Massive Sicherheitslücke in Microsoft Edge aufgedeckt: Passwörter offenbar nicht sicher

Der Passwort-Manager des Microsoft-Browsers Edge steht in der Kritik: Er speichert Passwörter im Klartext im Arbeitsspeicher des Computers. Darauf weist der norwegische Sicherheitsexperte Tom Jøran Sønstebyseter Rønning hin. Wie er auf der Plattform X schreibt, lädt Edge die Kennwörter bereits beim Start des Browsers in den Speicher – ganz unabhängig davon, ob Nutzer:innen diese gerade benötigen oder nicht. Damit sind sensible Zugangsdaten im laufenden Betrieb dauerhaft im RAM vorhanden.

Nach Angaben Rønnings unterscheidet sich Edge damit von anderen Chromium-basierten Browsern. Google Chrome etwa entschlüsselt Passwörter nur dann, wenn sie tatsächlich gebraucht werden, zum Beispiel beim automatischen Ausfüllen von Login-Feldern. Zusätzlich nutzt Chrome unter Windows eine Technik namens "App-Bound Encryption", die den Zugriff auf die Daten weiter absichert. So sind Passwörter dort nur kurzzeitig im Klartext sichtbar – etwa beim Auto-Fill in einem Browserfenster oder wenn Nutzer:innen sich Kennwörter aktiv anzeigen lassen.

Bei Edge hingegen bleiben die Passwörter laut Rønning dauerhaft im Arbeitsspeicher verfügbar. Das schafft zusätzliche Angriffsflächen. Besonders gefährlich kann dieses Verhalten in gemeinsam genutzten Umgebungen sein, etwa in Unternehmen oder Schulnetzwerken. Dort könnten Angreifer mit administrativen Rechten auf die Prozesse anderer Nutzer:innen zugreifen und deren Kennwörter auslesen – selbst dann, wenn die betroffenen Personen gerade gar nicht aktiv am Rechner arbeiten.

Rønning betont, dass dafür nicht einmal hochkomplexe Spezialtools nötig sind. Bereits ein Speicherauszug über den Windows-Task-Manager könne ausreichen, um an die Passwörter zu gelangen. "Es sei lediglich notwendig, den richtigen Prozess zu identifizieren", fasst "t-online" den Sicherheitsexperten zusammen. In professionellen Angriffs-Szenarien, in denen Angreifer ohnehin versuchen, Admin-Rechte zu erlangen, wäre das Auslesen der Edge-Passwörter damit nur ein weiterer Schritt.

Dauerhaft im Speicher – ein Einfallstor für Angreifer?

Der Forscher meldete seine Entdeckung nach eigenen Angaben an Microsoft. Doch der Konzern sieht darin laut Bericht kein Problem, sondern eine bewusste Entscheidung. Demnach handle es sich nicht um einen Programmierfehler, sondern um ein gewolltes Design des Edge-Passwort-Managers. Für Sicherheitsexpert:innen wie Rønning wirkt diese Einschätzung riskant – denn sie ignoriert potenzielle Missbrauchsszenarien in sensiblen Umgebungen.

Parallel dazu zeigen andere Untersuchungen, dass viele Passwort-Manager und -Funktionen generell Schwächen haben. Die Verbraucherzentrale Nordrhein-Westfalen hat zusammen mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) zehn Passwort-Speicher getestet, darunter die integrierten Manager in Chrome und Firefox. Das Ergebnis: Nicht alle Programme schützen Nutzerdaten ausreichend.

Auch in den News:

• Apple schließt "FBI-Lücke": iPhones jetzt schnell mit iOS 26.4.2 updaten

• Microsoft warnt vor gefährlicher Sicherheitslücke in Office-Produkten

Microsoft stellt sich quer

Fachleute raten dazu, Passwörter grundsätzlich nicht leichtfertig direkt im Browser zu speichern. Im aktuellen Fall empfiehlt "t-online" auf Basis der Einschätzung von Rønning: Anwender:innen sollten sich nach einem alternativen Passwort-Manager umsehen, statt auf Edge zu vertrauen. Die Verbraucherzentrale Nordrhein-Westfalen bietet einen Vergleich verschiedener Passwort-Programme an, die von unabhängigen Stellen geprüft wurden.

Unabhängig vom konkreten Produkt gelten einige Grundregeln: Passwörter sollten lang, individuell und komplex sein und möglichst nie mehrfach verwendet werden. Ein seriöser Passwort-Manager hilft, starke Kennwörter zu erzeugen und zu verwalten – ohne sie unnötig im Klartext vorzuhalten. Wer Edge nutzt, sollte sich der beschriebenen Schwachstelle bewusst sein, insbesondere auf gemeinsam genutzten oder beruflich genutzten Rechnern.