Chrome-Erweiterungen, HR-

Chrome-Erweiterungen kapern HR- und ERP-Systeme

23.01.2026 - 16:15:12

Fünf als Produktivitätstools getarnte Chrome-Erweiterungen griffen gezielt Unternehmensplattformen an, stahlen Zugangsdaten und blockierten IT-Gegenmaßnahmen. Die koordinierte Kampagne wurde entdeckt.

Chrome-Erweiterungen kapern HR- und ERP-Systeme - Foto: über boerse-global.de
Chrome-Erweiterungen kapern HR- und ERP-Systeme - Foto: über boerse-global.de

Fünf bösartige Browser-Add-ons haben gezielt Unternehmensplattformen wie SAP SuccessFactors angegriffen und Zugangsdaten gestohlen. Die als Produktivitätstools getarnten Erweiterungen ermöglichten Angreifern den Zugriff auf sensible Personal- und Finanzdaten – und blockierten sogar die IT-Abwehr.

Die Sicherheitsfirma Socket entdeckte die koordinierte Kampagne. Die Erweiterungen mit Namen wie DataByCloud und Software Access waren im offiziellen Chrome Web Store verfügbar und wurden etwa 2.300 Mal heruntergeladen, bevor Google sie entfernte. Sie zielten spezifisch auf Enterprise-Systeme wie Workday, NetSuite und SAP SuccessFactors – die digitale Schaltzentrale für Personal und Finanzen vieler Konzerne.

Getarnte Spionage-Tools im offiziellen Store

Die Angreifer gingen raffiniert vor. Die Erweiterungen wirkten professionell, warben teilweise sogar mit Sicherheitsfeatures. Nach der Installation jedoch stahlen sie Authentifizierungs-Cookies und Session-Tokens und schickten sie an Server der Angreifer. Mit diesen Daten konnten sie sich ohne Passwort in die Unternehmenssysteme einloggen – eine Methode, die als Session Hijacking bekannt ist.

„Das ist ein signifikanter Angriffsvektor“, erklärt ein Sicherheitsexperte. „Die Erweiterungen umgingen traditionelle Sicherheitsmaßnahmen und gaben direkten Zugriff auf die Kronjuwelen eines Unternehmens: Personalakten, Gehaltsdaten und interne Workflows.“

Anzeige

Passend zum Thema Cyberangriffe: Der kostenlose Report „Cyber Security Awareness Trends“ erklärt, wie Angreifer moderne Taktiken — etwa bösartige Browser‑Erweiterungen oder Session‑Hijacking — einsetzen und welche pragmatischen Gegenmaßnahmen IT‑Teams sofort umsetzen können. Der Leitfaden kombiniert aktuelle Bedrohungsanalysen mit einfachen technischen und organisatorischen Schritten, die auch ohne großes Budget wirken. Ideal für IT‑Verantwortliche und Geschäftsführer, die Datenschutz und Geschäftskontinuität schützen wollen. Jetzt kostenlosen Cyber‑Security‑Report für Unternehmen herunterladen

IT-Abwehr aktiv blockiert

Besonders alarmierend: Die Malware sabotierte gezielt die Gegenmaßnahmen der Unternehmen. Sie blockierte den Zugang zu Seiten, auf denen Nutzer Passwörter ändern oder die Zwei-Faktor-Authentifizierung verwalten konnten. „Das schuf ein Szenario des Kontrollverlusts“, so der Experte. „Sicherheitsteams sahen die verdächtige Aktivität, konnten aber nicht eingreifen.“

Betroffene Unternehmen standen vor einer schwierigen Wahl: Den unbefugten Zugriff dulden oder den aufwändigen Prozess starten, betroffene Nutzerkonten komplett neu anzulegen. Die identische Schadsoftware in allen fünf Erweiterungen belegt eine einzige, koordinierte Operation.

Browser-Erweiterungen als neues Einfallstor

Dieser Vorfall ist Teil eines bedenklichen Trends. Browser-Erweiterungen werden zunehmend als Waffe eingesetzt, um Unternehmensperimeter zu umgehen. Während sich Sicherheitskontrollen oft auf Netzwerk und Endgeräte konzentrieren, bieten Erweiterungen direkten Zugriff auf Daten innerhalb der Anwendungen.

Erst kürzlich tarnte sich die Erweiterung NexShield als beliebter Werbeblocker, installierte aber einen Remote-Access-Trojaner. Sie verwendete eine „CrashFix“-Methode: Der Browser stürzte absichtlich ab, dann erschien eine gefälschte Sicherheitswarnung, die Nutzer zum Ausführen bösartiger PowerShell-Befehle verleitete.

Strategische Angriffe auf Unternehmenskerne

Die Wahl der Ziele ist strategisch. HR- und ERP-Systeme sind die zentralen Datenbanken für das wertvollste Gut eines Unternehmens: seine Mitarbeiter und Finanzen. Ein erfolgreicher Angriff kann zu massiven finanziellen Verlusten, Reputationsschäden und regulatorischen Strafen führen.

Die rund 2.300 Installationen zeigen: Selbst bei vergleichsweise geringen Nutzerzahlen kann die Wirkung auf hochwertige Unternehmensziele erheblich sein. Die koordinierte Natur der Attacke deutet auf einen Akteur mit klarem Verständnis für Unternehmensprozesse und Sicherheitslücken hin.

Was Unternehmen jetzt tun müssen

Google hat die identifizierten Erweiterungen entfernt. Nutzer, die sie bereits installiert haben, müssen sie jedoch manuell deinstallieren. Sicherheitsexperten raten Unternehmen dringend zu drei Maßnahmen:

  1. Striktere Richtlinien für die Installation von Browser-Erweiterungen durch Mitarbeiter
  2. Regelmäßige Inventarisierung aller im Unternehmen genutzten Erweiterungen
  3. Sensibilisierung der Belegschaft für die Risiken scheinbar harmloser Browser-Tools

Die wachsende Raffinesse dieser Angriffe erfordert eine mehrschichtige Verteidigung. Lösungen, die das Verhalten von Erweiterungen in Echtzeit analysieren und riskante Aktivitäten blockieren, werden immer wichtiger. Der Browser bleibt ein zentrales Schlachtfeld der Cybersicherheit – und die Wachsamkeit der IT-Teams ist gefordert wie nie.

Anzeige

PS: Möchten Sie Ihr Unternehmen schnell besser schützen? Das Gratis‑E‑Book „Cyber Security Awareness Trends“ zeigt praxisnahe Maßnahmen gegen Phishing, bösartige Extensions und andere Angriffsvektoren — inklusive Checklisten für Mitarbeiterschulungen und technische Kontrollen. Perfekt für Organisationen, die ihre Abwehr in kurzer Zeit stärken und Awareness nachhaltig verankern wollen. Gratis Cyber‑Security‑Guide jetzt anfordern

@ boerse-global.de
Lerne live von den Börsen-Profis – melde dich jetzt kostenlos an.