Forschende des Sicherheitsunternehmens Koi Security haben aufgedeckt, dass die populäre VPN-Erweiterung Urban VPN Proxy Inhalte von Unterhaltungen mit KI-Chatbots wie ChatGPT, Claude, Gemini, Copilot und weiteren Diensten mitliest und an externe Server übermittelt – ohne dass Nutzer dies im Alltag klar erkennen können.
Urban VPN: Millionen Installationen und offizielles „Empfohlen“-Label
Urban VPN Proxy wird im Chrome Web Store als „sicherstes kostenloses VPN für den Zugriff auf beliebige Websites“ beworben und erreicht bei über 6 Millionen Installationen eine Bewertung von rund 4,7 Sternen. In der Microsoft-Edge-Erweiterungsbibliothek verzeichnet das Produkt mehr als 1,3 Millionen Installationen. Weitere Erweiterungen desselben Entwicklers bringen die Gesamtreichweite auf über 8 Millionen Nutzer.
Ein entscheidender Vertrauensfaktor: Viele dieser Erweiterungen tragen im Chrome Web Store und in den Edge Add-ons den Badge „Empfohlen“. Dieses Label suggeriert in der Praxis für viele Anwender erhöhte Sicherheit und Einhaltung von Best Practices. Der Fall Urban VPN zeigt jedoch, dass solche Kennzeichnungen keine Garantie für Datenschutz bieten.
Technische Analyse: Wie KI-Chats mitgeschnitten wurden
Laut Koi Security wurde am 9. Juli 2025 in der Version 5.5.0 von Urban VPN Proxy eine neue Funktion eingeführt, die standardmäßig die Erfassung von Daten bei der Nutzung von KI-Plattformen aktiviert. Im Code tauchten spezialisierte JavaScript-Module für einzelne Dienste auf, etwa chatgpt.js, claude.js und gemini.js.
Beim Aufruf der jeweiligen KI-Webseiten injizierten diese Skripte Code in die Seite und hookten die Browser-APIs fetch() und XMLHttpRequest. Dadurch konnte die Erweiterung alle Anfragen und Antworten abfangen, bevor sie den Servern der KI-Anbieter übermittelt oder im Browser dargestellt wurden. Technisch handelt es sich um einen Man-in-the-Browser-Ansatz: Der Datenstrom wird innerhalb des Browsers an einem zentralen Punkt abgegriffen.
Den Ermittlern zufolge umfasste der Mitschnitt unter anderem Nutzer-Prompts, Antworten der Chatbots, Sitzungskennungen, Metadaten, Zeitstempel, Angaben zur Plattform sowie zur verwendeten KI-Modellvariante. Diese Daten wurden an die Server analytics.urban-vpn[.]com und stats.urban-vpn[.]com übertragen.
Datenschutzrichtlinie und Rolle von BIScience
Die am 25. Juni 2025 aktualisierte Datenschutzrichtlinie von Urban VPN erwähnt die Erfassung von Daten aus KI-Chats ausdrücklich. Als Zweck werden die Verbesserung der Funktion Safe Browsing sowie Marketing-Analysen genannt. Das Unternehmen betont, die weitere Verarbeitung erfolge auf angeblich anonymisierten und aggregierten Datensätzen.
Nach Analyse von Koi Security erhält jedoch insbesondere die Firma BIScience Zugriff auf die gesammelten Informationen. BIScience ist Eigentümerin der Marke Urban Cyber Security, unter der Urban VPN vertrieben wird, und spezialisiert auf Werbe- und Markenanalyse. Den Forschenden zufolge gehen dort „rohe“, also nicht ausreichend anonymisierte Daten ein, die für kommerzielle Zwecke ausgewertet und auch an Geschäftspartner weitergegeben werden können.
Bereits im Januar 2025 hatte ein anonymer Sicherheitsforscher darauf hingewiesen, dass BIScience über in Partner-Erweiterungen integrierte SDKs umfangreiche Browser-Historien einsammelt. Grundlage waren vage Formulierungen in Datenschutzerklärungen sowie das Ausnutzen von Ausnahmen von der Limited-Use-Policy des Chrome Web Store, die den Zugriff auf sensible Daten erlaubt, wenn er zur bereitgestellten Funktion angeblich „erforderlich“ ist.
„KI-Schutz“ als Argument, Datensammlung als Standard
Urban VPN bewirbt eine Funktion zur „KI-Schutz“-Analyse: Prompts sollen auf personenbezogene Daten geprüft und Antworten von KI-Systemen auf potenziell gefährliche Links gescannt werden, um Nutzer mit Warnhinweisen zu schützen. Ein solches Feature könnte tatsächlich zu mehr Sicherheit beitragen.
Die Untersuchung ergab jedoch, dass der Datenerfassungsmechanismus unabhängig von der Aktivierung dieser Option arbeitet. Ob der Nutzer die „KI-Schutz“-Funktion ein- oder ausschaltet, hatte demnach keinen maßgeblichen Einfluss darauf, dass Prompts, Antworten und Metadaten an Urban VPN und damit auch an BIScience übertragen wurden. Der Sicherheitsnutzen steht damit in einem deutlichen Spannungsverhältnis zu den Datenschutzrisiken.
Systemische Risiken von Browser-Erweiterungen für KI-Chat-Daten
Koi Security entdeckte vergleichbare Tracking-Mechanismen in drei weiteren Erweiterungen desselben Entwicklers für Chrome und Edge, die zusammen über 8 Millionen Installationen aufweisen. Fast alle tragen ebenfalls das Label „Empfohlen“. Dies unterstreicht ein grundsätzliches Problem: Formale Prüfung in den Stores und Empfehlungssiegel schützen nicht zuverlässig vor aggressiver Datenerhebung.
Gerade Erweiterungen mit weitreichenden Rechten – etwa Zugriff auf den gesamten Webseiteninhalt oder den Netzwerkverkehr – können hochsensible Informationen abgreifen. Das betrifft zunehmend auch KI-Prompts, in denen häufig Quellcode, interne Richtlinien, vertrauliche Projektunterlagen oder personenbezogene Daten verarbeitet werden. In Incident-Response-Fällen zeigt sich immer häufiger, dass derartige „Prompt-Leaks“ ein nicht zu unterschätzender Vektor für Datenabfluss sind.
Konkrete Sicherheitsmaßnahmen für Unternehmen und Privatnutzer
Für Organisationen und Endanwender ergibt sich daraus die Notwendigkeit eines deutlich strengeren Umgangs mit Browser-Erweiterungen. Empfehlenswert sind unter anderem: Minimierung der installierten Add-ons, sorgfältige Prüfung der angeforderten Berechtigungen, regelmäßige Audits der installierten Erweiterungen, der Einsatz getrennter Browser-Profile für berufliche und private Nutzung sowie – wo umsetzbar – zentrale Richtlinienverwaltung (z.B. via Gruppenrichtlinien oder MDM).
Ebenso sinnvoll ist eine zurückhaltende Nutzung von KI-Chatbots: Sensible personenbezogene Daten, Geschäftsgeheimnisse, unveröffentlichter Code oder interne Dokumente sollten möglichst nicht in Prompts eingegeben werden. Nutzende sollten davon ausgehen, dass jede Eingabe sowohl auf Seiten des KI-Anbieters als auch durch lokale Komponenten wie Browser-Erweiterungen gespeichert oder ausgewertet werden kann. Schulungen zur sicheren Nutzung von KI-Werkzeugen werden damit zu einem festen Bestandteil moderner Security-Awareness-Programme.
Der Fall Urban VPN verdeutlicht, dass selbst millionenfach installierte und offiziell empfohlene Erweiterungen zu Werkzeugen für die massenhafte Sammlung vertraulicher Informationen werden können. Wer KI-Chatbots sicher einsetzen möchte, sollte seine Browser-Umgebung konsequent härten, Erweiterungen kritisch hinterfragen und die eigenen Sicherheitsrichtlinien an die Realität von KI-gestützten Arbeitsabläufen anpassen.
