Microsoft Edge ist nach wie vor einer der meistgenutzten Browser weltweit, doch eine frisch entdeckte Sicherheitslücke wirft ein schlechtes Licht auf die Software aus Redmond. Der Vorwurf: Die eingebauten Passwortmanager von Edge hinterlegen die gespeicherten Logins nicht ausreichend geschützt – sie liegen offenbar im Arbeitsspeicher des Systems im Klartext vor, sodass bösartige Programme oder selbst ein einfacher Zugriff auf den Rechner diese Daten ohne großen Aufwand auslesen können.

Das Problem betrifft alle Nutzer, die in Microsoft Edge Passwörter speichern lassen. Sicherheitsforscher haben demonstriert, dass die gespeicherten Zugangsdaten auch nach dem Schließen des Browsers im Speicher verbleiben. So können Angreifer, die sich Zugang zum Rechner verschaffen oder etwa über eine Schadsoftware Systemzugriff haben, die Passwörter direkt auslesen und anschließend missbrauchen.

Wie genau funktioniert die Lücke?

Die Schwachstelle liegt in der Art und Weise, wie Edge mit gespeicherten Passwörtern umgeht. Normalerweise sollten diese Daten zumindest verschlüsselt im Arbeitsspeicher abgelegt sein. Im Fall von Edge, insbesondere in den Chromium-basierten Versionen, ist das jedoch nicht der Fall. Die Anmeldeinformationen werden im Klartext in einem bestimmten Speicherbereich abgelegt und bleiben dort bestehen, solange der Browser läuft – und oft auch noch darüber hinaus.

Tools, die auf den Arbeitsspeicher zugreifen können, etwa Debugging-Programme oder speziell entwickelte Malware, können diese Daten dann auslesen. Einige Sicherheitsexperten haben gezeigt, dass dazu nicht einmal tiefgehende technische Kenntnisse nötig sind: Mit verhältnismäßig einfachen Mitteln lassen sich die Logins extrahieren. Besonders heikel: Da viele Nutzer für verschiedene Dienste dasselbe Passwort verwenden, kann der Schaden weit über den Browser hinausgehen.

Wer ist betroffen?

Grundsätzlich alle Nutzer von Microsoft Edge, die den integrierten Passwortmanager des Browsers verwenden. Das betrifft nicht nur die aktuelle Version, sondern auch ältere. Die Lücke wurde von mehreren Sicherheitsforschern unabhängig voneinander bestätigt. Microsoft hat die Problematik inzwischen zwar zur Kenntnis genommen, doch ein vollständiger Patch steht bislang noch aus. Nutzer des Chromium-basierten Edge sind ebenso betroffen wie diejenigen, die den Legacy-Edge nutzen, da das Kernproblem unabhängig von der Browser-Basis zu existieren scheint.

Es ist nicht bekannt, ob die Lücke bereits aktiv ausgenutzt wird. Da der genaue Angriffsvektor jedoch öffentlich dokumentiert wurde, ist davon auszugehen, dass entsprechende Angriffe nicht lange auf sich warten lassen. Sicherheitsbewusste Anwender sollten daher so schnell wie möglich handeln.

Was können Sie jetzt tun?

Alternative Passwortmanager nutzen

Am einfachsten und effektivsten ist es, auf einen externen Passwortmanager umzusteigen. Tools wie KeePass, Bitwarden oder 1Password speichern Ihre Zugangsdaten nicht im Browser, sondern in einer separat verschlüsselten Datenbank. Diese Programme kümmern sich selbst um die sichere Aufbewahrung und geben die Passwörter nur dann im Klartext weiter, wenn Sie sie tatsächlich verwenden. Im Arbeitsspeicher hinterlassen sie deutlich weniger Spuren als es Edge tut.

Edge-Passwortmanager deaktivieren

Sie können in den Edge-Einstellungen unter „Profile“ -> „Passwörter“ die Option zum Speichern von Passwörtern komplett deaktivieren. Bereits gespeicherte Passwörter sollten Sie dort ebenfalls löschen. Das ist zwar aufwändig, aber der sicherste Weg, um die Lücke zu umgehen. Wer viele Logins hat, sollte jedoch schon vorher auf einen externen Manager umgestiegen sein, um nicht plötzlich ohne Zugriff dazustehen.

Wie reagiert Microsoft?

Microsoft hat die Berichte über die Sicherheitslücke bestätigt und arbeitet nach eigenen Angaben an einer Lösung. Ein konkretes Datum für ein Update gibt es jedoch nicht. Bis dahin empfehlen die Sicherheitsforscher, die genannten Maßnahmen zu ergreifen. Die Verantwortlichen betonen, dass Nutzer von Windows 10 und 11 auch auf den Windows-eigenen Schutz wie Windows Defender vertrauen können – dieser schützt jedoch nicht direkt vor dem Auslesen des Arbeitsspeichers.

Es ist nicht das erste Mal, dass ein Browser wegen unsicherer Passwortspeicherung in die Kritik gerät. Ähnliche Probleme gab es in der Vergangenheit auch bei Chrome und Firefox. Microsoft Edge ist derzeit jedoch besonders betroffen, da die Lücke besonders einfach ausnutzbar ist und die Passwörter sehr lange im Speicher verbleiben. Ein Umdenken in der Branche wäre wünschenswert: Die Entwicklung sicherer, dedizierter Passwortmanager, die nicht direkt ins Betriebssystem eingebettet sind, könnte solche Probleme in Zukunft verhindern.