anonym.legal

By · Last updated 2026-04-16

Zurück zum BlogKI-Sicherheit

Nach dem Vorfall mit der bösartigen Erweiterung von...

Im Januar 2026 exfiltrierten zwei bösartige Chrome-Erweiterungen, die von über 900.000 Nutzern installiert wurden...

April 16, 20268 min Lesezeit
malicious Chrome extensionAI extension security auditextension trust verificationlocal processing architecture900K extension incident

Der Vorfall vom Januar 2026

Aktualisiert für 2026. Im Januar 2026 wurden zwei bösartige Chrome-Erweiterungen mit über 900.000 Nutzern entdeckt.

Ihre Namen sahen wie echte KI-Tools aus:

  • "Chat GPT for Chrome with GPT-5, Claude Sonnet and DeepSeek AI" — über 600.000 Nutzer
  • "AI Sidebar with Deepseek, ChatGPT, Claude and more" — über 300.000 Nutzer

Beide taten dasselbe. Alle 30 Minuten schickten sie vollständige KI-Chats an einen fremden Server. Die gestohlenen Daten enthielten Code, persönliche Angaben, rechtliche Notizen und Geschäftspläne. Astrix Security hat dies bestätigt.

Diese Erweiterungen baten darum, „anonyme, nicht identifizierbare Analysedaten zu sammeln." Das klingt harmlos. Es war es nicht. Die gesammelten Daten waren vollständig identifizierbar und höchst sensibel.

Das Sicherheits-Umkehr-Problem

Nutzer, die KI-Datenschutz-Tools installieren, wollen Schutz. Der Fall vom Januar 2026 zeigt das schlimmste Ergebnis: Das Tool, das Sie für den Datenschutz installiert haben, stiehlt Ihre Daten.

Das ist keine Theorie. Es betraf 900.000 Nutzer auf einmal. Die Prüfung des Chrome Web Store hat es nicht erkannt. Nutzerrezensionen haben es nicht aufgedeckt. Der Diebstahl war als „Analyse" getarnt.

Incogni fand heraus, dass 67 % der KI-Chrome-Erweiterungen aktiv Nutzerdaten sammeln. Für IT-Teams ist die Schlüsselfrage nicht „Sammelt das irgendwelche Daten?" Sondern: „Kann ich prüfen, ob diese Erweiterung keine Gesprächsinhalte an Dritte senden kann?"

Der Architektur-Verifikationstest

Es gibt eine zuverlässige Prüfung für lokale Verarbeitung: Netzwerküberwachung.

Eine Erweiterung, die PII lokal erkennt, erzeugt null ausgehenden Datenverkehr während der Erkennung. Zwischen dem Einfügen durch den Nutzer und der Übertragung an die KI-Plattform sollte keine Verbindung zu einem externen Server erscheinen. Nur die verarbeitete Eingabe wird übertragen.

Eine Erweiterung, die Daten über einen Proxy leitet, sendet Ihre Inhalte an einen Drittanbieter-Server. Dieser Serverbetreiber ist nun Teil Ihres Bedrohungsmodells.

Die IT-Überprüfungsschritte sind einfach:

  1. Erweiterung in einem überwachten Netzwerk bereitstellen
  2. Testprompts ausführen
  3. Ausgehende Verbindungen zum Server des Anbieters während der PII-Verarbeitung prüfen

Besteht sie diesen Test nicht, genehmigen Sie sie nicht. Marketing-Aussagen spielen keine Rolle. Netzwerkdaten sind der Beweis.

Lokale Verarbeitung ist vertrauenswürdig, weil sie überprüfbar ist. Sie müssen dem Anbieter nicht vertrauen. Sie können das Verhalten direkt beobachten. Erfahren Sie mehr in unserer Chrome-Erweiterung Sicherheitsübersicht und unserem Compliance-Leitfaden.

Was IT-Teams fordern sollten

Nach Januar 2026 muss die Messlatte für KI-Browser-Tools höher liegen.

Die Mindestliste:

  • Lokale Verarbeitung — durch Netzwerk-Audit verifiziert, nicht nur behauptet
  • Bekannter Anbieter — echtes Unternehmen, klares Geschäftsmodell
  • Unabhängige Zertifizierung — ISO 27001 oder gleichwertig
  • Keine Weiterleitung über Entwicklerserver für Kern-Datenschutzfunktionen

Die meisten KI-Browser-Erweiterungen werden diese Liste nicht erfüllen. Die 67-%-Sammelrate macht das deutlich. Hohe Installationszahlen sind kein Sicherheitssignal. Die Tools vom Januar 2026 hatten Hunderttausende Nutzer, bevor irgendjemand prüfte.

Mehr zu sicheren KI-Browser-Tools finden Sie auf unserer Sicherheits- und Compliance-Seite.

Quellen

Verwandte Artikel

KI-Sicherheit

AI Coding Assistants Leak Production PII

Unit test fixtures with real customer records. Log files with production data for debugging. GitHub found 39 million secrets leaked in 2024.

KI-Sicherheit

Internal Wiki PII: Confluence Customer Data

Support teams document processes with screenshots of customer accounts. Over 3 years, that's thousands of GDPR data minimization violations in your.

KI-Sicherheit

Screenshot PII: Leaks in Internal Tools

Slack, Teams, Jira, and email regularly receive screenshots containing customer PII. This access-control violation bypasses every DLP tool.

Bereit, Ihre Daten zu schützen?

Beginnen Sie mit der Anonymisierung von PII mit über 285 Entitätstypen in 48 Sprachen.

Kostenlose Testversion startenFunktionen anzeigen

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.