Tools / Neuigkeiten / BrowserGate: LinkedIn scannte 6.000 Erweiterungen
Presse

BrowserGate: LinkedIn scannte 6.000 Erweiterungen

· VaultTools

Eine Untersuchung von Fairlinked e.V. vom April 2026 enthüllte, dass LinkedIn bei jedem Seitenbesuch still und heimlich nach 6.167 Chrome-Erweiterungen sucht und 48 Hardware-Fingerprinting-Attribute erfasst, ohne dies in der Datenschutzrichtlinie offenzulegen. Der Skandal zeigt, wie Browser-Überwachung stattfinden kann, bevor auch nur eine Datei hochgeladen wird.

VaultTools · 6. April 2026

Überwachungskameras an einer Wand, symbolisch für verdecktes Browser-Fingerprinting und nicht offengelegte Datenerhebung durch Webdienste. Foto auf Unsplash

Inhaltsverzeichnis


Was Geschah

Anfang April 2026 veröffentlichte Fairlinked e.V., ein europäischer Verband gewerblicher LinkedIn-Nutzer, eine detaillierte technische Untersuchung. Sie belegt, dass LinkedIn bei jedem Seitenbesuch ein 2,7 Megabyte großes JavaScript-Bundle still einschleust. Das Skript prüft den Browser des Besuchers auf über 6.000 bestimmte Chrome-Erweiterungen, erfasst 48 Hardware- und Software-Merkmale, verschlüsselt den erzeugten Fingerabdruck und übermittelt ihn mit jeder API-Anfrage während der Sitzung an LinkedIn-Server. LinkedIn gehört zu Microsoft.

Die Untersuchung wurde von BleepingComputer, Tom’s Hardware, The Next Web, Apple Insider und Cybernews aufgegriffen. Fairlinked veröffentlichte seine Ergebnisse auf browsergate.eu und bezeichnete die Praxis als „eine der größten nicht offengelegten Datenerhebungsoperationen in der Geschichte des kommerziellen Internets.”

Was Das Skript Erfasst

Laut dem Fairlinked-Bericht erfasst das JavaScript-Bundle zwei Datenkategorien ohne Kenntnis oder Einwilligung der Nutzer.

Die erste Kategorie ist die Erweiterungserkennung. Das Skript prüft 6.167 bestimmte Chrome-Erweiterungen, indem es versteckte iFrames einschleust und das Browser-Verhalten misst. Die Scan-Liste enthält 509 Job-Suche-Erweiterungen mit zusammen 1,4 Millionen Nutzern, über 200 Vertriebs- und Recruiting-Tools, die in direktem Wettbewerb zu LinkedIns eigenem Sales Navigator stehen, sowie Erweiterungen mit Bezug zu Gesundheit und Religion. Die Erkennung letzterer Kategorie stellt eine Erhebung von DSGVO-Artikel-9-Daten besonderer Kategorien dar.

Die zweite Kategorie ist Hardware-Fingerprinting. Das Skript erfasst CPU-Klasse, Gerätespeicher, Bildschirmabmessungen, Zeitzonenversatz, Akkustatus und Speicherkapazitäten, insgesamt 48 Geräteattribute pro Besuch.

Der verschlüsselte Fingerabdruck wird jeder API-Anfrage während der Sitzung beigefügt. Fairlinked stellte fest, dass erhobene Daten an mindestens einen Dritten weitergegeben werden: HUMAN Security, ein amerikanisch-israelisches Cybersicherheitsunternehmen.

LinkedIns erklärte Begründung ist die Erkennung von Erweiterungen, die die Plattform entgegen den Nutzungsbedingungen auslesen. LinkedIn teilte BleepingComputer mit: „Zum Schutz der Privatsphäre unserer Mitglieder, ihrer Daten und zur Gewährleistung der Website-Stabilität suchen wir nach Erweiterungen, die Daten ohne Zustimmung der Mitglieder scrapen.” In LinkedIns Datenschutzrichtlinie findet sich dazu kein Wort.

Die Wachstumskurve: 1.252 % in Zwei Jahren

Der Umfang von LinkedIns Scanning wuchs dramatisch, bevor er öffentlich dokumentiert wurde. Im Jahr 2024 scannte LinkedIn nach 461 Erweiterungen. Bis Februar 2026 war diese Zahl auf 6.167 gestiegen, ein Anstieg von 1.252 % in zwei Jahren. Die kombinierte Installationsbasis über alle gescannten Erweiterungen wird auf 405 Millionen Nutzer geschätzt.

Die Wachstumsrate deutet darauf hin, dass die Scanning-Operation weit über ihren erklärten Zweck der Blockierung von Scraping-Tools hinausging. Die Aufnahme von Konkurrenzprodukten und sensiblen Erweiterungen spricht für eine sekundäre kommerzielle Nutzung.

Rechtliche Risiken Unter DSGVO, ePrivacy-Richtlinie Und DMA

Fairlinked sieht das Verhalten als Verstoß gegen drei EU-Regelwerke.

Nach der DSGVO erfordert die nicht offengelegte Erhebung von Daten besonderer Kategorien (Gesundheit, Religion, politische Meinungen) eine ausdrückliche Einwilligung gemäß Artikel 9. LinkedIn verfügt über keine solche Einwilligung und hat keine offengelegte Ausnahmeregelung.

Nach der ePrivacy-Richtlinie ist das Speichern oder der Zugriff auf Informationen auf dem Gerät eines Nutzers ohne Einwilligung untersagt. Die Technik zur Erweiterungserkennung greift ohne Offenlegung auf die Browserumgebung zu und fällt damit eindeutig in den Anwendungsbereich der Richtlinie.

Nach dem Digital Markets Act ist LinkedIn als Plattformdienst verpflichtet, Tracking-Praktiken gegenüber Nutzern und Behörden offenzulegen. Das vollständige Fehlen einer Offenlegung in LinkedIns Datenschutzrichtlinie stellt einen mutmaßlichen Verstoß gegen die DMA-Transparenzanforderungen dar.

Fairlinked hat formelle Beschwerden eingereicht. Die zuständige EU-Aufsichtsbehörde für LinkedIn ist die irische Datenschutzbehörde (Data Protection Commission). Die Kampagne fordert Nutzer auf, über browsergate.eu individuelle Beschwerden einzureichen, um den Druck auf die DPC zu erhöhen.

Was Das Für Browserbasierte Datei-Tools Bedeutet

BrowserGate zeigt eine Bedrohung, die wirkt, bevor eine Datei hochgeladen oder ein Tool genutzt wird. Ein Webdienst kann allein durch das Laden seines JavaScripts einen detaillierten Fingerabdruck Ihres Geräts, Ihrer installierten Software und Ihres Hardware-Profils erfassen und an Server sowie Dritte übermitteln, ohne dass der Nutzer irgendeine Aktion auf der Seite ausführt.

In derselben JavaScript-Ausführungsumgebung laufen alle Web-Tools, die in einem Browser-Tab geöffnet werden. Ein Dateikonvertierdienst, ein PDF-Editor oder ein Bildkompressor, der nicht offengelegte Tracking-Skripte einschleust, kann Gerätefingerabdrücke im Moment des Seitenladens erfassen. Die Datei, die der Nutzer privat verarbeiten wollte, hat das Gerät noch nicht verlassen, aber ein detailliertes digitales Identitätsprofil bereits.

Browser-lokale Verarbeitung über WebAssembly verändert dieses Bedrohungsmodell. Auf WebAssembly basierende Tools führen ihre Kernlogik vollständig innerhalb der Browser-Sandbox aus. Sie leisten während der Dateiverarbeitung keine Server-Anfragen, erzeugen keine Upload-Transaktionen und erfordern kein Vertrauen in eine Server-Infrastruktur. Transparentes JavaScript, das keine externen Endpunkte aufruft, kann keinen Fingerabdruck verdeckt an Dritte übermitteln.

BrowserGate ist kein neuartiger Angriff. Es ist die Dokumentation einer verdeckten Datenerhebung, die mindestens zwei Jahre lang im großen Maßstab betrieben wurde, bevor sie aufgedeckt wurde. Für Nutzer, die sensible Dokumente, Verträge oder Bilder im Browser verarbeiten, ist es ein konkretes Beispiel dafür, was clientseitige Architekturen ohne Upload verhindern sollen.


Quellen