Clickjacking-Angriffe nutzen Autofill-Funktionen von Passwortmanagern aus, aber wer Autofill deaktiviert, verschärft das Problem nur. Anwender weichen auf Copy-and-Paste oder schwache Passwörter aus und erhöhen damit das Risiko für Phishing, Keylogger und Clipboard-Angriffe. Ein wirksamer Schutz entsteht durch Defense-in-depth mit URL-Abgleich, MFA-Einsatz für kritische Anwendungen und Endpoint-Security mit Browser-Leitplanken.
Clickjacking nutzt Autofill aus um an Zugangsdaten zu gelangen, aber die Deaktivierung der Funktion sorgt eher für mehr Probleme! Endpoint-Security, MFA und URL-Abgleich schützen wirksamer.
Neue Erkenntnisse in der Cybersicherheitsforschung sorgen regelmäßig für Verunsicherung: Sollten vertraute Funktionen deaktiviert werden? Müssen bewährte Arbeitsweisen überdacht werden? Genau das geschieht derzeit aufgrund von Erfahrungen, die zeigen, wie Clickjacking-Techniken das Verhalten von Passwortmanagern beim automatischen Ausfüllen (Autofill) ausnutzen.
Warum Autofill nicht das eigentliche Sicherheitsrisiko ist
Forschungsberichte zeigen, dass eine bösartige Webseite ein unsichtbares Element über einem scheinbar harmlosen Button wie etwa „Play“ platzieren kann. Statt einen Abspielvorgang zu starten wird das automatische Ausfüllen über eine Browser-Erweiterung ausgelöst. Die Methode ist ausgeklügelt, besorgniserregend – und gleichzeitig nicht neu im Bereich der Websicherheit. Denn Clickjacking ist eine altbekannte Web-Angriffstechnik. Neu ist jedoch die Ausrichtung auf Autofill innerhalb von Browser-Erweiterungen, die dieser Herausforderung wieder mehr Aufmerksamkeit verschafft. Autofill selbst ist nicht grundsätzlich unsicher – im Gegenteil, mit den richtigen Schutzmechanismen ist es meist sicherer als viele Alternativen.
Beim Clickjacking gegen Autofill-Funktionen wird versucht, Nutzer dazu zu bringen, ein verstecktes Element zu laden. Im schlimmsten Fall wird so ein einzelnes Passwort offengelegt – vorausgesetzt die Webseite ist fehlerhaft gestaltet. Im Vergleich dazu ermöglichen sogenannte Clipboard-Angriffe das Abfangen kopierter Daten; Malware oder schadhafte Skripte können dabei alle gespeicherten Zugangsdaten oder sensible Inhalte unbemerkt abgreifen. Ohne Autofill greifen viele Anwender auf „Copy & Paste“ zurück oder aber verwenden schwache Passwörter, weil sie leichter zu merken sind. Beide Verhaltensweisen erhöhen das Risiko für Phishing, Keylogger und schädliche Skripte deutlich. Richtig konfiguriert und auf der passenden Domain eingesetzt kann Autofill den Schutz vor Phishing also durchaus erhöhen.
Das Risiko entsteht also nicht durch Autofill selbst, sondern durch Schwachstellen im Design und der Darstellung einiger Webseiten, die Angreifern genau diesen Spielraum bieten. So gelingt der Angriff meist, wenn Applikationen unkontrollierte Inhalte anzeigen oder Elemente nicht korrekt geprüft werden. Clickjacking bleibt aus genau diesem Grund ein Thema in immer neuen Varianten.
Defense-in-depth: Leitplanken für Autofill-Sicherheit
Was ist also der richtige Umgang mit dem Thema? Autofill sollte nicht grundsätzlich deaktiviert, sondern im Sinne einer mehrschichtigen Verteidigung („Defense-in-depth“) abgesichert werden. Browser-Erweiterungen und Passwortmanager können und sollten zudem Schutzmaßnahmen wie genaue URL-Abgleiche, zusätzliche Authentifizierungsschritte für sensitive Anwendungen oder Transparenzprüfungen implementieren, damit versteckte Elemente schwieriger missbraucht werden können.
Doch Leitplanken auf Browserebene reichen nicht aus; viele ausgeklügelte Angriffe passieren im Speicher, zielen auf Endgeräte und kapern Klicks auf eine Weise, die der Browser allein nicht erfassen kann. Genau hier sind Schutzmechanismen wie Endpoint Identity Security entscheidend. Durch Validierung von Nutzeraktionen, Isolierung schädlicher Inhalte und Überwachung von Sitzungen können intelligente Endpoint-Privilegien damit verhindern, dass Clickjacking zum Ziel führt.
Das Team von CyberArk Labs untersuchte bereits Anfang dieses Jahres Malware mit dem Namen „Captain MassJacker Sparrow“, bei der Clickjacking-ähnliche Tricks zur Erbeutung von Zugangsdaten genutzt wurden. Das Fazit: Angreifer zielen nicht nur direkt auf Passwörter – sondern beeinflussen, wie und wann sie eingesetzt werden. Auch diese neuen Erkenntnisse verdeutlichen einmal mehr, warum mehrschichtige Abwehrmaßnahmen, die Anwendungen, Browser und Endgeräte berücksichtigen, essenziell sind.
Prävention von Clickjacking: Maßnahmen für Security-Teams
Was können IT-Sicherheitsverantwortliche und Praktiker konkret tun? Folgende Maßnahmen helfen, das Risiko durch Clickjacking in realen Umgebungen zu reduzieren:
Kritische Anwendungen prüfen: Wer auf webbasierte HR- oder CRM-Portale setzt, sollte beim Anbieter gezielt nach Clickjacking-Schutz fragen. Security-Header wie X-Frame-Options und Content Security Policy (CSP) zählen zu bewährten Verteidigungsmaßnahmen – sind aber nicht überall Standard.
Bedarfsorientierter Schutz: Für risikobehaftete Anwendungen sollte Autofill nur nach zusätzlicher Authentifizierung wie MFA (Multi-Faktor-Authentifizierung) möglich sein – etwa für Lohnabrechnung, Administrationsbereiche oder Anwendungen mit sensiblen Daten.
Domainabgleich erzwingen: Zugangsdaten, die für „finance.example.com“ gelten, dürfen auf „finance-login-example.com“ nicht funktionieren. So werden typische Phishing- und Clickjacking-Tricks mit abgewandelten oder eingebetteten Domains verhindert.
Endpoint-Sicherheit und Sichtbarkeit: Die Wahl eines sicheren Enterprise-Browsers mit integriertem Speicher-, Sitzungs- und Zugangsdaten-Schutz ist sinnvoll. Bei Consumer-Browsern sollten Exploit-Abwehr, Speicher- und Zugangsdaten-Schutz aktiviert sein. Tools zur Endpoint-Privilegienverwaltung inkl. Sitzungsüberwachung bieten zusätzlichen Schutz – etwa für Drittgeräte, Kiosksysteme oder BYOD.
Vor- und Nachteile abwägen: Das Abschalten von Autofill verleitet Mitarbeitende oft dazu, Passwörter in unsicherer Form zu speichern, etwa in Excel oder durch mehrfach genutzte schwache Passwörter – ein größeres Risiko als durch Autofill selbst.
Die Zukunft von Autofill: Intelligente Schutzmechanismen gegen Clickjacking
Sicherheitsteams stehen vor dem Balanceakt: Nutzer schützen, ohne Arbeitsabläufe unnötig zu erschweren. Autofill steht exemplarisch genau dafür. Wer es deaktiviert, schafft neue Risiken durch unsichere Methoden – schützt man es nicht, öffnen sich neue Angriffsmöglichkeiten. Die Lösung liegt in intelligenten Schutzmechanismen, umfassender Endgeräte-Überwachung und enger Zusammenarbeit von Security-Fachleuten und Software-Anbietern. Autofill wird nicht verschwinden – und sollte es auch nicht. Mit abgestuften Schutzmaßnahmen bleibt es ein wirksames Werkzeug zur Absicherung von Zugangsdaten, selbst wenn Angreifer neue Methoden wie unsichtbare Frames ausnutzen.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Über die Autorin: Laura Balboni ist Senior Product Marketing Manager bei CyberArk.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/c6/7e/c67ee3c3d518dfe5a48378e20a95fde5/0129075400v1.jpeg "Clickjacking nutzt Autofill aus um an Zugangsdaten zu gelangen, aber die Deaktivierung der Funktion sorgt eher für mehr Probleme! Endpoint-Security, MFA und URL-Abgleich schützen wirksamer. (Bild: © Montri - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9a/c4/9ac49e87ca2e15d5c87112420f91805f/0129092634v1.jpeg "Security-Analysten im Security Operations Center (SOC) korrelieren Telemetrie, Identitäten und Netzwerkdaten, um autonome Angriffsmuster frühzeitig zu erkennen und Eindämmungsschritte zu automatisieren. (Bild: © whitestorm - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2c/7f/2c7f325ab87e8cde7456fb75e3fd2e0b/0128865641v2.jpeg "Die Code-Injection-Sicherheitslücke in PowerPoint von 2009 ermöglicht es Angreifern, durch speziell gestaltete PowerPoint-Dateien beliebigen Code auszuführen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/e4/03/e403d8463e7796490cc475b2403f6db3/0128970281v2.jpeg "Crowdstrike und Nord Security ermöglichen KMU umfassende Cybersicherheit über die Falcon-Plattform. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/f9/c2/f9c2294159cf54881cc858b0423d08aa/0128304876v1.jpeg "Tiho Saric, Senior Sales Director bei Gigamon, zeigt, weshalb Deep Observability die Grundlage für Zero Gap bildet und Unternehmen hilft, Blind Spots zu eliminieren, verschlüsselte Workloads zu überwachen und Zero Trust konsequent umzusetzen. (Bild: Gigemon)")
:quality(80)/p7i.vogel.de/wcms/5f/01/5f01f4759ed9713f2d51b9ac93f87e4e/0129075784v2.jpeg "2026 wird KI-Governance Pflicht, Datensouveränität entscheidet über Clouds, Exposure Management läuft kontinuierlich und IT/OT konvergiert durch NIS2-Druck. (Bild: © Celt Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/95/a495b3f6cd1fa2bd22d1c1ff3c4f4104/0128522811v1.jpeg "Souveräne Cloud-Infrastrukturen sollen der öffentlichen Verwaltung Kontrolle, Sicherheit und digitale Handlungsfähigkeit über kritische Daten sichern. (Bild: © Anca - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f4/07/f40741c3efecd5069f248cf96f033389/0129088128v1.jpeg "Der Data Act verpflichtet Hersteller seit September 2025 zu Datenzugang, aber die Abgrenzung zwischen Bereitstellungspflicht und DSGVO-Schutz bleibt komplex. (Bild: © Zay Win Htai - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b0/7c/b07c2afa7203635856ba0d1fdea2bc28/0129154622v2.jpeg "Die häufigsten Passwörter in Deutschland sind nach einer Auswertung geleakter Daten einfache Kombinationen wie „123456“ und „123456789“, die eine Einladung für Hacker darstellen und Sicherheitsrisiken bergen. (Bild: vinnstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/09/7b/097be8af7888fc22051e329663da4ecc/0128787261v2.jpeg "Ein iranischer Cyberangreifer konnte über einen unbestimmten Zeitraum hinweg in 50 Unternehmen einbrechen, da diese keine Mulifaktor-Authentifizierung hatten. (Bild: oz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:quality(80)/p7i.vogel.de/wcms/93/c2/93c2a1998fd1fdd704701ba7056673a8/0128454446v2.jpeg "Das BSI fand bei seinem Passwortmanager-Test erhebliche Sicherheitsunterschiede. Doch der Einsatz von Passwortmanagern bleibt insgesamt klar empfehlenswert. (©wutzkoh - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc3f3ceb1b8e33ad874eb0fd6d3e225/0110390941.jpeg "So knacken Hacker Passwörter und das kann man als Schutz dagegen tun. (Bild: jariyawat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9d/c5/9dc5e2d9e54772e42c1b9180c5e176ec/0127797516v4.jpeg "Die Daten, die jüngst dem Online-Dienst „Have I Been Pwned“ hinzugefügt wurden, stammen aus einer groß angelegten Sammlung von Infostealer-Logs von Synthient. (Bild: Midjourney / Paula Breukel / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/80/cf/80cf4a2fc95091d079d4621b7220cb55/0128065826v1.jpeg "Obwohl sich KMU Verizon zufolge schlechter aufgestellt fühlen als große Unternehmen in Sachen Cybersicherheit, bieten sie weniger Schulungen für Mitarbiter an und verfügen seltener über eine Multi-Faktor-Authentifizierung. (Bild: Midjourney / Paula Breukel / KI-generiert)")