Microsoft Edge speichert Passwörter im Klartext im Arbeitsspeicher

Sicherheitsforscher decken schwerwiegendes Problem auf: Der Browser entschlüsselt beim Start sämtliche gespeicherten Zugangsdaten.

Cybersicherheitsexperten schlagen Alarm: Microsoft Edge entschlüsselt beim Programmstart sämtliche gespeicherten Passwörter und hält sie im Klartext im Arbeitsspeicher vor. Die Ende April bekannt gewordene Sicherheitslücke sorgt seit Anfang Mai für hitzige Debatten in der Fachwelt. Andere Chromium-basierte Browser wie Google Chrome entschlüsseln Passwörter dagegen nur bei Bedarf.

Wer seine Zugangsdaten vor solch riskanten Sicherheitslücken schützen will, sollte auf bewährte Lösungen setzen, die Passwörter sicher verschlüsseln. Dieser kostenlose Guide erklärt Schritt für Schritt, wie Sie Ihre Anmeldedaten mit einem professionellen Manager lokal und sicher verwalten. KeePassXC-Bedienungsanleitung für Einsteiger jetzt gratis sichern

Forscher präsentiert Beweise

Der Sicherheitsexperte Tom Jøran Sønstebyseter Rønning stellte die Schwachstelle am 29. April 2026 auf der Veranstaltung BigBiteOfTech in Norwegen vor. Seine systematischen Tests aller großen Chromium-Browser hätten Edge als Ausreißer entlarvt, so der Forscher, der unter dem Pseudonym @L1v1ng0ffTh3L4N auftritt.

Das Problem: Microsoft Edge beginnt sofort nach dem Start damit, jedes einzelne gespeicherte Passwort zu entschlüsseln – unabhängig davon, ob der Nutzer die dazugehörigen Webseiten überhaupt besuchen will. Zur Überprüfung veröffentlichte Rønning ein Tool namens EdgeSavedPasswordsDumper, das den Arbeitsspeicher eines aktiven Edge-Prozesses ausliest.

Am 4. Mai folgte ein Video, das eindrucksvoll zeigt, wie ein Angreifer mit Lesezugriff auf den Arbeitsspeicher sämtliche Zugangsdaten abgreifen kann – ohne dass der Browser auch nur eine Sicherheitswarnung auslöst.

Unterschiedliche Sicherheitsmodelle im Vergleich

Obwohl Microsoft Edge und Google Chrome auf derselben Chromium-Engine basieren, verfolgen sie völlig unterschiedliche Strategien beim Schutz gespeicherter Geheimnisse. Chrome setzt auf ein On-Demand-Modell: Passwörter bleiben verschlüsselt, bis sie für eine Autovervollständigung benötigt werden oder der Nutzer sie explizit in den Einstellungen anfordert.

Zusätzlich setzt Chrome auf App-Bound Encryption: Diese Funktion bindet die Entschlüsselungsschlüssel kryptografisch an den authentifizierten Browser-Prozess. Externe Anwendungen können diese Schlüssel nicht wiederverwenden. Edge fehlen diese Schutzmechanismen für die Daten im Arbeitsspeicher.

Besonders perfide: Edge verlangt zwar vor der Anzeige von Passwörtern in den Einstellungen eine erneute Authentifizierung per Windows-PIN oder Biometrie. Doch da der Browser die Daten bereits im Klartext im Hintergrund bereithält, ist diese Hürde nur eine vorgelagerte Barriere – kein fundamentaler kryptografischer Schutz.

Microsoft: „Verhalten ist beabsichtigt“

Der Konzern reagierte auf die verantwortungsvolle Offenlegung durch den Forscher mit einer klaren Ansage: Das Verhalten sei bewusst so gewählt. Microsofts offizielle Position: Wer den Arbeitsspeicher eines anderen Nutzers auslesen kann, habe bereits eine Kompromittierungsebene erreicht, die der Browser nicht mehr schützen könne.

Um die Gefahr durch gestohlene Passwörter grundsätzlich zu minimieren, setzen Experten zunehmend auf moderne Anmeldeverfahren ohne klassische Geheimwörter. Wie Sie Passkeys bei großen Diensten wie Amazon oder Microsoft einrichten und sich so gegen Datenklau schützen, erfahren Sie in diesem kostenlosen Report. Gratis-Report: Passwortlos anmelden mit Passkeys

Bereits Ende Januar hatte Microsoft Funktionen wie Application-Bound Encryption für lokal gespeicherte Daten vorgestellt. Diese schützen die Verschlüsselungsschlüssel auf der Festplatte – nicht aber im Arbeitsspeicher. Der Sicherheitsexperte Angus Holliday betont: „Der Festplattenschutz greift nicht, sobald die Daten in den RAM geladen wurden."

In der Cybersicherheitsbranche stößt die „By Design"-Haltung auf Kritik. Experten fordern eine Verteidigung in der Tiefe (Defense-in-Depth): Selbst in einer kompromittierten Umgebung sollten sensible Geheimnisse nicht unnötig zugänglich sein. Ein vollständiger Tresor mit Klartext-Passwörtern im Arbeitsspeicher sei ein „Geschenk" für Angreifer mit lokalen Administratorrechten.

Größte Gefahr in Unternehmensnetzwerken

Besonders schwer wiegt das Problem in Unternehmen mit gemeinsam genutzten Systemen. Remote-Desktop-Dienste, virtuelle Desktop-Infrastrukturen (VDI) oder Terminalserver sind besonders gefährdet.

In solchen Umgebungen laufen mehrere Nutzer gleichzeitig auf derselben Hardware. Ein Angreifer mit Administratorrechten kann den Arbeitsspeicher aller aktiven Sitzungen gleichzeitig auslesen. Rönnings Proof-of-Concept zeigt genau dieses Szenario: Ein kompromittiertes Administratorkonto reicht aus, um die Zugangsdaten aller aktiven oder getrennten Nutzer abzugreifen.

Diese Angriffsmethode ist im MITRE ATT&CK-Framework als etabliertes Muster zur Extraktion von Browser-Zugangsdaten dokumentiert. Für IT-Sicherheitsteams bedeutet dies eine Neubewertung des Einsatzes browserbasierter Passwortmanager auf gemeinsam genutzten Arbeitsplätzen.

Ausblick und Handlungsempfehlungen

Branchenbeobachter erwarten, dass die Enthüllung die Skepsis gegenüber integrierten Browser-Passwortmanagern verstärken wird. Zwar bieten sie Komfort und hohe Akzeptanz – doch der Preis ist die mangelnde Sicherheit sensibler Daten.

Sicherheitsexperten empfehlen Organisationen mit hohen Sicherheitsanforderungen oder gemeinsam genutzten Infrastrukturen den Umstieg auf dedizierte Drittanbieter-Passwortmanager. Diese arbeiten oft mit einem Master-Passwort, das nicht lokal gespeichert wird. Die Entschlüsselung erfolgt nur bei expliziter Nutzerinteraktion – der gesamte Tresor liegt nie gleichzeitig entschlüsselt im Speicher.

Microsoft hat angekündigt, die Sicherheitsarchitektur von Edge kontinuierlich zu verbessern. Mögliche Maßnahmen: aggressivere Speicherbereinigung und stärkere Verschlüsselungsmethoden. Ein konkreter Zeitplan für eine Änderung des Startverhaltens steht jedoch nicht fest. Bis dahin bleibt es Aufgabe der Systemadministratoren, durch strenge Zugriffskontrollen das Risiko zu minimieren.

de | wissenschaft | 69281276 |