Wer den Passwort-Manager in Microsoft Edge nutzt, verlässt sich auf mehrere Schutzmechanismen. Zugangsdaten werden verschlüsselt gespeichert, Änderungen oder Einsicht verlangen eine Bestätigung über Windows Hello. Für Nutzer wirkt das wie ein geschlossenes Sicherheitskonzept.
Im Arbeitsspeicher des Browsers zeigt sich jedoch ein anderes Bild.
Ein aktueller Bericht beschreibt, dass gespeicherte Passwörter im Klartext im Speicher des laufenden Edge-Prozesses auftauchen. Ausgelöst wurde die Diskussion durch den Sicherheitsforscher Tom Jøran Sønstebyseter Rønning, der den Fund auf X veröffentlicht hat.
Der Ablauf dahinter ist vergleichsweise einfach. Nach dem Speichern eines Passworts im Edge-Passwortmanager wird der Browser neu gestartet. Anschließend genügt ein Speicherabbild des Prozesses, das sich direkt über den Windows-Taskmanager erstellen lässt.
In diesem Speicherabbild lässt sich das zuvor gespeicherte Passwort per einfacher Textsuche wiederfinden.
Klartext trotz Schutzmechanismen
Bemerkenswert ist dabei nicht nur der Fund selbst. Laut Beschreibung musste die betreffende Webseite nicht einmal geöffnet werden. Das Passwort lag trotzdem im Speicher.
Genau an diesem Punkt beginnt die eigentliche Sicherheitsdiskussion. Moderne Passwortmanager speichern Zugangsdaten zwar verschlüsselt ab, sensible Daten sollten jedoch nur kurzfristig entschlüsselt im Arbeitsspeicher liegen. Üblicherweise passiert das erst beim tatsächlichen Einsatz eines Passworts. Danach werden die Daten wieder aus dem Speicher entfernt.
Im Fall von Microsoft Edge scheint dieser Mechanismus deutlich großzügiger umgesetzt zu sein. Offenbar werden gespeicherte Passwörter frühzeitig geladen und verbleiben länger im Speicher, als es aktuelle Sicherheitskonzepte empfehlen.
Sicherheitsforscher ordnen solche Fälle in die Schwachstellenkategorie CWE-316 („Cleartext Storage of Sensitive Information in Memory“) ein. Gemeint ist die Speicherung sensibler Informationen im Klartext innerhalb des Arbeitsspeichers.
Für einen direkten Fernangriff reicht dieser Umstand allein nicht aus. Ein Angreifer benötigt bereits Zugriff auf das System oder Schadsoftware auf dem betroffenen Rechner. Trotzdem verändert sich dadurch die Angriffsfläche.
Warum Arbeitsspeicher relevant bleibt
Viele moderne Angriffe konzentrieren sich inzwischen gezielt auf Browserdaten. Infostealer-Malware durchsucht Systeme automatisiert nach Zugangsdaten, Sitzungstokens oder Wallet-Informationen.
Wenn Passwörter zusätzlich unverschlüsselt im Speicher vorliegen, vereinfacht das bestimmte Angriffsszenarien erheblich. Genau deshalb versuchen moderne Sicherheitskonzepte, sensible Daten möglichst kurz im Speicher vorzuhalten. Jede zusätzliche Speicherzeit erhöht potenziell das Risiko.
Der Fund zeigt auch ein grundsätzliches Spannungsfeld moderner Browser. Passwortmanager sollen möglichst bequem funktionieren. Zugangsdaten werden zwischen Geräten synchronisiert, automatisch eingefügt und ohne zusätzliche Eingaben bereitgestellt.
Dieser Komfort verlangt permanent verfügbare Daten. Je schneller ein Passwort verfügbar sein soll, desto wahrscheinlicher wird es im Hintergrund bereits entschlüsselt vorgehalten. Sicherheit und Bedienkomfort geraten dabei schnell in Konflikt.
Berichten zufolge soll Microsoft auf die Meldung reagiert haben und das Verhalten als beabsichtigte Designentscheidung betrachten. Damit verschiebt sich die Diskussion von einer klassischen Sicherheitslücke hin zur Frage, welche Risiken moderne Software bewusst akzeptiert.
Der Schutz endet nicht beim Passwortmanager
Der Fall bedeutet nicht automatisch, dass der Edge-Passwortmanager sofort unsicher oder unbrauchbar ist. Für einen erfolgreichen Angriff braucht es weiterhin Schadsoftware, lokale Zugriffe oder bereits kompromittierte Systeme.
Trotzdem zeigt der Fund, wie wichtig zusätzliche Schutzmaßnahmen bleiben. Zwei-Faktor-Authentifizierung reduziert das Risiko gestohlener Zugangsdaten erheblich. Ebenso wichtig bleiben aktuelle Systeme und ein vorsichtiger Umgang mit Downloads oder Browser-Erweiterungen.
Viele Schadprogramme gelangen nicht über Sicherheitslücken auf Geräte, sondern über manipulierte Anhänge oder gefälschte Updates.
Mimikama hat bereits mehrfach erklärt, warum starke und einzigartige Passwörter weiterhin zentral bleiben. Hinweise dazu finden sich auch im Beitrag über sichere Passwörter und Passwortmanager (weiter unten im Artikel verlinkt).
Ebenso relevant bleibt der Schutz vor Schadsoftware, die gezielt Browserdaten ausliest. Wie solche Angriffe vorbereitet werden, zeigt sich häufig bei Phishing-Mails und gefälschten Login-Seiten.
Digitale Sicherheit endet nicht bei einer einzelnen Schutzfunktion. Entscheidend bleibt, wie viele Ebenen zusammenspielen.
Hinweis: Stand zum Veröffentlichungsdatum.
Verwendete Bilder, Screenshots und Medien dienen ausschließlich der sachlichen Auseinandersetzung im Sinne des Zitatrechts (§ 51 UrhG).
Teile dieses Beitrags können KI-gestützt erstellt und redaktionell geprüft worden sein.
(Mehr zur Arbeitsweise)
