Browser-Erweiterungen sind praktisch, doch nicht alle Add-ons sind harmlos: Immer häufiger nutzen Cyberkriminelle diese unscheinbaren Helferlein, um Daten auszuspähen, Nutzeraktivitäten zu tracken oder sogar Fernzugriff auf Systeme zu erlangen. Dieser Artikel zeigt, wie Sie die gefährlichsten Risiken erkennen – bevor es zu spät ist.
Das doppelte Spiel der Add-ons
Browser-Add-ons wurden entwickelt, um die Funktionalität von Chrome, Firefox, Edge & Co. zu erweitern. Ob Passwortmanager, Werbeblocker oder Screenshot-Helfer – die Zahl verfügbarer Erweiterungen wächst stetig. Laut Chrome Web Store sind aktuell über 250.000 Erweiterungen gelistet. Doch gerade ihre tiefgreifende Systemintegration macht sie zu einem attraktiven Ziel für Cyberangreifer.
Besonders gefährlich: Manche Add-ons starten sauber, um Vertrauen aufzubauen – und werden später per Update in Malware umgewandelt. So offenbarte eine Studie der University of Calgary (2024), dass über 4,3 % der untersuchten Chrome-Erweiterungen schädliche oder potenziell gefährliche Funktionen enthielten. Selbst in als seriös geltenden Umgebungen kann eine Erweiterung später „umkippen“.
Gefährliche Beliebtheit – warum bösartige Add-ons sich durchsetzen
Cybersecurity-Analysten beobachten einen Trend: Add-ons mit bösartiger Nutzlast können sich rasant verbreiten, oft durch täuschend echte Beschreibungen, übertrieben positive Bewertungen oder durch Phishing-Kampagnen. Einige Gründe für ihre Beliebtheit:
- Bequeme Funktionalität: Viele Add-ons bieten echte Nutzen, z. B. PDF-Bearbeitung, Preisvergleiche oder VPN-Zugänge – was Nutzer zur Installation verleitet.
- Verbraucherträgheit: Einmal installiert, werden Add-ons selten kontrolliert oder gelöscht – selbst bei Verdacht.
- Mangelhafte Kontrolle durch App-Stores: Trotz Prüfalgorithmen schaffen es manipulierte Erweiterungen regelmäßig in offizielle Shops.
Besonders bekannte Beispiele wie das Add-on „DataSpi“ (2023), das ursprünglich als SEO-Helfer verkauft wurde, später aber gezielt Session-Tokens von Facebook-Nutzern sammelte, zeigen: Der Missbrauch kann verzögert erfolgen und schwer nachvollziehbar sein.
Wie Hacker Gruppen Add-ons systematisch ausnutzen
Die zunehmend professionelle Organisation hinter Add-on-Malware stellt Sicherheitsbehörden weltweit vor Herausforderungen. Laut dem ThreatLabZ Chrome Extension Threat Report (Zscaler, 2025) wurden allein im ersten Halbjahr 2025 über 710 bösartige Erweiterungen entdeckt, davon über 60 % mit Tracker- und Datenexfiltration-Funktionalitäten.
Häufige Angriffsmethoden:
- Token Hijacking: Die Erweiterung extrahiert Session- oder Authentifizierungsdaten zur Nutzung von APIs oder Logins.
- Keylogging & Screenshotting: Einige Add-ons erfassen Eingaben oder machen regelmäßig Bildschirmfotos und senden diese an fremde Server.
- DNS-Hijacking und Proxy-Injektion: Durch Manipulation des Datenverkehrs können auch verschlüsselte Verbindungen ausgehebelt werden.
Hackergruppen wie RedDelta, der nordkoreanische Lazarus-Komplex oder kleinere ukrainische Botnetzwerke setzen teils gezielt auf Erweiterungen, um Überwachungs- und Espionageziele zu erreichen. Opfer sind zunehmend nicht nur Unternehmen – auch Privatanwender geraten ins Fadenkreuz.
Woran Sie bösartige Add-ons erkennen – die wichtigsten Warnsignale
Technische Prüfungen sind für Laien kaum möglich. Umso wichtiger ist es, auf typische Alarmzeichen zu achten. Die folgenden Indikatoren sollten Nutzer sofort hellhörig werden lassen:
- Unklare oder übermäßig generische Beschreibungstexte: Betrüger kaschieren oft durch inhaltslose Texte oder übertriebene Versprechungen.
- Verlangte Berechtigungen wirken unverhältnismäßig: Wenn ein Add-on z. B. „alle Webseiteninhalte lesen und ändern“ will, obwohl es nur Designs verändern soll.
- Plötzliche Änderungen im Verhalten nach Updates: Mehr Werbung, höhere CPU-Auslastung oder Umleitungen können Hinweise auf eine übernommene Erweiterung sein.
- Unbekannte oder nicht nachvollziehbare Herausgeberangaben: Fehlende Websites, anonyme Entwickler oder Copycat-Namen.
- Extrem viele positive, gleichlautende Kurzbewertungen: Hinweise auf gekaufte Reputationen oder Bot-Bewertungen.
Wer mehrere dieser Warnhinweise entdeckt, sollte das Add-on deinstallieren und ggf. den zuständigen App-Store melden.
Technische Analyse: Wie Add-ons Zugriff auf sensible Daten erhalten
Browser-Erweiterungen nutzen APIs ihrer Host-Browser, etwa die chrome.tabs– oder webRequest-API, um Aktionen auszuführen. Sobald sie die Berechtigung für „alle Seiten“ besitzen, können bösartige Add-ons unter anderem folgende Daten abgreifen:
- Besuchte URLs inkl. UTM-Parameter (Nutzertracking)
- Eingaben in Formularfeldern – auch Login-Daten
- Gesamter DOM-Inhalt (z. B. sichtbare Texte, versteckte Metadaten)
Ein Beleg dafür zeigt eine Untersuchung von Imperva (Cyber Threat Index Report 2025): 19 % der analysierten kompromittierten Add-ons verwendeten DOM-Parsing, um Login-Tokens für OAuth 2.0 zu extrahieren.
Weiterhin wird häufig auf lokale Speicher (z. B. IndexedDB oder localStorage) zugegriffen, in denen sensible Daten unverschlüsselt vorliegen. Add-ons können diese auslesen, auch wenn Nutzer selbst keine entsprechenden Berechtigungen gesetzt haben.
Diese Add-on-Klassen gelten als besonders riskant
Oft handelt es sich bei bösartigen Erweiterungen um funktional beliebte Add-on-Arten, die gehijackt oder gefälscht werden. Besondere Vorsicht ist geboten bei:
- VPN- und Proxy-Erweiterungen: Viele dieser Add-ons leiten den Datenverkehr über Drittanbieter, deren Sicherheit zweifelhaft ist.
- Screenshot- und Bildschirmrekorder: Können gezielt Informationen wie Passwörter, Chats oder Zugangsdaten aufzeichnen.
- Coupon- und Shopping-Helfern: Verlockend durch Einsparungen, doch viele dieser Tools sammeln enorm viele persönliche Daten.
- PDF-Konverter und Office-Tools: Besonders häufig in Spam-Kampagnen missbraucht – laut Statista (Browser Security Report 2025) wurden über 27 % schädlicher Erweiterungen in dieser Kategorie gefunden.
Zudem fällt auf, dass teils Add-ons mit hohem Entwicklungsaufwand kopiert und leicht verändert erneut in den Store eingestellt werden – diesmal jedoch mit versteckten Payloads.
Drei praktische Tipps zum sicheren Umgang mit Erweiterungen
- Minimalprinzip: Installieren Sie nur Add-ons, die Sie regelmäßig verwenden. Jede Erweiterung ist ein potenzielles Einfallstor.
- Berechtigungen regelmäßig prüfen: Browser wie Chrome bieten über chrome://extensions eine einfache Möglichkeit der Kontrolle.
- Manuelle Quellenprüfung: Überprüfen Sie den Herausgeber, die Versionshistorie und vorhandene Offenlegungsinformationen auf Github o. ä. Plattformen.
Zukunftslösungen – was Browser-Hersteller verbessern müssen
Google, Apple und Mozilla haben auf Druck der Sicherheitscommunity in den letzten Jahren Verschärfungen vorgenommen. Mit „Manifest V3“ blockt Google mittlerweile gefährliche Skriptausführungen direkt. Mozilla setzt zunehmend auf Community-Reviews. Dennoch bleibt die Kontrolle bei Hunderttausenden neuer Einreichungen unzureichend.
Laut einem Bericht von AV-TEST (Q3/2025) sank die durchschnittliche Erkennungszeit schädlicher Add-ons von früher über 14 Tagen auf aktuell 5,3 Tage – ein Fortschritt, aber noch zu lang angesichts der Geschwindigkeit von Malwareverbreitung.
Schlussfolgerung: Misstrauen ist (manchmal) besser als Vertrauen
Add-ons können die Produktivität steigern, bergen aber immense Risiken. Gerade digitale Profis – Admins, Mitarbeitende im Home-Office oder Entwickler – sind durch ihre Aktivitäten und Zugangsdaten attraktive Ziele für Angreifer. Wer seine Erweiterungen regelmäßig prüft, verdächtige Verhaltensweisen erkennt und nicht jedem praktischen Helfer blind vertraut, schützt sich und seine Systeme effektiv.
Welche Add-on-Erfahrungen haben Sie gemacht? Welche Tools sind für Sie unverzichtbar – und wo sind Sie auf Malware hereingefallen? Teilen Sie Ihre Erfahrungen mit der Community in den Kommentaren!
