Du bist unterwegs, dein Handy hat kein Netz, und du musst schnell ein Hotel umbuchen. Am Empfang steht ein Business-Center-PC, der Browser ist offen, und eine freundliche Mitarbeiterin sagt, du sollst dich „einfach kurz einloggen". Du zögerst einen Moment, denkst an zwei unheimliche Reddit-Threads, die du irgendwann mal gelesen hast, und tippst trotzdem dein Gmail-Passwort ein. Eine Woche später erfährst du, dass dein Account genau zu dem Zeitpunkt übernommen wurde, als du an diesem Kiosk warst.
Geteilte Computer sind nicht zwangsläufig bösartig, aber sie gehören dir nicht. Du weisst nicht, was im Hintergrund läuft, ob Passwörter mitgespeichert werden, ob jemand daneben mitliest, ob im Browser-Store ein als Extension getarnter Keylogger lauert. Das Risiko ist real, die praktischen Tipps dazu meist schwammig. Dieser Artikel sortiert, was wirklich passiert, und zeigt einen Aufbau, der das Problem umgeht.
Was geteilte Geräte tatsächlich mitschneiden
Tastatureingaben. Auf einem kompromittierten Gerät reicht ein kleiner Keylogger, um jedes Passwort abzugreifen, das du eintippst. Hardware-Keylogger zwischen Tastatur und USB-Port sind nur eine Variante. Software-Keylogger tarnen sich als Systemdienst und bleiben für Nutzer ohne Adminrechte unsichtbar.
Gespeicherte Passwörter und Autofill. Wenn der Browser fragt, ob er dein Passwort speichern soll, und du aus Versehen auf „Ja" klickst, landet es im lokalen Passwortspeicher und lässt sich von jedem späteren Nutzer auslesen. Davor steht meist nur das Passwort des Betriebssystems, das du kennst, aber auch der Besitzer des Rechners und seine Familie.
Browserverlauf und Cookies. Selbst wenn du dich sauber abmeldest, sind URLs und Session-Cookies oft nur einen Klick auf „Verlauf" entfernt. Der Inkognito-Modus hilft, aber nur, wenn du dran denkst, und auch nur gegen lokale Spuren, nicht gegen Keylogger oder Bildschirmaufzeichnung.
Zwischenablage. Kopierst du ein Passwort aus einem Manager, liegt es so lange in der System-Zwischenablage, bis etwas anderes es überschreibt. Viele Clipboard-Manager protokollieren stillschweigend mit, was kopiert wurde.
Drei Szenarien, drei Risiken
Der Hotel- oder Bibliothekskiosk. Der PC ist öffentlich, wird von jemandem ohne technischen Hintergrund betreut, läuft oft auf veralteter Software und wird zwischen den Nutzern so gut wie nie wirklich bereinigt. Das Grundrisiko ist ein Keylogger, den irgendjemand vor dir installiert hat. Die Wahrscheinlichkeit ist nicht riesig, im schlimmsten Fall verlierst du aber einen Account komplett.
Der Rechner eines Freundes. Das Gerät ist privat und wahrscheinlich nicht bösartig, aber du kennst seinen Zustand nicht. Ein gutgläubiger Freund kann eine Browser-Extension installiert haben, die jedes Passwortfeld mitliest. Schlimmer noch: Wenn du versehentlich auf „Speichern" klickst, landet dein Passwort in seinem Browser-Passwortspeicher.
Der Firmenlaptop eines Kollegen. Hier kommt zusätzlich die IT-Abteilung ins Spiel. Firmenlaptops laufen oft mit Endpoint-Monitoring, das Tastatureingaben und Browser-Traffic protokolliert. Das ist nicht bösartig gemeint, trotzdem landet dein privates Passwort in den Logs eines Arbeitgebers, der dich nicht einmal eingestellt hat.
Die üblichen Vorsichtsmassnahmen, ehrlich bewertet
| Massnahme | Hilft gegen Keylogger | Hilft gegen Cookie-Diebstahl | Praktikabel |
|---|---|---|---|
| Inkognito-Modus | Nein | Teilweise | Ja |
| Passwortmanager + Autofill | Nein | Nein | Nur wenn installiert |
| Nach der Session abmelden | Nein | Ja | Ja |
| Browserverlauf löschen | Nein | Teilweise | Ja |
| Hardware-Key (FIDO2) | Nein | Ja | Nur wenn vorbereitet |
| Cloud-Browser | Ja | Ja | Ja |
Inkognito-Modus und Abmelden lösen das Cookie-Problem, nicht das Keylogger-Problem. Ein Hardware-Key schützt den Login-Moment selbst, aber nicht die Session danach. Sitzt ein Infostealer auf dem Rechner, klaut er die Session, sobald du dich authentifiziert hast. Mehr zu diesem Angriff in Session Hijacking.
Die einzige Massnahme, die gegen alle relevanten Angriffe auf geteilten Geräten wirklich greift, ist, den Login gar nicht erst auf dem Gerät stattfinden zu lassen.
Warum ein Cloud-Browser das Problem auflöst
Ein Cloud-Browser ist ein Browser, der auf fremder Infrastruktur läuft und dir nur sein Bild streamt. Du siehst ihn in einem Tab deines lokalen Browsers, die eigentliche Verarbeitung passiert aber in einer Wegwerf-VM in einem Rechenzentrum. Wenn du dort dein Passwort eintippst, läuft Folgendes ab: Die Zeichen gehen als verschlüsseltes Paket an die Remote-Session, die sie in ihrem eigenen Browser-Formular einsetzt und das Ergebnis verschlüsselt an den Dienst weiterschickt, der dich authentifiziert. Nichts davon berührt den lokalen Rechner auf einer Ebene, an die ein Keylogger herankäme, denn das Passwort hat auf dem lokalen Rechner nie als Passwort existiert, nur als verschlüsselter Stream.
Gleichzeitig bleibt auf dem geteilten Gerät kein Session-Cookie zurück, denn der Cookie lebt im Cloud-Container, der am Ende verworfen wird. Autofill und Passwortspeicher laufen lokal überhaupt nicht. Im Browserverlauf steht nur die URL des Cloud-Browsers selbst, nicht die Seiten, die du darin besucht hast.
Kurz: Der lokale Rechner ist nicht mehr Teil des Login-Pfads. Er ist nur noch Bildschirm und Tastatur-Proxy, der verschlüsselte Ereignisse durchreicht.
Ein praktischer Ablauf
Für den seltenen Fall, dass du tatsächlich auf einem fremden Rechner arbeiten musst, reicht dieser Ablauf.
- 1
Nicht den lokalen Browser öffnen, sondern einen Cloud-Browser
Die lokale Chrome- oder Edge-Installation bleibt unberührt. Du startest in einem neuen Tab eine Cloud-Session. - 2
Melde dich genau einmal im Vault deines Passwortmanagers an
Und zwar im Cloud-Browser. Von dort übernimmt Autofill alle weiteren Logins. Das einzige Geheimnis, das du auf der Tastatur des Gastgeräts tatsächlich eintippst, ist dein Master-Passwort. - 3
Setze Einmal-2FA für sensible Accounts ein
Hast du einen Hardware-Key dabei, steck ihn nur für die Dauer des Logins ein. Für TOTP reicht ein Code vom Handy. - 4
Beende die Cloud-Session bewusst
Nicht nur den Tab, sondern die Session. Ein Klick auf „Session beenden" baut den Cloud-Container ab. Was auf dem lokalen Gerät übrig bleibt, ist ein Tab-Verlaufseintrag mit der URL des Cloud-Dienstes, mehr nicht.
Desktop-Power, auf jedem Gerät?
Probier Browser.lol kostenlos aus und sieh selbst, wie produktiv du mobil arbeiten kannst.
Desktop-Browser startenKein Download nötig • Läuft auf jedem Gerät
