Wenn Browsererweiterungen zur Hintertür werden : Was die ShadyPanda-Kampagne über Risiken, Kontrolle und moderne Abwehr lehrt
Über Jahre galten sie als harmlos, dann wurden sie zur Spionagewaffe: Die ShadyPanda-Kampagne zeigt, wie Browsererweiterungen millionenfach kompromittiert wurden. Der Vorfall macht deutlich, warum Erweiterungen längst ein zentrales Risiko für Software-as-a-Service-Sicherheit sind – und was Unternehmen jetzt tun müssen.
Anfang Dezember 2025 legten Sicherheitsforscher eine groß angelegte Angriffskampagne offen, die jahrelang unentdeckt blieb. Eine als ShadyPanda bezeichnete Gruppe hatte Browsererweiterungen für Google Chrome und Microsoft Edge übernommen oder selbst veröffentlicht, sie über Jahre sauber betrieben und so Vertrauen aufgebaut. Erst später verwandelten stille Updates diese Erweiterungen in Schadsoftware. Rund 4,3 Millionen Nutzer waren betroffen.
Ein klassischer Lieferkettenangriff im Browser
Die Vorgehensweise war ebenso simpel wie effektiv. Die Erweiterungen erhielten offizielle Prüfzeichen in den Stores, einige wurden sogar hervorgehoben. Da Updates automatisch im Hintergrund erfolgen, bemerkten Nutzer die schädlichen Änderungen nicht. Ab Mitte 2024 entwickelten sich die Erweiterungen zu einer vollständigen Umgebung für entfernte Codeausführung im Browser.
Angreifer konnten beliebigen JavaScript-Code nachladen, sämtliche Browserdaten auslesen und manipulieren. Dazu gehörten aufgerufene Internetadressen, Tastatureingaben, Inhalte von Webseiten sowie Anmeldedaten. Besonders kritisch war der Diebstahl von Sitzungs-Cookies und Zugriffstoken. Damit ließen sich komplette Konten in Diensten wie Microsoft 365 oder Google Workspace übernehmen, ohne neue Anmeldungen auszulösen.
Warum Erweiterungen ein Albtraum für Cloud-Sicherheit sind
Für Sicherheitsteams im Bereich Software as a Service (SaaS) war ShadyPanda ein Weckruf. Eine bösartige Erweiterung agiert wie ein legitimer Nutzer mit vollem Zugriff. Werden Sitzungstoken gestohlen, sind Schutzmechanismen wie Multifaktor-Authentifizierung wirkungslos, da die Sitzung bereits bestätigt ist.
Hinzu kommt, dass Browsererweiterungen in vielen Unternehmen kaum kontrolliert werden. Während Anwendungen, Geräte und Netzwerke streng geprüft werden, dürfen Erweiterungen oft frei installiert werden. Dabei können sie Cookies, lokalen Speicher, Cloud-Sitzungen, aktive Webinhalte und Dateidownloads lesen. Der Browser wird so zur Schnittstelle, an der Endgerätesicherheit und Cloud-Sicherheit ineinander übergehen.
Kontrolle zurückgewinnen: Zulassungslisten und Governance
Der erste Schritt ist Transparenz. Unternehmen sollten erfassen, welche Erweiterungen im Einsatz sind, auch auf privaten Geräten, sofern diese geschäftlich genutzt werden. Nicht benötigte oder riskante Erweiterungen sollten entfernt werden.
Sinnvoll ist eine verbindliche Zulassungsliste. Nur geprüfte Erweiterungen dürfen installiert werden, insbesondere solche mit weitreichenden Rechten wie dem Lesen aller Webseiteninhalte. Beliebtheit ist kein Sicherheitsmerkmal, wie ShadyPanda deutlich gezeigt hat. Jede Erweiterung sollte als potenzielles Risiko betrachtet werden, bis sie geprüft und freigegeben ist.
Erweiterungen wie Drittanwendungen behandeln
Browsererweiterungen sollten ähnlich bewertet werden wie externe Cloud-Anwendungen, die per Open Authorization (OAuth) auf Unternehmensdaten zugreifen. Entscheidend ist, welche Daten und Aktionen möglich sind. Kann eine Erweiterung den gesamten Webverkehr lesen oder Cookies auslesen, kann sie praktisch jede genutzte Anwendung kompromittieren.
Identitäts- und Zugriffskontrollen sollten deshalb auch auf Erweiterungen ausgedehnt werden. Auffällige Muster wie parallele Nutzung desselben Zugriffstokens von verschiedenen Orten müssen überwacht werden. Verlässt ein Mitarbeiter das Unternehmen oder wechselt die Rolle, sollten riskante Erweiterungen genauso entfernt werden wie nicht mehr benötigte Zugriffsrechte.
Berechtigungen regelmäßig überprüfen
Die Überprüfung von Erweiterungen darf kein einmaliger Vorgang sein. In festen Abständen sollten eingesetzte Erweiterungen, ihre Berechtigungen und ihre Herkunft neu bewertet werden. Wichtige Fragen sind, ob die Erweiterung noch benötigt wird, ob neue Rechte hinzugekommen sind oder ob sich Entwickler oder Eigentümer geändert haben.
Angreifer übernehmen häufig bestehende Erweiterungen oder schleusen neue Verwalter ein, bevor sie schädliche Updates verteilen. Auffällige Änderungen in der Update-Historie oder plötzliche Erweiterungen der Berechtigungen sind klare Warnsignale.
Verdächtiges Verhalten früh erkennen
Da Erweiterungen meist automatisch aktualisiert werden, kann sich ein Risiko über Nacht einschleichen. Technische Überwachung ist daher entscheidend. Dazu gehören Protokolle über Installationen, Updates und ungewöhnliche Netzwerkverbindungen von Erweiterungen zu unbekannten Servern.
Ergänzend sollten Nutzer sensibilisiert werden. Ändert sich das Verhalten einer lange genutzten Erweiterung plötzlich, etwa durch neue Pop-ups oder Leistungseinbußen, sollte dies gemeldet werden. Ziel ist es, die Zeit zwischen Kompromittierung und Entdeckung möglichst kurz zu halten.
Browser als Teil der Angriffsfläche verstehen
ShadyPanda zeigt, dass Angreifer nicht immer neue Schwachstellen ausnutzen müssen. Geduld, Vertrauen und ein übersehener Browser reichen oft aus. Der Browser ist faktisch ein Endgerät zwischen Nutzer und Cloud-Anwendung und muss entsprechend behandelt werden.
Durch klare Zulassungsregeln, regelmäßige Prüfungen, Überwachung von Updates und die Gleichstellung von Erweiterungen mit mächtigen Drittanwendungen lässt sich das Risiko deutlich senken.
Moderne Plattformen als Unterstützung
Neue SaaS-Sicherheitsplattformen helfen, diese Aufgaben zu bündeln. Sie erfassen kontinuierlich genutzte Cloud-Dienste, angebundene Anwendungen und auch riskante Erweiterungen. Durch die Verbindung von Identitätsdaten, Browseraktivitäten und Cloud-Nutzung lassen sich verdächtige Muster frühzeitig erkennen.
Wer diese Maßnahmen konsequent umsetzt und durch geeignete Werkzeuge unterstützt, reduziert die Gefahr, dass eine scheinbar harmlose Browsererweiterung zum Einfallstor für den nächsten groß angelegten Angriff wird.
Gal Nakash ist Mitgründer und Chief Procurement Officer bei Reco/THN.