Die Lösung für das Klartext-Passwort-Problem in Microsoft Edge

Microsoft Edge stand zuletzt wegen seines integrierten Passwortmanagers in der Kritik. Der Vorwurf: Gespeicherte Kennwörter wurden beim Start des Browsers in den Arbeitsspeicher geladen und dort im Klartext vorgehalten.

Microsoft hat inzwischen reagiert. Laut Microsoft werden gespeicherte Passwörter ab Edge Build 148 nicht mehr automatisch beim Browserstart in den Speicher geladen. Microsoft beschreibt die Änderung als zusätzliche Sicherheitsmaßnahme, also als sogenannte „Defense-in-Depth“-Verbesserung.

Quelle:
https://microsoftedge.github.io/edgevr/posts/Saved-passwords-in-Edge-memory-what-were-changing-and-why/

Damit ist der konkrete Fall technisch entschärft. Für Unternehmen ist das Thema damit aber nicht erledigt. Denn die eigentliche Frage lautet:

Sollten geschäftliche Passwörter überhaupt im Browser gespeichert werden?

Aus Sicht professioneller IT-Sicherheit ist die Antwort klar: besser nicht.

Browser-Passwortmanager sind bequem. Für private Nutzung kann das hilfreich sein. Im Unternehmensumfeld reicht Bequemlichkeit aber nicht aus. Dort geht es um zentrale Verwaltung, sichere Freigaben, klare Zuständigkeiten und nachvollziehbare Kontrolle über geschäftliche Zugangsdaten.

Nach aktuellem Stand gibt es für dieses Edge-Verhalten keine belastbare offizielle CVE-Zuordnung und damit auch keinen offiziellen CVSS-Wert. Der Fall sollte daher nicht als klassische Schwachstelle mit CVE-Nummer dargestellt werden. Fachlich sauberer ist die Einordnung als sicherheitsrelevantes Verhalten im Umgang mit gespeicherten Kennwörtern, das Microsoft inzwischen korrigiert hat.

Auch Heise und ChannelPartner haben über den Fall berichtet und das Thema als relevantes Sicherheitsproblem eingeordnet:

https://www.heise.de/news/Microsoft-Edge-Keine-Klartext-Passwoerter-mehr-im-Browserprozess-11296765.html
https://www.channelpartner.de/article/4172805/microsoft-schliest-passwort-lucke-in-edge-und-will-umdenken.html

Die richtige Konsequenz lautet deshalb nicht nur: Edge aktualisieren.

Sicherheitsupdates bleiben Pflicht. 

Der Fall zeigt erneut, warum ein verlässliches Patchmanagement unverzichtbar ist. Sicherheitsrelevante Updates müssen zeitnah erkannt, bewertet und ausgerollt werden. Comp4U unterstützt Unternehmen dabei mit Managed Patchmanagement als Bestandteil des Active Desktop Managements.

Die bessere Konsequenz geht aber einen Schritt weiter:

Geschäftliche Passwörter gehören raus aus dem Browser – und hinein in eine professionelle, zentral verwaltete Passwortmanagement-Lösung.

Genau hier setzt Comp4U an: mit einer professionellen, zentral verwalteten Passwortmanagement-Lösung als Bestandteil einer modernen Identity-Access-Management-Strategie. Ziel ist nicht einfach nur ein anderes Tool, sondern ein sicherer und sauber betriebener Umgang mit geschäftlichen Zugangsdaten – passend zur bestehenden IT-Security-Umgebung.

Weitere Informationen:
https://www.comp4u.de/cybersecurity/iam-identity-access-management

Warum Browser-Passwortmanager im Unternehmen problematisch sind

Der integrierte Passwortmanager im Browser ist in erster Linie eine Komfortfunktion. Er soll Benutzern helfen, Passwörter nicht mehrfach einzugeben oder sich nicht alles merken zu müssen.

Das ist nachvollziehbar. Aber im Unternehmen reicht dieser Ansatz nicht aus.

Geschäftliche Zugangsdaten betreffen nicht nur einzelne Benutzer. Sie betreffen Kundenzugänge, Cloud-Dienste, Portale, Administrationskonten, interne Systeme und oft auch gemeinsam genutzte Ressourcen. Genau deshalb müssen Passwörter zentral verwaltet und kontrolliert werden.

Eine professionelle Passwortmanagement-Lösung bietet hier deutlich mehr Möglichkeiten: zentrale Steuerung, sichere Freigaben, klare Trennung zwischen privaten und geschäftlichen Zugangsdaten sowie eine bessere Nachvollziehbarkeit für IT-Verantwortliche.

Fazit

Microsoft hat Edge nachgebessert. Das ist richtig und wichtig.

Der Fall zeigt aber vor allem eines: Browser-Passwortmanager sind für Unternehmen keine ausreichende Passwortstrategie. Sie sind bequem, aber nicht die passende Grundlage für geschäftskritische Zugangsdaten.

Die nachhaltige Lösung für das Klartext-Passwort-Problem in Microsoft Edge ist deshalb nicht nur ein Browser-Update.

Die nachhaltige Lösung ist professionelles, zentral verwaltetes Passwortmanagement.