Chrome-Sicherheitslücke: Warum Browser-Passwortmanager unter Beschuss stehen

Ein kritischer Sicherheitsvorfall lässt Experten aufhorchen: Google bestätigte am Wochenende 13 neue Schwachstellen in Chrome – darunter eine gravierende Lücke im integrierten Passwortmanager. Parallel dazu veröffentlichten Sicherheitsforscher alarmierende Zahlen: Über 2 Milliarden Zugangsdaten wurden allein im vergangenen Jahr durch sogenannte Infostealer-Malware gestohlen. Die Schnittmenge dieser beiden Entwicklungen wirft eine unbequeme Frage auf: Sind Browser-Passwortmanager überhaupt noch sicher?

Die Antwort der Cybersecurity-Community fällt zunehmend eindeutig aus. Immer mehr Fachleute raten dazu, sensible Anmeldedaten aus dem Browser zu entfernen und auf dedizierte Passwortmanager umzusteigen. Doch was steckt genau hinter dieser Warnung?

Browser-Passwortmanager wie Chrome Password Manager bieten fraglos Komfort: Ein Klick, und Zugangsdaten werden automatisch ausgefüllt. Doch dieser Komfort hat seinen Preis. Die Synchronisation über die Cloud – bei Chrome etwa über das Google-Konto – schafft einen zentralen Angriffspunkt.

„Die Bequemlichkeit von Chrome Sync ist gleichzeitig seine Achillesferse”, warnt Sicherheitsexperte Zak Doffman in seiner am Sonntag veröffentlichten Analyse. „Gelingt es Angreifern, eine Google-Sitzung zu kapern – etwa durch Cookie-Diebstahl – erhalten sie sofortigen Zugriff auf sämtliche im Browser gespeicherten Passwörter.”

Infostealer und Session-Hijacking machen Browser-Passwortspeicher zur Zielscheibe — Millionen Zugangsdaten sind gefährdet. Ein kostenloses Anti-Phishing-Paket erklärt in 4 klaren Schritten, wie Sie Phishing-Mails erkennen, sichere Einstellungen durchsetzen und Ihre Konten vor automatischem Auslesen schützen. Ideal für Privatnutzer und kleine Unternehmen, die ihre Online-Zugänge sofort besser absichern wollen. Anti-Phishing-Paket jetzt herunterladen

Das Szenario ist keineswegs theoretisch. Wird das primäre E-Mail-Konto kompromittiert, verlieren Nutzer nicht nur den Zugang zu ihrer Mailbox, sondern potenziell zu allen Online-Banking-, Social-Media- und beruflichen Accounts, deren Zugangsdaten im Browser hinterlegt sind. Ein digitaler Super-GAU.

Infostealer-Epidemie: 2,1 Milliarden Datensätze im Umlauf

Die Dringlichkeit der aktuellen Warnungen wird durch beunruhigende Statistiken untermauert. Die Sicherheitsfirmen ESET und Kaspersky veröffentlichten am 4. Dezember ihre Bedrohungsanalysen – mit alarmierenden Erkenntnissen: Die Zahl der Infostealer-Attacken stieg 2025 um 59 Prozent.

Diese spezialisierte Schadsoftware zielt gezielt auf die Verschlüsselungsmethoden ab, mit denen Browser gespeicherte Passwörter sichern. Anders als eigenständige Passwortmanager, die in der Regel ein Master-Passwort oder biometrische Authentifizierung erfordern, halten Browser ihre Zugangsdaten oft für jeden Prozess mit Nutzerrechten zugänglich.

„Wir gehen davon aus, dass 75 Prozent der 3,2 Milliarden Zugangsdaten, die dieses Jahr im Darknet verkauft wurden, direkt von infizierten Geräten stammen”, heißt es im Bericht. Phishing oder Brute-Force-Angriffe? Überflüssig geworden.

Chrome-Update 143 und konkrete Schwachstellen

Die theoretischen Risiken wurden diese Woche zur Realität. Google rollte das Sicherheitsupdate Chrome 143 aus und bestätigte dabei die Lücke CVE-2025-13640 – eine „unsachgemäße Implementierung” innerhalb der Passwortmanager-Komponente.

Details hält Google bewusst zurück, um Missbrauch zu verhindern. Doch allein die Existenz einer hochkritischen Schwachstelle im Herzstück des Passwortsystems beunruhigt die Fachwelt. Hinzu kommt eine Ende November bekannt gewordene Lücke im Zusammenhang mit „DOM-basiertem Clickjacking” – einer Technik, bei der unsichtbare Overlays auf Webseiten Browser-Erweiterungen und Autofill-Funktionen zur unfreiwilligen Preisgabe von Zugangsdaten verleiten.

Der Unterschied zur Konkurrenz? Browser sind komplexe Rendering-Engines mit riesiger Angriffsfläche. Dedizierte Passwortmanager hingegen haben einen einzigen Fokus: Verschlüsselung und Zero-Knowledge-Architektur.

Was Nutzer jetzt tun sollten

Die Expertenempfehlungen sind eindeutig. Drei Sofortmaßnahmen werden dringend empfohlen:

1. Browser-Speicherung deaktivieren: In den Einstellungen von Chrome, Edge und Firefox die Option „Passwörter speichern anbieten” ausschalten.

2. Auf eigenständige Manager umsteigen: Zugangsdaten zu dedizierten Diensten wie Bitwarden, 1Password oder Proton Pass migrieren. Diese nutzen Ende-zu-Ende-Verschlüsselung, bei der der Entschlüsselungsschlüssel das Gerät des Nutzers nie verlässt.

3. Chrome-Synchronisation überprüfen: In den Chrome-Einstellungen gezielt festlegen, dass Passwörter und Zahlungsmethoden nicht in der Google-Cloud gespeichert werden.

„Wir beobachten eine klare Trennung zwischen Unternehmens- und Verbraucher-Sicherheitsniveau”, erklärt Dr. Elena Rostova, Analystin für digitale Privatsphäre. „Unternehmen schreiben eigenständige Passwortmanager vor, die Datenhoheit vom Browser-Anbieter trennen. Verbraucher, die auf Big-Tech-Ökosysteme vertrauen, werden zunehmend anfällig für Session-Hijacking-Angriffe, die selbst Zwei-Faktor-Authentifizierung umgehen.”

Ausblick: Browser als Navigation, nicht als Tresor

Die vermeintliche Lösung – Passkeys als kryptografische Ersatz für Passwörter – steht ebenfalls unter Beobachtung. Ein Bericht von The Register vom 6. Dezember zeigt: Auch Passkeys sind anfällig für Social Engineering, wenn sie über unsichere Cloud-Konten synchronisiert werden.

Browser-Hersteller werden in den kommenden Monaten wahrscheinlich nachbessern müssen. Denkbar ist die verpflichtende Einführung von Master-Passwörtern für Browser-Tresore. Doch bis sich die Architektur grundlegend ändert und Browsing-Aktivität von Credential-Speicherung getrennt wird, bleibt das Kontaminationsrisiko hoch.

Die Botschaft der Sicherheits-Community ist unmissverständlich: Der Browser dient dem Navigieren durchs Web – nicht als Wächter über die Schlüssel zum digitalen Leben.

PS: Sie nutzen Passwörter im Browser? Schützen Sie Ihre Konten zusätzlich — dieses Gratis-Paket zeigt konkrete Gegenmaßnahmen gegen Phishing, CEO-Fraud und Infostealer, inklusive Checkliste für sichere Browser‑Einstellungen und Verhaltensempfehlungen bei Verdacht. Holen Sie sich den Guide, bevor Kriminelle Ihre Daten im Darknet verkaufen. Jetzt Anti-Phishing-Guide anfordern