Zum Inhalt springen

Microsoft Edge: Gespeicherte Passwörter können im Arbeitsspeicher im Klartext auftauchen

Automatisch gesammelte Übersicht zum Thema heise.de.

Microsoft Edge: Gespeicherte Passwörter können im Arbeitsspeicher im Klartext auftauchen

Passwort-Manager gelten für viele Nutzer als bequeme und sichere Lösung. Sie speichern Zugangsdaten, füllen Login-Felder automatisch aus und schützen die gespeicherten Passwörter meist durch Systemfunktionen wie Windows Hello. Doch ein aktueller Bericht von heise online zeigt: Auch wenn Passwörter verschlüsselt gespeichert werden, können sie während der Nutzung im Arbeitsspeicher des Browsers im Klartext vorliegen.

Was ist das Problem?

Microsoft Edge bietet einen integrierten Passwort-Manager. Dieser kann Passwörter speichern, synchronisieren, automatisch ausfüllen und auf bekannte Datenlecks prüfen. Microsoft bewirbt diese Funktionen ausdrücklich als Komfort- und Sicherheitsfunktionen für Nutzer.

Der kritische Punkt liegt jedoch nicht unbedingt in der Speicherung auf der Festplatte oder in der Cloud. Dort werden Passwörter normalerweise verschlüsselt abgelegt. Das Problem entsteht während der aktiven Nutzung: Sobald ein Passwort verwendet, angezeigt oder automatisch eingefügt werden soll, muss es kurzfristig entschlüsselt werden. Laut heise können diese Klartextdaten im Speicher des Edge-Prozesses auftauchen.

Das bedeutet: Wer Zugriff auf den laufenden Prozess oder den Arbeitsspeicher bekommt, könnte unter bestimmten Umständen gespeicherte Zugangsdaten auslesen.

Ist das ein Sicherheitsfehler?

Ganz so einfach ist es nicht. Jeder Passwort-Manager muss Passwörter irgendwann entschlüsseln, sonst könnten sie nicht automatisch eingefügt werden. Dass sensible Daten kurzzeitig im Speicher landen, ist technisch schwer komplett zu vermeiden.

Trotzdem ist es sicherheitsrelevant. Denn Nutzer verlassen sich oft darauf, dass ein Passwort-Manager ihre Zugangsdaten dauerhaft geschützt hält. Viele denken dabei nur an verschlüsselte Speicherung, vergessen aber den laufenden Betrieb. Genau dort liegt das Risiko: Ein bereits kompromittiertes System, Schadsoftware oder ein Angreifer mit lokalem Zugriff kann unter Umständen deutlich mehr sehen, als erwartet.

Was bedeutet das für Nutzer?

Für normale Privatanwender ist das kein Grund zur Panik. Wer ein sauberes System nutzt, Updates installiert und keine Schadsoftware auf dem Rechner hat, ist nicht automatisch gefährdet.

Für Unternehmen, Administratoren und sicherheitsbewusste Nutzer sieht die Sache anders aus. Dort sollte man genau prüfen, ob Browser-interne Passwortmanager die richtige Lösung sind. Besonders kritisch wird es, wenn mehrere sensible Konten, Admin-Zugänge oder geschäftliche Zugangsdaten im Browser gespeichert werden.

Was sollte man jetzt tun?

Die wichtigste Maßnahme ist nicht blinder Aktionismus, sondern saubere Risikominimierung:

1. Betriebssystem und Browser aktuell halten

Sicherheitsupdates bleiben Pflicht. Gerade Browser sind ein beliebtes Angriffsziel.

2. Keine Passwörter auf unsicheren oder fremden Geräten speichern

Wer ein Gerät nicht vollständig kontrolliert, sollte dort keine Zugangsdaten im Browser speichern.

3. Zwei-Faktor-Authentifizierung aktivieren

Selbst wenn ein Passwort kompromittiert wird, verhindert 2FA häufig den direkten Zugriff auf das Konto.

4. Für kritische Konten einen separaten Passwort-Manager prüfen

Dedizierte Passwortmanager bieten oft mehr Kontrollmöglichkeiten, bessere Unternehmensfunktionen und klarere Sicherheitsmodelle als integrierte Browserlösungen.

5. Passkeys bevorzugen, wo möglich

Passkeys reduzieren die Abhängigkeit von klassischen Passwörtern. Microsoft arbeitet bereits daran, Passkeys in Edge stärker zu integrieren und zu synchronisieren.

Fazit

Der Fall zeigt ein grundsätzliches Problem: Verschlüsselte Speicherung allein bedeutet nicht, dass Passwörter zu jedem Zeitpunkt geschützt sind. Sobald Zugangsdaten verwendet werden, müssen sie verarbeitet werden — und genau dann entstehen Angriffsflächen.

Microsoft Edge ist dadurch nicht automatisch „unsicher“. Aber der Vorfall macht deutlich, dass Browser-Passwortmanager vor allem bequem sind, nicht zwingend die beste Lösung für besonders sensible Zugangsdaten.

Wer privat unterwegs ist, sollte mindestens 2FA aktivieren und sein System sauber halten. Wer beruflich oder administrativ mit sensiblen Konten arbeitet, sollte den Einsatz eines professionellen Passwort-Managers ernsthaft prüfen.

Cybersecurity-Prioritäten: Fundamente für eine resiliente digitale Zukunft
Die digitale Landschaft erfordert eine strategische Herangehensweise an Cybersecurity. Dieser Artikel beleuchtet die Kernprioritäten, die Unternehmen setzen sollten, um sich effektiv vor Bedrohungen zu schützen und eine robuste Sicherheitsarchitektur aufzubauen.