Extensions sind praktische Helfer — ich nutze selbst zahlreiche kleine Tools, die mir den Alltag im Browser erleichtern. Gleichzeitig sind sie eine häufige Quelle für Datenschutz‑ und Sicherheitsprobleme. Bei einem kürzlichen Audit meiner eigenen Erweiterungen habe ich einige Überraschungen gefunden: unnötige Berechtigungen, Tracker in einer angeblich "privacy‑friendly" Erweiterung und sogar eine App, die Daten an Drittdienste sendete. Dieses Erlebnis hat mich dazu gebracht, systematisch zu prüfen, wie man Chrome‑Erweiterungen richtig auditiert und unsichere Add‑ons sicher entfernt.

Warum ein Extension‑Audit wichtig ist

Browser‑Erweiterungen laufen mit breiten Berechtigungen und können oft auf viele Websites, Tabs und sogar gespeicherte Passwörter zugreifen. Das macht sie zu einem attraktiven Ziel für bösartige Entwickler oder für schlecht gepflegte Projekte, die Daten unbeabsichtigt nach außen lecken. Ein Audit hilft dir, unerwünschte Datenzugriffe zu entdecken, Tracking zu reduzieren und die Angriffsfläche deines Browsers zu verkleinern.

Meine Checkliste für ein schnelles Audit

Ich arbeite beim Audit Schritt für Schritt, damit nichts untergeht. Du kannst die Liste eins zu eins übernehmen:

  • Welche Berechtigungen hat die Erweiterung? (Tabs, Cookies, Zugriff auf alle Websites…)
  • Ist die Erweiterung Open Source oder gibt es einen klaren Maintainer/Entwickler?
  • Wie alt ist die Erweiterung und wie häufig werden Updates veröffentlicht?
  • Gibt es externe Verbindungen (Netzwerkanfragen) beim Start oder bei Aktionen?
  • Welche Bewertungen und Kommentare gibt es im Chrome Web Store — besonders negative Berichte?
  • Welche Alternativen existieren mit weniger Berechtigungen?
  • Wurde die Erweiterung von einer seriösen Firma veröffentlicht oder von einem unbekannten Account?
  • Gibt es Hinweise auf Tracking‑SDKs, Analytics oder Ads im Hintergrund?

    • Acht Privacy‑Fallen — erkennen und bewerten

    Im Folgenden beschreibe ich die acht häufigsten Fallen, die ich bei meinen Audits gesehen habe, mit Beispielen und wie du sie entfernst.

  • Zu breite Berechtigungen

    • Viele Erweiterungen fordern „Zugriff auf alle Websites“ statt nur auf konkrete Domains. Das ist oft unnötig. Prüfe im Chrome‑Menü → Erweiterungen → Details, welche Rechte gesetzt sind. Wenn eine Erweiterung mehr fordert als nötig, suche nach Alternativen oder kontaktiere den Entwickler.

  • Externe Tracker und Telemetrie

    • Einige Add‑ons senden Nutzungsdaten an Google Analytics, Mixpanel oder proprietäre Server. Das ist nicht per se böse, aber oft unnötig. Mit Tools wie Requestly oder durch das Öffnen der Entwicklerkonsole (Netzwerk‑Tab) kannst du herausfinden, an welche Domains Anfragen gehen.

  • Bundled Software oder Werbung

    • Manche Erweiterungen liefern Erweiterungs‑Funktionen gemeinsam mit Werbenetzwerken oder binden Ad‑SDKs ein. Das reduziert Performance und verletzt oft die Privatsphäre. Bewertungen im Store und das Changelog können Hinweise liefern.

  • Verwaiste oder schlecht gewartete Erweiterungen

    • Keine Updates über Monate oder Jahre sind ein rotes Zeichen. Sicherheitslücken bleiben offen, ältere APIs können riskant werden. Bei verwaisten Projekten ist eine Entfernung oft die sicherste Option.

  • Versteckte Hintertüren / Obfuscation

    • Wenn der Code verschleiert ist oder Minified‑Scripts mit verschlüsselten Strings verwendet werden, kann das ein Indikator für böswilliges Verhalten sein. Open‑Source oder gut dokumentierter Code ist hier ein Pluspunkt.

  • Unklare Datenschutzrichtlinie

    • Fehlt eine lesbare Datenschutzerklärung oder ist sie sehr allgemein, solltest du misstrauisch sein. Seriöse Entwickler erklären, welche Daten gesammelt und wie sie verarbeitet werden.

  • Verwendung von Dritt‑APIs mit Tracking

    • Einige Erweiterungen verwenden Dritt‑APIs (z. B. CDN‑ oder Analytics‑Dienste), die Nutzer eindeutig identifizieren können. Das gilt besonders für kleine Tools, die auf externe Authentifizierung setzen.

  • Sync‑Funktion ohne Verschlüsselung

    • Erweiterungen, die Daten über eigene Server synchronisieren, ohne End‑to‑End‑Verschlüsselung anzubieten, setzen deine Daten potenziell offen. Prüfe, ob Sync über vertrauenswürdige Anbieter (z. B. Browser‑Sync) oder verschlüsselt erfolgt.

    Tabelle: Risiko vs. Handlung

    Gefundene Falle Risiko Empfohlene Aktion
    Breite Berechtigungen Hoher Datenzugriff Entfernen/ersetzen durch spezialisierte Erweiterung
    Externe Tracker Profiling, Tracking Anfragen blockieren oder Entwickler kontaktieren
    Verwaiste Erweiterung Sicherheitslücken Deinstallieren
    Sync ohne Verschlüsselung Datenlecks Alternative mit E2E‑Verschlüsselung nutzen

    So entferne ich unsichere Extensions sicher

    Wenn ich eine problematische Erweiterung finde, gehe ich folgendermaßen vor:

  • 1. Backup: Lese Einstellungen/Exportfunktionen der Erweiterung — bei Lesezeichen oder custom data exportiere ich die Daten.
  • 2. Deaktivieren statt sofort löschen: Zuerst deaktiviere ich die Erweiterung, um kurz zu testen, ob irgendetwas im Alltag fehlt.
  • 3. Chrome‑Task beenden: Manchmal bleiben Prozesse im Hintergrund. Ich schließe Chrome komplett und öffne ihn neu.
  • 4. Vollständig entfernen: Im Erweiterungsmenü klicke ich auf Entfernen. Bei zweifelhaften Erweiterungen überprüfe ich danach in den Profil‑Ordnern (nur wenn ich weiß, was ich tue).
  • 5. Netzwerktraffic prüfen: Nach Entfernung werfe ich einen Blick in die Netzwerk‑Konsole, um sicherzustellen, dass keine Hintergrundverbindungen mehr bestehen.

    • Tools, die mir beim Audit helfen

    Einige Tools haben mir die Arbeit erheblich erleichtert:

  • Chrome Entwicklertools »Netzwerk« — um zu sehen, welche Domains angesprochen werden.
  • Extension source viewer — zeigt den Quellcode von Extensions im Store an.
  • CRXcavator oder ExtVis — automatisierte Risikoanalysen für Chrome‑Extensions.
  • Privacy Badger / uBlock Origin — blockieren Tracker, sind aber kein Ersatz für ein Audit.

    • Prävention: Wie du deinen Browser sicher hältst

    Aus meinen Erfahrungen empfehle ich folgende Regeln dauerhaft anzuwenden:

  • Installiere nur Erweiterungen aus vertrauenswürdigen Quellen und mit klarem Maintainer.
  • Bevorzuge Open‑Source‑Projekte — der Code ist prüfbar.
  • Regelmäßiges Aufräumen: Mindestens einmal pro Quartal alle Erweiterungen checken.
  • Minimalprinzip: Installiere nur das Nötigste — weniger Erweiterungen = weniger Risiko.
  • Verwende einen separaten Browser oder ein Profil für sensible Tätigkeiten (Online‑Banking, Passwörter).

    • Wenn du magst, kann ich für Crest Datei (https://www.crest-datei.de) ein kurzes Audit deiner Top‑5 Erweiterungen durchführen und konkrete Empfehlungen geben. Schick mir einfach die Liste der installierten Add‑ons — ich werfe einen Blick darauf und nenne dir die wichtigsten Risiken und sichere Alternativen.