Eigentlich wirkt der Passwort-Manager im Microsoft Edge solide. Du legst ein Konto an, Edge speichert Benutzername und Passwort, alles ist verschlüsselt abgelegt, und wenn du die Daten sehen willst, fragt Windows Hello nach. Fingerabdruck, PIN, Gesichtserkennung – ohne diese Hürde kommt niemand an die Liste. Sieht nach einem ordentlichen Schutzkonzept aus.
Sieht nur so aus.
Der norwegische Sicherheitsforscher Tom Jøran Sønstebyseter Rønning hat sich angeschaut, was Edge im Hintergrund tatsächlich tut – und das Ergebnis ist ernüchternd: Sobald du den Browser startest, lädt Edge deine Passwörter im Klartext in den Arbeitsspeicher. Verschlüsselung? Nur auf der Festplatte. Im RAM liegen die Zugangsdaten lesbar herum.
Heise hat den Test nachgestellt, ein Konto mit dem fiktiven Passwort „Klartext-PW-Test“ angelegt, Edge geschlossen, neu gestartet, ein Speicherabbild gezogen – und das Passwort mit einem simplen Hex-Editor gefunden. Keine Webseite besucht, das Passwort gar nicht eingegeben, trotzdem stand es da. Mitten im Speicher. Lesbar wie ein Notizzettel.
Warum das ein echtes Problem ist
Du fragst dich vielleicht: Wer kann denn schon meinen Arbeitsspeicher auslesen? Die Antwort ist unangenehm: jeder Schadcode, der auf deinem Rechner läuft. Ein Trojaner, eine bösartige Browser-Extension, eine Schadsoftware aus einem zwielichtigen Download – sie alle brauchen sich nicht mit Verschlüsselung herumzuschlagen. Sie greifen einfach in den Speicher und lesen ab. Und genau gegen dieses Szenario soll ein Passwort-Manager schützen.
Der Stand der Technik ist seit Jahren ein anderer: Passwörter werden nur dann entschlüsselt, wenn sie wirklich gebraucht werden. Du klickst auf das Login-Feld, der Manager entschlüsselt das passende Kennwort, trägt es ein, und Sekunden später wird es wieder aus dem Speicher gelöscht. So machen es seriöse Passwort-Manager wie 1Password, Bitwarden oder KeePass. Edge dagegen lädt offenbar gleich beim Browserstart alle Passwörter ins RAM. Auch die, die du in dieser Sitzung nie verwendest.
In der Sicherheitsbranche gibt es dafür sogar eine eigene Schwachstellenkategorie: CWE-316, „Cleartext Storage of Sensitive Information in Memory“. Das ist kein exotisches Detail, sondern ein bekanntes Anti-Pattern. Sowas darf einem Browser-Hersteller mit Microsofts Ressourcen schlicht nicht passieren.
Microsofts Antwort: alles richtig so
Hier wird es richtig bitter. Rønning hat die Lücke an Microsoft gemeldet. Die Antwort, über die das norwegische Magazin Itavisen.no berichtet: Das sei eine bewusste Designentscheidung. Beabsichtigt. Kein Bug, sondern Feature.
Damit schiebt Microsoft das Problem elegant zur Seite. Wer nichts reparieren will, erklärt es einfach zur Absicht. Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat den Edge-Passwortmanager bei seinem Test im Dezember übrigens explizit ausgeklammert – ein Detail, das im Licht dieser Meldung deutlich aussagekräftiger wirkt als damals.
Was du jetzt tun solltest
Keine Panik, aber klare Konsequenzen. So gehst du vor.
Wechsle den Passwort-Manager. Der Edge-Manager bekommt von mir keine Empfehlung mehr. Schau dir Bitwarden an, das gibt es in einer hervorragenden kostenlosen Version. Wer mehr Komfort will, ist mit 1Password gut bedient. Beide gehen mit Passwörtern im Speicher deutlich vorsichtiger um – Passwörter werden nur kurzzeitig entschlüsselt und danach wieder aus dem RAM entfernt.
Exportiere deine Edge-Passwörter, bevor du wechselst. In Edge auf die drei Punkte oben rechts klicken, dann „Einstellungen“ → „Profile“ → „Passwörter“. Dort findest du das Drei-Punkte-Menü und die Option „Kennwörter exportieren“. Edge legt eine CSV-Datei ab, die du in Bitwarden oder 1Password importieren kannst. Wichtig: Diese CSV ist unverschlüsselt. Sofort nach dem Import löschen, am besten zusätzlich den Papierkorb leeren.
Lösche danach die Passwörter aus Edge. Im selben Menü kannst du jeden Eintrag einzeln entfernen oder unter „Browserdaten löschen“ alles auf einmal. Schalte in den Einstellungen außerdem das Speichern neuer Passwörter durch Edge ab, sonst sammelt der Browser bei jedem Login wieder neu.
Richte die Zwei-Faktor-Authentifizierung ein, wo immer es geht. Selbst wenn jemand dein Passwort abgreift, kommt er ohne den zweiten Faktor nicht ins Konto. Bei den wichtigen Diensten – E-Mail, Onlinebanking, Cloudspeicher, Social Media – ist das ohnehin Pflicht. Eine Authenticator-App auf dem Smartphone reicht.
Halte dein System sauber. Der Klartext im Speicher ist nur dann ein Problem, wenn Schadsoftware auf dem Rechner läuft. Aktuelle Updates, ein wachsamer Blick auf das, was du installierst, und Vorsicht bei Browser-Erweiterungen reduzieren das Risiko massiv.
Mein Fazit
Browser-eigene Passwort-Manager waren schon immer ein Kompromiss. Bequem, weil eingebaut, aber nie auf Sicherheitsniveau einer dedizierten Lösung. Was Microsoft hier abliefert, ist trotzdem eine andere Liga: Die schöne Verschlüsselungsfassade verdeckt eine simple Wahrheit – im Speicher liegt alles offen. Und auf die Frage, ob man das mal beheben könne, kommt ein Achselzucken zurück.
Das ist kein Drama, wenn du es jetzt weißt und reagierst. Es ist nur ein weiterer Beleg dafür, dass du dich bei Sicherheit nie auf die bequemste Option verlassen solltest. Ein guter Passwort-Manager kostet wenige Euro im Monat oder ist sogar gratis – und macht seinen Job so, wie er gemacht werden sollte. Genau das ist es wert.
.
