Chrome-Erweiterungen kapern Unternehmensdaten

Fünf bösartige Browser-Add-ons haben sich als Produktivitäts-Tools getarnt und Zugriff auf sensible HR- und ERP-Systeme wie SAP SuccessFactors erlangt. Die Schadsoftware ermöglicht Cyberkriminellen die vollständige Kontenübernahme.

Eine neue, hochgefährliche Cyber-Bedrohung zielt direkt auf die Kernsysteme von Unternehmen ab. Sicherheitsforscher haben fünf schädliche Google-Chrome-Erweiterungen entdeckt, die sich als nützliche Werkzeuge für weit verbreitete Personal- und Unternehmenssoftware ausgeben. Die Malware, die unter anderem auf Workday, NetSuite und SAP SuccessFactors abzielt, wurde bereits über 2.300 Mal installiert. Sie erlaubt Angreifern den Diebstahl sensibler Daten und die komplette Übernahme von Benutzerkonten – ein Alarmsignal für die IT-Sicherheit in deutschen Konzernen und Mittelständlern.

Gefährliche Tarnung: Der Wolf im Schafspelz

Die Angreifer gingen raffiniert vor. Sie tarnten ihre schädlichen Erweiterungen als hilfreiche Add-ons, die den Zugang zu Premium-Funktionen oder die Verwaltung von HR-Plattformen vereinfachen sollen. Unter harmlos klingenden Namen wie “DataByCloud Access” oder “Software Access” verbarg sich bösartiger Code. Einmal installiert, begannen die Erweiterungen im Hintergrund, Authentifizierungs-Cookies abzugreifen. Diese enthalten aktive Login-Informationen und wurden im Minutentakt an Server der Angreifer gesendet.

Doch wie funktioniert der Angriff im Detail? Und warum ist er so schwer abzuwehren?

Technischer Einblick: Session-Hijacking und blockierte Abwehr

Die Methodik der Cyberkriminellen ist mehrstufig und besonders heimtückisch. Analysen der Cybersicherheitsfirma Socket identifizierten drei Hauptangriffswege:
1. Cookie-Diebstahl: Das Abgreifen der aktiven Sitzungstokens.
2. Manipulation der Webseiten-Struktur: Hierdurch werden Sicherheits- und Administrationsseiten blockiert.
3. Session-Hijacking: Die Übernahme laufender Nutzersitzungen durch eingeschleuste Cookies.

Besonders die Erweiterung “Software Access” zeigte ein hochentwickeltes Verhalten. Sie ermöglichte eine bidirektionale Cookie-Manipulation. Das bedeutet: Angreifer konnten nicht nur Cookies stehlen, sondern auch gestohlene Authentifizierungsdaten direkt in den Browser eines Opfers einschleusen. So übernahmen sie aktive Sitzungen – ohne Passwörter oder Multi-Faktor-Authentifizierung (MFA) zu umgehen. Gleichzeitig blockierten sie die administrativen Oberflächen, sodass Sicherheitsteams kompromittierte Konten nicht sperren konnten.

Viele Unternehmen unterschätzen, wie gefährlich vermeintlich nützliche Browser-Add-ons sein können: Sie erlauben Angreifern die Übernahme aktiver Sitzungen und den Zugriff auf HR- und ERP-Daten. Der kostenlose Leitfaden „Cyber Security Awareness Trends“ zeigt praxisorientiert, welche kurz- und mittelfristigen Maßnahmen wirklich schützen – von verbindlichen Add-on-Richtlinien über Monitoring und Anti-Phishing-Prozesse bis zu Mitarbeiterschulungen. Ideal für IT-Verantwortliche in Mittelstand und Konzernen, die sofort handeln müssen. Jetzt kostenloses Cyber-Security-E-Book herunterladen

Verbreitung und Reaktion: Ein Einzelfall mit System

Über 2.300 Installationen mögen gering erscheinen. Der potenzielle Schaden ist jedoch enorm. Da die Angriffe auf Unternehmens-Logins abzielen, kann ein einziger erfolgreicher Einbruch als Sprungbrett für Datendiebstahl oder Ransomware-Angriffe dienen. Die Erweiterungen wurden hauptsächlich unter den Entwicklernamen “databycloud1104” und “Software Access” veröffentlicht. Identische Code-Strukturen deuten auf eine koordinierte Operation hin.

Google hat auf die Meldungen reagiert und die meisten schädlichen Erweiterungen aus dem Chrome Web Store entfernt. Zum Zeitpunkt der Entdeckung war jedoch mindestens eine noch verfügbar. Die Gefahr besteht weiter, da solche Add-ons oft auch auf Drittanbieter-Portalen kursieren.

Browser-Add-ons: Das unterschätzte Sicherheitsrisiko

Der Vorfall zeigt ein massives, oft vernachlässigtes Problem in der Unternehmens-IT. Browser-Erweiterungen sind für viele Mitarbeiter unverzichtbar. Bei der Installation fordern sie jedoch oft weitreichende Berechtigungen – sie dürfen dann Daten auf allen besuchten Webseiten lesen und ändern. Diese Tür nutzten die Angreifer gezielt für ihre Attacken auf HR- und ERP-Systeme. Gerade diese Plattformen beherbergen die sensibelsten Daten eines Unternehmens: Personaldaten, Gehaltsinformationen und Finanzdaten.

Was bedeutet das für deutsche Unternehmen, die stark auf SAP-Lösungen setzen?

Ausblick: So schützen sich Unternehmen

Dieser Angriff ist ein dringender Weckruf für alle IT-Verantwortlichen. Es braucht klare Richtlinien für den Umgang mit Browser-Erweiterungen. Nutzer, die eines der betroffenen Add-ons installiert haben, sollten es sofort entfernen, alle betroffenen Passwörter zurücksetzen und ihre Konten auf verdächtige Aktivitäten prüfen.

Präventiv empfehlen Experten folgende Maßnahmen:
* Richtlinien etablieren: Definieren Sie verbindlich, welche Erweiterungen im Unternehmen erlaubt sind.
* Minimierungsprinzip: Reduzieren Sie die Anzahl der Add-ons auf das absolut notwendige Minimum.
* Offizielle Quellen: Erlauben Sie Installationen nur aus den offiziellen Stores der Browser-Hersteller.
* Berechtigungen hinterfragen: Sensibilisieren Sie Mitarbeiter, die bei der Installation geforderten Rechte kritisch zu prüfen.
* Regelmäßige Audits: Lassen Sie die IT-Sicherheit prüfen, welche Erweiterungen im Unternehmensnetzwerk im Einsatz sind.

Die Gefahr lauert oft im scheinbar Nützlichen. Dieser Fall zeigt: Bei Browser-Erweiterungen ist gesundes Misstrauen mehr als angebracht.

PS: Sie möchten konkrete Sofort-Maßnahmen gegen Browser-basierte Angriffe? Unser Gratis-Report liefert Checklisten, Fallbeispiele und eine Schritt-für-Schritt-Anleitung, wie Sie Add-on-Policies durchsetzen, Session-Schutz verbessern und Admin-Konten härten – ganz ohne teure Neubesetzungen. Perfekt für Verantwortliche, die HR- und ERP-Systeme schnell und praxisnah absichern wollen. Gratis-Report: IT-Sicherheit für HR & ERP sichern