Zum Inhalt springen

Cookies 🍪

Diese Website verwendet Cookies, die Ihre Zustimmung brauchen.

aconitas
DOM-based Extension Clickjacking.

DOM-based Extension Clickjacking: Passwort-Manager Sicherheitslücke 2025

Eine neue Sicherheitslücke bedroht Millionen Nutzer: DOM-based Extension Clickjacking greift die Autofill-Funktion von Passwort-Managern an und ermöglicht Angreifern den Diebstahl sensibler Daten. Erfahren Sie, welche Tools betroffen sind, wie der Angriff funktioniert – und welche Maßnahmen Unternehmen jetzt ergreifen sollten, um sich zu schützen.

Zuletzt aktualisiert:  

Teilen

Warum Geschäftsführer & IT-Verantwortliche jetzt handeln müssen

Passwort-Manager sind längst Standard im Unternehmensalltag. Sie vereinfachen die Passwortverwaltung und erhöhen die Sicherheit – eigentlich. Doch eine neue Angriffsmethode, das DOM-based Extension Clickjacking, stellt genau diese Sicherheit infrage.

Das Risiko: Millionen Nutzer – und damit auch Ihre Mitarbeiter – können unbewusst sensible Login-Daten preisgeben.
 Die Folge: Unbefugter Zugriff auf Geschäftskonten, CRM-Systeme oder Cloud-Dienste.

„Ein einziger Klick kann ausreichen, um Login-Daten, Kreditkarteninformationen oder sogar Zwei-Faktor-Codes preiszugeben.“
 (Marek Tóth, Sicherheitsforscher, 2025)

Was ist DOM-based Extension Clickjacking?

Clickjacking ist eine Technik, bei der unsichtbare Elemente über Webseiten gelegt werden. Nutzer glauben, auf harmlose Buttons zu klicken, lösen aber im Hintergrund Aktionen aus.

Die DOM-basierte Variante erweitert das Prinzip:

  • Angreifer manipulieren das Document Object Model (DOM) einer Webseite.

  • Unsichtbare Eingabefelder (opacity:0, z-index-Overlays) werden platziert.

  • Der Klick auf ein Cookie-Banner oder Captcha löst Autofill im Passwort-Manager aus.

Welche Passwort-Manager sind betroffen?

Tóth testete 11 populäre Erweiterungen – alle waren anfällig. Dazu zählen:

  • 1Password, Bitwarden, LastPass, iCloud Passwords, Enpass

  • Keeper, Dashlane, NordPass, ProtonPass, RoboForm, KeePassXC-Browser

Patch-Status (Stand: August 2025)

  • Behoben: Dashlane, Keeper, NordPass, ProtonPass, RoboForm

  • Noch betroffen: 1Password, Bitwarden (≤2025.8.0), LastPass, iCloud Passwords, Enpass (≤6.11.5), KeePassXC-Browser (≤1.9.9.2)

Welche Daten stehen auf dem Spiel?

  • Unternehmens-Logins (ERP, CRM, Cloud)

  • Kreditkartendaten

  • TOTP-2FA-Codes

  • Persönliche Daten von Mitarbeitern und Kunden

Ein kompromittierter Mitarbeiterzugang kann direkten Zugang zu Kundendatenbanken, Rechnungswesen oder Cloud-Speichern eröffnen.

Handlungsempfehlungen für Unternehmen

  1. Autofill-Funktion deaktivieren (bei allen Mitarbeitern, zentral vorgeben).

  2. Security-Awareness-Training durchführen: Mitarbeiter für unsichtbare Angriffe sensibilisieren.

  3. Regelmäßige Software-Updates einspielen und Patch-Status der eingesetzten Tools überwachen.

  4. Zero-Trust-Ansatz stärken: Selbst wenn Credentials kompromittiert werden, darf kein direkter Systemzugriff möglich sein.

  5. Notfallplan vorbereiten: Prozesse für Credential-Leaks definieren.

Fazit: Handeln statt Abwarten

DOM-based Extension Clickjacking zeigt, dass auch scheinbar etablierte Sicherheitstools verwundbar sind.
 Für Geschäftsführer bedeutet das: IT-Security gehört auf die Agenda der Unternehmensführung – nicht nur in die IT-Abteilung.

„Sicherheit ist kein Zustand, sondern ein Prozess.“
 (Marek Tóth, 2025)

Quelle: Marek Tóth: DOM-based Extension Clickjacking: Your Password Manager Data at Risk, 2025

Mehr Artikel

Jetzt Anrufen

Tel.: +49 (800) 8669000
Montag 08:00 - 18:00
Dienstag 08:00 - 18:00
Mittwoch 08:00 - 18:00
Donnerstag 08:00 - 18:00
Freitag 08:00 - 18:00
Samstag Geschlossen
Sonntag Geschlossen
* Die SLA-Regelung tritt nach unseren regulären Geschäftszeiten in Kraft.

aconitas GmbH

Unser Team ist für Sie da. Kontaktieren Sie uns – wir freuen uns, Ihnen weiterzuhelfen.

Unser Service & Support für Unternehmen

Telefon Support

+49 (800) 8669000

E-Mail Support

service@aconitas.com

Supremo - Remote Support

Für Windows downloaden Für macOS downloaden