumgebung.
Für private Benutzer mag ein integrierter Browser-Kennwortmanager ein akzeptabler Komfortkompromiss sein. Für Unternehmensumgebungen, Terminalserver, Administratoren und geteilte Systeme ist dieser Kompromiss aus meiner Sicht nicht tragbar.
Fazit: Die aktuelle Edge-Schwachstelle ist ein Weckruf
Die aktuelle Diskussion um Microsoft Edge zeigt sehr deutlich, was ich seit Jahren sage:
Browser sind keine harmlose Standardsoftware mehr.
Sie sind zentrale Zugangspunkte zu Unternehmensdaten, Cloud-Diensten, Fachanwendungen und Administrationsoberflächen. Wer Browser nicht härtet, lässt eine der wichtigsten Anwendungen im Unternehmen weitgehend unkontrolliert.
Die veröffentlichte EXE beziehungsweise der Proof-of-Concept macht das Risiko greifbar: Gespeicherte Passwörter im Browser sind nicht nur ein theoretisches Problem. Sie können im falschen Szenario zu einem direkten Ziel für Credential Dumping werden.
Besonders auf Terminalservern, RDS-, Citrix- und VDI-Systemen ist das brandgefährlich.
Deshalb müssen Unternehmen jetzt handeln:
Browser-Passwortmanager deaktivieren. Bereits gespeicherte Passwörter entfernen. Enterprise-Passwortmanager einsetzen. Browser zentral härten. Terminalserver gesondert absichern. Admin-Zugriffe trennen.
Bequemlichkeit darf nicht über Sicherheit stehen.
Der Browser ist heute nicht mehr nur ein Werkzeug zum Surfen.
Er ist ein sicherheitskritischer Zugangspunkt zum Unternehmen.
Und genau so muss er behandelt werden.