· Rexoma Team · IT-Sicherheit  · 6 min read

Browser-Erweiterungen als Sicherheitsrisiko: Was KMU jetzt wissen müssen

Browser-Erweiterungen sind praktisch – aber ein massives Sicherheitsrisiko. Wie KMU ihre Mitarbeiter und Firmendaten schützen.

Browser-Erweiterungen sind praktisch – aber ein massives Sicherheitsrisiko. Wie KMU ihre Mitarbeiter und Firmendaten schützen.

Ein beliebter YouTube-Werbeblocker mit über elf Millionen Nutzern war kürzlich in der Lage, unkontrolliert Skript-Code in jede aufgerufene Seite einzuschleusen – ein klassisches Einfallstor für Datendiebstahl und Malware. Für KMU ist das kein abstraktes Bedrohungsszenario: Wer den Browsern der Mitarbeiter nicht kennt, öffnet Angreifern Tür und Tor direkt auf dem Arbeitsplatzrechner.

Warum Browser-Erweiterungen ein unterschätztes Risiko sind

Browser-Erweiterungen – auch Add-ons oder Plugins genannt – haben aus technischen Gründen weitreichende Berechtigungen. Viele Extensions dürfen:

  • Alle aufgerufenen Webseiten lesen und verändern (inkl. Banking-Portale, Cloud-Anwendungen, Webmail)
  • Netzwerkverkehr abfangen und umleiten
  • Formulardaten und Passwörter mitlesen
  • Clipboard-Inhalte auslesen (kopierte Zugangsdaten, IBAN-Nummern)

Das ist kein Bug, sondern Feature: Damit Werbeblocker, Übersetzer oder Passwortmanager funktionieren, brauchen sie genau diese Zugriffe. Das Problem entsteht, wenn eine Extension bösartig ist – oder eine legitime Extension durch einen Angriff kompromittiert wird.

Der „Bewusster Kompromiss” bei der Installation

Mitarbeiter installieren Browser-Erweiterungen oft unbemerkt von der IT-Abteilung. Gründe sind harmlos: ein praktischer PDF-Konverter, ein Grammatikprüfer, ein Tool zum Organisieren von Browser-Tabs. Wer den Chrome Web Store oder den Firefox Add-ons-Store öffnet, bekommt schnell den Eindruck, dass alles dort sicher geprüft ist. Das stimmt nur bedingt.

Google und Mozilla prüfen Erweiterungen vor der Veröffentlichung – aber nachträgliche Updates werden deutlich weniger intensiv kontrolliert. Angreifer können eine legitime Extension kaufen oder übernehmen und dann ein Update ausliefern, das Schadcode enthält. Genau das ist bei mehreren populären Extensions in den letzten Jahren passiert, zuletzt auch bei einem Werbeblocker mit millionenfacher Nutzung.

Häufige Angriffsmuster über Browser-Erweiterungen

1. Malicious Extensions von Anfang an

Kriminelle veröffentlichen Extensions, die sich als nützliche Tools tarnen – etwa „PDF to Word Converter” oder „Free VPN Proxy”. Im Hintergrund stehlen sie Session-Cookies, Zugangsdaten oder persönliche Daten. Diese Daten landen auf Darknet-Marktplätzen oder werden für gezielte Angriffe auf das Unternehmensnetzwerk genutzt.

2. Supply-Chain-Angriffe auf legitime Extensions

Eine vertrauenswürdige Extension wird kompromittiert: Entweder kaufen Angreifer den Entwickleraccount, oder der Entwickler wird durch Phishing gekapert. Ein bösartiges Update wird ausgeliefert – und trifft alle Nutzer, die Auto-Updates aktiviert haben. Da viele Unternehmen keinen Überblick über installierte Extensions haben, bleibt der Angriff oft wochenlang unentdeckt.

3. Permission Creep

Eine Extension startet harmlos mit minimalen Berechtigungen – und fordert nach einem Update plötzlich Zugriff auf alle Websites. Nutzer klicken die Berechtigungsanfrage ohne genaues Lesen weg. Ostdeutsche KMU mit begrenzten IT-Ressourcen haben selten Prozesse, um solche Änderungen zu überwachen.

4. Homoglyph- und Tipp-Angriffe

Nutzer suchen nach „uBlock Origin” und installieren stattdessen „uBlock0rigin” (mit einer Null statt des Buchstabens „O”). Gefälschte Extensions imitieren bekannte Tools und verbreiten sich über Suchmaschinen-Anzeigen oder Phishing-Mails.

Was KMU konkret tun können

Schritt 1: Bestandsaufnahme – welche Extensions laufen bei Ihnen?

Bevor Sie etwas ändern, müssen Sie wissen, was in Ihrem Unternehmen installiert ist. In größeren Umgebungen geht das über Mobile Device Management (MDM) oder Group Policy Objects (GPO) unter Windows. Kleinere KMU können zunächst manuell prüfen:

  • Chrome: chrome://extensions/ – zeigt alle installierten Erweiterungen und deren Berechtigungen
  • Firefox: about:addons
  • Edge: edge://extensions/

Erstellen Sie eine Liste aller Extensions über alle Mitarbeiter-Geräte hinweg. Alles, was nicht bekannt oder nicht für den Arbeitsalltag notwendig ist, wird deinstalliert.

Schritt 2: Positivliste (Allowlist) einführen

Erlauben Sie per Gruppenrichtlinie oder MDM nur genehmigte Browser-Erweiterungen. In einer Windows-Umgebung lässt sich das über GPO steuern:

  • Chrome for Enterprise: ExtensionInstallAllowlist und ExtensionInstallBlocklist
  • Edge: Äquivalente Administrative Templates
  • Firefox: Extensions.policy via policies.json

Jede neue Extension muss vor der Installation durch die IT freigegeben werden. Das klingt bürokratisch, ist aber in der Praxis ein minimaler Aufwand – und verhindert den größten Teil der Angriffsfläche.

Schritt 3: Berechtigungen kritisch bewerten

Nicht jede Extension braucht Zugriff auf alle Websites. Prüfen Sie bei jeder genehmigten Extension:

  • Braucht die Extension wirklich Zugriff auf alle URLs?
  • Kann der Zugriff auf bestimmte Domains beschränkt werden?
  • Warum braucht ein Grammatikprüfer Zugriff auf Formulardaten?

Viele Extensions lassen sich im Berechtigungs-Dialog auf einzelne Websites einschränken. Diese Möglichkeit wird kaum genutzt, obwohl sie erheblichen Schutz bietet.

Schritt 4: Auto-Updates beobachten, nicht deaktivieren

Auto-Updates abzuschalten klingt verlockend, ist aber keine Lösung – ohne Updates laufen Extensions mit bekannten Sicherheitslücken weiter. Besser: Koppeln Sie Updates an einen Testprozess. Enterprise-Browser-Management erlaubt es, Updates zunächst für eine Testgruppe auszurollen, bevor sie alle Geräte erreichen.

Schritt 5: Mitarbeiter sensibilisieren

Technische Maßnahmen allein reichen nicht. Schulen Sie Mitarbeiter, keine Extensions selbst zu installieren – auch dann nicht, wenn ein Tool vertrauenswürdig wirkt. Ein kurzes Security-Briefing (15 Minuten) zu typischen Angriffsmustern über Browser-Add-ons ist in den meisten KMU schnell umgesetzt und zeigt dauerhaft Wirkung.

Besondere Risiken für bestimmte Berufsgruppen

Nicht alle Arbeitsplätze sind gleich gefährdet. Besonders kritisch sind Browser-Extensions auf Rechnern von:

  • Buchhaltern und Finanzmitarbeitern: Zugriff auf Banking-Portale, DATEV, ERP-Systeme
  • Vertriebsmitarbeitern: CRM-Systeme, Angebotsdaten, Kundenkontakte
  • Geschäftsführern und Management: Zugriff auf sensible Vertragsunterlagen, HR-Daten
  • IT-Administratoren: Admin-Konsolen, Firewall-Interfaces, Server-Management

Für diese Rollen empfiehlt sich ein besonders restriktives Extension-Policy: nur das absolut Notwendige, keine privaten Extensions auf Firmengeräten.

Technische Absicherung im Überblick

MaßnahmeAufwandSchutzwirkung
Bestandsaufnahme aller ExtensionsGeringMittel
Allowlist per GPO/MDMMittelHoch
Berechtigungen beschränkenGeringMittel
MitarbeiterschulungGeringHoch
Browser-Isolation (z. B. Remote Browser)HochSehr hoch

Für Unternehmen in Dresden und Sachsen mit begrenztem IT-Budget empfiehlt sich der Einstieg über Allowlist und Schulung – diese beiden Maßnahmen decken den größten Teil des Risikos ab, ohne hohen Implementierungsaufwand.

Browser-Erweiterungen in verwalteten Umgebungen

Wer eine Active-Directory-Umgebung betreibt, kann Browser-Policies direkt über GPO ausrollen. Google und Microsoft stellen dafür kostenlos ADMX-Templates zur Verfügung. Firefox lässt sich über policies.json zentral steuern – eine Funktion, die viele kleine IT-Abteilungen nicht kennen und daher nicht nutzen.

In reinen Cloud-Umgebungen (Microsoft Intune, Jamf für macOS) gibt es entsprechende Profile, die dieselben Restriktionen per MDM durchsetzen. Wichtig: Browser-Policies greifen nur auf Firmengeräten. BYOD-Szenarien – eigene Geräte im Firmennetz – erfordern zusätzliche Maßnahmen wie Netzwerksegmentierung oder Zero-Trust-Zugänge.

Unterstützung in Dresden: Rexoma hilft KMU bei Browser-Sicherheit

Sie möchten wissen, welche Browser-Erweiterungen in Ihrem Unternehmen installiert sind, oder brauchen Unterstützung beim Einrichten von Browser-Policies und MDM-Verwaltung? Rexoma IT betreut KMU in Dresden und Sachsen mit genau diesen Themen – von der Bestandsaufnahme über GPO-Konfiguration bis zum Mitarbeiter-Briefing. Kontaktieren Sie uns für ein erstes Gespräch.


FAQ: Browser-Erweiterungen und KMU-Sicherheit

Sind Extensions aus dem Chrome Web Store grundsätzlich sicher? Nein. Google prüft Extensions vor der Erstveröffentlichung, aber nachträgliche Updates werden weniger intensiv kontrolliert. Auch bekannte, legitime Extensions können durch Angriffe auf den Entwickleraccount kompromittiert werden.

Kann ich Browser-Erweiterungen unternehmensweit verbieten? Ja. Über Group Policy Objects (GPO) unter Windows oder MDM-Systeme lassen sich Extensions für alle verwalteten Geräte zentralisiert erlaubt oder blockiert werden. Das gilt für Chrome, Edge und Firefox.

Was ist schlimmer: eine bösartige Extension oder eine kompromittierte legitime Extension? Kompromittierte legitime Extensions sind oft gefährlicher, weil sie bereits auf vielen Geräten installiert sind und das bösartige Update automatisch ausgeliefert wird. Nutzer haben keinen Grund, einer bekannten Extension zu misstrauen.

Wie erkenne ich, ob eine Extension zu viele Berechtigungen hat? Prüfen Sie in den Browser-Einstellungen die Berechtigungen jeder Extension. Zugriff auf “alle Websites” ist ein Warnsignal, wenn die Funktion der Extension diesen Zugriff nicht zwingend erfordert. Ein Kalender-Sync braucht keinen Zugriff auf Banking-Seiten.

Sollten Mitarbeiter Extensions auf Privatgeräten im Homeoffice einschränken? Wenn Privatgeräte Zugriff auf Firmensysteme haben (VPN, Cloud-Login), gelten dieselben Risiken. Empfehlenswert ist ein separates Browser-Profil oder -Gerät für Firmenzugänge – oder der Zugriff ausschließlich über firmenverwaltete Endgeräte.

Back to Blog

Related Posts

View All Posts »