Datenschutz News

Microsoft Edge speichert Passwörter im Klartext: Designentscheidung mit Sicherheitsrisiken

Ausgangspunkt ist ein Fund des Sicherheitsforschers Tom Jøran Sønstebyseter Rønning, der seine Beobachtungen zur Passwortspeicherung im Browser Microsoft Edge über die Plattform X (ehemals Twitter) veröffentlicht hat. Die Analyse wurde in der Folge aufgegriffen und weiter technisch eingeordnet. Details und Hintergründe zu diesem Verhalten beschreibt auch ein Artikel von Golem.

Demnach speichert Microsoft Edge Passwörter unter bestimmten Umständen dauerhaft im Klartext im Arbeitsspeicher. Dadurch besteht die Möglichkeit, dass sensible Zugangsdaten durch lokale Angriffe oder Schadsoftware ausgelesen werden können. Besonders bemerkenswert ist, dass es sich hierbei nicht um eine klassische Sicherheitslücke im engeren Sinne handelt, sondern um eine bewusste Designentscheidung im Rahmen der Browserarchitektur.

Die zentralen Risiken im Überblick:

  • Auslesen von Zugangsdaten über Speicheranalysen möglich
  • erhöhte Angriffsfläche bei bereits kompromittierten Systemen
  • fehlende Verschlüsselung sensibler Daten im laufenden Betrieb
  • potenzielle Umgehung bestehender Sicherheitsmechanismen

Ziel dieser Architektur ist es offenbar, bestimmte Funktionalitäten und Performance-Aspekte zu unterstützen. Gleichwohl entsteht dadurch ein erhöhtes Risiko, insbesondere in Szenarien, in denen Angreifer Zugriff auf Arbeitsspeicherbereiche erhalten oder Schadsoftware aktiv ist.

Vor diesem Hintergrund gewinnt die Frage nach sicheren Alternativen zur Passwortverwaltung zusätzlich an Bedeutung. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt in seinen Veröffentlichungen den Einsatz spezialisierter Passwortmanager, die Zugangsdaten verschlüsselt speichern und durch zusätzliche Sicherheitsmechanismen wie Master-Passwörter oder Multi-Faktor-Authentifizierung absichern.

Wesentliche Empfehlungen des BSI:
  • Einsatz geprüfter Passwortmanager zur sicheren Speicherung
  • Verwendung eines starken Master-Passworts
  • Aktivierung von Multi-Faktor-Authentifizierung
  • regelmäßige Updates und sichere Konfiguration der eingesetzten Lösungen

Für Unternehmen zeigt der Fall insgesamt, dass selbst etablierte Standardsoftware sicherheitsrelevante Implikationen haben kann, die über klassische Schwachstellen hinausgehen. Gerade im Zusammenspiel mit Endpoint-Security, Identity- und Access-Management sowie Zero-Trust-Ansätzen sollten solche Designentscheidungen systematisch in die Risikobewertung einbezogen werden.

Praxisimpuls:
Die Nutzung des Microsft Egde Passwort Managers sollte in Unternehmensumgebungen kritisch bewertet und nach Möglichkeit vermieden werden, da Microsoft dieses Verhalten bewusst implementiert hat. Stattdessen empfiehlt sich der Einsatz geprüfter Passwortmanager gemäß den Empfehlungen des BSI, um Zugangsdaten strukturiert und verschlüsselt zu verwalten. Der Firefox Passwort Manager genießt derzeit einen sehr guten Ruf.

7-Zip: Kleines Tool, großes Risiko im Patchmanagement

Mit einem aktuellen Sicherheitsupdate schließt 7-Zip eine Schwachstelle, die das Einschleusen und Ausführen von Schadcode durch manipulierte ZIP-Archive ermöglicht. Betroffen sind Installationen bis zur 7-Zip Version 26.00.

7-Zip gehört zu den Werkzeugen, die in vielen Unternehmen nahezu selbstverständlich installiert sind. Das Programm ist klein, praktisch, kostenlos und wird im Arbeitsalltag häufig für den Umgang mit komprimierten Dateien genutzt. Gerade deshalb erhält es in der IT-Sicherheitsorganisation jedoch oft weniger Aufmerksamkeit als große Standardanwendungen oder Betriebssystemkomponenten.
Besonders relevant ist der Fall für Umgebungen, in denen Anwendungen außerhalb der Windows-Updates nicht automatisiert aktualisiert werden. Während Betriebssystem- und Microsoft-Updates häufig zentral ausgerollt werden, bleiben kleinere Tools wie 7-Zip, PDF-Reader, Browser-Erweiterungen oder Spezialsoftware teilweise außerhalb etablierter Update-Prozesse. Dadurch können bekannte Schwachstellen über längere Zeit unbemerkt bestehen bleiben.

Typische Schwachstellen im Softwaremanagement:

  • fehlende Inventarisierung kleiner Hilfsprogramme
  • keine automatische Aktualisierung außerhalb des Windows-Update-Prozesses
  • unklare Verantwortlichkeiten für Drittanbieter-Software
  • unterschätztes Risiko weit verbreiteter Standardtools

Die aktuelle 7-Zip-Schwachstelle verdeutlicht, dass Angreifer nicht zwingend komplexe Unternehmensanwendungen kompromittieren müssen. Häufig genügt ein weit verbreitetes, wenig beachtetes Tool, um über präparierte Dateien oder manipulierte Archive Schadcode einzuschleusen.

Praxisimpuls:
Patchmanagement darf nicht bei Windows, Office und Browsern enden. Gerade kleine, hilfreiche Programme mit hoher Verbreitung müssen systematisch erfasst, bewertet und aktualisiert werden. Überprüfen Sie, ob Drittanbieter-Tools wie 7-Zip in Ihrer Softwareinventarisierung und Ihrem Patchmanagement vollständig berücksichtigt werden. Besonders in Umgebungen ohne automatisierte Aktualisierung außerhalb der Windows-Updates sollten klare Prozesse für Updates, Verantwortlichkeiten und regelmäßige Kontrollen etabliert werden.

Supply-Chain-Angriffe: Schadsoftware über vertrauenswürdige Softwarelieferketten (Drittpartei-Risiko)

Die US-amerikanische Cybersecurity-Behörde CISA (das BSI in den USA) warnt aktuell vor zunehmenden Angriffen auf Softwarelieferketten. Im Fokus stehen dabei Schadsoftware-Kampagnen, bei denen Angreifer gezielt vertrauenswürdige Anwendungen, Update-Prozesse oder externe Dienstleister kompromittieren, um Malware in Unternehmensumgebungen einzuschleusen.

Es werden aktuell drei Anwendungen hervorgehoben:

Hier stellt die CISA ihren gesamten Katalog mit bekannten Schwachstellen zur Verfügung.

Besonders kritisch ist dabei, dass betroffene Unternehmen die Kompromittierung häufig erst sehr spät erkennen. Schadsoftware gelangt nicht über klassische Phishing- oder Exploit-Angriffe in die Systeme, sondern über reguläre und scheinbar vertrauenswürdige Prozesse. Die aktuelle Warnung verdeutlicht zudem, dass moderne Sicherheitsstrategien nicht mehr ausschließlich die eigene Infrastruktur betrachten dürfen. Vielmehr müssen auch externe Abhängigkeiten, Lieferketten und Drittanbieter systematisch in Risikoanalysen und Sicherheitsbewertungen einbezogen werden.

Gerade vor dem Hintergrund wachsender regulatorischer Anforderungen – etwa durch NIS2 oder DORA – gewinnt das Management von Drittparteirisiken weiter an Bedeutung.

Praxisimpuls:
Erweitern Sie Ihr Sicherheits- und Risikomanagement gezielt auf Softwarelieferketten und Drittanbieter. Prüfen Sie insbesondere, wie Updates, externe Tools und Dienstleister in Ihre Sicherheitsarchitektur eingebunden sind und ob hierfür ausreichende Kontroll- und Überwachungsmechanismen bestehen.

NIS2 gilt bereits – viele Unternehmen kennen ihre Betroffenheit noch nicht

Die regulatorischen Anforderungen aus der NIS2-Richtlinie sind bereits wirksam. Dennoch zeigt sich in der Praxis, dass viele Unternehmen bislang nicht sicher einschätzen können, ob sie tatsächlich unter die neuen Pflichten fallen. Konkrete Hinweise – auch zur notwendigen Registrierung – stellt das Bundesamt für Sicherheit in der Informationstechnik (BSI) bereit.

Der zentrale Unsicherheitsfaktor liegt häufig nicht in der Umsetzung, sondern bereits in der Frage der eigenen Betroffenheit. Viele Unternehmen gehen davon aus, nicht unter die NIS2 zu fallen – ohne dies jedoch strukturiert geprüft zu haben.

Besonders herausfordernd ist die Einordnung im Bereich der sogenannten „wichtigen Einrichtungen“, vor allem im produzierenden Gewerbe. Hintergrund ist die Bestimmung der Betroffenheit anhand der so genannten NACE-Codes = europaweit standardisiertes Klassifikationssystem zur Einordnung von Wirtschaftszweigen.

Typische Herausforderungen bei der Einordnung:

  • Abgrenzung zwischen regulierten und nicht regulierten Tätigkeiten
  • Unsicherheit über Schwellenwerte und Unternehmensgröße
  • fehlende Klarheit, ob einzelne Geschäftsbereiche isoliert betrachtet werden müssen

Maßgeblich für die Bewertung sind insbesondere die gesetzlichen Vorgaben des BSI-Gesetzes (BSIG). Die Einstufung erfolgt anhand der Kriterien in Anlage 1 und Anlage 2 zum BSIG, die Sektoren, Schwellenwerte und Kategorien definieren.

Viele Unternehmen befinden sich daher aktuell in einer Grauzone: Sie könnten bereits unter NIS2 fallen – wissen es aber nicht sicher.

Praxisimpuls:
Führen Sie eine strukturierte Betroffenheitsanalyse anhand der Anlagen 1 und Anlage 2 zum BSIG durch. Gerade im produzierenden Gewerbe ist eine fundierte Einordnung unerlässlich. Wir unterstützen Sie gerne bei der Bewertung Ihrer Betroffenheit sowie bei der Umsetzung der regulatorischen Anforderungen.

Bild von Mariusz Bucki

Mariusz Bucki

Head of / Director Data Protection Services, Creditreform Compliance Services GmbH