Eine besorgniserregende Entdeckung erschüttert die Sicherheitswelt: Der Microsoft Edge Browser speichert eingegebene Passwörter im Klartext im RAM. Das bedeutet, dass jeder, der Zugriff auf den Arbeitsspeicher des Rechners hat – etwa über eine Schadsoftware oder physisch – die Anmeldedaten problemlos auslesen kann. Der Fehler betrifft alle Nutzer, die die integrierte Passwortverwaltung von Edge verwenden.

Wie die Schwachstelle funktioniert

Sicherheitsforscher haben aufgedeckt, dass Edge die Passwörter nach Eingabe nicht verschlüsselt im Speicher ablegt. Zwar werden die Daten auf der Festplatte mit einer systemeigenen Verschlüsselung geschützt, sobald der Browser jedoch läuft und der Nutzer sich einloggt, liegen die Zugangsdaten ungeschützt im RAM. Ein Angreifer kann diese mit Tools wie dem Windows-eigenen Task-Manager oder spezieller Auslesesoftware extrahieren. Eine Liste aller gespeicherten Logins ist dadurch einsehbar – ohne großen Aufwand.

Das Problem mit der Passworthinterlegung

Viele User vertrauen auf die automatische Passwortverwaltung des Browsers. Doch dieses Vertrauen könnte hier missbraucht werden. Normalerweise speichern moderne Browser Credentials sicher, indem sie sie mit dem Betriebssystem abgleichen oder starke Verschlüsselung verwenden. Edge umgeht diesen Schutz jedoch offenbar im laufenden Betrieb.

• Betroffen sind alle Windows-Versionen mit Edge Chromium.
• Der Fehler tritt unabhängig von der Edge-Einstellung „Passwörter speichern“ auf – sobald ein Benutzer das Passwort einmal gespeichert hat, wird es im Klartext nachgeladen.
• Die Sicherheitslücke wurde bereits mehrfach bestätigt, darunter von renommierten IT-Sicherheitsseiten.

Reaktion von Microsoft

Microsoft hat den Vorfall bestätigt, aber die Dringlichkeit heruntergespielt. Der Konzern argumentiert, dass für einen erfolgreichen Angriff bereits Zugriff auf den Rechner nötig sei. Für viele Experten ist das jedoch kein akzeptabler Zustand. Sie fordern, dass Passwörter selbst im Arbeitsspeicher durchgängig geschützt werden müssen – wie es etwa Firefox und Chrome inzwischen tun.

Was das für Nutzer bedeutet

Die Lücke ist besonders gefährlich für Personen, die öffentliche Computer nutzen oder deren Gerät von Malware befallen ist. Theoretisch kann jedes Programm, das Administratorrechte hat, auf den Speicher anderer Prozesse zugreifen. In der Praxis müssen Sie sich aber keine sofortigen Sorgen machen – die Gefahr besteht vor allem bei bereits kompromittierten Systemen oder gemeinsam genutzten Rechnern.

Dennoch: Wer seine Passwörter maximal schützen möchte, sollte Edge nicht mehr zum Speichern verwenden. Empfehlenswert ist ein dedizierter Passwortmanager wie Bitwarden oder KeePass, die die Daten auch im Arbeitsspeicher verschlüsseln. Wer den Microsoft-Dienst dennoch nutzt, muss damit leben, dass die Anmeldeinformationen auf dem eigenen Rechner praktisch offenliegen – solange der Browser läuft.

Ein tieferes Sicherheitsproblem

Die Entdeckung wirft auch grundsätzliche Fragen auf: Wie vertrauenswürdig ist Microsoft Edge aus Sicherheitssicht? Der Browser wird zunehmend beworben und ist standardmäßig in Windows integriert. Gerade Unternehmens-IT-Abteilungen sollten prüfen, ob der interne Einsatz weiter vertretbar ist. Denn in Firmennetzen könnte ein Angreifer über eine solche Lücke an sensible Zugänge für E-Mail, Cloud-Dienste oder Kundenportale gelangen.

Bis Microsoft einen Patch liefert, bleibt nur der Workaround: Passwörter nicht im Browser speichern, sondern in einem externen Tresor. Der Vorfall zeigt einmal mehr, dass selbst große Konzerne nicht gegen Sicherheitslücken gefeit sind und Updates für alltägliche Funktionen oft auf sich warten lassen.