Microsoft Edge speichert Passwörter im Klartext im Prozessspeicher - eine gefährliche Realität, die Nutzern des zweitbeliebtesten Desktop-Browsers der Welt lange verborgen blieb. Als ein Sicherheitsforscher einen Nachweis veröffentlichte, reagierte Microsoft zunächst mit dem Hinweis, dieses Verhalten sei "by design" - also absichtlich so konzipiert. Unter öffentlichem Druck ruderte das Unternehmen jedoch zurück und kündigte an, dass Edge 148 den Umgang mit Zugangsdaten im Speicher grundlegend ändern wird. Der Vorfall ist eine eindringliche Erinnerung daran, dass der browsereigene Passwortmanager kein so sicherer Tresor ist, wie die meisten Nutzer annehmen.
Was Edge mit Ihren Passwörtern anstellte
Der Sicherheitsforscher Tom Jøran Rønning veröffentlichte einen Proof-of-Concept, der zeigte, dass Microsoft Edge beim Start den gesamten gespeicherten Passwortbestand entschlüsselt und alle Zugangsdaten als Klartext im Prozessspeicher hält - für die gesamte Dauer der Browsing-Sitzung, unabhängig davon, ob die betreffenden Seiten je besucht oder Passwörter automatisch ausgefüllt werden.
Andere Chromium-basierte Browser gehen mit denselben Daten anders um. Chrome beispielsweise lädt ein Passwort nur dann im Klartext in den Speicher, wenn ein Nutzer es explizit im Passwortmanager anzeigen möchte oder wenn die automatische Ausfüllung für genau dieses Konto ausgelöst wird. Edge machte das Gegenteil: Alles wurde auf einmal entschlüsselt und blieb im RAM liegen.
Die praktische Konsequenz: Jeder Prozess mit Administratorrechten auf dem Rechner - Schadsoftware, eine kompromittierte Anwendung oder ein Angreifer mit erhöhten Zugriffsrechten - konnte alle gespeicherten Passwörter auslesen, indem er den Prozessspeicher von Edge durchsuchte. Keine Entschlüsselung notwendig, kein Zugriff auf die Festplatte - einfach lesen, was Edge bereits dekodiert hatte.
Microsofts "By Design"-Argument - und der Rückzieher
Als Rønnings Erkenntnisse publik wurden, erklärte Microsoft zunächst, das Speichern von Passwörtern im Klartext sei eine bewusste Designentscheidung. Die Begründung: Dieser Ansatz beschleunige das automatische Ausfüllen und die Anmeldung, und das Auslesen des Speichers eines anderen Prozesses erfordere ohnehin einen kompromittierten Computer oder erhöhte Zugriffsrechte - ein Szenario, das Microsoft als außerhalb des Anwendungsbereichs der Browsersicherheit betrachtete.
Dieses Argument hielt der öffentlichen Kritik nicht stand. Die Logik des "bereits kompromittierten Rechners", manchmal als "Assume Breach Minimization" bezeichnet, ist genau der Grund, warum Sicherheitsforschung existiert: Haben Angreifer erst einmal Zugang zum Rechner, ist es entscheidend, was sie von dort mitnehmen können. Alle gespeicherten Passwörter während der gesamten Sitzung entschlüsselt im RAM zu halten, ist das Gegenteil von Schadensbegrenzung.
Unter dem Druck der Sicherheitscommunity revidierte Microsoft seine Position. Ab Edge-Version 148 lädt der Browser nicht mehr alle gespeicherten Passwörter in unverschlüsselter Form vorab in den Speicher. Zugangsdaten folgen stattdessen demselben Modell wie Chrome: Sie werden nur dann im Klartext in den Speicher geladen, wenn sie tatsächlich benötigt werden.
Warum das Problem gravierender ist, als Microsoft zugab
Das Argument "Adminrechte werden ohnehin benötigt" übersieht mehrere reale Angriffsszenarien, in denen Klartext-Passwörter im RAM ein erhebliches Zusatzrisiko darstellen:
- Speicher-scraping durch Schadsoftware: Credential-Stealer durchsuchen routinemäßig den Prozessspeicher von Browsern. Edges Design machte das trivial einfach - keinerlei Entschlüsselungsaufwand erforderlich.
- Cross-Prozess-Angriffe: Bestimmte Klassen von Sicherheitslücken erlauben es Prozessen mit niedrigeren Rechten, den Speicher von Prozessen mit höheren Rechten auszulesen und dabei normale Betriebssystem-Schutzmaßnahmen zu umgehen.
- Live-Speicher-Forensik: Strafverfolgungsbehörden und gegnerische Akteure, die eine Live-Speicheranalyse eines laufenden Rechners durchführen, können alle gespeicherten Zugangsdaten extrahieren, ohne die verschlüsselte Datenbank auf der Festplatte jemals anzufassen.
- Gemeinsam genutzte oder verwaltete Geräte: In Unternehmensumgebungen können mehrere Nutzer oder IT-Administratoren Zugang zu Speicher-Inspektionstools haben, die Zugangsdaten aus der Sitzung eines anderen Nutzers offenlegen könnten.
Auch das Ausmaß der Gefährdung ist bedeutsam. Edge ist einer der meistgenutzten Browser der Welt mit Hunderten von Millionen Installationen in Verbraucher- und Unternehmensumgebungen. Der Passwortmanager ist eine Kernfunktion, kein Randfall. Ein Designfehler auf dieser Ebene betrifft eine enorme Anzahl von Nutzern, die dem Browser die sichere Verwaltung ihrer Zugangsdaten anvertraut haben.
Was Sie jetzt tun sollten
Bis Edge 148 auf Ihrem Gerät verfügbar ist, besteht das Risiko weiterhin. Hier sind konkrete Schritte zur Risikominimierung:
- Prüfen Sie Ihre aktuelle Edge-Version unter edge://settings/help - liegt sie unter 148, ist das Problem vorhanden.
- Entfernen Sie sensible Passwörter aus dem integrierten Passwortmanager von Edge und migrieren Sie diese in eine eigenständige Passwortmanager-Anwendung. Eigenständige Manager verschlüsseln Zugangsdaten im Ruhezustand und entschlüsseln sie im Speicher erst im Moment der Verwendung.
- Aktivieren Sie automatische Updates für Edge, damit Version 148 installiert wird, sobald sie in Ihrem Kanal verfügbar ist.
- Überprüfen Sie, ob Arbeits- oder Admin-Konten in Edge auf gemeinsam genutzten oder unternehmensverwalteten Geräten gespeichert sind, auf denen andere Nutzer oder IT-Mitarbeiter Zugang zu Speicher-Inspektionstools haben könnten.
Die übergeordnete Lektion ist architektonischer Natur. Browsereigene Passwortmanager tauschen eine wichtige Sicherheitsgrenze gegen Komfort ein. Wenn ein Browser alle Zugangsdaten entschlüsselt im RAM hält, bietet die Verschlüsselung auf der Festplatte keinen Schutz gegen Angreifer oder Schadsoftware, die den laufenden Prozess erreichen. Eine dedizierte Passwortmanager-Anwendung hingegen arbeitet mit einem separaten Speicherbereich und einem streng kontrollierten Entschlüsselungs-Lebenszyklus.
Dieser Vorfall unterstreicht auch die Bedeutung unabhängiger Sicherheitsforschung. Microsofts anfängliche "by design"-Position hätte sich auf unbestimmte Zeit gehalten, wenn ein öffentlicher Proof-of-Concept das Problem nicht ins Rampenlicht gerückt hätte. Die Fähigkeit der Sicherheitscommunity, das Verhalten weit verbreiteter Software zu prüfen, zu hinterfragen und aufzudecken, ist eine unverzichtbare Kontrolle gegenüber Herstellerentscheidungen, die Hunderte von Millionen Nutzer betreffen.
