Browser-Erweiterungen sind praktische Helfer im Alltag – sie blockieren Werbung, speichern Passwörter oder übersetzen Texte in Sekundenschnelle. Doch diese kleinen Programme können zu einer erheblichen Sicherheitslücke in Chrome werden, wenn man ihnen nicht die nötige Aufmerksamkeit schenkt. Viele Nutzer installieren Extensions und vergessen sie dann komplett, während diese im Hintergrund weitreichende Zugriffe auf sensible Daten haben.
Warum Browser-Erweiterungen ein Sicherheitsrisiko darstellen
Beim Installieren einer Chrome-Erweiterung übersehen die meisten von uns die Berechtigungsanfrage. Dort steht oft klein geschrieben: „Lesen und Ändern Ihrer Daten auf allen von Ihnen besuchten Websites“. Das klingt harmlos, bedeutet aber faktisch, dass die Erweiterung theoretisch alles sehen kann, was ihr im Browser macht – von den eingegebenen Passwörtern über Kreditkartendaten bis hin zu privaten Nachrichten.
Eine Untersuchung des Cybersecurity-Portals Cybernews analysierte die 100 meistgenutzten Chrome-Erweiterungen und kam zu einem alarmierenden Ergebnis: 86 Prozent davon fordern hochkritische Berechtigungen an. Noch bedenklicher ist, dass 60 dieser Erweiterungen sogenannte Host-Berechtigungen verlangen, die Google selbst als die gefährlichste Art des Zugriffs einstuft. Diese ermöglichen vollständigen Zugriff auf alle Webinhalte und sogar lokale Dateien auf eurem Rechner.
Das Problem verschärft sich, wenn Entwickler ihre Erweiterungen verkaufen oder diese gehackt werden. Aus der ursprünglich harmlosen Wetter-App wird plötzlich eine Datensammelmaschine, ohne dass ihr als Nutzer davon erfahrt. ShadyPanda-Kampagne deckten Koi.ai Forscher auf, bei der Cyberkriminelle über sieben Jahre hinweg Browser-Erweiterungen mit schädlichem Code infizierten. Besonders beunruhigend: Fünf Erweiterungen, darunter Featured und Clean Master, funktionierten jahrelang legitim, wurden dann aber Mitte 2024 als Vehikel zur Verbreitung von Malware missbraucht. Die Erweiterung WeTab hatte über 3 Millionen Installationen und fungierte später als Spyware-Plattform. Insgesamt waren 4,3 Millionen Chrome- und Edge-Browser von dieser Kampagne betroffen.
Noch deutlicher wird das Ausmaß des Problems durch eine weitere Erkenntnis: Kaspersky identifizierte 57 verdächtige Erweiterungen im Chrome Web Store, die zusammen von über sechs Millionen Nutzern verwendet wurden. Diese Erweiterungen forderten eine breite Palette an Berechtigungen an, insbesondere auf Cookies einschließlich Authentifizierungs-Cookies, durch die Sitzungs-Cookies gestohlen werden können.
Der Chrome-Erweiterungs-Check: So räumt ihr auf
Die gute Nachricht: Google Chrome bietet euch eine übersichtliche Verwaltungsoberfläche, um den Überblick zu behalten. Gebt in die Adresszeile chrome://extensions/ ein und drückt Enter. Hier seht ihr auf einen Blick alle installierten Erweiterungen.
So geht ihr beim Ausmisten vor
Scrollt durch die Liste und fragt euch ehrlich, wann ihr die jeweilige Extension das letzte Mal bewusst verwendet habt. Alles, was länger als drei Monate ungenutzt herumliegt, kann weg. Klickt dann auf Details bei jeder Erweiterung und schaut unter Berechtigungen nach. Cybernews-Forscher fanden heraus, dass viele Erweiterungen die Grenzen überschreiten und mehr Berechtigungen fordern, als für ihre Kernfunktionen notwendig wären. Im Durchschnitt fordert eine Erweiterung 6,4 Berechtigungen an, von denen 5,3 ein hohes oder mittleres Risiko darstellen. Eure Shopping-Erweiterung braucht definitiv nicht Zugriff auf alle Websites.
Kennt ihr den Entwickler nicht oder klingt der Name generisch, lohnt sich eine kurze Suche. Seriöse Erweiterungen haben Bewertungen und einen nachvollziehbaren Hintergrund. Wenn ihr unsicher seid, deaktiviert die Erweiterung zunächst über den Schieberegler. So könnt ihr testen, ob ihr sie wirklich vermisst, bevor ihr sie endgültig entfernt.
Die Dringlichkeit dieses Checks wird durch eine weitere Zahl unterstrichen: Nur eine von 100 analysierten Erweiterungen erforderte bei der Installation keinen zumindest mäßig gefährlichen Zugriff. 99 Prozent fordern also Berechtigungen an, die potentiell missbraucht werden können. Ein praktischer Tipp aus der Praxis: Erstellt euch eine Erinnerung im Kalender, alle drei Monate diesen Check durchzuführen. Es dauert nur fünf Minuten und kann euch vor unangenehmen Überraschungen schützen.
Der erweiterte Schutz: Chromes versteckte Sicherheitsfunktion
Neben dem Aufräumen der Erweiterungen solltet ihr unbedingt Chromes eingebaute Sicherheitsfeatures aktivieren. Viele Nutzer wissen nicht, dass der Browser einen erweiterten Schutz bietet, der deutlich mehr leistet als die Standardeinstellungen.
Öffnet die Chrome-Einstellungen über die drei Punkte oben rechts, navigiert zu Datenschutz und Sicherheit und klickt auf Sicherheit. Hier findet ihr drei Optionen: Erweiterter Schutz, Standardschutz und Kein Schutz. Der erweiterte Schutz ist die beste Wahl für maximale Sicherheit. Er analysiert verdächtige Dateien und Websites proaktiv, warnt vor gefährlichen Erweiterungen und schützt eure Passwörter besser vor Phishing-Angriffen. Google verwendet dabei maschinelles Lernen, um neue Bedrohungen in Echtzeit zu erkennen – oft bevor sie in die Datenbanken herkömmlicher Sicherheitslösungen aufgenommen wurden.
Was der erweiterte Schutz konkret bietet
- Tiefgehende Dateiprüfung: Downloads werden gründlicher analysiert, auch wenn es etwas länger dauert.
- Verbesserte Phishing-Erkennung: Der Browser gleicht besuchte Websites mit einer erweiterten Datenbank bekannter Betrugssites ab.
- Warnung vor kompromittierten Passwörtern: Chrome informiert euch, wenn eure Zugangsdaten in einem Datenleck aufgetaucht sind.
- Schutz vor bösartigen Erweiterungen: Der Browser überwacht installierte Extensions auf verdächtiges Verhalten.
Ein kleiner Nachteil: Der erweiterte Schutz sendet mehr Daten an Google, um die Analysen durchzuführen. Für die meisten Nutzer ist dieser Trade-off jedoch akzeptabel, da Google diese Daten nach eigenen Angaben nicht für Werbezwecke nutzt.
Best Practices für sichere Browser-Erweiterungen
Wenn ihr neue Erweiterungen installieren möchtet, solltet ihr einige Grundregeln beachten, um von vornherein Risiken zu minimieren. Installiert nur aus dem offiziellen Chrome Web Store – auch wenn es verlockend erscheint, Erweiterungen von Drittseiten zu laden, lasst es lieber sein. Der Web Store hat zwar auch seine Schwächen, bietet aber immerhin eine Grundprüfung. Allerdings zeigt die Tatsache, dass dort 57 verdächtige Erweiterungen mit sechs Millionen Nutzern gefunden wurden, dass auch hier Vorsicht geboten ist.
Achtet auf die Anzahl der Nutzer und Bewertungen: Eine Erweiterung mit 10 Millionen Nutzern und durchschnittlich 4,5 Sternen ist wahrscheinlich vertrauenswürdiger als eine mit 47 Installationen und null Bewertungen. Lest auch die negativen Rezensionen – sie verraten oft mehr als die positiven. Prüft das letzte Update-Datum, denn Erweiterungen, die seit Jahren nicht aktualisiert wurden, sind ein Sicherheitsrisiko. Entwickler, die ihre Software pflegen, reagieren auf Sicherheitslücken und passen sie an neue Chrome-Versionen an.
Verwendet Erweiterungen mit eingeschränktem Zugriff: Moderne Extensions können ihre Berechtigungen auf bestimmte Websites beschränken. Statt auf allen Websites wählt bei Klick oder auf bestimmten Websites. Das findet ihr in den Details jeder Erweiterung unter Website-Zugriff. Sicherheitsforscher warnen vor Kombinationen bestimmter Berechtigungen, die ausreichen, um hochriskante Schadsoftware zu entwickeln, Keylogging zu betreiben oder Session-Hijacking durchzuführen.
Alternative Lösungen: Weniger ist mehr
Fragt euch bei jeder Erweiterung: Gibt es dafür nicht auch eine andere Lösung? Chrome hat mittlerweile viele Features nativ integriert, für die früher separate Extensions nötig waren. Der eingebaute Passwort-Manager ist für die meisten Anwendungsfälle völlig ausreichend. PDF-Dateien öffnet Chrome von Haus aus. Und für gelegentliche Übersetzungen reicht die Rechtsklick-Funktion.
Manchmal lohnt es sich auch, eine separate Software zu nutzen, statt alles in den Browser zu packen. Ein dedizierter Passwort-Manager wie Bitwarden oder 1Password bietet mehr Sicherheit als zehn verschiedene Browser-Erweiterungen mit fragwürdigen Berechtigungen. Chrome aktualisiert Erweiterungen standardmäßig automatisch, was grundsätzlich gut ist. Ihr solltet aber trotzdem gelegentlich manuell nach Updates suchen, besonders wenn ihr vom Entwicklermodus Gebrauch macht oder Erweiterungen testweise installiert habt.
Die Kombination aus aufgeräumten Erweiterungen und aktiviertem erweiterten Schutz macht euren Chrome-Browser zu einer deutlich sichereren Umgebung. Ihr reduziert die Angriffsfläche für Malware und Datendiebstahl erheblich, ohne auf Komfort verzichten zu müssen. Der kleine Zeitaufwand für diese Optimierungen zahlt sich langfristig aus – besonders wenn ihr bedenkt, wie viele sensible Informationen täglich durch euren Browser fließen. Mit diesen Maßnahmen seid ihr den meisten Nutzern bereits einen großen Schritt voraus und könnt deutlich entspannter im Netz unterwegs sein.
Inhaltsverzeichnis