Passwort-Manager-Erweiterungen: Sicherheitsrisiken und wie Sie Ihr Unternehmen schützen

Oder Eshed Veröffentlicht – 07. Juli 2025

Inhaltsverzeichnis

Was sind Passwort-Manager-Erweiterungen?
Wichtige Sicherheitsrisiken von Passwort-Manager-Erweiterungen
Auswirkungen von Sicherheitslücken in Passwort-Manager-Erweiterungen auf Unternehmen
Letzter Teil: Wie LayerX Passwort-Manager-Erweiterungen sichert

Passwort-Manager-Erweiterungen erhöhen den Komfort. In den Händen von Mitarbeitern können sie jedoch erhebliche Risiken für das Unternehmen bergen. In diesem Artikel behandeln wir die wichtigsten Sicherheitsrisiken von Passwort-Manager-Erweiterungen, die Auswirkungen auf Unternehmen und was Unternehmen dagegen tun können. Außerdem listen wir die beliebtesten Erweiterungen dieser Kategorie auf, die Sie Ihren Mitarbeitern zur Nutzung überlassen können.

Was sind Passwort-Manager-Erweiterungen?

Passwortmanager-Erweiterungen sind Browser-Add-ons, die die Passwörter des Benutzers für Websites und SaaS-Anwendungen speichern und bei erneutem Besuch automatisch ausfüllen. Dadurch muss sich der Benutzer bei jedem Besuch einer neuen Website keine Passwörter mehr merken und neu eingeben. Um den Aufwand weiter zu verringern, können Passwortmanager-Erweiterungen auch selbst sichere Passwörter vorschlagen und den Passwortzugriff geräteübergreifend synchronisieren.

Wichtige Sicherheitsrisiken von Passwort-Manager-Erweiterungen

Passwort-Manager-Erweiterungen bringen zwar erhebliche Produktivitätsvorteile, bergen aber auch Sicherheitsrisiken. Passwort-Manager können leicht zu einem Single Point of Failure werden; jeder, der Zugriff auf die Passwörter Ihrer Mitarbeiter hat, kann sich theoretisch als deren Mitarbeiter ausgeben und auf Unternehmenssysteme zugreifen. Wenn Ihre Mitarbeiter also Passwort-Manager-Erweiterungen verwenden, stellen Sie sich folgende Fragen:

1. Wo werden die Passwörter gespeichert?

Wenn Ihre Mitarbeiter eine Passwort-Manager-Erweiterung für arbeitsbezogene Aktivitäten verwenden, befinden sich Ihre Unternehmenspasswörter normalerweise an einer der folgenden Stellen:

In einem verschlüsselten Tresor auf dem Server des Passwort-Managers
Auf ihrem lokalen Gerät

Beide Speicherarten bergen Sicherheitsrisiken.

- Externer Tresor – Wenn die Server des Anbieters oder die Verbindungsschicht zwischen dem Anbieter und den Geräten kompromittiert werden, können auch deren Passwörter offengelegt werden.

Lokales Gerät – Angreifer, die auf den Endpunkt zugreifen, könnten auch Zugriff auf die Passwörter erhalten.

2. Wer hat Zugriff auf meine Passwörter? (Und ist der Herausgeber seriös?)

Da Passwort-Manager-Erweiterungen Passwörter speichern, haben die Entwickler und Besitzer der Erweiterung möglicherweise auch Zugriff auf diese Passwörter. Seriöse Anbieter geben detailliert an, welche Verschlüsselungsstandards sie verwenden und ob sie eine „Zero-Knowledge“-Richtlinie verfolgen (d. h. sie sehen Ihr Master-Passwort nie).

Weniger seriöse oder brandneue Erweiterungsentwickler gehen möglicherweise nicht so streng vor. Sie geben beispielsweise ihr Sicherheitsmodell nicht bekannt, und ihre Datenschutzrichtlinien wirken möglicherweise fragwürdig. Es besteht jedoch auch die Möglichkeit, dass ein seriöser Herausgeber gehackt oder von einem böswilligen Akteur aufgekauft wird. Das bedeutet, dass er zwar legitim erscheint, sich aber in Wirklichkeit böswillig verhält.

3. Wie sind die Passwörter geschützt?

Bei Sicherheitsverletzungen geht es nicht um das „Ob“, sondern um das „Wann“. Passwort-Manager-Erweiterungen bilden da keine Ausnahme. Daher sollten Passwort-Manager-Erweiterungen über Schutzmaßnahmen verfügen, darunter:

Ende-zu-Ende-Passwortverschlüsselung mit einem starken Algorithmus wie AES-256 oder Argon2 zum Hashing. Dadurch wird sichergestellt, dass die Daten selbst bei kompromittierten Servern oder Übertragungskanälen für Angreifer unlesbar bleiben.
Zero-Knowledge-Architektur, Das bedeutet, dass die Entwickler der Erweiterung keinen Zugriff auf die Tresore des Benutzers haben. Nur der Benutzer verfügt über den Entschlüsselungsschlüssel, der normalerweise aus seinem Master-Passwort abgeleitet wird.
Authentifizierung – MFA, Hardware-Token (YubiKey, FIDO2) usw. als starke Authentifizierungsebenen für jeden, der auf die Tresore zugreift.
Echtzeit-Überwachung um zu sehen, ob gespeicherte Anmeldeinformationen in bekannten Sicherheitsverletzungen auftauchen, mit automatischen Aufforderungen zur Aktualisierung offengelegter Passwörter.
Granulare Berechtigungen um einen eingeschränkten Zugriff auf den Browser zu gewährleisten.

4. Kann die Password Manager-Erweiterung auf alle meine Passwörter zugreifen?

Passwortmanager sollen den Zugriff auf Websites und SaaS-Apps vereinfachen. Das bedeutet aber nicht, dass sie Zugriff auf alle browserbezogene Passwörter.

Die IT-Abteilung kann anhand der folgenden Kriterien steuern, auf welche Unternehmenskennwörter Nebenstellen Zugriff haben:

Einschränkungen auf Domänenebene – Beschränken Sie die Berechtigungen zum automatischen Ausfüllen auf bestimmte Domänen, die für die nicht kritische Geschäftsnutzung relevant sind, und schließen Sie vertrauliche Apps aus.
Benutzerregeln – Verhindern Sie, dass sensiblere Rollen, wie etwa Entwickler, die auf den Quellcode zugreifen, Passwörter extern speichern.
Vertraulichkeit der Anmeldeinformationeny – Klassifizieren von Anmeldeinformationen basierend auf der Vertraulichkeit (z. B. privilegierte Administratoranmeldungen vs. allgemeine Benutzeranmeldungen) und Zulassen der Speicherung nur niedriger Berechtigungen.
Zeitbasierter Zugriff – Implementierung eines zeitgebundenen Zugriffs und automatisch ablaufender Passwörter nach einer festgelegten Dauer. Dies schränkt den Erweiterungszugriff nicht ein, begrenzt aber die Anwendbarkeit.

5. Kann der Passwort-Manager auf andere Passwort-Speicher zugreifen bzw. sich als solche ausgeben?

Ein Passwort-Manager bietet möglicherweise den Import von Daten konkurrierender Dienste oder die Integration in browserbasierte Passwortspeicher an. Bei unsachgemäßer Handhabung kann diese Funktion der Erweiterung (oder einem Angreifer, der sie ausnutzt) unbeabsichtigt ermöglichen, sich als Benutzer auszugeben, Passwörter oder ganze Passwort-Tresore zu kopieren oder sogar zu manipulieren. Um dies zu verhindern, beschränken seriöse Tools in der Regel die Art und Weise und den Zeitpunkt des Imports und verlangen von den Benutzern eine aktive Bestätigung solcher Aktionen.

Auswirkungen von Sicherheitslücken in Passwort-Manager-Erweiterungen auf Unternehmen

Welche Auswirkungen hat eine kompromittierte Passwort-Manager-Erweiterung? Unternehmen müssen mit folgenden Problemen rechnen:

Datenlecks im großen Stil

Ist der Passwort-Tresor eines Mitarbeiters kompromittiert, können alle dort gespeicherten Anmeldeinformationen offengelegt werden. Das bedeutet, dass Angreifer potenziell auf alle browserbasierten Anwendungen zugreifen können – möglicherweise als erster Schritt in das Unternehmensnetzwerk. Werden diese Passwörter als Administrator-, Root- oder privilegierte Anmeldeinformationen verwendet, können Angreifer sogar auf unternehmenskritische Anwendungen zugreifen. Im Netzwerk können sie Daten stehlen, kritische Vorgänge stören und vieles mehr.

Zukünftige Angriffe befeuern

Ein kompromittierter Tresor ist mehr als nur ein Angriff. Wenn der betroffene Mitarbeiter mangelhafte Passworthygiene praktiziert und Passwörter wiederverwendet, können diese für erfolgreiches Credential Stuffing missbraucht werden, was Angreifern einen einfachen Zugang zu anderen Systemen ermöglicht. Selbst bei geringfügigen Passwortvariationen können Angreifer Brute-Force-Techniken anwenden oder KI-gestützte Tools nutzen, um Variationen vorherzusagen. Werden diese Anmeldeinformationen zudem im Darknet verkauft, sind sie für Cyberkriminelle weithin verfügbar und können für zukünftige Angriffe auf Ihr Unternehmen oder andere verwendet werden.

Regulierungs- und Compliance-Probleme

Unternehmen unterliegen heute je nach Branche und Standort einem komplexen Netz regulatorischer Anforderungen wie DSGVO, HIPAA, PCI-DSS, SOX und weiteren. Diese Rahmenbedingungen schreiben strenge Kontrollen für die Speicherung, Übertragung und den Schutz sensibler Daten, einschließlich Zugangsdaten, vor. Denn die Kompromittierung einer Passwort-Manager-Erweiterung kann zum Zugriff auf Datenbanken mit regulierten personenbezogenen Daten führen, was einen Compliance-Verstoß darstellt.

Die Bußgelder können je nach Gerichtsbarkeit und offengelegten Daten zwischen Tausenden und mehreren zehn Millionen Dollar liegen. Neben Geldstrafen führen Verstöße häufig zu behördlichen Untersuchungen, obligatorischen Audits und einer verstärkten Überprüfung der Sicherheitslage des Unternehmens. In einigen Branchen, wie dem Gesundheits- oder Finanzwesen, kann die Nichteinhaltung von Vorschriften auch zum Lizenzentzug oder zur Geschäftsunfähigkeit in bestimmten Regionen führen.

Reputations- und Geschäftsschäden

Ein Unternehmen, das aufgrund einer kompromittierten Passwort-Manager-Erweiterung einen Sicherheitsverstoß erleidet, muss nicht nur mit technischen und regulatorischen Folgen, sondern auch mit einem erheblichen Reputationsverlust rechnen. Ein Passwortverstoß signalisiert ein Versagen grundlegender Cybersicherheitsmaßnahmen. Kunden erwarten von Unternehmen, dass sie die grundlegendste Zugriffsebene schützen: ihre Anmeldeinformationen.

Ist dieses Vertrauen einmal zerstört, kann es Jahre dauern, es wiederherzustellen. Dies kann zu Kundenvertrauensverlust, Vertragskündigungen oder Kundenabwanderung führen. Investoren ziehen sich möglicherweise zurück, Fusionen und Übernahmen werden verzögert oder abgebrochen, und die interne Moral kann sinken. Manchmal werden Führungswechsel vorgenommen, um das Vertrauen der Stakeholder wiederherzustellen.

Die 5 beliebtesten Passwort-Manager-Erweiterungen

Lastpass
1Password
Nordpass
Norton Password Manager
Protonenpass

Letzter Teil: Wie LayerX Passwort-Manager-Erweiterungen sichert

LayerX verbessert die Browsersicherheit durch umfassende Transparenz und Kontrolle über Browsererweiterungen innerhalb eines Unternehmens. Es identifiziert alle installierten Erweiterungen über Benutzer, Browser und Geräte hinweg und ermöglicht so eine gründliche Bewertung der Gefährdung des Unternehmens durch potenzielle Bedrohungen. Jede Erweiterung wird einer automatischen Risikobewertung unterzogen, die Faktoren wie den Berechtigungsumfang und externe Reputationskennzahlen wie die Glaubwürdigkeit des Autors und Benutzerbewertungen berücksichtigt.

Um Risiken zu minimieren, ermöglicht LayerX die Implementierung adaptiver, risikobasierter Sicherheitsrichtlinien. Diese granularen, konfigurierbaren Richtlinien können an die spezifischen Bedürfnisse des Unternehmens angepasst werden und ermöglichen das Blockieren oder Deaktivieren riskanter Erweiterungen, ohne legitime Erweiterungen zu beeinträchtigen.

Durch die direkte Ausführung im Browser erkennt und verwaltet LayerX schädliche Erweiterungen effektiv und stellt sicher, dass Benutzer von produktivitätssteigernden Tools profitieren können, ohne die Datensicherheit zu gefährden.

Erfahren Sie mehr über LayerX.

Oder Eshed

Or Eshed ist Mitbegründer und CEO der Browser-Sicherheitsplattform LayerX mit über einem Jahrzehnt Erfahrung in den Bereichen Cybersicherheit, künstliche Intelligenz und Informationskriegsführung.

Sicherheit bei der KI-Nutzung

Browsersicherheit für Unternehmen

LayerX Enterprise GenAI-Sicherheitsbericht 2025

Partner:innen

Über uns