Deine Browser-Erweiterungen schauen dir zu
Security & Privacy

Deine Browser-Erweiterungen schauen dir zu

Erweiterungen sehen jede Seite, die du öffnest. Wird eine verkauft oder ein Entwickler gephisht, macht ein einziges Update über Nacht Millionen Nutzer zur Zielscheibe für Tracking oder Credential-Diebstahl.

BROWSER.LOL
22.01.2026
20 Min. Lesezeit
Teilen

Die Erweiterung „The Great Suspender" hatte über zwei Millionen Nutzer. Sie hat ungenutzte Tabs schlafen gelegt und RAM gespart. Irgendwann hat der ursprüngliche Entwickler das Projekt an einen anonymen Käufer verkauft. Wenige Wochen später schob dieser Käufer ein Update in den Chrome Web Store, das Tracking-Code einbaute, Werbung einblendete und das Nutzerverhalten an fremde Server schickte. Bis Google eingegriffen hat, hatten Millionen längst aktualisiert.

Beunruhigend ist nicht, dass eine einzelne Erweiterung bösartig geworden ist. Beunruhigend ist, dass das ganze System so gebaut ist, dass genau das wieder passieren wird. Jede installierte Erweiterung ist ein Stück Code mit sehr weitreichenden Rechten, das sich automatisch bei einem Entwickler aktualisiert, dessen Account, Motivation oder Besitzer über Nacht ein ganz anderer sein kann.

Was eine Erweiterung wirklich sieht

Die meisten Browser-Erweiterungen wollen Zugriff auf jede Seite, die du aufrufst. In Chrome heisst die Berechtigung „Daten auf allen besuchten Websites lesen und ändern". Das klingt nach Fachsprache, läuft praktisch aber darauf hinaus, dass die Erweiterung auf jeder beliebigen Seite jedes Feld mitlesen kann. Passwortfelder, Session-Tokens im DOM, private Nachrichten, Banking-Daten, alles.

Gleichzeitig kann sie Requests abfangen, Cookies auslesen, Tabs öffnen, Tastatureingaben mitschneiden und Inhalte einschleusen, die optisch nicht von echten Seitenelementen zu unterscheiden sind. Eine Erweiterung ist faktisch ein Man-in-the-Browser. Das ist kein Bug, sondern genau die Designentscheidung, ohne die Passwortmanager, Adblocker und Übersetzer gar nicht funktionieren würden.

Der Browser zeigt dir diese Berechtigungen genau einmal, bei der Installation. Danach nie wieder. In vielen Stores dürfen Updates bestehende Berechtigungen ausweiten, ohne dich noch einmal zu fragen, solange dabei keine komplett neue Kategorie dazukommt.

Wie Erweiterungen zu Angriffsflächen werden

Ein Entwickler-Icon mit Pfeil zu einem Puzzle-Symbol, dahinter ein zweiter Pfeil zu einem Browser, eines der Teile leicht abweichend eingefärbt

Erweiterungen werden auf drei Arten kompromittiert, und alle drei sind in den letzten Jahren deutlich häufiger geworden.

Verkauf an neue Besitzer. Ein Hobbyentwickler pflegt jahrelang ein kleines Tool, dann flattert irgendwann ein Kaufangebot rein. Hinter den Käufern stecken fast immer Marketingbuden, manchmal auch getarnte Akteure, die sich eine fertige Nutzerbasis für Werbeinjections, Affiliate-Weiterleitungen oder gleich ganze Infostealer-Kampagnen sichern wollen.

Phishing gegen Entwickler. 2023 wurden an einem einzigen Wochenende über zwanzig Chrome-Erweiterungen übernommen, weil ihre Entwickler auf einen OAuth-Dialog hereingefallen sind, der wie eine Google-Mail-Meldung aussah. Der Angreifer hat bösartige Updates ausgespielt, bevor überhaupt jemand den Zugriff gemerkt hat.

Abhängigkeiten. Erweiterungen ziehen Bibliotheken nach. Die haben wiederum eigene Maintainer und eigene Supply Chains. Ein gekapertes npm-Paket kann gleich über mehrere Erweiterungen in die Browser der Endnutzer wandern, ohne dass die Entwickler dieser Erweiterungen selbst irgendetwas Bösartiges tun.

Fälle, die du vermutlich nicht kennst

Die Liste ist lang und sie wird länger. The Great Suspender war nur das prominenteste Beispiel. Nano Adblocker und Nano Defender wurden 2020 nach einem Eigentümerwechsel bösartig und haben angefangen, Nutzer-Requests mitzuschneiden. Stylish, eine Erweiterung zum Anpassen von Seitenstilen mit zwei Millionen Nutzern, wurde aufgekauft und hat danach jeden Seitenaufruf an externe Server geschickt.

2024 hat Secure Annex mehrere Dutzend Chrome-Erweiterungen aus ganz unterschiedlichen Kategorien dokumentiert (Notizen, PDF, Wetter, Screenshots), denen allen nachträglich Code zum Abgreifen von Zugangsdaten untergeschoben worden war. Zusammen kamen sie auf über sechzig Millionen Installationen.

280+

dokumentierte bösartige Erweiterungen allein 2024

60 Mio.

Nutzer der betroffenen Erweiterungen insgesamt

50 %

der Nutzer haben drei oder mehr Erweiterungen installiert

Deine eigenen Erweiterungen prüfen

Dieser Ablauf kostet dich zehn Minuten und klärt, welche Erweiterungen wirklich bleiben dürfen.

  1. 1

    Öffne die Erweiterungsseite deines Browsers

    In Chrome chrome://extensions, in Firefox about:addons, in Edge edge://extensions. Du siehst alles, was sich im Laufe der Zeit angesammelt hat.
  2. 2

    Wirf alles raus, was du in den letzten zwei Wochen nicht benutzt hast

    Jede Erweiterung, die du nicht aktiv brauchst, ist nur noch Angriffsfläche. Ein Screenshot-Tool für den Gelegenheitsgebrauch ist keine dauerhafte Lese- Berechtigung auf jeder Seite wert.
  3. 3

    Sieh dir bei den verbliebenen Entwickler und letztes Update an

    Unbekannter Entwickler, kürzlicher Verkauf oder seit über einem Jahr kein Update sind alles Warnsignale. Lange Update-Pausen heissen fehlende Sicherheitspatches, häufige Eigentümerwechsel deuten auf potenzielle Übernahmen hin.
  4. 4

    Schränke den Zugriff auf einzelne Seiten ein, wo es geht

    In Chrome kannst du Erweiterungen auf bestimmte Seiten beschränken oder auf „nur bei Klick" stellen. Ein Notizen-Tool hat in deinem Online-Banking nichts zu suchen.

Eine sicherere Standard-Einrichtung

Zwei Browser-Fenster nebeneinander, eines mit drei Puzzle-Symbolen, das andere leer, ein gestrichelter Trennstrich dazwischen

Die richtige Antwort heisst nur selten „wirf alle Erweiterungen raus". Ein Passwortmanager und ein Adblocker haben klar ihren Platz verdient. Die Antwort ist, sensibles Surfen in eine Umgebung zu verlegen, die überhaupt keine Erweiterungen kennt. Ein frischer, isolierter Browser ohne Add-ons ist die sauberste Angriffsfläche, die du dir aufbauen kannst.

In der Praxis bedeutet das: dein Alltagsbrowser behält die Erweiterungen, die du magst, du kennst das Risiko und mistest regelmässig aus. Banking, Admin-Logins, Krypto-Wallets und Recherche auf Seiten, denen du nicht traust, laufen in einer isolierten Session. Dort kann dir keine Erweiterung über die Schulter schauen, weil es schlicht keine gibt.

Desktop-Power, auf jedem Gerät?

Probier Browser.lol kostenlos aus und sieh selbst, wie produktiv du mobil arbeiten kannst.

Desktop-Browser starten

Kein Download nötig • Läuft auf jedem Gerät

Über 250'000 Profis sind schon dabei
Volle Desktop-Kompatibilität
Sofort einsatzbereit

Neueste Beiträge

Alle Beiträge
Canvas, WebGL und Audio: Die drei Fingerprints, die jeden Neustart überleben
Sicherheit & Privatsphäre

Canvas, WebGL und Audio: Die drei Fingerprints, die jeden Neustart überleben

Gegen diese drei hilft kein Cookie-Löschen. So entstehen Canvas-Hashes, WebGL-Renderer-Strings und AudioContext-Signaturen, und so leakt selbst Tor noch einen davon.

17.05.2026Weiterlesen
Tabnabbing und Clickjacking: Die UI-Angriffe, die du nie bemerkst
Sicherheit & Privatsphäre

Tabnabbing und Clickjacking: Die UI-Angriffe, die du nie bemerkst

Manche Angriffe im Browser kommen ganz ohne Malware aus. Sie tauschen den Inhalt eines unbenutzten Tabs aus oder schieben einen echten Button unter einen gefälschten, und du gibst deine Zugangsdaten selbst preis. So funktionieren diese UI-Tricks.

19.03.2026Weiterlesen
Web3-Wallet-Drainer: Wie eine einzige Signatur dein Krypto-Vermögen abräumt
Sicherheit & Privatsphäre

Web3-Wallet-Drainer: Wie eine einzige Signatur dein Krypto-Vermögen abräumt

Wallet-Drainer brauchen deine Seed Phrase nicht. Sie bringen dich dazu, eine Transaktion zu unterschreiben, die mit einem Klick alles überträgt. So funktioniert die Masche, und so signierst du sicher.

05.03.2026Weiterlesen