BG Beter Geregeld ICT
Security zonder IT-afdeling · 5 min leestijd · 11 Juni 2026

Browser-Erweiterungen im KMU: das Risiko, das niemand im Blick hat

PDF-Konverter, Screenshot-Tools, KI-Assistenten: Browser-Erweiterungen schleichen sich in Ihr Unternehmen ein. So wissen Sie in einer Stunde, was installiert ist — und was weg muss.

Fragen Sie fünf Kollegen, welche Browser-Erweiterungen sie installiert haben. Die Antworten werden wahrscheinlich lauten: „Ähm… das PDF-Ding?" und „Irgendwas mit KI, glaube ich." Das ist kein Vorwurf — genau so funktionieren Erweiterungen. Sie kommen über einen nützlichen Tipp eines Kollegen, einen Vorschlag von ChatGPT oder einen Button auf einer Website herein. Und dann leben sie jahrelang weiter, mit Zugriff auf alles, was Sie in Ihrem Browser tun.

Für ein KMU ohne eigene IT-Abteilung ist das ein blinder Fleck, den Sie in einer ruhigen Stunde größtenteils schließen können. Hier erfahren Sie wie.

Warum Erweiterungen ein ernstes Risiko darstellen

Eine Browser-Erweiterung hat je nach Berechtigungen Zugriff auf:

  • den Inhalt jeder Seite, die Sie besuchen (einschließlich Ihrer Buchhaltung, Ihres E-Mail-Postfachs, Ihres Kundensystems);
  • was Sie tippen (einschließlich Passwörter, die nicht in einem Passwort-Manager gespeichert sind);
  • Cookies — also auch Ihre eingeloggten Sitzungen;
  • in manchen Fällen Ihre Downloads, Lesezeichen und den Browserverlauf.

Das ist nicht zwangsläufig ein Problem, solange der Entwickler vertrauenswürdig ist. Der Haken: Eine beliebte Erweiterung kann an einen neuen Eigentümer verkauft werden, der per Update Werbung, Tracking oder schlicht Malware einschleust. Das ist kein theoretisches Szenario — es ist in den vergangenen Jahren dutzende Male passiert. Heute ein sauberes Tool installiert, morgen ein Datenleck, ohne dass Sie irgendetwas angeklickt haben.

Drei Arten von Erweiterungen, die Sie im KMU antreffen

1. Die kleinen Helfer

PDF-Zusammenführer, Screenshot-Tools, Farbwähler, Tab-Manager. Oft kostenlos, oft mit aggressiven Berechtigungen („Alle Daten auf allen Websites lesen und ändern"). Viele Leute installieren sie einmal und nutzen sie danach nie wieder.

2. Die KI-Assistenten

In den letzten anderthalb Jahren ist dies die am schnellsten wachsende Gruppe. Zusammenfasser, Schreibhilfen, „KI überall". Manche schicken buchstäblich den Inhalt jeder Seite, die Sie öffnen, an einen externen Server. Für eine Anwaltskanzlei oder einen Steuerberater ist das ein handfestes GDPR-Problem.

3. Die legitimen Arbeitswerkzeuge

Passwort-Manager, Ihr Videokonferenz-Tool, Ihr CRM-Plugin. Diese möchten Sie bewusst haben — aber auch hier gilt: nur über den offiziellen Store, nur vom echten Anbieter (es kursieren gefälschte Versionen).

Die Aufräumrunde: eine Stunde Arbeit

Planen Sie eine kurze Session mit Ihrem Team — zum Beispiel beim nächsten Team-Meeting. Vorgehen:

  1. Alle öffnen ihre Erweiterungsübersicht. In Chrome/Edge: chrome://extensions oder edge://extensions. In Firefox: about:addons.
  2. Erstellen Sie pro Person eine Liste der installierten Erweiterungen inklusive der Berechtigungen („Kann alle Daten lesen …").
  3. Entfernen Sie alles, was Sie nicht kennen oder im letzten halben Jahr nicht genutzt haben. Im Zweifel: weg. Sie können es jederzeit neu installieren.
  4. Prüfen Sie die verbleibenden Erweiterungen: Stimmt der Herausgeber, stimmt die Nutzerzahl, wann gab es das letzte Update? Eine Erweiterung, die seit zwei Jahren nicht aktualisiert wurde, ist ein Warnsignal.
  5. Halten Sie fest, was Sie erlauben. Eine einfache Liste „diese Erweiterungen sind für den Arbeitsbrowser freigegeben" wirkt besser als ein dickes Richtliniendokument, das niemand liest.

Verhindern Sie, dass es in drei Monaten wieder chaotisch wird

Eine einmalige Bereinigung hilft, aber ohne klare Absprachen füllt es sich schnell wieder. Was in der Praxis für kleine Teams funktioniert:

  • Zwei-Browser-Ansatz. Ein Browser für die Arbeit, einer für Privates und Experimente. Klingt simpel, funktioniert überraschend gut. Edge für die Arbeit, Firefox für den Rest — oder umgekehrt.
  • „Kurz fragen"-Regel. Bevor jemand eine neue Erweiterung installiert, eine kurze Nachricht im Team-Chat. Kein formaler Genehmigungsprozess — einfach sichtbar machen.
  • Zweimal im Jahr wiederholen. Am besten zusammen mit Ihrem Zugriffscheck. Gleicher Zeitpunkt, gleicher Reflex: Was läuft bei uns eigentlich?
  • Managed Browser in Betracht ziehen. Arbeiten Sie mit Microsoft 365? Dann können Sie über Edge for Business zentral festlegen, welche Erweiterungen erlaubt sind und welche nicht. Das spart Disziplin.

Besonders wichtig für alle, die mit Kundendaten arbeiten

Arbeiten Sie mit personenbezogenen Daten, Finanzdaten oder medizinischen Informationen? Dann behandeln Sie Browser-Erweiterungen wie einen Auftragsverarbeiter. Ein KI-Zusammenfasser, der den Inhalt einer Patientenakte oder eines Jahresabschlusses an einen externen Server schickt, ist eine Verarbeitung, die Sie rechtfertigen müssen. Bei den meisten kostenlosen Erweiterungen ist das schlicht nicht möglich — also: Finger weg.

Das Gleiche gilt für Erweiterungen, die Ihren E-Mail-Verkehr mitlesen (z. B. „Tracking-Pixel erkennen", „Schreibassistent in Gmail", „E-Mail-Vorlagen"). Sobald ein solches Tool Ihren Posteingang lesen kann, hat es Zugriff auf Daten, die Ihre Kunden Ihnen im Vertrauen schicken.

Was tun, wenn Sie etwas Verdächtiges finden?

Stoßen Sie beim Aufräumen auf eine Erweiterung, die Sie nicht zuordnen können, oder die plötzlich Werbung einblendet? Entfernen Sie sie sofort, melden Sie sich bei wichtigen Diensten ab und wieder an (das erneuert Ihre Sitzungen). Ändern Sie die Passwörter von Diensten, die Sie in diesem Browser häufig nutzen, und aktivieren Sie — falls noch nicht geschehen — 2FA. Damit ist eine möglicherweise geleakte Sitzung wertlos.

Fazit

Browser-Erweiterungen sind keine Katastrophe, aber sie sind die weichste Stelle in Ihrem ansonsten gut organisierten KMU. Eine Aufräumrunde pro Halbjahr und ein paar einfache Absprachen halten die Sache beherrschbar. Keine zusätzliche Software nötig, keine IT-Abteilung, kein Budget.

Möchten Sie das im Rahmen einer umfassenderen Prüfung angehen, wer eigentlich Zugriff auf was hat? Dann schauen Sie sich unseren Zugriffscheck an — dort nehmen wir Erweiterungen standardmäßig mit auf. Und wenn Sie einfach selbst loslegen möchten: Fangen Sie heute an, öffnen Sie chrome://extensions und schauen Sie, was da steht. Sie werden wahrscheinlich ein bisschen erschrecken. Genau das ist die Absicht.

Onderwerpen

#mkb #security #shadow-it #Browsers #Praktisch

Volledige gids: Seguridad para pymes sin departamento de TI: ¿qué haces este trimestre?

Dit artikel is onderdeel van onze uitgebreide Security zonder IT-afdeling-gids. Lees de pillar voor het complete plaatje.

Lees de pillar →

Verwant leesmateriaal

Security zonder IT-afdeling

Security für KMU ohne IT-Abteilung: Was tun Sie dieses Quartal?

Kein IT-Team, aber trotzdem Verantwortung. Diese Übersicht liefert eine klare Prioritätenliste: erst das, dann das, dann das weniger Dringende. Jeder Punkt verweist auf eine ausführlichere Anleitung.

2 min
Security zonder IT-afdeling

Phishing-Simulationen im KMU: sinnvoll oder Zeitverschwendung?

Immer mehr KMU schicken gefälschte Phishing-Mails an ihr eigenes Team. Bringt das wirklich etwas – und wie setzt man es um, ohne das Betriebsklima zu beschädigen?

6 min
Security zonder IT-afdeling

Een wachtwoordmanager kiezen voor je MKB: waar let je écht op?

Die Wahl eines Passwort-Managers ist keine Geschmacksfrage, aber auch keine Raketenwissenschaft. Ein praktischer Leitfaden für Unternehmer ohne eigene IT-Abteilung.

6 min
Security zonder IT-afdeling

Uptime-Monitoring für den Mittelstand: Nicht vom Kunden erfahren

Ihre Website ist down – und Sie erfahren es von einem Kunden. Das geht besser. So richten Sie als KMU ohne eigene IT-Abteilung ein Uptime-Monitoring ein, das keine Flut von Fehlalarmen produziert.

6 min
Security zonder IT-afdeling

Patch-Management für KMU ohne MDM-Muskeln

Updates müssen drauf. Aber wie setzt man das durch, wenn man kein Intune oder Jamf hat? Hier das pragmatische Mindest-Setup.

2 min
Security zonder IT-afdeling

MFA für alle SaaS-Tools, nicht nur M365: die Nachzügler-Strategie

M365 und Google machen MFA einfach. Dropbox, Slack, GitHub, Trello auch. Aber die vielen einzelnen SaaS-Tools? Dort fehlt MFA oft. Hier kommt der Aufholplan.

2 min
← Alle artikelen in "Security zonder IT-afdeling"