Zum Inhalt springen

Services, Wiki-Artikel, Blog-Beiträge und Glossar-Einträge durchsuchen

↑↓NavigierenEnterÖffnenESCSchließen

Manifest V3: Auswirkungen auf Browser-Erweiterungen und Sicherheit

Manifest V3 ist das neue Grundgerüst für Chrome-Erweiterungen. Dieser Artikel erklärt die technischen Änderungen gegenüber Manifest V2, die Auswirkungen auf Adblocker und Sicherheitstools, die Kritik der Community sowie die Bedeutung für Nutzer und Entwickler.

Inhaltsverzeichnis (6 Abschnitte)

Manifest V3 (MV3) ist die dritte Generation des Erweiterungs-Manifests für Chromium-basierte Browser. Das Manifest ist eine Konfigurationsdatei, die festlegt, welche Berechtigungen eine Browser-Erweiterung hat und welche technischen Schnittstellen sie nutzen darf. Die Einführung von Manifest V3 durch Google hat eine intensive Debatte ausgelöst - denn die Änderungen schränken nicht nur potenziell schädliche Erweiterungen ein, sondern auch legitime Sicherheits- und Datenschutztools.

Was ist ein Browser-Extension-Manifest?

Jede Chrome-Erweiterung enthält eine manifest.json im Wurzelverzeichnis. Diese Datei deklariert Name, Version, benötigte Berechtigungen und die genutzten APIs. Das Manifest ist damit der Vertrag zwischen der Erweiterung und dem Browser: Was die Erweiterung darf, steht darin explizit.

{
  "manifest_version": 3,
  "name": "Beispiel-Erweiterung",
  "version": "1.0",
  "permissions": [
    "activeTab",
    "storage"
  ],
  "background": {
    "service_worker": "background.js"
  },
  "action": {
    "default_popup": "popup.html",
    "default_icon": "icon.png"
  }
}

Kritische Felder im Manifest:

  • manifest_version: 2 (veraltet) oder 3 (aktuell, ab 2024 Pflicht)
  • permissions: Deklarierte Zugriffsrechte (activeTab, tabs, webRequest, etc.)
  • background: Hintergrundprozess - in MV3 nur noch als Service Worker
  • host_permissions: Auf welche Domains darf die Erweiterung zugreifen

Die wichtigsten Unterschiede: MV2 vs. MV3

Die Kernänderungen in Manifest V3 betreffen vor allem drei Bereiche: den Hintergrundprozess, die Netzwerkanfragen-Filterung und die Ausführung von Code.

Die Kernänderungen in Manifest V3 betreffen drei Bereiche:

1. Hintergrundprozess: In MV2 lief ein dauerhaft aktiver Hintergrundprozess (background.scripts, persistent), der Zustand im Speicher hielt und jederzeit Aktionen ausführen konnte. In MV3 wird dieser durch einen Service Worker ersetzt, der bei Bedarf gestartet wird und nach 30 Sekunden Inaktivität schläft. Der Zustand muss in chrome.storage persistiert werden. Für Entwickler bedeutet das komplexere Statusverwaltung und Schwierigkeiten bei langlebigen Hintergrundoperationen; viele MV2-Erweiterungen mussten grundlegend umgeschrieben werden.

2. Netzwerkanfragen: webRequest vs. declarativeNetRequest: MV2 ermöglichte es Erweiterungen, alle Netzwerkanfragen im Klartext zu empfangen und dynamisch zu blockieren, umzuleiten oder zu verändern - maximale Flexibilität für Adblocker und Security-Tools, aber auch die Möglichkeit, alle URLs einschließlich sensibler Bereiche (Banking, Passwörter) zu sehen. In MV3 werden Regeln vorab in einer rules.json deklariert; der Browser entscheidet und keine Erweiterung sieht rohe Anfragedaten mehr. Das ursprüngliche Limit von 30.000 statischen Regeln wurde 2023 auf 300.000 erhöht. Es bleibt ein Kompromiss zwischen Datenschutz und Funktionalität.

3. Code-Ausführung zur Laufzeit: MV2 erlaubte das dynamische Nachladen von beliebigem Code zur Laufzeit. MV3 verbietet dies vollständig - nur explizit in der Erweiterung eingebetteter Code darf ausgeführt werden. Das verhindert das nachträgliche Einschleusen von bösartigem Code nach der Installation.

Auswirkungen auf Sicherheitstools und Adblocker

Die Kontroverse um MV3 entbrannte vor allem durch die Auswirkungen auf populäre Erweiterungen wie uBlock Origin, Privacy Badger und verschiedene Sicherheitstools.

uBlock Origin - der meistgenutzte freie Adblocker - basiert in seiner "Origin"-Version auf dem dynamischen webRequest-Modell von MV2. Der Entwickler Raymond Hill veröffentlichte eine MV3-kompatible Version namens "uBlock Origin Lite", betont jedoch, dass diese eine reduzierte Funktionalität bietet. Insbesondere die dynamische Regelverarbeitung - zum Beispiel das Erkennen und Blockieren von Trackern, die sich hinter wechselnden Domains verstecken - ist mit MV3-Grenzen schwieriger umzusetzen.

Praktische Einschränkungen für verschiedene Erweiterungstypen:

  • Adblocker: Statische Blocklisten (z. B. EasyList) funktionieren weiterhin gut. Dynamische Regeln via JavaScript sind eingeschränkt, und kosmetische Filter (DOM-Manipulation) müssen anders implementiert werden.
  • Passwort-Manager: Formular-Erkennung und Autofill funktionieren weiterhin. Einige nutzen Hintergrundkommunikation, die der Service Worker kompliziert. 1Password, Bitwarden und andere haben die Umstellung abgeschlossen.
  • Sicherheits-Erweiterungen: Dynamisches Eingreifen in Anfragen ist schwieriger. HTTPS Everywhere wurde 2022 eingestellt (moderne Browser bieten einen nativen HTTPS-Only-Mode). NoScript-Äquivalente müssen declarativeNetRequest intensiv nutzen.
  • Enterprise-Security-Erweiterungen: Corporate-Proxies und DLP-Erweiterungen sind betroffen. Einige MDM-Lösungen nutzen noch persistente Hintergrundprozesse, die Migration erfordert teils erheblichen Entwicklungsaufwand.

Googles Motivation und die Kritik

Google begründet MV3 mit drei Hauptargumenten: mehr Datenschutz (Erweiterungen sehen keine rohen Anfragedaten mehr), mehr Sicherheit (kein dynamisches Code-Loading) und bessere Performance (Service Worker verbrauchen weniger Ressourcen als persistente Hintergrundseiten).

Die Kritik der Erweiterungs-Community und von Datenschutzorganisationen lautet hingegen: Die Änderungen schwächen primär Nutzer-schützende Tools, während Google selbst weiterhin alle Browserdaten sieht. Electronic Frontier Foundation (EFF) und Mozilla erklärten, MV3 beeinträchtige "den Kampf gegen Überwachung und invasive Werbung".

Firefox hat sich für eine differenzierte Strategie entschieden: MV3 wird als Kompatibilitätsformat unterstützt, jedoch ohne die strengsten Einschränkungen bei webRequest. Firefox-Erweiterungen können weiterhin die blockierende webRequest-API nutzen - was Firefox für Nutzer interessant macht, die maximalen Datenschutz über Browser-Erweiterungen anstreben.

Browser-Unterstützung MV3 (Stand 2025):

  • Chrome/Chromium: MV2-Erweiterungen im Chrome Web Store seit Juni 2024 für Konsumenten deaktiviert. Enterprise-Nutzer (via Policy) können MV2 bis Ende 2025 nutzen. Migration auf MV3 ist dringend erforderlich.
  • Firefox: MV3 wird als Kompatibilitätslayer unterstützt, aber die blockierende webRequest-API bleibt als Firefox-eigene API verfügbar. Für Datenschutz-Enthusiasten bietet Firefox + uBlock Origin stärkeren Schutz als Chromium-Browser.
  • Edge (Chromium-basiert): Folgt dem Chrome-Zeitplan für MV3 mit teils eigenen Zeitvorgaben im eigenen Extension-Store.
  • Safari: Eigenes Web Extension Format (Xcode-basiert); Safari 15+ unterstützt MV3-Kompatibilitätsfeatures; restriktiver als Chrome bezüglich Extension-APIs.

Sicherheitsimplikationen für Unternehmen

Für IT-Sicherheitsverantwortliche ergeben sich aus der MV3-Umstellung praktische Konsequenzen:

Erstens werden bestehende Unternehmens-Browser-Richtlinien hinfällig, wenn sie sich auf MV2-Erweiterungen stützen. Security-Erweiterungen für Endpoint-Protection oder DLP, die über Browser-Erweiterungen arbeiten, müssen überprüft werden.

Zweitens erhöht MV3 paradoxerweise das Risiko durch bösartige Erweiterungen für Endnutzer nicht zwingend - da das dynamische Code-Loading blockiert wird, können sich Erweiterungen nicht mehr nach der Installation heimlich mit bösartigem Code erweitern. Das reduziert einen realen Angriffsvektor.

Drittens bleibt das Problem, dass viele Nutzer auf Erweiterungen mit übermäßigen Berechtigungen setzen. Eine Erweiterung, die Zugriff auf <all_urls> deklariert, kann weiterhin alle Seiteninhalte lesen - MV3 ändert daran nichts.

Empfehlungen für Unternehmen:

Browser-Richtlinien:

  • Inventar aller eingesetzten Browser-Erweiterungen aufnehmen
  • Prüfen, welche Erweiterungen MV3-kompatible Versionen haben
  • Enterprise-Richtlinie: nur Erweiterungen aus einer Allowlist erlauben
  • MV2-Verlängerung per GroupPolicy: gilt bis Ende 2025 für Enterprise

Datenschutz:

  • Erweiterungen mit tabs-Permission und <all_urls> regelmäßig auditieren
  • Mitarbeiter auf Risiken von privat installierten Erweiterungen hinweisen
  • Separates Browser-Profil für Banking und Behördengänge empfehlen

Alternativen:

  • Firefox als Alternative zu Chromium-Browsern prüfen (behält blocking webRequest für Nutzer-Erweiterungen)
  • DNS-basierte Werbeblocker als Ergänzung nutzen (funktionieren unabhängig von MV3), z. B. Pi-hole, NextDNS, Quad9
  • Browser-Extensions für sensible Tätigkeiten komplett deaktivieren

Ausblick: Bösartige Erweiterungen und der Chrome Web Store

Trotz aller Einschränkungen durch MV3 bleibt der Chrome Web Store eine Quelle für bösartige Erweiterungen. Regelmäßig werden Erweiterungen entfernt, die Nutzerdaten stehlen, Werbung injizieren oder als Malware-Dropper fungieren. Besonders verbreitet ist das Schema "legitime Erweiterung kaufen und dann bösartig updaten": Der neue Besitzer nutzt das Vertrauen der bestehenden Nutzerbasis aus.

Für Unternehmen bedeutet das: Auch im MV3-Zeitalter bleibt die Erweiterungsverwaltung eine sicherheitsrelevante Aufgabe. Browser-Policies, die die Installation nicht autorisierter Erweiterungen verhindern, sind eine effektive Maßnahme. Chrome Enterprise und Edge erlauben es, über Gruppenrichtlinien oder Intune exakt festzulegen, welche Erweiterungen auf Unternehmensgeräten installiert werden dürfen.

Die MV3-Debatte zeigt ein grundsätzliches Spannungsfeld in der Browser-Sicherheit: Plattform-Anbieter haben legitime Interessen daran, bösartige Erweiterungen einzudämmen - gleichzeitig kontrollieren sie damit, welche schützenden Tools Nutzer einsetzen können. Die Auswirkungen auf konkrete Datenschutz- und Sicherheitstools sollten bei der Browser-Wahl im Unternehmenskontext berücksichtigt werden.

Fragen zu diesem Thema?

Unsere Experten beraten Sie kostenlos und unverbindlich.

Erstberatung

Über den Autor

Chris Wojzechowski
Chris Wojzechowski

Geschäftsführender Gesellschafter

E-Mail
PGP 465C26E1AF161AFA

Geschäftsführender Gesellschafter der AWARE7 GmbH mit langjähriger Expertise in Informationssicherheit, Penetrationstesting und IT-Risikomanagement. Absolvent des Masterstudiengangs Internet-Sicherheit an der Westfälischen Hochschule (if(is), Prof. Norbert Pohlmann). Bestseller-Autor im Wiley-VCH Verlag und Lehrbeauftragter der ASW-Akademie. Einschätzungen zu Cybersecurity und digitaler Souveränität erschienen u.a. in Welt am Sonntag, WDR, Deutschlandfunk und Handelsblatt.

10 Publikationen
  • Einsatz von elektronischer Verschlüsselung - Hemmnisse für die Wirtschaft (2018)
  • Kompass IT-Verschlüsselung - Orientierungshilfen für KMU (2018)
  • IT Security Day 2025 - Live Hacking: KI in der Cybersicherheit (2025)
  • Live Hacking - Credential Stuffing: Finanzrisiken jenseits Ransomware (2025)
  • Keynote: Live Hacking Show - Ein Blick in die Welt der Cyberkriminalität (2025)
  • Analyse von Angriffsflächen bei Shared-Hosting-Anbietern (2024)
  • Gänsehaut garantiert: Die schaurigsten Funde aus dem Leben eines Pentesters (2022)
  • IT Security Zertifizierungen - CISSP, T.I.S.P. & Co (Live-Webinar) (2023)
  • Sicherheitsforum Online-Banking - Live Hacking (2021)
  • Nipster im Netz und das Ende der Kreidezeit (2017)
IT-Grundschutz-Praktiker (TÜV) IT Risk Manager (DGI) § 8a BSIG Prüfverfahrenskompetenz Ausbilderprüfung (IHK)
Vollständiges Profil ansehen
Dieser Artikel wurde zuletzt am 15.03.2026 bearbeitet. Verantwortlich: Chris Wojzechowski, Geschäftsführender Gesellschafter bei AWARE7 GmbH. Lizenz: CC BY 4.0 - freie Nutzung mit Namensnennung: „AWARE7 GmbH, https://a7.de