Das Problem der nicht geprüften Erweiterungen
Der Chrome Web Store enthält über 180.000 Erweiterungen. Viele dieser Erweiterungen – insbesondere solche, die AI-Funktionen zum Surfen im Web hinzufügen – verlangen umfassende Berechtigungen: Zugriff auf alle Website-Inhalte, Zugriff auf die Zwischenablage, Zugriff auf den Speicher und Abfangen von Netzwerk-Anfragen.
Die Forschung von USENIX 2025 ergab, dass 83% der Chrome-Erweiterungen mit umfassenden Berechtigungen nie einer Sicherheitsprüfung unterzogen wurden. Diese Erweiterungen wurden von Millionen von Nutzern erstellt, veröffentlicht und installiert, ohne dass eine unabhängige Überprüfung stattfand, die bestätigt, dass sie das tun, was sie behaupten – und nichts weiter.
Die Sicherheitsprüfungs-Lücke ist ein strukturelles Merkmal der Verteilung von Browser-Erweiterungen. Der Chrome Web Store führt automatisierte Scans auf Malware-Signaturen und Richtlinienverstöße durch, aber automatisierte Scans können nicht bewerten, ob die Datenerfassungspraktiken einer Erweiterung genau offengelegt werden, ob API-Daten an nicht offengelegte Dritte übertragen werden oder ob die angegebene Funktionalität der Erweiterung ihre vollständige Funktionalität ist.
Die Unternehmensaussetzung
Die Forrester Research 2024 fand heraus, dass 45% der Unternehmensmitarbeiter Browser-Erweiterungen verwenden, die nicht von der IT genehmigt sind. Diese Zahl spiegelt die informelle Art wider, wie Browser-Erweiterungen typischerweise angenommen werden: Ein Mitarbeiter findet ein Produktivitätstool, installiert es und verwendet es – ohne jegliche Interaktion mit der IT-Abteilung.
Die Kombination aus 83% nie geprüften und 45% nicht genehmigten bedeutet, dass fast die Hälfte der Unternehmensmitarbeiter Erweiterungen verwendet, deren Sicherheitsmerkmale von niemandem überprüft wurden – und deren Verwendung von der Organisation, die für die Daten verantwortlich ist, die diese Mitarbeiter bearbeiten, nicht genehmigt wurde.
Für Organisationen in regulierten Branchen schafft dies direkte Compliance-Risiken. Ein HR-Mitarbeiter, der eine nicht genehmigte Browser-Erweiterung verwendet, die Inhalte der Zwischenablage erfasst, hat möglicherweise persönliche Daten von Mitarbeitern einem nicht überprüften Dritten ausgesetzt. Ein juristischer Fachmann, der einen nicht genehmigten AI-Schreibassistenten verwendet, der auf Seiteninhalte zugreift, hat möglicherweise vertrauliche Informationen von Mandanten offengelegt.
Was der Vorfall mit 900.000 Nutzern zeigt
Der Vorfall im Januar 2026, bei dem bösartige Chrome-Erweiterungen die AI-Chatverläufe von 900.000 Nutzern – 600.000 von einer Erweiterung, 300.000 von einer anderen – offengelegt haben, veranschaulicht den Fehlermodus, den die Zahl von 83% nicht geprüften beschreibt.
Die Erweiterungen schienen legitime AI-bezogene Funktionen bereitzustellen. Sie waren im Chrome Web Store verfügbar. Sie hatten Nutzerzahlen, die groß genug waren, um Legitimität zu suggerieren. Und sie exfiltrierten AI-Gesprächsinhalte zu externen Servern.
Die Exfiltration war innerhalb von 30 Minuten nach der Installation abgeschlossen. Als Sicherheitsforscher die Erweiterungen identifizierten und meldeten, hatte der Gesprächsinhalt von 900.000 Nutzern – einschließlich aller sensiblen Informationen, die diese Nutzer mit AI-Tools besprochen hatten – ihre Kontrolle verlassen.
Forschung von Caviard.ai (2025) ergab, dass 67% der AI Chrome-Erweiterungen Nutzerdaten sammeln – die Mehrheit der AI-Erweiterungskategorie. Bei denjenigen, die Daten sammeln, variieren die Offenlegung, Sicherheitspraktiken und Übertragungsziele enorm.
Der Governance-Rahmen für Unternehmensbrowser
Für Sicherheitsteams in Unternehmen besteht die angemessene Reaktion auf das Problem der nicht geprüften Erweiterungen nicht darin, alle Browser-Erweiterungen zu verbieten – die betrieblichen Auswirkungen dieses Ansatzes sind erheblich. Es besteht darin, einen Governance-Rahmen zu schaffen, der die Exposition gegenüber geprüften, genehmigten Erweiterungen für AI-Funktionen speziell einschränkt.
Erweiterungs-Whitelist: Definieren Sie die genehmigte Liste von Browser-Erweiterungen für Unternehmensgeräte. Überprüfung durch das Sicherheitsteam vor der Aufnahme in die Liste. Die Durchsetzung der Chrome Enterprise-Richtlinie verhindert die Installation nicht auf der Whitelist stehender Erweiterungen.
AI-spezifische Erweiterungsprüfung: Erweiterungen, die AI-Eingabeaufforderungen verarbeiten, erhalten zusätzliche Überprüfung – Analyse des Netzwerkverkehrs zur Bestätigung der Übertragungsziele, Überprüfung des Berechtigungsumfangs und Verifizierung der Identität des Herausgebers.
Technische Kontrollen für AI-Inhalte: Für Mitarbeiter, die genehmigte AI-Tools verwenden, interceptieren technische Kontrollen auf Browser-Ebene (anstatt sich auf das Verhalten der Erweiterung zu verlassen) sensible Inhalte, bevor sie AI-Anbietern erreichen. Dies entkoppelt die Sicherheitsverpflichtung von dem Vertrauen in einzelne Erweiterungen.
Die Rate von 83% nicht geprüften Erweiterungen kann nicht durch Benutzerschulung angegangen werden – Benutzer können Chrome-Erweiterungen nicht selbst prüfen. Sie kann durch Unternehmensgovernance angegangen werden, die genehmigte von nicht genehmigten trennt, und durch technische Kontrollen, die Datenschutz unabhängig vom Verhalten der Erweiterung bieten.
Quellen:
- USENIX Security 2025: "Ich habe keine Ahnung, wie ich es sicherer machen kann" – Sicherheitsmentalitäten von Entwicklern von Browsererweiterungen
- LayerX 2025: Sicherheitsbericht zu Unternehmensbrowsererweiterungen – weit verbreitete Nutzung nicht genehmigter Erweiterungen
- Incogni 2025: 67% der AI Chrome-Erweiterungen sammeln Nutzerdaten