Browser-Erweiterungen: nie vertrauen, immer überprüfen

Systematische Maßnahmen und Tools, mit denen Unternehmen sich vor schädlichen Browser-Erweiterungen schützen können.

So prüfst du Browser-Erweiterungen in deinem Unternehmen

Schädliche Browser-Erweiterungen bleiben ein großer blinder Fleck für die Cybersicherheitsteams vieler Unternehmen. Sie sind aus dem Arsenal von Cyberkriminellen nicht mehr wegzudenken und werden für Sitzungs- und Kontodiebstahl, Spionage, Maskierung anderer krimineller Aktivitäten, Anzeigenbetrug und Diebstahl von Kryptowährungen verwendet. Aufsehenerregende Vorfälle mit schädlichen Erweiterungen sind häufig – von der Kompromittierung der Cyberhaven-Sicherheitserweiterung bis hin zur Massenveröffentlichung von Infostealer-Erweiterungen.

Erweiterungen sind für Angreifer attraktiv, da ihnen Berechtigungen und ein umfassender Zugriff auf Informationen in SaaS-Anwendungen und Websites gewährt werden. Da es sich nicht um eigenständige Anwendungen handelt, stehlen sie sich oft an den üblichen Sicherheitsrichtlinien und Kontrolltools vorbei.

Das Sicherheitsteam eines Unternehmens muss dieses Problem systematisch angehen. Die Verwaltung von Browser-Erweiterungen erfordert eine Kombination aus Tools zur Richtlinienverwaltung und speziellen Diensten oder Dienstprogrammen zur Analyse von Erweiterungen. Dieses Thema stand im Mittelpunkt des Vortrags von Athanasios Giatsos auf dem Security Analyst Summit 2025.

Bedrohungspotenzial von Web-Erweiterungen und Innovationen in Manifest V3

Die Web-Erweiterung eines Browsers hat umfassenden Zugriff auf Webseiten-Informationen: Sie kann alle Daten lesen und ändern, die dem Benutzer über die Web-Anwendung zur Verfügung stehen, einschließlich Finanzdaten und Krankenakten. Erweiterungen erhalten auch häufig Zugriff auf wichtige Daten, die Benutzer normalerweise nicht sehen: Cookies, lokale Speicher und Proxy-Einstellungen. Dies erleichtert die Übernahme von Sitzungen erheblich. Manchmal gehen die Funktionen von Erweiterungen weit über Webseiten hinaus: Sie können auf den Standort des Benutzers, Browser-Downloads, Desktop-Bildschirmaufnahmen, Inhalte der Zwischenablage und Browser-Benachrichtigungen zugreifen.

In der zuvor vorherrschenden Erweiterungsarchitektur sind die Erweiterungen von Manifest V2, die in Chrome, Edge, Opera, Vivaldi, Firefox und Safari funktionierten, in Bezug auf die Funktionen praktisch nicht von ausgewachsenen Anwendungen zu unterscheiden. Sie können kontinuierlich Hintergrundskripte ausführen, unsichtbare Webseiten geöffnet halten, Skripte von externen Websites laden und ausführen und mit beliebigen Websites kommunizieren, um Daten abzurufen oder zu senden. Um möglichen Missbrauch einzudämmen – und Werbeblocker einzuschränken – hat Google Chromium und Chrome auf Manifest V3 umgestellt. Dieses Update hat viele Funktionen der Erweiterungen eingeschränkt oder blockiert. Erweiterungen müssen jetzt alle Websites, mit denen sie kommunizieren, deklarieren, dürfen keinen dynamisch geladenen Code von Drittanbietern ausführen und müssen kurzlebige Mikrodienste anstelle von persistenten Hintergrundskripten verwenden. Während einige Arten von Angriffen aufgrund der neuen Architektur schwieriger auszuführen sind, können Angreifer ihren schädlichen Code leicht umschreiben, um die wichtigsten Funktionen beizubehalten und gleichzeitig auf Tarnung zu verzichten. Daher vereinfacht es die Überwachung, sich innerhalb eines Unternehmens ausschließlich auf Browser und Erweiterungen zu verlassen, die unter Manifest V3 arbeiten, aber es ist kein Allheilmittel.

Außerdem behebt Version 3 das Kernproblem der Erweiterungen nicht: Sie werden in der Regel aus offiziellen App-Stores unter Verwendung legitimer Google-, Microsoft- oder Mozilla-Domains heruntergeladen. Ihre Aktivität scheint vom Browser selbst initiiert zu werden, was es äußerst schwierig macht, Aktionen, die von einer Erweiterung ausgeführt werden, von solchen zu unterscheiden, die vom Benutzer manuell ausgeführt werden.

Wie schädliche Erweiterungen entstehen

Athanasios Giatsos hebt verschiedene Szenarien hervor, in denen schädliche Erweiterungen sich hässlich auswachsen können:

  • Der ursprüngliche Entwickler verkauft eine legitime und beliebte Erweiterung. Der Käufer „veredelt“ sie dann mit schädlichem Code, um sie in Werbeanzeigen, für Spionage oder andere schändliche Zwecke zu verwenden. Beispiele hierfür sind The Great Suspender und Page Ruler.
  • Angreifer kompromittieren das Konto des Entwicklers und veröffentlichen ein mit einem Trojaner versehenes Update für eine vorhandene Erweiterung, wie es bei Cyberhaven der Fall war.
  • Die Erweiterung ist von Anfang an so konzipiert, dass sie schädlich ist. Sie gibt sich entweder als hilfreiches Dienstprogramm aus, beispielsweise als gefälschtes Tool zum Speichern in Google Drive, oder ahmt die Namen und Designs gängiger Erweiterungen nach, wie Dutzende von verfügbaren AdBlock-Klonen.
  • Eine komplexere Version dieses Schemas besteht darin, die Erweiterung zunächst in einem bereinigten Zustand zu veröffentlichen, wo sie eine wirklich nützliche Funktion ausführt. Schädliche Erweiterungen werden Wochen oder sogar Monate später eingeführt, sobald die Erweiterung genügend Popularität erlangt hat. ChatGPT für Google ist ein Beispiel.

In all diesen Szenarien ist die Erweiterung im Chrome Web Store weit verbreitet und wird manchmal sogar offen beworben. Es gibt jedoch auch ein gezieltes Angriffsszenario, bei dem das Opfer durch Phishing-Seiten oder -Nachrichten aufgefordert wird, eine schädliche Erweiterung zu installieren, die nicht für die Öffentlichkeit zugänglich ist.

Die zentralisierte Verteilung über den Chrome Web Store in Kombination mit automatischen Updates für Browser und Erweiterungen führt oft dazu, dass Benutzer unwissentlich und ohne eigenes Zutun eine schädliche Erweiterung erhalten. Wenn eine Erweiterung, die bereits auf einem Computer installiert ist, ein schädliches Update erhält, wird sie automatisch installiert.

Schutz vor schädlichen Erweiterungen in Unternehmen

In seinem Vortrag gab Athanasios eine Reihe allgemeiner Empfehlungen:

  • Einführung einer Unternehmensrichtlinie zur Verwendung von Browser-Erweiterungen.
  • Verbot von Erweiterungen, die nicht ausdrücklich in einer Liste enthalten sind, die von den Abteilungen Cybersicherheit und IT genehmigt wurde.
  • Kontinuierliche Überprüfung aller installierten Erweiterungen und deren Versionen.
  • Wenn Erweiterungen aktualisiert werden, kannst du Änderungen der erteilten Berechtigungen und Änderungen der Eigentümerschaft der Erweiterungen oder ihres Entwicklerteams nachverfolgen.
  • Integriere Informationen über die Risiken und Regeln für die Verwendung von Browser-Erweiterungen in die Schulungsprogramme für das Sicherheitsbewusstsein aller Mitarbeiter.

Wir fügen diesen Empfehlungen einige praktische Einblicke und spezifische Überlegungen hinzu.

Eingeschränkte Liste von Erweiterungen und Browsern. Neben der Anwendung von Sicherheitsrichtlinien auf die offiziell zugelassenen Browser des Unternehmens ist es wichtig, die Installation von portablen Versionen und trendigen KI-Browsern wie Comet oder anderen nicht autorisierten Lösungen, die die Installation derselben gefährlichen Erweiterungen ermöglichen, zu verbieten. Stelle bei der Implementierung dieses Schritts sicher, dass die Berechtigungen des lokalen Administrators auf das IT-Personal und andere Mitarbeiter beschränkt sind, deren Aufgaben dies unbedingt erfordern.

Als Teil der Richtlinie für den Hauptbrowser des Unternehmens solltest du den Entwicklermodus deaktivieren und die Installation von Erweiterungen aus lokalen Dateien verbieten. In Chrome kanst du dies über die Admin-Konsole verwalten. Diese Einstellungen sind auch über Windows-Gruppenrichtlinien, macOS -Konfigurationsprofile oder über eine JSON-Richtliniendatei unter Linux verfügbar.

Verwaltete Updates. Implementiere das Versions-Pinning, um zu verhindern, dass Updates für erlaubte Erweiterungen sofort unternehmensweit installiert werden. Die IT- und Cybersicherheitsteams müssen regelmäßig neue Versionen genehmigter Erweiterungen testen und die aktualisierten Versionen erst nach einer Überprüfung freigeben.

Mehrstufige Abwehr. Es ist obligatorisch, einen EDR-Agent auf allen Unternehmensgeräten zu installieren, um zu verhindern, dass Benutzer nicht autorisierte Browser starten, das Risiko des Besuchs schädlicher Phishing-Seiten zu verringern und den Download von Malware zu blockieren. Es ist auch erforderlich, DNS-Anfragen und den Netzwerkverkehr des Browsers auf Firewall-Ebene zu verfolgen, um die Kommunikation mit verdächtigen Hosts und andere Anomalien in Echtzeit zu erkennen.

Unterbrechungsfreie Überwachung. Verwende EDR- und SIEM-Lösungen, um Informationen zum Browserstatus von den Workstations der Mitarbeiter zu erfassen. Dazu gehören die Liste der Erweiterungen in jedem installierten Browser sowie die Manifest-Dateien für die Versions- und Berechtigungsanalyse. Auf diese Weise kann schnell erkannt werden, ob neue Erweiterungen installiert werden oder wenn die Version aktualisiert wird und sich die Berechtigungen geändert haben.

So überprüfst du Browser-Erweiterungen

Um die oben beschriebenen Kontrollen zu implementieren, benötigt das Unternehmen eine interne Datenbank mit genehmigten und verbotenen Erweiterungen. Leider bieten die Anwendungsspeicher und die Browser selbst keine Mechanismen, um Risiken auf organisatorischer Ebene zu bewerten oder eine solche Liste automatisch zu füllen. Daher muss das Cybersicherheitsteam sowohl diesen Prozess als auch die Liste erstellen. Mitarbeiter benötigen außerdem ein formelles Verfahren, um Anträge auf Aufnahme von Erweiterungen in die Liste der genehmigten Geräte zu stellen.

Die Einschätzung des Business-Bedarfs und der verfügbaren Alternativen wird am besten mit einem Vertreter der entsprechenden Business-Einheit durchgeführt. Die Risikobewertung bleibt jedoch vollständig in der Verantwortung des Sicherheitsteams. Es ist nicht erforderlich, Erweiterungen manuell herunterzuladen und sie in verschiedenen Stores für Erweiterungen zu referenzieren. Diese Aufgabe kann von einer Reihe von Tools übernommen werden, z. B. von Open-Source-Dienstprogrammen, kostenlosen Online-Diensten und kommerziellen Plattformen.

Dienste wie Spin.AI und Koidex (ehemals ExtensionTotal) können verwendet werden, um das Gesamtrisikoprofil abzuschätzen. Beide unterhalten eine Datenbank mit beliebten Erweiterungen, sodass die Bewertung in der Regel sofort erfolgt. Sie verwenden LLMs, um eine kurze Zusammenfassung der Eigenschaften der Erweiterung zu erstellen, aber auch um detaillierte Analysen zu liefern, einschließlich der erforderlichen Berechtigungen, des Entwicklerprofils und des Verlaufs der Versionen, Bewertungen und Downloads.

Um die wichtigsten Daten zu Erweiterungen zu untersuchen, kannst du auch Chrome-Stats verwenden. Dieser Dienst ist zwar in erster Linie für Entwickler von Erweiterungen gedacht, zeigt jedoch Bewertungen, Rezensionen und andere Store-Daten an. Vor allem ermöglicht er Benutzern, die aktuelle und mehrere frühere Versionen einer Erweiterung direkt herunterzuladen, was die Untersuchung von Vorfällen vereinfacht.

Für eine tiefere Analyse verdächtiger oder geschäftskritischer Erweiterungen kannst du Tools wie CRX Viewer verwenden. Dieses Tool ermöglicht es Analysten, die internen Komponenten der Erweiterung zu untersuchen, den Inhalt bequem zu filtern und anzuzeigen, wobei der Schwerpunkt auf dem HTML- und JavaScript-Code liegt.

Tipps

Privatsphäre in sozialen Medien – Stand 2025

In welchen sozialen Netzwerken bleiben deine Beiträge vorwiegend deinen Freunden vorbehalten? Welche Netzwerke verwenden deine Postings für KI-Training und gezielte Werbung? Wir untersuchen das aktuelle Privatsphäre-Ranking für populäre Social-Media-Plattformen.

  • Für alle anderen Länder