Beim Start von Microsoft Edge werden gespeicherte Passwörter unverschlüsselt im Arbeitsspeicher abgelegt – ein Verhalten, das Sicherheitsexperten als erhebliches Risiko einstufen.
IT-Sicherheitsforscher haben diese Schwachstelle im Umgang mit gespeicherten Zugangsdaten in Microsoft Edge daher öffentlich gemacht.
Demnach lädt der Browser beim Start sämtliche gespeicherten Passwörter im Klartext in den RAM, statt sie erst bei Bedarf zu entschlüsseln.
Für Privatnutzer ist das Risiko ärgerlich, aber meist auf ein einzelnes Gerät begrenzt.
In Unternehmen ist die Lage komplexer: Dort können gespeicherte Browser-Passwörter Zugriff auf Microsoft 365, VPN, ERP-Systeme, Admin-Portale, Cloud-Dienste, Kundensysteme oder interne Anwendungen ermöglichen.
Besonders kritisch wird das Risiko in Unternehmen mit gemeinsam genutzten IT-Umgebungen gesehen. Remote Desktop Services und Terminalserver gelten aus Sicht von Sicherheitsanalysten als besonders anfällig. Wenn mehrere Benutzer auf demselben physischen oder virtuellen System arbeiten, kann ein Administrator – oder ein gehacktes Konto mit erweiterten Rechten – unter Umständen Speicherbereiche anderer aktiver Sitzungen auslesen.
Besonders kritisch ist die Sicherheitslücke bei folgenden Umgebungen zu sehen:
Vor allem Multi-User-Umgebungen sind bei der Microsoft Edge Sicherheitslücke hervorzuheben. Wenn mehrere Benutzer auf demselben physischen oder virtuellen System arbeiten, können falsch gesetzte Rechte, kompromittierte Admin-Konten oder schlecht isolierte Sitzungen dazu führen, dass Zugangsdaten anderer Sitzungen gefährdet sind.
Das Risiko bei der Microsoft Edge Sicherheitslücke bei der Nutzung vom Passwortmanager liegt im Zugriff auf den Prozessspeicher: Kann Schadsoftware den Arbeitsspeicher von Edge auslesen, lassen sich dort potenziell Zugangsdaten extrahieren. Für betroffene Systeme ist das ein erhebliches Sicherheitsrisiko.
Hinzu kommt ein grundsätzliches Problem browserbasierter Passwortmanager: Browser konzentrieren zahlreiche sensible Informationen an einer Stelle – darunter Logins, Cookies, Sitzungstoken und Autofill-Daten. Damit werden sie zu einem besonders attraktiven Ziel für Hacker.
Microsoft gibt zwar an, Passwörter grundsätzlich verschlüsselt zu speichern und lokal abgelegte Zugangsdaten kryptografisch zu schützen – das sei an das Betriebssystem bzw. das Benutzerprofil gekoppelt. Der aktuelle Fall und Tests zeigen jedoch:
Sobald Edge gestartet ist, liegen gespeicherte Passwörter im entschlüsselten Zustand im Arbeitsspeicher vor.
Microsoft argumentierte zunächst, dass das Verhalten von der Speicherung der Passwörter innerhalb ihres bestehenden Sicherheitsmodells liege, weil ein Angreifer Zugriff auf das Gerät oder entsprechende Rechte benötige.
Nach öffentlicher Kritik änderte Microsoft eigenen Angaben zufolge jedoch das Verhalten des Browsers: Edge soll gespeicherte Passwörter nicht mehr beim Start vollständig in den Arbeitsspeicher laden, sondern erst dann entschlüsseln, wenn sie tatsächlich benötigt werden.
Die Änderung wurde in den offiziellen Stable-Release-Notes als Anpassung am Passwortmanager aufgeführt. Dort heißt es sinngemäß, dass Passwörter nicht mehr beim Start in den Speicher geladen werden.
Für Unternehmen bedeutet das: Edge-Updates sind Pflicht, aber sie lösen nicht automatisch das grundsätzliche Problem einer unkontrollierten Passwortspeicherung im Browser.
Unternehmen sollten prüfen, ob alle Geräte mindestens auf einem Edge-Stand sind, der die oben genannte Microsoft-Anpassung enthält. Das betrifft nicht nur normale Clients, sondern auch Terminalserver, VDI-Images, Golden Images, Schulungsgeräte und selten genutzte Systeme.
Wichtig sind zentrale Update-Prozesse über Intune, Gruppenrichtlinien, Endpoint Management oder Patch Management. Einzelne ungepatchte Systeme reichen aus, um ein unnötiges Risiko offen zu halten.
Das Speichern neuer Passwörter in Edge kann über Unternehmensrichtlinien eingeschränkt werden. Das ist besonders sinnvoll für privilegierte Konten oder regulierte Umgebungen. Dabei sollte aber beachtet werden: Bereits gespeicherte Passwörter verschwinden dadurch nicht automatisch. Sie müssen kontrolliert migriert und entfernt werden.
Für sensible Zugangsdaten empfiehlt sich ein sauberer Migrationsprozess:
Zuerst werden gespeicherte Passwörter inventarisiert. Danach werden relevante Zugangsdaten in einen zentralen Passwortmanager überführt. Anschließend werden alte Browser-Einträge entfernt und das erneute Speichern über Richtlinien blockiert.
Passwörter bleiben ein Risiko, sobald sie gestohlen werden können. Multi-Faktor-Authentifizierung reduziert den Schaden deutlich, weil ein Passwort allein nicht mehr ausreicht. Noch besser sind Passkeys, da sie phishingresistenter sind und nicht wie klassische Passwörter ausgelesen oder wiederverwendet werden können.
Gerade für Microsoft 365, VPN, Admin-Portale und externe SaaS-Anwendungen sollte MFA nicht optional, sondern Standard sein.
Für RDS- und Terminalserver-Umgebungen sollte der Browser-Passwortmanager besonders kritisch bewertet werden. Dort arbeiten mehrere Benutzer auf derselben Infrastruktur. Deshalb sind strikte Rechtevergabe, Prozessisolation, restriktive Admin-Konten und klare Browser-Richtlinien entscheidend.
Empfehlenswert sind:
Browser-Erweiterungen sind ein häufig unterschätzter Risikofaktor. Sie können je nach Berechtigung Inhalte auf Webseiten lesen oder verändern. Wenn Autofill aktiv ist, kann das zusätzliche Angriffsflächen schaffen. Deshalb sollten Unternehmen Erweiterungen nur per Allowlist freigeben und nicht benötigte Add-ons blockieren sowie ihre Mitarbeiter für diesen RIsikofaktor entsprechend sensibilisieren.
Generell ist zu betonen: Ein integrierter Passwortmanager im Browser ist nicht automatisch unsicher. Für viele Standardanwendungen bietet er mehr Schutz als wiederverwendete, einfache oder in Excel-Listen gepflegte Passwörter. Problematisch wird es, wenn geschäftskritische Zugangsdaten unkontrolliert im Browser gespeichert werden und keine klare Richtlinie existiert.
In Unternehmen sollte daher unterschieden werden:
Normale Benutzerkonten können unter bestimmten Bedingungen im Browser-Passwortmanager verwaltet werden. Kritische Zugänge wie Administratorkonten, VPN-Zugänge, Finanzsysteme, Kundensysteme, RMM-Tools oder Firewall-Logins dagegen sollten, so die Empfehlung, in einen zentral verwalteten Passwortmanager mit Rollenmodell, Audit-Logs, MFA und kontrollierter Freigabe gespeichert werden.
Der aktuelle Edge-Vorfall sollte ein Weckruf für die Passwortstrategie in Unternehmen sein. Das Sicherheitsproblem zeigt:
Passwortsicherheit endet nicht bei der Verschlüsselung gespeicherter Zugangsdaten. Entscheidend ist auch, wann Passwörter entschlüsselt werden, wie lange sie im Speicher liegen, wer auf Systeme zugreifen kann und ob gestohlene Zugangsdaten allein für einen Login ausreichen. Für Unternehmen ist die richtige Reaktion auf die Microsoft Edge Sicherheitslücke keine Panik, sondern eine klare IT-Sicherheitsstrategie:
Edge aktualisieren, gespeicherte Browser-Passwörter prüfen, kritische Zugangsdaten in einen zentralen Passwortmanager migrieren, MFA oder Passkeys aktivieren und Terminalserver- sowie RDS-Umgebungen besonders absichern.
So wird aus einem Browser-Vorfall, wie bei dieser Microsoft Edge Sicherheitslücke, ein sinnvoller Anlass, das Passwort-Management und Endpoint-Schutz im Unternehmen nachhaltig zu verbessern.
Abonnieren Sie unseren Newsletter und erhalten Sie regelmäßig aktuelle Updates aus der IT-Welt.
