Browser-Erweiterungen sollen unseren Alltag erleichtern – doch zunehmend tarnen sich schädliche Add-ons als nützliche Helfer. Jüngste Vorfälle zeigen: Selbst offiziell geprüfte Erweiterungen für Chrome und Edge können Millionen von Geräten gefährlich werden. Wir beleuchten die aktuelle Bedrohungslage und geben Ihnen praxisnahe Tipps zur Vorbeugung.
Analysiert: Wenn Add-ons zur Sicherheitslücke werden
Im Spätsommer 2024 deckten mehrere unabhängige Sicherheitsforscher gemeinsam mit Avast und Guardio Labs eine großangelegte Kampagne auf, bei der über 30 legitime Browser-Erweiterungen – vor allem für Google Chrome und Microsoft Edge – mit Schadcode infiziert waren. Diese Add-ons, mit teils Millionen von Installationen, begannen plötzlich, unerkannt Nutzerdaten zu exfiltrieren, Weiterleitungen zu manipulieren und Adware auszuliefern.
Betroffen waren unter anderem Erweiterungen wie „Bookmark Manager“, „AutoHD for YouTube“ oder „Translate It Quick“, die meisten davon mit tadellosem User-Rating – und teilweise schon jahrelang im Chrome Web Store verfügbar.
Die Angreifer nutzten dabei eine raffinierte Methode: Sie kauften beliebte Add-ons von ihren ursprünglichen Entwicklern auf oder übernahmen Zugang zum Entwicklerkonto. Nach dem Erwerb wurden unauffällige Updates mit verstecktem JavaScript nachgereicht. Eine typische Form des sogenannten Supply-Chain-Angriffs. Der integrierte Schadcode wurde dabei erst zeitlich verzögert oder nach bestimmten Bedingungen aktiv, um Entdeckung so lange wie möglich zu vermeiden.
Millionen betroffen: So groß ist das Ausmaß
Laut Daten von Guardio Labs waren mehr als 45 Millionen Benutzer direkt oder indirekt betroffen. Die Erweiterungen schleusten nicht nur Werbung und Weiterleitungen ein, sondern loggten auch Browserverläufe und teilweise sogar Tastatureingaben, wie spätere Codeanalysen belegten.
Ein besonders beunruhigender Fall: Die Erweiterung „PDF Reader Safe“, zu diesem Zeitpunkt mehr als 10 Millionen Mal installiert, sammelte systematisch Browser-IDs und verknüpfte diese mit IP-Adressen und Sitzungscookies – ein direkter Verstoß gegen Googles Add-on-Richtlinien. Das ergab eine Analyse des Sicherheitsunternehmens Malwarebytes im Oktober 2024.
Statistisch gesehen ist die Gefahr real: Laut Google wurden allein 2024 über 1.800 Add-ons aus dem Chrome Web Store entfernt, 70 % davon wegen Datenschutzverstößen oder Malware-Verdacht (Quelle: Google Transparency Report 2024). Microsoft musste zeitgleich 387 Erweiterungen aus dem Edge Add-ons Store entfernen.
Warum erkennen Browser solche Add-ons nicht?
Viele Nutzer fragen sich: Wie können einschlägige Erweiterungen so lange unentdeckt bleiben? Die Antwort liegt im Ökosystem selbst. Zwar prüfen Google und Microsoft eingereichte Add-ons automatisiert auf verdächtigen Code, doch die Techniken der Angreifer werden immer ausgefeilter. Schadfunktionen werden häufig über remote nachgeladene Module oder verschleierten Code realisiert, der nur unter bestimmten Bedingungen aktiv wird – etwa nach Tagen oder nur in bestimmten Regionen.
Ein weiterer Schwachpunkt: Updates bestehender Add-ons unterliegen einer gelockerten Prüfung, sofern der bisherige Code als unbedenklich bekannt ist. Diese Lücke nutzen Angreifer gezielt aus.
Erkennungsmerkmale gefährlicher Erweiterungen
Wer sicher im Netz unterwegs sein will, sollte nicht blindlings auf beliebte oder häufig installierte Add-ons vertrauen. Folgende Anzeichen können auf ein betrügerisches Add-on hindeuten:
- Ungewöhnliche Berechtigungen: Add-ons, die Zugriff auf „alle Webseiten“ oder „Ihre Zwischenablage“ verlangen, obwohl sie keinen funktionalen Grund dafür angeben.
- Plötzliche Werbung oder Weiterleitungen: Nach dem Installieren erscheinen plötzlich Pop-ups, neue Tabs oder Weiterleitungen auf dubiose Seiten.
- Verdächtige Entwicklerwechsel: Erweiterungen, deren Entwicklername oder -domain sich ändert, können übernommen worden sein. Prüfen Sie das Änderungsprotokoll im Chrome Web Store.
- Negative jüngste Bewertungen: Ein plötzlicher Anstieg schlechter Rezensionen oder Kommentare wie „schlechte Werbung“ oder „ändert Suchergebnisse“ ist ein klares Warnsignal.
So deinstallieren Sie verdächtige Browser-Erweiterungen sicher
Die bloße Deinstallation reicht in manchen Fällen nicht aus – einige Add-ons hinterlassen persistente Skripte oder veränderte Suchanbieter. Deshalb empfehlen Sicherheitsexperten folgende Schritte:
- Deinstallieren Sie die Erweiterung in den Einstellungen > Erweiterungen Ihres Browsers.
- Setzen Sie Ihre Startseite, Standardsuchmaschine und neue Tab-Einstellungen manuell zurück.
- Leeren Sie den Browser-Cache und löschen Sie Cookies.
- Scannen Sie Ihr System mit einem aktuellen Antivirenprogramm oder Malware-Scanner wie Malwarebytes oder ESET.
Bei tiefergehender Manipulation hilft manchmal nur das Zurücksetzen des Browsers auf die Standardeinstellungen. Auch eine Überprüfung der Windows-Taskplaner kann aufzeigen, ob zusätzliche Prozesse nachgeladen werden.
So schützen Sie Ihre Browserumgebung langfristig
Im Umgang mit Add-ons gilt die gleiche Vorsicht wie bei E-Mail-Anhängen oder App-Downloads: Vertrauen ist gut, Kontrolle ist besser. Mit diesen drei Maßnahmen verbessern Sie nachhaltig Ihre Sicherheit:
- Nur offiziell empfohlene Add-ons nutzen: Google und Microsoft kennzeichnen geprüfte Erweiterungen im Web Store mit Labels wie „Empfohlen“ oder „Verified Publisher“. Diese sind sicherer als Drittanbieter-Add-ons ohne Verifikation.
- Erweiterungen regelmäßig prüfen: Überprüfen Sie Ihre aktiven Erweiterungen einmal im Monat und entfernen Sie nicht mehr benötigte oder unbekannte Add-ons.
- Browser sandboxen: Nutzen Sie eine zusätzliche Browser-Instanz oder ein Benutzerprofil speziell für sensible Aufgaben wie Online-Banking, um Risiken zu isolieren.
Zusätzliche Sicherheit bringen Webfilter wie uBlock Origin, die verdächtige Skriptaufrufe blockieren, sowie Sicherheitslösungen wie Bitdefender TrafficLight oder Avast Online Security, die schädliche Domains erkennen.
Marktentwicklung: Sichern durch KI und Community
Sowohl Google als auch Microsoft haben seit Anfang 2025 ihre Sicherheitsprozesse weiter automatisiert. Google setzt im Chrome Web Store zunehmend auf maschinelles Lernen zur Analyse von Add-on-Updates. Microsoft kündigte im Juni 2025 an, alle Edge-Erweiterungen zusätzlich durch ein internes Security-Team vor der Freigabe prüfen zu lassen.
Zudem wächst die Rolle der Community: Plattformen wie Reddit oder GitHub dienen häufig als Frühwarnsysteme. User posten dort verdächtige Beobachtungen, die Sicherheitsexperten weiterverfolgen und zur schneller Entfernung aus den Stores führen können.
Laut einer Umfrage des AV-TEST-Instituts aus dem August 2025 geben 63 % der befragten IT-Entscheider in Deutschland an, Erweiterungen im Unternehmenskontext grundsätzlich zu blockieren – ein deutlicher Anstieg gegenüber 47 % im Jahr 2023.
Fazit: Informiert browsen – gemeinsam statt allein
Ob praktisch oder gefährlich – der Grat bei Browsererweiterungen ist oft schmal. Wer Add-ons nutzt, sollte deren Berechtigungen überprüfen, nur von vertrauenswürdigen Quellen installieren und verdächtige Aktivitäten ernst nehmen. Die jüngsten Angriffe zeigen: Die Angriffswelle auf Browser-Ökosysteme nimmt zu und wird gezielter.
Nur durch Aufklärung, technologische Verbesserungen und die Mithilfe der Nutzer lassen sich solche Bedrohungen eindämmen. Teilen auch Sie Ihre Erfahrungen mit verdächtigen Erweiterungen in Tech-Foren oder direkt mit Sicherheitsplattformen – denn digitale Sicherheit ist Teamwork.
