Alle gespeicherten Passwörter liegen beim Start unverschlüsselt im Arbeitsspeicher – Sicherheitsexperten schlagen Alarm.
Sicherheitsforscher haben eine kritische Schwachstelle im Umgang mit gespeicherten Anmeldedaten in Microsoft Edge aufgedeckt. Der Browser lädt sämtliche Passwörter beim Start unverschlüsselt in den Arbeitsspeicher. Die Entdeckung sorgt seit Ende April 2026 in der Fachwelt für Aufsehen – und das ausgerechnet zu einem Zeitpunkt, an dem Microsoft das Nutzererlebnis von Edge durch den Abbau alter Funktionen grundlegend überarbeiten will.
Windows 11 macht im Alltag immer wieder Probleme? Dieser kostenlose Report zeigt Ihnen, wie Sie die 5 häufigsten Fehler und Update-Probleme ab sofort in Minuten selbst beheben können. Kostenlosen Windows-11-Notfall-Report jetzt herunterladen
Die technische Schwachstelle im Detail
Der norwegische Sicherheitsforscher @L1v1ng0ffTh3L4N von Palo Alto Networks machte das Problem publik. Seine Analyse zeigt: Anders als andere Chromium-basierte Browser, die auf restriktivere Entschlüsselungsmodelle setzen, hält Microsoft Edge entschlüsselte Passwortdaten dauerhaft im aktiven Prozessspeicher vor.
Im Klartext: Startet der Nutzer Edge, greift der Browser auf alle gespeicherten Zugangsdaten zu und legt sie unverschlüsselt im RAM ab. Google Chrome verfolgt eine andere Strategie: Der Konzern setzt auf eine „On-Demand“-Entschlüsselung mit App-Bound Encryption. Das bedeutet, sensible Daten werden nur dann entschlüsselt, wenn sie tatsächlich benötigt werden. Im Ruhezustand bleiben sie durch hardwaregebundene Schlüssel geschützt.
Die Schwachstelle ist im MITRE ATT&CK-Framework unter der Kennung T1555.003 erfasst – eine Kategorie für Techniken zum Abgreifen von Browser-Anmeldedaten. Um die praktischen Risiken zu demonstrieren, veröffentlichten die Forscher ein Tool namens EdgeSavedPasswordsDumper. Es zeigt, wie ein Angreifer mit ausreichenden Systemrechten den Speicher des Browsers auslesen und sämtliche Zugangsdaten extrahieren kann – ohne die eigentlichen Schutzmechanismen des Betriebssystems umgehen zu müssen.
Microsoft selbst bezeichnet das Verhalten als „gewollt“. Das Unternehmen argumentiert, die Speicherverwaltung entspreche den bestehenden Sicherheitsmodellen. Kritiker sehen das anders: Während dieser Ansatz internen Designlogiken folgen mag, berge er im Vergleich zur Konkurrenz ein deutlich erhöhtes Risiko.
Gefahr für Unternehmen und Multi-User-Umgebungen
Besonders gravierend sind die Folgen für Unternehmen mit gemeinsam genutzter Infrastruktur. Remote Desktop Services (RDS) und Terminalserver sind nach Einschätzung von Sicherheitsanalysten extrem anfällig. Arbeiten mehrere Nutzer auf demselben physikalischen oder virtuellen Rechner, könnte ein Administrator – oder ein kompromittiertes Konto mit hohen Rechten – die Speicherprozesse anderer aktiver Sitzungen einsehen.
Das Proof-of-Concept-Tool belegt: Selbst aus getrennten oder im Hintergrund laufenden Sitzungen lassen sich Passwörter extrahieren – solange der Edge-Prozess noch aktiv ist. Für Unternehmen mit großflächigen Edge-Installationen bedeutet das eine grundlegende Neubewertung des Einsatzes browserbasierter Passwortmanager.
Die Problematik geht über reine Passwörter hinaus. Microsoft hat in den vergangenen Monaten zahlreiche Funktionen in Edge integriert: Passwort-Generator, Überwachungstools und Gesundheitschecks. Zwar verschlüsselt der Microsoft Password Manager Daten bei der Synchronisation zwischen Geräten und nutzt verschlüsselte Datenbanken für die Prüfung auf kompromittierte Zugänge – die lokale Speicherverwaltung im RAM bleibt dennoch ein wunder Punkt für Betreiber sicherer Arbeitsplätze.
Strategische Neuausrichtung: Sidebar Apps werden eingestellt
Parallel zu den Sicherheitsdebatten treibt Microsoft die Vereinfachung der Edge-Oberfläche voran. Anfang Mai 2026 bestätigte der Konzern: Die Sidebar-App-Liste wird eingestellt. Bislang konnten Nutzer Webanwendungen wie Outlook oder Drittanbieter-Tools am Browserrand anheften.
Die Möglichkeit, neue Apps hinzuzufügen, ist bereits deaktiviert. Bestehende Apps sollen in einem künftigen Update entfernt werden – Nutzer erhalten vorab eine Benachrichtigung. Die Reaktionen fallen gemischt aus: Microsoft will Windows 11 und seine Apps entrümpeln, doch viele Power-User sahen in der Seitenleiste einen entscheidenden Grund, Edge gegenüber der Konkurrenz zu nutzen.
CEO Satya Nadella betonte in einer Telefonkonferenz zum dritten Quartal, der Fokus liege künftig auf Leistung und Integration in das wachsende KI-Ökosystem. Der Copilot-Assistent bleibt zentraler Bestandteil des Browsers und soll weiter ausgebaut werden.
Weitere technische Baustellen
Die Passwort-Problematik ist nicht der einzige technische Stolperstein für Microsoft. Bereits im April 2026 hatte eine Treiber-Blocklist-Änderung (CVE-2023-43896) unbeabsichtigt Fehler in Backup-Software wie Acronis und Macrium ausgelöst. Die Aufnahme des Treibers psmounterex.sys in die Blocklist führte zu Timeout-Fehlern bei VSS-Snapshots – Administratoren mussten händisch nach Updates suchen.
Auch die Kollaborationssuite bleibt nicht verschont: Microsoft kündigte an, den „Together Mode“ für Teams-Meetings im Juni 2026 einzustellen. Der Fokus verlagert sich auf den Gallery Mode. Gleichzeitig hält der Perplexity Computer Einzug – ein „digitaler Arbeiter“, der seit dem 4. Mai 2026 im Microsoft Teams Marketplace verfügbar ist und erweiterte Recherche- und Dokumenterstellungsfunktionen direkt in der Arbeitsumgebung bietet.
Wer angesichts wachsender Cyber-Gefahren auf Passwörter verzichten möchte, findet in der neuen Passkey-Technologie eine sichere Alternative. Dieser kostenlose Report erklärt, wie Sie die passwortlose Anmeldung bei Diensten wie Microsoft oder WhatsApp einrichten. Gratis-Ratgeber: So funktionieren Passkeys
Ausblick: Hardware-gebundene Passkeys als Lösung?
Die Entdeckung der Klartext-Passwörter im Arbeitsspeicher ist ein Weckruf. Experten fordern, die Branche müsse auf hardware-gebundene Passkeys setzen, um die Abhängigkeit von speicherbasierten Anmeldedaten zu beenden. Während Browser wie Firefox in bestimmten Konfigurationen ähnliche Verhaltensweisen zeigen, bleibt das „by design“-Laden aller Zugangsdaten in Edge der zentrale Kritikpunkt.
Microsoft selbst scheint auf die „Agent 365“-Plattform zu setzen, die Anfang Mai 2026 startete. Sie soll die Sicherheit von KI-Agenten in Unternehmen gewährleisten und Zero-Trust-Modelle auf diese automatisierten Einheiten ausweiten. Partner wie Zensai bringen bereits „Human Success Agents“ auf den Markt, die Mitarbeiterdaten in Echtzeit analysieren.
Für Systemadministratoren heißt die Devise: Den Einsatz integrierter Browser-Passwortmanager in risikoreichen Umgebungen überwachen und alle Unternehmenssoftware auf dem neuesten Stand halten. Microsofts Weg ist klar: ein schlanker, KI-zentrierter Browser für das „Agent“-Zeitalter – auch wenn die Balance zwischen Funktionsvielfalt und grundlegender Sicherheit noch nicht gefunden scheint.
