Was einst als praktische Ergänzung für komfortables Surfen diente, hat sich zunehmend zu einem Einfallstor für Cyberkriminelle entwickelt: Browser-Erweiterungen, die früher Produktivität steigerten, werden zunehmend instrumentalisiert, um Malware zu verbreiten. Die Risiken nehmen dramatisch zu – insbesondere dann, wenn legitime Erweiterungen per Update in schadhafte Tools verwandelt werden.
Der neue Angriffsvektor im Browser
Browser-Erweiterungen, auch Add-ons oder Plugins genannt, sind kleine Softwarekomponenten, die Webbrowsern zusätzliche Funktionen verleihen. Sie genießen in der Regel weitreichende Rechte, etwa Zugriff auf Webseiten-Inhalte, Verlauf oder Download-Verhalten. Gerade diese weitreichenden Berechtigungen machen Erweiterungen attraktiv für Angreifer – denn mit wenigen Zeilen manipulierbaren Codes lassen sich umfassende Spionage- und Manipulationsmöglichkeiten realisieren.
Ein Mechanismus, der in der jüngeren Vergangenheit verstärkt beobachtet wird, ist das sogenannte „Hijacking durch Update“: Seriöse Erweiterungen, die eine große Nutzerbasis aufgebaut haben, werden verkauft – oft an dubiose Entwickler oder Unternehmen. Nach einem harmlosen ersten Update folgen dann schrittweise Änderungen, die Malware nachladen, Webseiten manipulieren oder sensible Daten abfangen.
Beunruhigende Vorfälle aus jüngster Zeit
Im Jahr 2024 berichtete Golem.de über den Fall mehrerer Chrome- und Edge-Erweiterungen, die plötzlich Werbe-Malware ausspielten. Darunter befanden sich bislang seriöse Tools wie z. B. “Auto-GPT Tab Master” oder “Crystal Adblocker”. Die Hacker hatten sich Zugriff auf die Entwicklerkonten verschafft oder die Erweiterungen aufgekauft und per Update ein neues JavaScript-Modul injiziert, das Besucher auf Scam-Websites weiterleitete.
Ein weiteres Beispiel: Laut einem Bericht von Chip.de wurden im März 2024 über 1,5 Millionen Downloads von Browser-Erweiterungen des Typs „AI Assistant“ identifiziert, die nach bestimmten Updates plötzlich Keylogger-Funktionen implementierten. Besonders perfide dabei: Diese Updates waren technisch signiert und wurden von Google Chrome Web Store als vertrauenswürdig eingestuft.
Statistische Dimension: Ein wachsendes Risiko
Eine Studie der University of Wisconsin-Madison aus dem Jahr 2023 kam zu alarmierenden Ergebnissen: Über 12 % der 120.000 untersuchten Chrome-Erweiterungen verwendeten JavaScript-Funktionen, die ein hohes Sicherheitsrisiko darstellen (Quelle: Security and Privacy in Chrome Extensions, UW-Madison, 2023).
Auch Google selbst veröffentlichte im August 2024 einen transparenzbericht, in dem festgestellt wurde, dass allein im ersten Halbjahr 2024 mehr als 2000 Erweiterungen aus dem Web Store entfernt wurden, weil sie gegen Sicherheitsrichtlinien verstießen. Die Mehrheit dieser Verstöße betraf das Nachladen von schädlichen Komponenten via Update (Quelle: Chrome Web Store Transparency Report, Google, 2024).
Schwachpunkte der Plattformbetreiber: Google und Microsoft in der Pflicht
Die Verantwortung für die Kontrolle und Sicherheit von Erweiterungen liegt maßgeblich bei den Browser-Herstellern. Vor allem Google mit seinem Chrome Web Store und Microsoft mit dem Edge Add-ons Store stehen in der Kritik. Trotz bestehender Review-Prozesse scheinen viele bösartige Updates spät oder gar nicht entdeckt zu werden.
Ein Problem: Updates von Erweiterungen werden oft automatisiert im Hintergrund installiert, ohne dass die Nutzer etwas davon mitbekommen. Auch werden Änderungen im Quellcode nicht transparent dokumentiert. Zwar bietet Google mit dem Manifest V3 seit 2023 ein strengeres Regelwerk für Chrome-Erweiterungen, doch Sicherheitsforscher kritisieren dessen Durchsetzung als inkonsequent.
Microsoft wiederum entfernte im Mai 2024 über 150 schadhafte Edge-Erweiterungen – erneut nach Hinweisen aus der Community, nicht proaktiv. Experten wie Bruce Schneier fordern längst „eine Sicherheitskontrolle auf Systemebene für Erweiterungen mit hoher Nutzerreichweite“.
Anzeichen für kompromittierte Erweiterungen erkennen
Für Endanwender ist es nicht einfach, manipulierte Erweiterungen zu erkennen – besonders wenn sie einst als vertrauenswürdig galten. Dennoch gibt es einige typische Hinweise:
- Plötzliche Änderung des Funktionsumfangs oder der Benutzeroberfläche einer bekannten Erweiterung
- Ungewöhnlicher Datenverbrauch oder erhöhte CPU-Leistung beim Surfen
- Automatische Weiterleitungen auf Werbe- oder Phishing-Seiten
- Neue Berechtigungen nach einem Update, die vorher nicht erforderlich waren
Praktische Tipps für mehr Sicherheit beim Einsatz von Erweiterungen
Um sich vor bösartiger Software in Erweiterungen zu schützen, sollten Nutzer und Unternehmen einige grundlegende Prinzipien befolgen:
- Erweiterungen nur aus offiziellen Stores (Chrome Web Store, Microsoft Edge Add-ons) installieren – und auf „beliebte Erweiterungen“ nicht blind vertrauen
- Regelmäßig eine Inventur der aktiven Erweiterungen durchführen und nicht benötigte Tools konsequent entfernen
- Nach jeder Erweiterungs-Aktualisierung durch Change-Logs prüfen, ob neue Berechtigungen oder Funktionen erforderlich wurden
Der Blick in die Zukunft: Was muss sich ändern?
Die Entwicklung zeigt: Browser-Erweiterungen sind zu einem ernstzunehmenden Vektor für Cyberangriffe avanciert. Google und Microsoft haben zwar Maßnahmen verschärft, aber eine zentrale Herausforderung bleibt ungelöst: die Transparenz und Nachvollziehbarkeit von Erweiterungs-Updates zu erhöhen – ohne dabei legitime Entwickler zu behindern.
Sicherheitsforscher fordern daher:
- Implementierung von Reputationssystemen für Entwickler-Accounts
- Verpflichtende Offenlegung aller Code-Änderungen bei Updates ab einer definierten Nutzerzahl
- Drittanbieter-Kontrollen (z. B. Sicherheits-Audits durch unabhängige Organisationen) für kritische Erweiterungen
Fazit: Wachsamkeit statt Vertrauen
Browser-Erweiterungen sind unverzichtbare Helfer im Alltag – aber mit jedem Update wachsen potenzielle Risiken. Nur wer aktiv hinsieht, seine Tools regelmäßig überprüft und auf Transparenz achtet, kann sich und andere schützen. Gleichzeitig stehen Google und Microsoft in der Verantwortung, ihre Stores künftig nicht nur als Distributionsplattform, sondern als Sicherheitszentrale zu begreifen.
Was sind eure Strategien im Umgang mit Erweiterungen? Habt ihr selbst schon kompromittierte Add-ons entdeckt? Teilt eure Erfahrungen mit uns in den Kommentaren oder meldet interessante Fälle an unsere Redaktion.
