Passwörter im Klartext
Massive Sicherheitslücke bei Microsoft Edge entdeckt
05.05.2026 – 13:54 UhrLesedauer: 2 Min.
Der Passwort-Manager von Microsoft Edge speichert Passwörter als Klartext im Arbeitsspeicher ab – selbst ohne deren Verwendung. Warum das ein Problem ist.
Der Passwort-Manager von Microsofts Edge-Browser legt Kennwörter im Klartext im Arbeitsspeicher des Computers ab. Das hat der norwegische Sicherheitsexperte Tom Jøran Sønstebyseter Rønning herausgefunden. Wie er beim Kurznachrichtendienst X schreibt, macht das Programm das bereits beim Start des Browsers. Und zwar unabhängig davon, ob die Passwörter gerade benötigt werden oder nicht.
Nach Angaben des Forschers verhalte sich Edge damit anders als andere Chromium-basierte Browser. Google Chrome entschlüssele Passwörter etwa nur bei Bedarf. Zusätzlich nutze Chrome unter Windows eine Funktion namens „App-Bound Encryption“, die den Zugriff auf die Daten zusätzlich absichere.
Dadurch seien Passwörter dort nur kurzzeitig sichtbar, etwa beim automatischen Ausfüllen in einem geöffneten Browserfenster oder wenn Nutzer sich die Kennwörter aktiv anzeigen lassen. Bei Edge hingegen blieben diese dauerhaft im Speicher verfügbar.
Besonders kritisch könne das Verhalten des Edge-Passwort-Managers laut Rønning in gemeinsam genutzten Systemen wie in Firmennetzwerken sein. Angreifer mit administrativen Rechten könnten Passwörter aus den Prozessen anderer Nutzer auslesen. Auch dann, wenn diese selbst aktuell nicht aktiv seien.
Der Zugriff könne demnach sogar über einfache Mittel wie einen Speicherauszug aus dem Task-Manager von Windows erfolgen. Es sei lediglich notwendig, den richtigen Prozess zu identifizieren, so Rønning weiter.
Rønning meldete seine Entdeckung laut eigenen Angaben an Microsoft. Das Unternehmen habe erklärt, dass es sich dabei um eine bewusste Design-Entscheidung handle und nicht um einen Fehler des Edge-Passwort-Managers.
Was können Nutzer tun? Anwender sollten sich nach einem anderen Passwort-Manager umsehen. Einen Vergleich von solchen Programmen hat etwa die Verbraucherzentrale Nordrhein-Westfalen auf ihrer Seite veröffentlicht.
Zusammen mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) haben die Verbraucherschützer zehn Passwort-Speicher geprüft – darunter die der Browser Chrome und Firefox.
