Hacker brauchen keine Malware mehr – sie kapern einfach den Browser

2025 haben Sicherheitsforscher eine Reihe von Chrome-Erweiterungen entdeckt, die auf den ersten Blick harmlos wirkten – aber im Hintergrund komplette Sitzungen kapern, Formulare mitlesen und Daten direkt an Server der Angreifer senden konnten. In vielen betroffenen Unternehmen schlugen weder Antivirus noch klassische Endpoint-Lösungen Alarm, weil technisch gesehen kein „Schadprogramm“ auf dem System installiert wurde – alles passierte im Browser.

Genau hier liegt das Problem: Angreifer „brechen“ nicht mehr unbedingt in Systeme ein, sie übernehmen einfach den Browser – also das Fenster, durch das Ihre Mitarbeitenden täglich auf CRM, ERP, HR- und Kollaborations-Tools zugreifen. Viele MDR-Strategien sind jedoch immer noch so aufgebaut, als wäre der wichtigste Angriffsvektor ein infizierter Anhang auf dem Endgerät – und nicht ein kompromittierter Browser-Tab.

Warum der Browser zum blinden Fleck wird

Für KMUs in der DACH-Region ist der Browser längst zum zentralen Arbeitswerkzeug geworden:

• Die meisten Geschäftsprozesse laufen heute über SaaS, Webportale und Cloud-Anwendungen.
• Mitarbeitende verbringen den Großteil des Tages in wenigen Browser-Tabs: CRM, Ticketsystem, Kollaboration, E-Mail.
• IT-Sicherheit konzentriert sich trotzdem häufig auf Endpoint-Agenten, VPN und klassische Netzwerkgrenzen.

Dadurch entsteht ein gefährlicher blinder Fleck:

• Keine echte Sichtbarkeit: Was in der Browser-Sitzung passiert – etwa welche Erweiterungen mitlesen, welche Skripte Daten abziehen – wird oft nicht zentral überwacht.
• Angriffe ohne Malware: Moderne Angriffe brauchen keinen „Dropper“ mehr auf der Festplatte; sie missbrauchen Erweiterungen, Sitzungs-Tokens und legitime Cloud-Funktionen.
• Trügerische „Alles-grün“-Signale: Endpoint-Tools melden „kein Fund“, während über den Browser sensible Kundendaten exportiert oder Konten übernommen werden.

Kurz gesagt: Das eigentliche Risiko wandert dorthin, wo die tägliche Arbeit passiert – in den Browser – aber viele Sicherheits- und MDR-Konzepte sind dort noch gar nicht angekommen.

Warum das für KMUs in der DACH-Region besonders kritisch ist

DACH-Unternehmen – gerade im Mittelstand – sind zugleich hochdigitalisiert und stark reguliert:

• Ein großer Teil setzt auf Cloud, IoT und Online-Services, um effizient zu bleiben.
• Viele Betriebe sind familiengeführt und reputationssensibel; ein Datenvorfall trifft nicht nur Zahlen, sondern auch das Vertrauen über Jahrzehnte.
• Cyberangriffe auf Unternehmen in der Region nehmen nachweislich zu, während Ressourcen in den IT-Teams begrenzt bleiben.

Wenn in einem typischen KMUs der Vertrieb über ein Cloud-CRM, das Finanzteam über eine Web-Fibu und das HR über ein Self-Service-Portal arbeiten, dann gilt:

• Ein kompromittierter Browser bedeutet unmittelbaren Zugriff auf große Mengen personenbezogener Daten.
• Der Weg der Angreifer führt nicht mehr durch „exotische Exploits“, sondern über genau die Tools, die Mitarbeiter täglich produktiv nutzen.

Für MDR-Dienstleister in der DACH-Region heißt das: Wer den Browser nicht mitdenkt, schützt im Zweifel genau dort nicht, wo die DSGVO-relevante Wertschöpfung tatsächlich stattfindet.

Das DSGVO-/DSG-/BDSG-Risiko für DACH-KMUs

Regulatorisch betrachtet ist es zweitrangig, ob ein Angriff über eine EXE-Datei oder über eine Browser-Erweiterung läuft – entscheidend ist die Verarbeitung personenbezogener Daten. Für KMUs in Deutschland, Österreich und der Schweiz sind vor allem diese Punkte relevant:

• DSGVO / GDPR: Jede unautorisierte Einsicht, Veränderung oder Exfiltration personenbezogener Daten kann meldepflichtig sein – unabhängig vom Angriffsweg.
• BDSG (DE) und DSG (AT/CH-nahe Regelungen): Nationale Ergänzungen verschärfen Anforderungen an technische und organisatorische Maßnahmen rund um Datenverarbeitung.
• Nachweispflicht: Unternehmen müssen im Ernstfall plausibel zeigen können, welche Maßnahmen sie ergriffen haben – und wie der Vorfall ablief.

Wenn sich ein Datenabfluss in der Browser-Sitzung abspielt – etwa über ein bösartiges Plug-in, das Kundenlisten im Hintergrund überträgt – stellt sich schnell die Frage:

• Gibt es Logs, die zeigen, was im Browser passiert ist?
• Sind Browser- und SaaS-Aktivitäten in das Monitoring und die MDR-Services eingebunden?
• Lässt sich rekonstruieren, welche personenbezogenen Daten betroffen sind?

Ohne diese Sichtbarkeit wirkt eine Sicherheitsarchitektur aus Sicht der Aufsicht eher unvollständig – selbst wenn Endpoint und Netzwerk „state of the art“ sind.

Wie moderne MDR-Services den Browser einbeziehen sollten

MDR-Services sind prädestiniert dafür, diesen blinden Fleck zu schließen – vorausgesetzt, sie behandeln den Browser als erste Klasse im Monitoring:

• Telemetry statt nur Endpoint: Integration von Browser-Logs, Erweiterungsinventar und SaaS-Audit-Informationen in die zentrale MDR-Plattform.
• Verhaltensbasierte Erkennung: Erkennen verdächtiger Muster wie ungewöhnliche Massenexports, neue Erweiterungen mit weitreichenden Rechten oder Anomalien in Logins und Sitzungsdauer.
• Kontext über alle Ebenen: Korrelation von Browser-Events mit Endpoint-Events, Identitätsdaten (IdP/SSO) und Netzwerkzugriffen, um komplette Angriffspfade zu sehen.
• Gezielte Reaktion: Standardisierte Playbooks für Browser-Szenarien – von der Entfernung bösartiger Erweiterungen bis zur Unterbrechung kompromittierter Sessions.

Ein MDR-Ansatz, der Browser, Endpunkte, Identitäten und Cloud zusammendenkt, liefert KMUs in der DACH-Region nicht nur bessere Sicherheit, sondern auch eine robustere Grundlage für DSGVO-konforme Incident-Response-Prozesse.

Was KMUs jetzt pragmatisch tun können

Auch mit begrenzten Ressourcen lässt sich der Browser schnell besser absichern – besonders, wenn bereits ein MDR-Dienst im Einsatz ist oder geplant wird:

• Browser-Standard definieren: Wenige, klar freigegebene Browser und regelmäßige Updates unternehmensweit durchsetzen.
• Erweiterungen steuern: Whitelisting für geschäftskritische Extensions, alles andere standardmäßig blocken oder zumindest protokollieren.
• Log-Quellen öffnen: Prüfen, welche Browser-/SaaS-Logs heute schon verfügbar sind, und mit dem MDR-Provider klären, wie sie eingebunden werden können.
• Playbooks erweitern: Incident-Response-Prozesse explizit um Browser-Szenarien ergänzen (z.B. Session Hijacking, Token-Diebstahl, Extension-Missbrauch).
• Awareness anpassen: Security-Schulungen um Browser-Kontexte erweitern – etwa „Woran erkenne ich eine verdächtige Erweiterung oder Login-Maske?“.

So entsteht Schritt für Schritt ein Bild, in dem MDR-Services nicht mehr nur „den Endpoint verteidigen“, sondern dort ansetzen, wo Angreifer heute am liebsten arbeiten: im Browser.

Warum der Zeitpunkt jetzt ist

Die Digitalisierung von KMUs in der DACH-Region ist weit fortgeschritten – Cloud, SaaS und Browser-basierte Workflows sind Standard. Gleichzeitig zeigen aktuelle Vorfälle und Studien, dass Cyberangriffe weiter zunehmen und Angreifer gezielt die Lücken zwischen klassischen Sicherheitskontrollen ausnutzen.

Wer jetzt den Browser in seine MDR-Strategie integriert, handelt nicht „übervorsichtig“, sondern schlicht zeitgemäß:

• Die Angriffsfläche von heute liegt im Zusammenspiel von Browser, Identität und Cloud.
• Regulatorische Anforderungen entwickeln sich weiter in Richtung ganzheitlicher Resilienz (NIS2, DORA etc.).
• Kunden und Partner erwarten, dass sensible Daten dort geschützt sind, wo tatsächlich mit ihnen gearbeitet wird – im Browserfenster, nicht nur im Rechenzentrum.

Der Browser ist dabei, zur neuen Unternehmensperipherie zu werden. Wer ihn in seiner MDR-Strategie ignoriert, verteidigt im Grunde eine Vergangenheit, in der kaum noch jemand arbeitet.