Thought Leadership
Nach Enthüllungen über unverschlüsselte Passwörter im RAM ändert Microsoft das Speichermanagement des Edge-Browsers grundlegend.
Der Softwarehersteller Microsoft hat eine grundlegende Änderung an der Funktionsweise seines Webbrowsers Microsoft Edge angekündigt. Künftig wird die Anwendung gespeicherte Benutzeranmeldedaten nicht mehr automatisch beim Starten des Programms in den aktiven Arbeitsspeicher (RAM) laden. Microsoft reagiert damit direkt auf die öffentliche Offenlegung eines IT-Sicherheitsforschers, der nachweisen konnte, dass die im integrierten Passwort-Manager hinterlegten Zugangsdaten während der gesamten Browsersitzung unverschlüsselt im Prozessspeicher verbleiben. Die Behebung dieses Verhaltens wird als Sicherheitsmaßnahme (Defense-in-Depth) über alle aktuellen Entwicklungs- und Support-Zweige des Browsers ausgerollt.
Klartext-Passwörter im Arbeitsprozess des Browsers
Anfang Mai 2026 veröffentlichte der norwegische Cybersicherheitsforscher Tom Jøran Sønstebyseter Rønning detaillierte Untersuchungsergebnisse zum Speichermanagement von Microsoft Edge. Rønning dokumentierte, dass der Browser unmittelbar nach dem Programmstart sämtliche vom Nutzer gespeicherten Passwörter aus der lokalen Datenbank ausliest und im Klartext in den flüchtigen Prozessspeicher überträgt. Dieses Verhalten trat völlig unabhängig davon auf, ob der Anwender im weiteren Verlauf der Sitzung überhaupt Webseiten aufrief, für welche die entsprechenden Zugangsdaten benötigt wurden. Die unverschlüsselten Daten verblieben für die gesamte Dauer der aktiven Browsersitzung im RAM.
Aus technologischer Sicht stellt dieses standardmäßige Verhalten ein potenzielles Sicherheitsrisiko dar, insbesondere in Multi-User-Umgebungen wie Terminalservern oder Citrix-Infrastrukturen innerhalb von Unternehmensnetzwerken. Sollte es einem Angreifer gelingen, administrative Rechte oder erweiterte Systemprivilegien auf einem solchen Server zu erlangen, wäre er technisch in der Lage, die Arbeitsspeicher-Prozesse aller aktuell angemeldeten Benutzer auszulesen. Durch das gezielte Erstellen von Speicherabbildern (Memory Dumps) des Edge-Prozesses könnten unbefugte Akteure die Passwörter der Anwender im Klartext extrahieren, ohne die eigentliche verschlüsselte Passwort-Datenbank des Betriebssystems angreifen zu müssen.
Abwägung zwischen Performance, Benutzerfreundlichkeit und Schutz
In einer ersten Stellungnahme verteidigte Microsoft das bisherige Verhalten des Browsers zunächst als bewusste Designentscheidung. Ein Unternehmenssprecher betonte, dass die gegebene Architektur darauf ausgelegt sei, eine optimale Balance zwischen Systemgeschwindigkeit und Komfort zu gewährleisten: „Sicherheit und Schutz sind grundlegend für Microsoft Edge. Der Zugriff auf Browserdaten, wie im gemeldeten Szenario beschrieben, würde voraussetzen, dass das Gerät bereits kompromittiert ist. Designentscheidungen in diesem Bereich beinhalten die Abwägung von Leistung, Benutzerfreundlichkeit und Sicherheit, und wir überprüfen dies weiterhin im Hinblick auf sich entwickelnde Bedrohungen.“
Nach dieser Argumentation lag aus rein technischer Sicht keine direkte Sicherheitslücke im Browser vor, da das Auslesen des Arbeitsspeichers ohnehin einen erfolgreichen vorherigen Einbruch in das Betriebssystem oder die Hardware voraussetzt. Dennoch entschied sich die Entwicklungsabteilung in Redmond nach fortlaufender Prüfung der Bedrohungslage für eine Anpassung der Software-Architektur, um die Angriffsfläche im Sinne einer Tiefenverteidigung (Defense-in-Depth) proaktiv zu minimieren.
Defense-in-Depth-Maßnahme
Gareth Evans, der Sicherheitsleiter für Microsoft Edge (Microsoft Edge Security Lead), konkretisierte die geplanten Maßnahmen in einem offiziellen Blogbeitrag des Unternehmens. Demnach wird das System dahingehend modifiziert, dass Zugangsdaten strikt isoliert bleiben und erst dann in den flüchtigen Speicher geladen werden, wenn eine konkrete Benutzerinteraktion, wie das automatische Ausfüllen eines Formulars (Autofill) oder das manuelle Aufrufen des Passwort-Managers, dies zwingend erfordert. Evans führte zur Bereitstellung des Updates aus:
„Diese Defense-in-Depth-Änderung wird für jede unterstützte Version von Edge gelten (Stable, Beta, Dev, Canary und den Extended Stable-Kanal, den unsere Unternehmenskunden nutzen), und wir priorisieren den Rollout. Die Änderung ist ab sofort in Edge Canary live und im nächsten Update für alle Edge-Releases, Build 148 und neuer, enthalten.“
Gareth Evans, der Sicherheitsleiter für Microsoft Edge
Für die regulären Endanwender des Microsoft-Edge-Passwortmanagers besteht kein akuter Handlungsbedarf. Das modifizierte Speichermanagement wird vollautomatisch über die etablierten Update-Kanäle des Browsers implementiert, sobald die jeweiligen Versionen die Build-Nummer 148 oder höher erreichen.
Überraschung über das Einlenken des Softwarekonzerns
Der Entdecker der Schwachstelle, Tom Jøran Sønstebyseter Rønning, reagierte über den Kurznachrichtendienst X überrascht auf die schnelle Kurskorrektur des Technologiekonzerns. In der IT-Sicherheitsbranche kommt es selten vor, dass Software-Hersteller fundamentale Designentscheidungen, die zunächst als beabsichtigt deklariert wurden, innerhalb weniger Wochen revidieren. Rønning kommentierte die Kehrtwende mit den Worten:
„Microsoft hat seine Meinung geändert! Sie sagen, dass Edge ‚Passwörter beim Starten nicht mehr in den Speicher laden wird‘. Ich muss zugeben, ich dachte nicht, dass sie ihre Meinung in dieser Angelegenheit ändern würden. Hut ab vor @MicrosoftEdge.“
Tom Jøran Sønstebyseter Rønning, Sicherheitsforscher
