Microsoft hat eine neue Schutzfunktion für Edge angekündigt, die lokal installierte (sideload) bösartige Erweiterungen erkennen und widerrufen soll. Der globale Rollout ist für November 2025 in allen Multi-Tenant-Instanzen geplant. Technische Details bleiben vorerst unter Verschluss, doch die Initiative adressiert einen seit Jahren ausgenutzten Angriffsvektor, der sowohl Privatnutzer als auch Unternehmen betrifft.
Warum Sideload-Erweiterungen ein erhebliches Sicherheitsrisiko darstellen
Edge erlaubt wie andere Browser das lokale Laden unverpackter Add-ons über den Entwicklermodus (Load unpacked). Für Tests ist das sinnvoll, im Alltagsbetrieb umgeht es jedoch Prüfungen des offiziellen Add-on-Stores (Code-Review, Berechtigungspolitik, Reputationschecks). Dadurch steigt das Risiko, manipulierte oder täuschend echte Erweiterungen einzuschleusen.
Selbst nach der Entfernung eines schadhaften Add-ons kann der Schaden bereits entstanden sein: Exfiltration von Session-Tokens, Injektion von Skripten, Content-Manipulation oder Formularabgriff erfolgen oft unmittelbar und unbemerkt. Häufig tarnen Angreifer schädliche Funktionen als nützliche Features, um Vertrauen zu gewinnen.
Vorfälle und Zahlen belegen das Ausmaß der Bedrohung
Studien zeigen wiederholt groß angelegte Kampagnen mit Browser-Erweiterungen. Awake Security dokumentierte 2020 über 100 bösartige Chrome-Erweiterungen mit insgesamt rund 32 Millionen Installationen. 2022 meldete McAfee mehrere schadhafte Add-ons mit etwa 1,4 Millionen Installationen. Diese Fälle verdeutlichen, dass Social Engineering und die Verbreitung außerhalb offizieller Kanäle zu massenhaften Kompromittierungen führen können — auch im Unternehmensumfeld.
Was Edge künftig tut: Erkennung und Widerruf schädlicher Sideload-Add-ons
Microsoft will Edge in die Lage versetzen, bösartige lokal installierte Erweiterungen automatisiert zu identifizieren und zu widerrufen. „Widerruf“ dürfte ein zwangsweises Deaktivieren mit Blockierung der erneuten Aktivierung bedeuten. Auch ohne detaillierte Offenlegung fügt sich der Schritt in Microsofts Kurs, die Erweiterungsökosysteme restriktiver und transparenter zu gestalten.
Wahrscheinliche Erkennungsmechanismen und Kontrollpfade
Ohne interne Details zu kennen, ist eine Kombination bewährter Verfahren plausibel:
- Reputations- und Blocklisten: Abgleich von Signaturen, Hashes und Herausgebern gegen Feeds mit bekannten Indikatoren.
- Verhaltensanalyse: Erkennung von Exfiltrationsmustern, Script-Injektionen und atypischen Netzwerkaufrufen.
- Berechtigungsprüfung: Abgleich angeforderter Permissions mit dem üblichen Profil vergleichbarer Add-ons.
- Telemetrie und Heuristiken: Identifikation verdächtiger Nutzungs- und Aktivitätsmuster.
- Policy-Integration: In Unternehmen voraussichtlich Anbindung an Verwaltungsrichtlinien (z. B. via Intune/Gruppenrichtlinien) zur zentralen Durchsetzung.
Stärkere Governance für die Edge-Erweiterungsökosphäre
Parallel verschärft Microsoft den Veröffentlichungs- und Update-Prozess: ein Publish-API für Entwickler, erweiterte Konto- und Update-Prüfungen sowie Warnhinweise zu leistungsschwächenden Add-ons. Diese Maßnahmen reduzieren das Risiko, dass Schadcode in die Distribution gelangt, und verbessern die Transparenz für Endnutzer und Administratoren.
Praktische Sicherheitsmaßnahmen: jetzt umsetzen, nicht erst 2025
Unternehmen und Privatnutzer können ihre Angriffsfläche bereits kurzfristig verkleinern:
- Kein Sideloading: Entwicklermodus vermeiden und Add-ons ausschließlich aus dem Microsoft Edge Add-ons Store beziehen.
- Berechtigungen prüfen: Publisher-Reputation validieren, unnötige Erweiterungen entfernen.
- Richtlinien erzwingen: In Unternehmen Sideloading per GPO/Intune deaktivieren und eine Allowlist gepflegter Erweiterungen etablieren.
- Aktualität sicherstellen: Browser und OS aktuell halten, Microsoft Defender SmartScreen und Site Isolation aktivieren.
- EDR/Antimalware: Lösungen einsetzen, die Browser-Injektionen und atypische Netzwerkaktivitäten überwachen.
- Awareness-Training: Mitarbeitende zu Social-Engineering- und Phishing-Mustern in Bezug auf „nützliche“ Erweiterungen schulen.
Die angekündigte Erkennung und der Widerruf bösartiger Sideload-Erweiterungen schließen einen relevanten Angriffsweg in Edge. In Verbindung mit strengeren Veröffentlichungsprozessen stärkt dies die Browser-Hygiene spürbar. Organisationen sollten ihre Erweiterungs-Governance bereits jetzt nachschärfen, Sideloading restriktiv handhaben und eine kuratierte Liste vertrauenswürdiger Add-ons pflegen. Wer proaktiv handelt, reduziert die Wahrscheinlichkeit erfolgreicher Angriffe – und ist vorbereitet, wenn Edge die neue Schutzschicht im November 2025 ausrollt.
