Passwörter im Klartext: Mit Microsoft sind Sie (vor nichts) sicher

Mit Microsoft sind Sie sicher behauptet der Software-Riese aus Redmond selbst, doch allmonatlich müssen private und professionelle Kunden die Erfahrung machen, dass Sicherheit bei Microsoft nur von der PR-Abteilung groß geschrieben wird. Der neueste Fall: Der Passwort-Manager von Microsofts Webbrowser Edge packt Passwörter im Klartext in den Arbeitsspeicher. Und das ist laut Microsoft nicht einmal ein Fehler, sondern eine bewusste Design-Entscheidung und somit beabsichtigt.

So sicher wie ein Schlüssel unter der Fußmatte
Laut Microsoft speichert der Passwort-Manager von Edge die Zugangsdaten AES-verschlüsselt, zudem ist der Zugriff auf angemeldete Benutzer beschränkt. Bevor man seine eigenen Passwörter einsehen darf, muss man sich sogar nochmals authentifizieren. Das klingt erst einmal sicher, doch dann packt der Passwort-Manager alle Zugangsdaten beim Start von Edge unverschlüsselt in den Arbeitsspeicher und hält sie dort zur Verwendung bereit. Um es nochmals zu betonen: Alle Passwörter werden geladen und im Klartext im Arbeitsspeicher hinterlegt, selbst wenn diese gar nicht benötigt werden! Das entspricht einer robusten Haustüre mit Mehrfachverriegelungsschloss, bei der jemand den Ersatzschlüssel unter der Fußmatte aufbewahrt und die Zweitschlüssel für Garage und Auto gleich dazu gelegt hat.

Kein Fehler sondern ein Feature
Entdeckt wurde dieses massive Sicherheitsproblem vom norwegischen Sicherheitsforscher Tom Jøran Sønstebyseter Rønning, der es anhand der Version 147.0.3912.98 von Edge untersucht hat. Man muss nur den Task-Manager starten, den Reiter Details anklicken, Edge suchen und über das Kontextmenü eine Abbilddatei erstellen. Diese lässt sich dann mit einem Editor nach den unverschlüsselten Zugangsdaten durchsuchen. Rønning meldete die vermeintliche Sicherheitslücke bei Microsoft und bekam zur Antwort, dass es sich dabei keinesfalls um einen Fehler, sondern um eine bewusste Design-Entscheidung handle. Somit funktioniert der Passwort-Manager von Edge exakt wie von den Entwicklern beabsichtigt. Soll heißen: Auf der Oberfläche gaukelt Microsoft eine hohe Sicherheit vor und unter der Haube wird auf Sicherheit ‐ nun, wie soll man es nur diplomatisch formulieren ‐ geschissen.