Ein Großteil der Arbeit eines Entwicklers findet mittlerweile im Browser statt, wo Tabs für GitHub, Cloud-Konsolen, CI/CD und interne Tools gleichzeitig geöffnet und authentifiziert sind. Browser-Erweiterungen laufen in dieser Umgebung mit weitreichenden Berechtigungen, die oft den Zugriff auf Seiteninhalte, Netzwerkanfragen und Sitzungsdaten umfassen. Diese Kombination macht sie zu einem der attraktivsten Ziele für Angreifer.
Eine einzige Browser-Erweiterung spielte bei der Angriffskette im Rahmen des Vercel-Hacks Anfang dieses Jahres eine große Rolle – und das wird nicht das letzte Mal gewesen sein. In diesem Artikel wird erläutert, wie Erweiterungen tatsächlich funktionieren, warum die Sicherheitsmaßnahmen, auf die sich die meisten Unternehmen verlassen, nicht ausreichen und welche Maßnahmen sowohl auf individueller als auch auf Unternehmensebene wirksam sind.
Wie Browser-Erweiterungen funktionieren und warum sie anfällig sind
Ich werde mich bei den Definitionen kurz fassen, aber kurz gesagt erweitern Browser-Erweiterungen die Funktionen Ihres Browsers auf unterhaltsame Weise, indem sie Software mit weitreichenden Browser-Rechten installieren.
Erweiterungen basieren auf Web-APIs und werden direkt im Browserprozess ausgeführt. In einer „manifest.json“-Datei wird bei der Installation festgelegt, welche Berechtigungen die Erweiterung benötigt. Hintergrund-Service-Worker laufen kontinuierlich im Hintergrund und übernehmen die Bearbeitung von Netzwerkanfragen sowie die Kommunikation mit externen Servern. Content-Skripte werden separat in das DOM der Seite eingebunden, wodurch eine Erweiterung direkten Zugriff auf alle im Browser gerenderten Elemente erhält.
Wenn Sie einer Erweiterung Zugriff auf „alle Websites“ gewähren, erteilen Sie ihr Lese- und Schreibzugriff auf jede Seite, die der Browser lädt, einschließlich authentifizierter Sitzungen, Formulareingaben und API-Antworten während der Übertragung. Sie können eine Menge einsehen . Erweiterungen können den Tresor eines Passwortmanagers nicht direkt knacken, aber das müssen sie auch nicht. Mit den richtigen Host-Berechtigungen und der Einbindung von Content-Skripten können sie Autofill-Ereignisse abfangen und Werte aus Formularfeldern vor dem Absenden auslesen. Sie können Anmeldedaten während der Eingabe erfassen, wenn Passwörter im HTML-Quellcode im Klartext vorliegen (was häufiger vorkommt, als man hoffen würde).
Ein weiteres Sicherheitsproblem bei Browser-Erweiterungen besteht darin, dass sie stillschweigend und automatisch aktualisiert werden, ohne dass eine Einwilligung eingeholt wird. Im Gegensatz zu den meisten Programmen, die einen ständig dazu auffordern, Updates zu genehmigen, benachrichtigt eine Erweiterung den Nutzer nur dann, wenn sie zusätzliche Berechtigungen benötigt, die über die bereits vorhandenen hinausgehen. Eine Erweiterung, die letzten Monat noch unbedenklich war, könnte heute Nacht ein schädliches Update erhalten, und jeder Nutzer, bei dem sie installiert ist, würde dieses automatisch erhalten.
Warum werden Browser-Erweiterungen für Angriffe genutzt?
Spätestens seit der Einführung von Chrome heißt es immer wieder, „der Browser sei der neue Desktop“, und für Entwickler ist das gar nicht mehr so weit hergeholt. Wenn das stimmt, dann sind Erweiterungen die Anwendungen, die auf diesem Desktop laufen und Zugriff auf GitHub- und AWS-Konsolen bieten.
Cookies gehören zu den Schwachstellen. Sitzungscookies können abgefangen und wiederverwendet werden, wodurch ein Angreifer von überall aus Zugriff auf alle Dienste erhält, bei denen das Opfer angemeldet ist. Für einen Angreifer ist ein dauerhafter Zugriff auf authentifizierte Browsersitzungen daher äußerst wertvoll. Glassworm ist eine andauernde Supply-Chain-Attacke, die Hunderte von Projekten auf GitHub, npm und VS Code kompromittiert hat. In einer Entwicklung aus dem Jahr 2026, die vom Sicherheitsforschungsteam Aikido entdeckt wurde, setzte die Kampagne eine Malware ein, die gezielt eine Browser-Erweiterung installierte, um Session-Cookies und Tokens aus Browsersitzungen zu stehlen. Der Angreifer wusste, dass eine Erweiterung ein einfacher Weg wäre, diese Daten zu stehlen!
Es ist zudem relativ einfach, schädliche Erweiterungen zu erstellen und zu veröffentlichen. Der Überprüfungsprozess im Chrome Web Store ist größtenteils minimal, und Aktualisierungen bereits veröffentlichter Erweiterungen werden nach der ersten Prüfung kaum noch genauer unter die Lupe genommen. So haben beispielsweise Forscher in Indien zwischen Januar und März 2025 tatsächlich bösartige Erweiterungen erstellt und sowohl beim Chrome Web Store als auch beim Firefox Add-ons Store eingereicht, wobei mehrere davon durchkamen. Sie testeten neun Arten von Erweiterungen, darunter Cookie-Diebstahl, Keylogging, Screenshot-Erfassung, Verfolgung des Browserverlaufs, Kameraaktivierung, Einblendung von Werbung und Zugriff auf den Gmail-Posteingang. Firefox ließ fast alles durch, insbesondere wenn das bösartige Verhalten in etwas eingebettet war, das sich selbst als Produktivitätswerkzeug bezeichnete.
Erweiterungen können auch still und leise gekauft und verkauft werden. „The Great Suspender“ ist die klassische Geschichte einer schiefgelaufenen Eigentumsübertragung. Es handelte sich um eine beliebte, weit verbreitete Erweiterung zur Tab-Verwaltung. Der Autor, erschöpft von jahrelanger unentgeltlicher Pflege der Erweiterung, verkaufte sie an jemand anderen (die klassische Geschichte von unterschätzten Entwicklern). Der neue Eigentümer veröffentlichte Updates, die Tracking und das Einblenden von Werbung einführten. Als Forscher auf das neue Verhalten aufmerksam wurden, war es bereits seit Wochen auf Millionen von Browsern installiert.
Welche Cyberangriffe gibt es, bei denen Browser-Erweiterungen eine Rolle spielen?
Browser-Erweiterungen waren in den letzten Jahren für einige schwerwiegende Angriffe verantwortlich. Einige enthielten schädliche Payloads, andere waren schlichtweg kompromittiert.
Nehmen wir den Vercel-Hack Anfang dieses Jahres als Beispiel. Ein Vercel-Mitarbeiter hatte zuvor die Chrome-Erweiterung von Context.ai installiert und ihr OAuth-Zugriff auf seinen Google Workspace gewährt. Anschließend installierte ein Mitarbeiter von Context.ai Malware und kompromittierte die Konten. Die Malware stahl Anmeldedaten und OAuth-Token, die im Backend von Context.ai gespeichert waren, darunter auch das Vercel-OAuth-Token. Daraufhin nutzte der Angreifer das Token, um in die internen Systeme von Vercel einzudringen.
Zwar spielten hier auch andere Sicherheitsmängel eine Rolle – etwa die Tatsache, dass übermäßig weitreichende und seit langem bestehende OAuth-Berechtigungen sowie Umgebungsvariablen, die als sensibel hätten gekennzeichnet werden müssen, nicht überprüft und widerrufen wurden –, doch war die Chrome-Erweiterung der Einstiegspunkt. Die Erweiterung selbst war nicht bösartig, hatte jedoch Zugriff auf sensible Daten und war kompromittiert worden.
Der Cyberhaven-Hack Ende 2024 handelt davon, wie eine Erweiterung zur Malware wurde: Die Chrome-Erweiterung von Cyberhaven wurde durch einen Phishing-Angriff auf ein Entwicklerkonto kompromittiert. Ein bösartiges Update wurde an alle Nutzer verteilt und war 24 Stunden lang aktiv, bevor es bemerkt wurde.
In beiden Fällen war der Zugriff über die Browser-Erweiterung der erste Schritt, der alles andere erst möglich machte.
Warum Sicherheitsmaßnahmen für Browser-Erweiterungen versagen
Viele Unternehmen verfügen über keine formelle Richtlinie für Erweiterungen. Diejenigen, die eine solche Richtlinie haben, versuchen oft entweder, alles zu blockieren (was Entwickler und technisch versierte Nutzer jedoch leicht umgehen können), oder sie verlassen sich auf eine manuell gepflegte Zulassungsliste, die immer etwas veraltet ist.
Die Pflege und Aktualisierung der Liste stößt auf einige offensichtliche Hindernisse. Etwa die Hälfte der Erweiterungsautoren ist unbekannt und lediglich über eine Gmail-Adresse verifiziert, und vier von fünf Anbietern haben nur eine einzige Erweiterung. Daher funktioniert die Verwaltung von Erweiterungen auf der Grundlage der Reputation nur bei einem kleinen Teil der Erweiterungen, und selbst große Unternehmen veröffentlichen Erweiterungen, die nicht ganz makellos sind.
Im Rahmen einer anonymen Untersuchung haben Forscher 287 Erweiterungen mit insgesamt 37,4 Millionen Installationen entdeckt, die den Browserverlauf ausspionierten. Da dies nur durch eine verhaltensbasierte Analyse des Datenverkehrs erkannt werden konnte, wären sie beim bloßen Lesen der Beschreibungen nicht aufgefallen. Bei vielen der betroffenen Erweiterungen handelte es sich um bekannte Namen.
Ganz zu schweigen davon, dass Erweiterungen unbemerkt aktualisiert werden oder den Besitzer wechseln können. Es ist unmöglich, bei einer manuellen Überprüfung der Erweiterungen auf dem Laufenden zu bleiben.
So sichern Sie Browser-Erweiterungen
Browser-Erweiterungen bergen aufgrund ihrer Funktionsweise ein recht hohes Risiko, aber es gibt dennoch Möglichkeiten, ihre Nutzung sicherer zu gestalten, ohne sie komplett zu verbannen.
Auf individueller Ebene gibt es einige einfache Vorsichtsmaßnahmen, die man treffen sollte:
- Überprüfen Sie, welche Erweiterungen derzeit in Ihrem Browser installiert sind, und sehen Sie sich deren Berechtigungen an. Da sich Erweiterungen im Laufe der Zeit ändern können, ohne dass Sie darüber informiert werden, ist es ratsam, auch diejenigen zu überprüfen, die Sie vor Jahren installiert und seitdem nicht mehr angesehen haben.
- Deinstallieren Sie Erweiterungen, die Sie nicht benötigen oder die übermäßig weitreichende Berechtigungen haben. Eine Erweiterung, die Zugriff auf alle Websites benötigt, um Tabellen zu formatieren, sollte zumindest Misstrauen wecken. Auf der Seite mit den Kontoberechtigungen können Sie überprüfen, welche Anwendungen – einschließlich Erweiterungen – Zugriff auf Ihr Google-Konto haben.
- Verzichte auf die Installation von Erweiterungen, die zu viele Berechtigungen verlangen. Sei vorsichtig bei Erweiterungen mit weitreichenden Berechtigungen von kleinen oder unbekannten Anbietern.
- Browserprofile können sensible Arbeitsinhalte vom allgemeinen Surfen trennen, wodurch sich der Schaden im Falle eines Problems begrenzt. Trennen Sie Ihre Arbeit von Ihrem privaten Browserprofil.
- Gehen Sie bei der Installation von Erweiterungen genauso sorgfältig vor wie bei einer npm-Abhängigkeit. Machen Sie Ihre Hausaufgaben.
Das oben Beschriebene funktioniert gut für Ihren eigenen Computer oder ein kleines Team, lässt sich jedoch nicht wirklich skalieren und auch nicht unternehmensweit durchsetzen. Auf Organisationsebene sehen funktionierende Systeme wie folgt aus:
- Eine Vorab-Sperre für einen Bedrohungsaufklärung einrichten, anstatt eine statische Liste zu verwenden, die jemand manuell aktualisiert
- Erweiterungen kontinuierlich scannen, damit Verhaltensänderungen schnell erkannt werden
- Unternehmensweite Transparenz, damit Sie wissen, was installiert ist, bevor etwas schiefgeht
- Richtlinien, die der Tatsache Rechnung tragen, dass die Bereiche Technik, Vertrieb und Finanzen unterschiedliche Risikoprofile und unterschiedliche Anforderungen haben
- Informieren Sie alle über bewährte Vorgehensweisen für Einzelpersonen, indem Sie Blogs wie diese teilen und Sicherheitsschulungen durchführen (Riot bietet hierfür ein gutes Produkt an).
Nicht alle Geräteverwaltungstools unterstützen diese Art der Verwaltung von Browser-Erweiterungen. Sie sollten daher die Funktionen Ihres MDM-Tools überprüfen, um festzustellen, ob diese darin enthalten sind.
Aikido ist eine Lösung, die für dieses Modell zur Sicherheit von Browser-Erweiterungen geeignet ist. Es handelt sich um einen schlanken Agenten, der speziell für die Angriffsfläche von Entwicklergeräten entwickelt wurde und diese Bereiche abdeckt. Er blockiert bekannte schädliche Erweiterungen vor der Installation, erzwingt eine 48-stündige Sperrfrist für neu veröffentlichte Erweiterungen und bietet Sicherheitsteams Transparenz darüber, was auf jedem Entwicklergerät installiert ist – mit Richtlinienkontrollen auf Teamebene und einem Genehmigungsworkflow, der den Arbeitsfluss der Entwickler nicht behindert. Die Abdeckung erstreckt sich über Browser-Erweiterungen hinaus auf npm, PyPI, IDE-Erweiterungen und Marktplätze für KI-Agenten.
Verhindere den nächsten Angriff über Browser-Erweiterungen
Der Vercel-Hack wird nicht der letzte Vorfall sein, bei dem Browser-Erweiterungen Teil der Angriffskette sind. Die Angriffsfläche ist einfach zu wertvoll, daher müssen sowohl Privatpersonen als auch Unternehmen darauf vorbereitet sein.
Die gleiche Sorgfalt, die bei Open-Source-Abhängigkeiten an den Tag gelegt wird, ist auch hier angebracht, und Unternehmen, die dies beherzigen, werden in einer weitaus besseren Position sein als diejenigen, die darauf warten, dass ein Vorfall sie zu diesem Thema zwingt.
Erfahren Sie mehr über Aikido oder sehen Sie sich den Aikido an, um in Echtzeit zu erfahren, was in den Open-Source-Ökosystemen entdeckt wurde.
{{cta}}
FAQ
Warum stellen Browser-Erweiterungen ein Sicherheitsrisiko dar?
Browser-Erweiterungen laufen innerhalb des Browserprozesses selbst und können bei der Installation weitreichende Berechtigungen anfordern. Eine Erweiterung mit Zugriff auf alle Websites kann Seiteninhalte lesen, Netzwerkanfragen abfangen und auf authentifizierte Sitzungen zugreifen – und zwar bei allen Aktivitäten, die Sie im Browser ausführen. Dazu gehören interne Tools, Cloud-Konsolen sowie alle Anmeldedaten oder Tokens, die über eine Seite übertragen werden. Das Berechtigungsmodell ist von Grund auf leistungsstark, und genau diese Leistungsfähigkeit macht Erweiterungen für Angreifer attraktiv.
Kann eine Browser-Erweiterung meine Passwörter stehlen?
Nicht immer direkt, aber oft sehr effektiv. Erweiterungen können den verschlüsselten Tresor eines Passwort-Managers nicht knacken, aber das müssen sie auch gar nicht. Mit den richtigen Host-Berechtigungen und der Einbindung von Content-Skripten kann eine Erweiterung Autofill-Ereignisse abfangen und die Werte von Formularfeldern vor dem Absenden auslesen. Wenn Anmeldedaten an irgendeiner Stelle im HTML-Quellcode im Klartext erscheinen, kann eine Erweiterung mit Zugriff auf Content-Skripte diese auslesen. Eine bösartige Erweiterung mit ausreichenden Berechtigungen kann Anmeldedaten bereits während der Eingabe erfassen.
Werden Browser-Erweiterungen automatisch aktualisiert?
Ja, und das ohne Ihre Zustimmung! Im Gegensatz zu den meisten Programmen, die Sie zur Bestätigung eines Updates auffordern, werden Browser-Erweiterungen stillschweigend im Hintergrund aktualisiert. Die einzige Ausnahme besteht darin, dass ein Update zusätzliche Berechtigungen anfordert, die über die ursprünglich erteilten hinausgehen. Eine ursprünglich harmlose Erweiterung, die heute Nacht ein bösartiges Update erhält, wird dieses Update automatisch an alle Nutzer weitergeben. Sie hätten keine Möglichkeit, dies zu bemerken, es sei denn, Sie würden das Verhalten der Erweiterung aktiv überwachen.
Wie kann ich feststellen, ob eine Browser-Erweiterung sicher ist?
Es gibt zwar kein einzelnes verlässliches Anzeichen, aber es gibt einige Dinge, die Sie überprüfen können. Sehen Sie sich an, welche Berechtigungen die Erweiterung anfordert und ob diese mit den Funktionen übereinstimmen, die die Erweiterung tatsächlich ausführen muss. Prüfen Sie, ob der Herausgeber bekannt ist. Im Zweifelsfall sollten Sie diese Entscheidung so behandeln, als würden Sie eine unbekannte Abhängigkeit in eine Produktions-Codebasis aufnehmen.
Warum erkennt die Endpunktüberwachung keine böswilligen Aktivitäten von Browser-Erweiterungen?
Die meisten Tools zur Endpunktüberwachung und -reaktion übersehen Bedrohungen durch Browser-Erweiterungen, da alle Aktionen einer bösartigen Erweiterung so aussehen, als würde Chrome ganz normale Chrome-Funktionen ausführen. Die Netzwerkanfragen und der DOM-Zugriff finden innerhalb des Browserprozesses statt und sind auf Systemebene nicht von legitimen Browseraktivitäten zu unterscheiden.
Wie verwalte ich die Sicherheit von Browser-Erweiterungen?
Unternehmen sollten verhaltensbasierte Kontrollen gegenüber identitätsbasierten Kontrollen den Vorrang geben. Die Pflege einer manuellen Whitelist mit zugelassenen Erweiterungen berücksichtigt weder stille Updates noch Eigentümerwechsel. Was funktioniert, ist eine Blockierung vor der Installation anhand eines kontinuierlich aktualisierten Bedrohungsaufklärung , eine fortlaufende Verhaltensüberwachung, damit Änderungen an bereits installierten Erweiterungen erfasst werden, sowie unternehmensweite Transparenz darüber, was tatsächlich auf den Geräten installiert ist. Richtlinien müssen zudem berücksichtigen, dass die Bereiche Technik, Vertrieb und Finanzen unterschiedliche Risikoprofile und unterschiedliche Anforderungen an Erweiterungen haben.
Sind Chrome-Erweiterungen sicher? Chrome-Erweiterungen sind nicht grundsätzlich unsicher, bergen jedoch aufgrund ihrer Konzeption ein echtes Risiko. Das Berechtigungsmodell gewährt Erweiterungen weitreichenden Zugriff auf die Browseraktivitäten, und der Überprüfungsprozess im Chrome Web Store ist minimal. Eine Erweiterung, die bei der Installation unbedenklich erscheint, kann ein bösartiges Update erhalten, an einen neuen Eigentümer verkauft oder über das Konto ihres Entwicklers kompromittiert werden. Ob sie sicher ist oder nicht, hängt stark von der jeweiligen Erweiterung, ihrem Herausgeber und den angeforderten Berechtigungen ab.
Können Unternehmen Browser-Erweiterungen überwachen? Die meisten Unternehmen haben nur begrenzten Einblick darin, welche Erweiterungen auf ihren Geräten installiert sind und was diese tun. MDM-Tools können zwar Zulassungslisten durchsetzen, erkennen jedoch keine Verhaltensänderungen nach der Installation. EDR-Tools übersehen die meisten Aktivitäten von Erweiterungen, da diese auf Systemebene nicht von normalem Browserverhalten zu unterscheiden sind. Spezielle Tools, die auf dem Gerät installiert sind und Installationen anhand eines Bedrohungsaufklärung überprüfen, stellen derzeit den zuverlässigsten Ansatz dar.
Inwiefern trägt Aikido zur Browsersicherheit bei?
Aikido wird auf dem Gerät installiert und überprüft jede Erweiterung vor der Installation. Bekannte schädliche Erweiterungen werden automatisch anhand von Aikido – einem ständig aktualisierten Bedrohungsaufklärung – blockiert. Zudem werden neu veröffentlichte Erweiterungen für 48 Stunden gesperrt, da neue Bedrohungen in dieser Zeit am ehesten unentdeckt durchrutschen. Sicherheitsteams erhalten Einblick in die Installationen auf allen Entwicklergeräten, ergänzt durch Richtlinienkontrollen auf Teamebene und einen Genehmigungsworkflow, der den Arbeitsfluss der Entwickler nicht behindert. Die Überwachung von Browser-Erweiterungen ist im kostenpflichtigen Tarif von Endpoint enthalten, ebenso wie die Abdeckung von npm, PyPI, IDE-Erweiterungen und Marktplätzen für KI-Agenten.
