Der Browser ist die neue Angriffsfläche – und kaum jemand redet darüber
Denk kurz darüber nach, was deine Mitarbeitenden den ganzen Tag tun: Sie melden sich bei Geschäftsanwendungen an, bearbeiten Dokumente, greifen auf CRM- und ERP-Systeme zu, recherchieren, kommunizieren mit Kunden und Partnern – und das alles über den Browser. Ob Cloud-Dienste, interne Webportale oder SaaS-Applikationen: Nahezu jeder Arbeitsschritt fliesst heute durch einen Browser-Tab. Jeder Tastendruck, jeder Datei-Upload, jedes Authentifizierungstoken läuft über Microsoft Edge.
Und trotzdem? Wird der Browser in vielen Unternehmen stiefmütterlich behandelt. Keine zentral verwalteten Sicherheitseinstellungen. Kein Schutz vor Phishing durch Tippfehler. Keine Kontrolle darüber, ob Mitarbeitende auf betrügerische Seiten hereinfallen.
Das Problem: Selbst auf einem vollständig Intune-verwalteten Windows-11-Gerät ist Edge out of the box überraschend permissiv konfiguriert. Nutzer können Sicherheitswarnungen einfach wegklicken, ihre Passwörter ungeschützt im Browser speichern oder auf täuschend echte Betrugsseiten hereinfallen – ohne dass die IT-Abteilung davon erfährt.
Jede einzelne dieser Lücken ist für sich genommen nicht katastrophal. Aber zusammen ergeben sie eine erhebliche Angriffsfläche – besonders in Zeiten, in denen KI-gestützte Angriffe immer raffinierter werden.
Die gute Nachricht: Microsoft hat Edge in den letzten Monaten mit starken Security-Features ausgestattet, die sich über Intune zentral ausrollen lassen. In diesem Artikel stelle ich dir drei Funktionen vor, die ich 2026 in jeder Unternehmensumgebung sofort aktivieren würde – egal ob kleines Unternehmen oder Grosskonzern. Sie sind in wenigen Minuten konfiguriert, beeinträchtigen die Nutzererfahrung kaum und bieten sofortigen Schutz gegen reale Bedrohungen.
So konfigurierst du die Einstellungen in Intune
Alle drei Funktionen lassen sich über den Intune Settings Catalog konfigurieren. Der Weg dorthin ist immer gleich:
Intune Admin Center > Devices > Windows > Configuration > Create > New Policy > Windows 10 and later > Settings Catalog
Suche dann nach dem jeweiligen Setting-Namen im Settings Picker. Sobald du die Einstellungen ausgewählt und konfiguriert hast, weist du das Profil einer Entra-ID-Sicherheitsgruppe zu – fertig.
Nach dem Deployment kannst du auf jedem Endgerät über edge://policy prüfen, ob die Policies korrekt angewendet werden. Settings mit dem Status Active greifen. Bei Error liegt ein Konfigurationsproblem vor.
1. Typosquatting-Schutz – der stille Lebensretter
Was ist Typosquatting?
Typosquatting ist eine Phishing-Methode, die auf etwas ganz Alltägliches setzt: Tippfehler. Angreifer registrieren Domains, die bekannten Unternehmenswebsites zum Verwechseln ähnlich sehen – etwa „micosoft.com» statt „microsoft.com», „gooogle.com» statt „google.com» oder „sharepoiint.com» statt „sharepoint.com». Die gefälschten Seiten sind oft perfekte Kopien der Originale, inklusive Login-Maske, Firmenlogo und SSL-Zertifikat.
Das Ziel ist simpel: Der Nutzer tippt eine URL ein, macht einen kleinen Fehler, landet auf der Fake-Seite und gibt dort seine Zugangsdaten ein. In einer Unternehmensumgebung kann das fatale Folgen haben – ein kompromittiertes Microsoft-365-Konto öffnet Angreifern die Tür zu E-Mails, SharePoint, Teams und sämtlichen verbundenen Systemen.
Wie schützt Edge davor?
Der in Edge integrierte Typosquatting-Schutz (Website Typo Protection) gleicht jede eingegebene URL mit einer Datenbank bekannter Domains ab. Erkennt Edge, dass die eingegebene Adresse einer häufig besuchten Website verdächtig ähnlich sieht, wird der Nutzer sofort gewarnt – noch bevor die Seite geladen wird. Die Warnung fragt den Nutzer, ob er wirklich diese Seite besuchen wollte, und schlägt die korrekte Domain vor.
Standardmässig ist diese Funktion in Edge aktiviert. Das Problem: Nutzer können sie jederzeit unter Einstellungen > Datenschutz > Sicherheit deaktivieren. Und genau hier kommt Intune ins Spiel – du kannst die Einstellung erzwingen und gleichzeitig verhindern, dass Nutzer Warnungen einfach wegklicken.
Diese Settings konfigurieren
| Setting | Wert | Was es bewirkt |
| Configure Edge TyposquattingChecker | Enabled | Aktiviert den Typosquatting-Schutz und verhindert, dass Nutzer ihn deaktivieren |
| Prevent bypassing Edge Website Typo Protection prompts for sites | Enabled | Nutzer können Warnungen nicht mehr ignorieren und trotzdem zur Seite navigieren |
| TyposquattingAllowListDomains | Interne Domains | Verhindert Fehlalarme bei internen Domains, die der Datenbank nicht bekannt sind |
Praxis-Tipps
Die Allowlist für interne Domains ist ein wichtiges Detail, das oft vergessen wird. Wenn dein Unternehmen interne Anwendungen auf Domains hostet, die bekannten Seiten ähnlich sehen (etwa ein internes Tool auf „sharepoint-intern.contoso.com»), kann der Typosquatting-Schutz Fehlalarme auslösen. Über TyposquattingAllowListDomains kannst du diese Domains gezielt ausschliessen.
Nach dem Deployment kannst du die Funktion einfach testen: Öffne Edge und gib eine bewusst falsch geschriebene URL ein, etwa „gogle.com». Edge sollte sofort eine Warnung anzeigen und vorschlagen, ob du „google.com» meinst. Auf dem Endgerät kannst du unter edge://settings/privacy im Bereich Sicherheit prüfen, ob die Einstellung „Website typo protection» aktiv und ausgegraut ist – das bedeutet, sie wird von Intune verwaltet und kann vom Nutzer nicht geändert werden.
Von allen Einstellungen in diesem Artikel hat der Typosquatting-Schutz das beste Verhältnis von Aufwand zu Wirkung: Zwei Minuten Konfiguration, keinerlei Einschränkung der Produktivität, aber ein sofortiger Schutz gegen eine der häufigsten Einstiegsmethoden für Phishing-Angriffe.
2. Passwort-Manager steuern und Password Monitor aktivieren
Warum der Edge-Passwort-Manager ein zweischneidiges Schwert ist
Der in Edge integrierte Passwort-Manager speichert Zugangsdaten lokal auf dem Gerät und bietet an, sie bei erneutem Besuch einer Website automatisch auszufüllen. Für Privatnutzer ist das praktisch. In einer Unternehmensumgebung kann es aber zum Sicherheitsrisiko werden.
Das Problem liegt in der Parallelität: Wenn dein Unternehmen bereits einen Enterprise Password Manager (wie 1Password, Bitwarden Enterprise oder CyberArk) einsetzt oder Zugangsdaten über Single Sign-On mit Entra ID verwaltet, führt der Edge-Passwort-Manager zu einer doppelten Datenhaltung. Passwörter liegen dann sowohl in der zentralen Unternehmenslösung als auch lokal im Browser-Profil. Bei einem kompromittierten Gerät können die lokal gespeicherten Zugangsdaten ausgelesen werden – selbst wenn die zentrale Lösung längst das Passwort rotiert hat.
Meine Empfehlung: Deaktiviere den Edge-Passwort-Manager, wenn eine zentrale Lösung oder SSO vorhanden ist. Falls dein Unternehmen noch keinen Enterprise Password Manager einsetzt, ist der Edge-eigene allerdings besser als gar keiner – in diesem Fall: aktiviert lassen.
Warum der Password Monitor in jedem Fall an sein sollte
Unabhängig davon, wie du den Passwort-Manager handhabst, gibt es eine Funktion, die du in jedem Fall aktivieren solltest: den Password Monitor.
Der Password Monitor gleicht die im Browser gespeicherten oder über Edge synchronisierten Zugangsdaten regelmässig mit einer Datenbank bekannter Datenlecks ab. Wird ein Passwort gefunden, das in einem Leak aufgetaucht ist, warnt Edge den Nutzer sofort und fordert zur Änderung auf. Das geschieht datenschutzkonform – Edge sendet keine Klartext-Passwörter an Microsoft, sondern arbeitet mit kryptografischen Hash-Vergleichen.
Warum ist das so wichtig? Studien zeigen immer wieder, dass ein erheblicher Anteil der Nutzer dasselbe Passwort für mehrere Dienste verwendet. Wird ein Passwort bei einem externen Dienst geleakt und ist es identisch mit dem Unternehmenspasswort, ist das Konto kompromittiert – ohne dass der Nutzer oder die IT-Abteilung es bemerkt. Der Password Monitor schliesst genau diese Lücke als Frühwarnsystem.
Diese Settings konfigurieren
| Setting | Wert | Was es bewirkt |
| Enable saving passwords to the password manager | Disabled (oder Enabled, wenn kein Enterprise Password Manager vorhanden) | Verhindert bzw. erlaubt das lokale Speichern von Passwörtern in Edge |
| PasswordMonitorAllowed | Enabled | Aktiviert den Abgleich gespeicherter Zugangsdaten mit bekannten Datenlecks |
Praxis-Tipps
Wenn du den Passwort-Manager deaktivierst, kommuniziere das vorher an die Mitarbeitenden – und stelle sicher, dass die Alternative (Enterprise Password Manager oder SSO) eingerichtet und geschult ist. Nichts frustriert Nutzer mehr, als eine gewohnte Funktion zu verlieren, ohne zu wissen, was sie stattdessen nutzen sollen.
Den Password Monitor kannst du einfach testen: Navigiere in Edge zu edge://settings/passwords/passwordMonitor. Dort siehst du, ob der Monitor aktiv ist und ob kompromittierte Passwörter gefunden wurden. Für einen echten Test kannst du einen Test-Account mit einem bekannten, geleakten Passwort erstellen – die Warnung sollte innerhalb weniger Stunden erscheinen.
Ein häufiges Missverständnis: Der Password Monitor funktioniert auch dann, wenn der Passwort-Manager deaktiviert ist – vorausgesetzt, es gibt bereits gespeicherte Passwörter aus der Zeit vor der Deaktivierung. In diesem Fall warnt er weiterhin vor kompromittierten Einträgen und fordert zur Änderung auf. Eine gute Übergangslösung, bis alle Mitarbeitenden auf die zentrale Passwortverwaltung migriert sind.
3. Scareware Blocker – KI gegen Tech-Support-Betrug
Was ist Scareware und warum ist sie so gefährlich?
Scareware-Angriffe gehören zu den ältesten Betrugsmaschen im Internet – und sie funktionieren noch immer erschreckend gut. Das Prinzip: Eine Website zeigt plötzlich eine Vollbild-Warnung an, die aussieht wie eine echte Windows-Systemmeldung. Alarmsounds ertönen, die Maus scheint blockiert, und eine dringende Nachricht fordert den Nutzer auf, sofort eine Telefonnummer anzurufen oder eine Software herunterzuladen, um den vermeintlichen Virus zu entfernen.
Die Fake-Warnungen sind mittlerweile so professionell gestaltet, dass selbst erfahrene Nutzer einen zweiten Blick brauchen, um sie als Betrug zu erkennen. Sie imitieren Windows-Dialoge, verwenden Microsoft-Logos und zeigen sogar gefälschte „Scan-Ergebnisse» an. Für weniger technikaffine Mitarbeitende – etwa in der Buchhaltung, im Empfang oder im Aussendienst – sind diese Angriffe eine reale Gefahr.
Die Folgen eines erfolgreichen Scareware-Angriffs sind gravierend: Im harmlosesten Fall zahlt das Unternehmen für eine nutzlose „Reparatur-Software». Im schlimmsten Fall erhält ein Angreifer über eine Fernzugriffssoftware (Remote Desktop) vollständigen Zugang zum Unternehmensgerät – inklusive aller geöffneten Anwendungen, gespeicherten Passwörter und Netzwerkressourcen.
Wie funktioniert der Scareware Blocker?
Microsoft Defender SmartScreen schützt bereits vor bekannten Scam-Seiten, indem es URLs gegen eine dynamisch aktualisierte Datenbank prüft. Aber was ist mit neuen Betrugsseiten, die noch nicht in der Datenbank stehen? Genau hier setzt der Scareware Blocker an.
Der Scareware Blocker nutzt ein lokales Machine-Learning-Modell, das direkt auf dem Gerät des Nutzers läuft. Dieses Modell wurde mit Tausenden realer Scam-Muster trainiert, die von der Anti-Scam-Community an Microsoft gemeldet wurden. In Echtzeit analysiert es das Verhalten von Webseiten – etwa ob eine Seite versucht, den Vollbildmodus zu übernehmen, Alarmsounds abzuspielen oder die Browsersteuerung zu blockieren.
Erkennt das Modell einen Betrugsversuch, passieren drei Dinge gleichzeitig: Edge beendet sofort den Vollbildmodus, stoppt alle Audioausgaben und zeigt dem Nutzer eine klare Warnung an. Der Nutzer kann die Seite dann sicher schliessen.
Ein wichtiges Detail für datenschutzbewusste Unternehmen: Das ML-Modell läuft vollständig lokal auf dem Gerät. Es werden keine Screenshots, keine Bilddaten und keine Seiteninhalte an Microsoft gesendet. Das einzige, was optional geteilt werden kann, sind die URLs erkannter Scam-Seiten – und auch das nur, wenn du die entsprechende Einstellung aktivierst. Diese Meldung an SmartScreen hilft allerdings, andere Nutzer weltweit vor derselben Betrugsseite zu schützen, und ich empfehle, sie zu aktivieren.
Diese Settings konfigurieren
| Setting | Wert | Was es bewirkt |
| Configure Microsoft Edge Scareware blocker protection (ScarewareBlockerProtectionEnabled) | Enabled | Aktiviert das lokale ML-Modell und den Scareware-Schutz |
| ScarewareBlockerBlocksDetectedSitesEnabled | Enabled | Blockiert erkannte Betrugsseiten automatisch |
| ScarewareBlockerSendDetectedSitesToSmartScreenEnabled | Enabled | Meldet erkannte Scam-URLs an SmartScreen, um andere Nutzer zu schützen |
| ScarewareBlockerAllowListDomains | Interne Domains (falls nötig) | Schliesst bestimmte Domains von der Erkennung aus, um Fehlalarme zu vermeiden |
Praxis-Tipps
Der Scareware Blocker benötigt ein Minimum an Hardware-Ressourcen: mindestens 2 GB RAM und 4 CPU-Kerne. Auf Geräten, die diese Anforderungen nicht erfüllen, steht die Funktion möglicherweise nicht zur Verfügung. Für die meisten modernen Unternehmensgeräte ist das kein Problem – prüfe aber vorab, ob ältere Geräte in deinem Bestand betroffen sein könnten.
Um den Scareware Blocker zu testen, navigiere auf dem Endgerät zu edge://settings/privacy, scrolle zum Bereich „Sicherheit» und prüfe, ob „Scareware Blocker» aktiviert und von der Organisation verwaltet wird. Microsoft stellt leider keine offizielle Test-URL zur Verfügung, aber du kannst die Funktion in der edge://policy-Ansicht auf den Status Active überprüfen.
Die Allowlist kann relevant sein, wenn interne Webanwendungen Vollbild-Elemente verwenden – etwa Dashboards, die im Kiosk-Modus angezeigt werden, oder Schulungsvideos mit Vollbild-Präsentationen. In solchen Fällen könnten Fehlalarme auftreten. Über ScarewareBlockerAllowListDomains schliesst du diese Domains gezielt aus.
Für mich ist der Scareware Blocker die spannendste Edge-Neuerung der letzten Monate. Nicht weil Tech-Support-Scams ein neues Phänomen sind – sie existieren seit Jahren. Sondern weil Microsoft hier erstmals ein lokales KI-Modell direkt im Browser einsetzt, das Betrugsversuche erkennt, noch bevor sie in irgendeiner Datenbank stehen. Das ist ein echter Paradigmenwechsel im Browser-Schutz.
Fazit: Drei Einstellungen, zehn Minuten, sofortige Wirkung
Wir investieren viel Zeit in die Absicherung von Betriebssystemen, Netzwerken und Identitäten – aber der Browser, durch den der Grossteil der täglichen Arbeit fliesst, wird oft vergessen. Die drei Funktionen aus diesem Artikel ändern das mit minimalem Aufwand:
Typosquatting-Schutz fängt den Moment ab, in dem ein Tippfehler zur Phishing-Falle wird. Password Monitor warnt, bevor ein geleaktes Passwort zum Einfallstor wird. Und der Scareware Blocker stoppt Betrugsversuche, die noch in keiner Datenbank stehen.
Alle drei Funktionen sind in wenigen Minuten über den Intune Settings Catalog konfiguriert, beeinträchtigen die Nutzererfahrung praktisch nicht und bieten sofortigen Schutz gegen reale Bedrohungen. Wenn du diese Woche nur eine Sache an deiner Edge-Konfiguration änderst – starte hier.
Hast du Fragen zur Edge-Absicherung mit Intune oder möchtest du deine Konfiguration besprechen? Schreib mir – ich freue mich auf den Austausch!
Viele Grüsse, Edgar
