Passwortmanager im Browser sind bequem: Zugangsdaten werden gespeichert, Logins automatisch ausgefüllt und Nutzende müssen sich weniger Kennwörter merken. Insbesondere im Arbeitsalltag spart das Zeit. Aktuelle Berichte zeigen jedoch, dass der integrierte Passwortmanager von Microsoft Edge ein ernstzunehmendes Sicherheitsrisiko mit sich bringen kann. Denn Anfang Mai 2026 wurde bekannt, dass gespeicherte Passwörter offenbar bereits beim Start des Browsers im Klartext in den Arbeitsspeicher geladen werden.
Was wurde bei Microsoft Edge entdeckt?
In der Dokumentation weist Microsoft darauf hin, dass gespeicherte Passwörter in Edge auf der Festplatte verschlüsselt abgelegt werden. Diese Verschlüsslung schützt gespeicherte Zugangsdaten bei einem geschlossenen Browser.
Das aktuell diskutierte Problem betrifft jedoch nicht die Speicherung auf der Festplatte, sondern den laufenden Betrieb des Browsers. Denn der Microsoft Edge lädt gespeicherte Kennwörter in lesbarer Form in den Prozessspeicher. Besonders ist kritisch dabei ist, dass dies wohl auch für Zugangsdaten gilt, welche in der aktuellen Browsersitzung überhaupt nicht benötigt werden.
Dies bedeutet vereinfacht: Wird Edge geöffnet, können gespeicherte Passwörter im Arbeitsspeicher vorhanden sein, obwohl sich der Nutzende noch gar nicht auf einer entsprechenden Webseite angemeldet hat.
Warum ist das problematisch?
Passwörter müssen technisch betrachten irgendwann entschlüsselt werden, damit sie verwendet werden können. Daher richtet sich die Kritik nicht allein gegen die Entschlüsselung an sich, sondern gegen die Art und den Zeitpunkt der Verarbeitung. Sicherheitsforscher und Fachmedien kritisieren, dass offenbar ein größerer Bestand an gespeicherten Kennwörtern frühzeitig im Speicher vorgehalten wird, statt nur bei konkretem Bedarf verarbeitet zu werden.
Denn ein Angreifer mit ausreichenden Rechten auf einem System könnte unter Umständen Speicherabbilder auslesen und darin nach Klartext-Passwörtern suchen. Und auch Microsoft selbst weist grundsätzlich darauf hin, dass Browser-Passwortspeicher keinen vollständigen Schutz mehr bieten, wenn ein Gerät bereits durch Schadsoftware kompromittiert ist oder Angreifer unter dem Benutzerkontext arbeiten können.
Bedeutet das, dass Passwörter sofort von außen gestohlen werden können?
Nein, die Berichte bedeutet nicht, dass beliebige Webseiten oder externe Angreifer automatisch Zugriff auf die gespeicherten Passwörter erhalten. Das Risiko entsteht viel mehr dann, wenn ein Endgerät bereits kompromittiert ist oder ein Angreifer weitreichende lokale Rechte erlangt hat.
Trotzdem ist die Entdeckung relevant. Denn gerade in Unternehmen spiel sogenannte „Defense in Depth“ eine wichtige Rolle: Auch wenn ein Schutzmechanismus versagt, sollten weitere Hürden bestehen bleiben. Wenn gespeicherte Passwörter unnötig lange im Klartext im Speicher verbleiben, kann dies die Folgen eines erfolgreichen Angriffs deutlich verschärfen.
Microsoft sieht offenbar keinen klassischen Sicherheitsfehler
Laut mehreren Berichten soll Microsoft das Verhalten als bewusste Designentscheidung eingeordnet haben. Die Argumentation: Wer bereits Zugriff auf den Arbeitsspeicher eines laufenden Systems hat, befindet sich ohnehin in einer sehr privilegierten Angriffsposition.
Aus unserer Sicht bleibt diese Haltung dennoch diskutabel. Denn in der Praxis geht es nur darum, ob ein System bereits angegriffen wurde, sondern auch darum, wie groß der Schaden schlussendlich ausfallen kann. Liegen zahlreiche Zugangsdaten im Klartext vor, erhöht sich das Risiko eines umfassenden Credential-Diebstahls.
Was sollten Unternehmen jetzt tun?
Unternehmen sollten die Nutzung des integrierten Edge-Passwortmanagers zumindest kritisch bewerten. Besonders relevant ist das Thema dort, wo viele sensible Zugänge verarbeitet werden, wie beispielsweise für Cloud-Dienste, Administratorportale, Fernwartung, Banking oder Fachanwendungen.
Sinnvolle Maßnahmen sind:
- gespeicherte Passwörter im Browser überprüfen
- den Einsatz dedizierter Passwortmanager bewerten
- lokale Administratorrechte konsequent reduzieren
- Endgeräte zuverlässig gegen Schadsoftware absichern
- Mehrfaktor-Authentifizierung aktivieren
Passwort-Tresor statt Browser-Passwortspeicher
Eine sinnvolle Alternative kann der Einsatz eines spezialisierten Passwort-Tresors sein. Ein Tool wie Bitwarden ermöglicht unter anderem:
- zentrale Verwaltung von Zugangsdaten
- Erstellung starker Zufallspasswörter
- automatische Login-Unterstützung
- sichere Freigabe im Team
- zusätzliche Schutzfunktionen wie eine Zwei-Faktor-Authentifizierung
Fazit
Die aktuelle Diskussion um Microsoft Edge zeigt, dass Bequemlichkeit und Sicherheit nicht immer perfekt zusammenpassen. Zwar speichert Edge Passwörter verschlüsselt auf dem Datenträger, doch die Berichte über Klartext-Passwörter im Arbeitsspeicher werfen wichtige Fragen zur Risikobewertung auf.
Für Unternehmen ist deshalb jetzt ein guter Zeitpunkt, die eigene Passwortstrategie zu überprüfen. Wer Zugangsdaten professionell schützen möchte, sollte nicht allein auf den Passwortspeicher des Browsers setzen, sondern auf durchdachte Konzepte mit Passwort-Tresor, Mehrfaktor-Authentifizierung und sauberem Rechtekonzept