PAS7 Studio

FROST: Wie eine normale Website deine SSD als Seitenkanal nutzen kann

Eine verständliche Analyse von FROST — einem Forschungsangriff, der OPFS und SSD-Timing im Browser nutzt. Wir erklären, was die Autoren wirklich gezeigt haben, woher die Zahl 88,95 % kommt, warum das kein “Auslesen von SSD-Dateien” ist, welche Datenschutzrisiken entstehen und was Browser, Produktteams und Nutzer dagegen tun können.

08. Juni 2026· 12 Min. Lesezeit· Technologie
Mit PAS7 Studio über privacy-first Web sprechen
Geeignet fürCTOs und Tech LeadsFrontend- und Full-Stack-EntwicklerProduct Owner, die Datenschutzversprechen formulierenSecurity EngineersGründer von SaaS- und WebproduktenNutzer, denen Datenschutz im Browser wichtig ist
Dunkle technische Szene mit Laptop, NVMe-SSD und Timing-Spuren als Illustration des FROST-Seitenkanalangriffs

Kurzfassung

Was passiert ist und warum es wichtig ist

FROST klingt zunächst wie eine Schlagzeile nach dem Motto “Deine SSD spioniert dich aus”. Die Realität ist technischer und interessanter: Die SSD sendet selbst nichts, aber der Browser kann messbares I/O-Rauschen erzeugen — und Machine Learning kann daraus Muster extrahieren.

Es handelt sich um einen Datenschutzangriff, nicht um einen klassischen “Festplatten-Hack”.
Der Angriff liest keine Dateien von deiner SSD und gibt einer Website keinen direkten Zugriff auf das lokale Dateisystem.
Er zeigt, dass Hardware-Seitenkanäle über normale Web-APIs erreichbar werden können.
Die wichtigste Lehre für Produktteams: Privacy Design darf nicht bei Cookie-Bannern und Inkognito-Modus enden.

Wie FROST funktioniert: OPFS, SSD-Contention und Timing-Traces

Das einfachste Modell lautet: Die Angreifer-Website fragt nicht “Welche Website ist offen?”, sondern stellt der SSD immer wieder eine kleine Frage: “Wie schnell antwortest du gerade?”.

OPFS gibt dem Browser eine Datei, die wirklich auf der SSD liegt

Das Origin Private File System ist privater Speicher für einen bestimmten Origin. Es erlaubt einer Website nicht, beliebige lokale Dateien zu lesen, aber es erlaubt ihr, Dateien innerhalb eines Sandbox-Speichers zu erstellen und zu verwalten. Für FROST reicht das aus: Der Angriff braucht keinen Zugriff auf fremde Dateien, sondern kontrollierte I/O-Operationen. [1][2][3]

SSD-Contention erzeugt ein messbares Signal

Wenn eine andere Website oder Anwendung parallel Festplattenaktivität erzeugt, kann sich die Zugriffszeit auf die OPFS-Datei verändern. FROST sammelt diese Veränderungen als Trace. Eine einzelne Trace “erzählt” noch keine Geschichte, aber über viele Samples entsteht ein Muster. [1]

Der Klassifikator macht eine Vorhersage, kein absolutes Wissen

Bei Website-Fingerprinting-Angriffen wird ein Modell auf bekannten Websites trainiert und vergleicht anschließend eine neue Trace mit seinen Trainingsbeispielen. Deshalb müssen Closed-World-Ergebnisse als “unter diesen bekannten Kandidaten” gelesen werden — nicht als “im gesamten Internet”. [1]

Browser-Performance hat einen Security-Preis

OPFS wurde für ernsthafte Webanwendungen gebaut: Editoren, IDEs, große lokale Datensätze und Offline-First-Apps. Das Problem ist nicht, dass die API “schlecht” ist. Das Problem ist, dass leistungsfähige Low-Level-Funktionen häufig zu neuen Sensoren werden. [2][3][4]

FROST macht den Zugriff auf eine OPFS-Datei zu einem Sensor: Die Website erzeugt I/O-Last, misst Latenz, sammelt eine Trace und klassifiziert Aktivität anhand zuvor trainierter Profile.

Screenshot des Abschnitts how-it-works

Woher die 88,95 % kommen und was sie bedeuten

In Medienberichten wird aus 89 % schnell eine Angstmach-Schlagzeile. Für eine technische Bewertung sind jedoch die Metrik, das Szenario und die Grenzen des Experiments entscheidend.

Closed World bedeutet, dass das Modell aus einer bekannten Menge von Klassen auswählt. Wenn der Test aus den Top 50 Websites besteht, lautet die Vorhersage grob: “Welchem dieser 50 Profile ähnelt diese Trace am meisten?”. Im offenen Internet kommen die Zahl möglicher Kandidaten, Hintergrundaktivität, SSD-Modell, Betriebssystem, Browser, Erweiterungen, Energiemodus und Nutzerverhalten als Rauschen hinzu.

Das schwächt das Ergebnis nicht ab. Im Gegenteil: Die starke Aussage von FROST ist, dass ein SSD-Seitenkanal in den Browser gehoben werden kann, ohne native Malware zu installieren. Eine saubere Interpretation sollte aber das Threat Model erklären, statt nur eine Panik-Schlagzeile zu verkaufen.

88.95%

F1-Score für Top-50-Closed-World-Website-Fingerprinting unter macOS mit OPFS-basierter Contention-Messung. [1]

86.95%

Macro-averaged F1-Score im Open-World-Top-50-Szenario; das Paper nennt zusätzlich eine Open-World-Accuracy von 96,72 %. [1]

95.83%

F1-Score für das Closed-World-Experiment zum Application Fingerprinting unter macOS über OPFS. [1]

Was FROST nicht ist

Ein korrektes Verständnis der Bedrohung verhindert zwei Fehler: die Forschung zu unterschätzen oder sie als Science-Fiction-Spyware darzustellen.

Es ist kein Auslesen von Dateien deiner SSD. OPFS bleibt origin-bezogen und öffnet einer Website keine beliebigen lokalen Dokumente. [2][3]

Es ist kein Beweis dafür, dass jede Website morgen mit 89 % Genauigkeit deine gesamte Browser-Historie sehen kann. Das Ergebnis hängt vom experimentellen Setup und von den Klassen ab, auf denen das Modell trainiert wurde. [1]

Es ist kein Problem nur eines Browsers. Das Paper erwähnt OPFS-Support in großen Browsern und diskutiert Chrome, Firefox und Safari, aber konkrete Fähigkeiten und Storage-Limits unterscheiden sich. [1]

Es ist kein Grund, das moderne Web abzuschalten. OPFS ist für legitime Anwendungen nützlich; entscheidend sind Mitigation, Quota-Verhalten, Timing-Auflösung, Isolation und Telemetrie für ungewöhnliche Storage-Nutzung. [1][4]

Warum Cookie-Blocker oder Inkognito diesen Angriffstyp nicht schließen

Ein Cookie-Blocker hilft gegen storage-basiertes Tracking, bei dem eine Website direkt einen Identifier speichert oder ausliest. Der Inkognito-Modus reduziert Persistenz zwischen Sitzungen. FROST gehört zu einer anderen Klasse: Die Website misst das Verhalten einer Hardware-Ressource während der aktuellen Sitzung.

Das ist wie der Unterschied zwischen “jemand hat deine Nummer in ein Notizbuch geschrieben” und “jemand hört Geräusche durch eine Wand, um zu erraten, was passiert”. Im zweiten Fall entfernt das Löschen des Notizbuchs nicht den Sensor.

Deshalb muss Privacy Engineering für das moderne Web mehr umfassen als Consent- und Storage-Policies: Timer, geteilte Ressourcen, Storage Pressure, Cache-Verhalten, Rendering-Pipeline, GPU-/CPU-/SSD-Contention und Cross-Origin-Isolation gehören ebenfalls in die Betrachtung.

Was Browser, Produktteams und Nutzer tun können

Für normale Nutzer ist FROST derzeit eher eine Forschungsbedrohung als ein massenhaft eingesetztes Exploit-Kit. Für Browser-Plattformen und Produkte mit Datenschutzversprechen ist es aber bereits ein praktisches Warnsignal.

Für Browser

Das Paper diskutiert mehrere Mitigation-Optionen: ungewöhnlich große OPFS-Writes über Origins hinweg erkennen, Nutzer benachrichtigen, OPFS als Low-Level-I/O-Sensor einschränken, Timing-Signale ungenauer machen und stärkere Permission- oder Visibility-Modelle für Storage-Verhalten mit hoher Wirkung einführen. Die Autoren weisen auch darauf hin, dass die stärksten Mitigations legitime Workflows brechen können. [1]

Für Webprodukte

Wenn ihr SaaS, ein Finanz-Dashboard, ein Health Portal oder interne Tools baut, solltet ihr keine “vollständige Privatsphäre” versprechen, nur weil ihr keine Third-Party-Cookies nutzt. Datenschutzversprechen müssen Browser-Platform-Leakage, Third-Party-Scripts, Analytics, eingebettete Inhalte und Side-Channel-Oberflächen berücksichtigen.

Für Nutzer

Browser und Betriebssystem aktuell halten, zufällige High-Risk-Websites nicht neben sensiblen Sitzungen öffnen, getrennte Browser-Profile für Banking, Admin-Panels und Arbeit nutzen sowie Extensions und Third-Party-Scripts begrenzen. Das ist kein spezieller “FROST-Fix”, reduziert aber die Gesamtfläche für Browser-Privacy-Angriffe.

Für Security Teams

Side-Channel-Risiken sollten Teil des Threat Modelings für Webanwendungen sein, die intensiv Storage APIs, WASM, hochfrequente Timer, Worker, Canvas/GPU oder lokale Verarbeitung großer Datensätze verwenden. Besonders relevant ist das für Browser-IDEs, Editoren und Offline-First-Produkte.

Schutz vor Seitenkanälen hat selten einen einzigen Schalter. Ein Teil der Arbeit liegt bei Browser-Herstellern, ein Teil bei Produkt- und Security-Teams und ein Teil bei der Disziplin der Nutzer.

Screenshot des Abschnitts risk-defense-map

Praktische Lektionen für Teams, die Webprodukte bauen

Selbst wenn FROST in genau dieser Form nie zu einem Massenangriff wird, zeigt es sehr klar, wohin sich die Risikooberfläche des modernen Webs bewegt.

Datenschutz nicht auf Cookie-Banner reduzieren

Browser-Fingerprinting und Seitenkanäle können ohne klassische Tracking-Identifier funktionieren. Eure Privacy-Position sollte Data Minimization, Third-Party-Abhängigkeiten, Telemetrie und Client-Side-Verhalten abdecken.

Storage-lastige Features separat prüfen

Wenn ein Produkt OPFS, IndexedDB, lokale Caches oder große Offline-Datensätze nutzt, braucht genau dieses Storage-Verhalten ein Security Review: Quotas, Cleanup, Partitioning, Observability und Nutzerkontrollen.

Grenzen für Third-Party-JavaScript setzen

Jedes Analytics-, Tag-, Chat- oder Widget-Script kann Code im Browser-Kontext ausführen. Selbst wenn es keinen Zugriff auf Backend-Secrets hat, beeinflusst es die Datenschutzoberfläche des Nutzers.

Threat Models auf Plattformebene bauen

Ein moderner Browser ist ein Betriebssystem innerhalb eines Betriebssystems. CPU, GPU, Storage, Timer, Worker, Codecs, Fonts und Rendering können zu Sensoren werden. Threat Modeling sollte das anerkennen.

Ehrliche UX- und Privacy-Texte schreiben

Wenn ein Produkt sagt “wir tracken dich nicht”, hören Nutzer ein absolutes Versprechen. Besser ist es, konkret zu sein: welche Daten nicht gesammelt werden, welche Scripts vorhanden sind, wie lokaler Speicher funktioniert, wie Nutzer Daten löschen können und wo die Grenzen der Kontrolle liegen.

Wie wir das in Web- und Security-Arbeit berücksichtigen würden

Bei Landingpages und content-lastigen Websites halten wir Code standardmäßig static-first: weniger Client Runtime, weniger Third-Party-Scripts, weniger unnötiger Local Storage. Das macht eine Website nicht “immun gegen Seitenkanäle”, entfernt aber viele unnötige bewegliche Teile, die oft ohne echten Business-Grund entstehen.

Bei SaaS und internen Dashboards ist der Ansatz anders: Storage APIs, Auth-Flows, Analytics, Session Handling, eingebettete Widgets und Permissions brauchen ein eigenes Security Review. Besonders wichtig ist das bei Produkten mit finanziellen, medizinischen, juristischen oder unternehmensinternen Daten.

Braucht euer Webprodukt ein Privacy- oder Security-Review?

PAS7 Studio kann eure Frontend- und Runtime-Oberfläche prüfen: Third-Party-Scripts, Storage APIs, Auth- und Session-Flows, Analytics, CSP, Header, Logs und Privacy Claims. Das Ergebnis ist kein abstraktes Audit, sondern eine konkrete Liste produktnaher Änderungen.

Security Review planen

FAQ

Kann FROST Dateien von meiner SSD lesen?

Nein. FROST gibt einer Website keinen direkten Zugriff auf beliebige lokale Dateien. Der Angriff nutzt OPFS für eine eigene origin-bezogene Datei und misst Timing beziehungsweise Latenz, um Aktivität zu fingerprinten. [1][3]

Bedeutet 88,95 %, dass eine Website fast alle meine Tabs sehen kann?

Nein. 88,95 % ist der F1-Score aus einem Top-50-Closed-World-Experiment zum Website-Fingerprinting unter macOS. In der Realität hängen Ergebnisse vom Website-Set, Hintergrundaktivität, Betriebssystem, SSD, Browser und Rauschen ab. [1]

Schützt der Inkognito-Modus vor FROST?

Der Inkognito-Modus reduziert Cookie- und Storage-Persistenz zwischen Sitzungen, ist aber kein universeller Schutz gegen Seitenkanal-Messungen während der aktuellen Sitzung. Für diese Angriffsklasse braucht es Browser-Level-Mitigations und weniger Exposure gegenüber nicht vertrauenswürdigem JavaScript.

Ist das bereits ein Massenangriff?

Öffentlich ist FROST als Forschungsarbeit beschrieben. Wichtig ist nicht, dass jede Website das bereits tut, sondern dass die Arbeit einen praktischen Weg von einer Web-API zu einem Hardware-Seitenkanal ohne native Malware zeigt. [1]

Was sollten Website- und SaaS-Betreiber tun?

Third-Party-Scripts minimieren, das Frontend wo möglich static-first halten, storage-lastige Features prüfen, ehrliche Datenschutzversprechen schreiben und Side-Channel-Denken ins Product Threat Modeling aufnehmen.

Quellen und wofür sie verwendet wurden

Die wichtigsten Aussagen zu FROST in diesem Artikel stammen aus der Primärquelle, also dem Paper der Autoren. Die OPFS-Dokumentation wurde verwendet, um die API zu erklären, nicht um die Angriffsergebnisse zu bewerten.

Geprüft: 08. Juni 2026Gilt für: Browser-DatenschutzGilt für: Webanwendungen mit OPFSGilt für: SaaS und KundenportaleGilt für: Produkte mit DatenschutzversprechenGilt für: Security Reviews von WebplattformenGetestet mit: FROST paper, DIMVA 2026Getestet mit: MDN Origin Private File System documentationGetestet mit: Chrome OPFS documentationGetestet mit: W3C File System specification

Verwandte Artikel

ai-assistants

AI Assistant Entwicklung Kosten 2026: RAG, Knowledge Base, Integrationen und Support

Praktischer Leitfaden zu Kosten fuer AI Assistants: RAG, Knowledge Base, Channels, Tool Use, Guardrails, Evaluations, Monitoring und Support.

Lesen ->
blogs

KI fur Landingpage-Entwicklung: wo sie Launches beschleunigt und wo sie Conversion schadet

Eine praxisnahe Analyse zur Nutzung von KI fur Landingpages: v0, Webflow AI, Builder.io, Framer-ahnliche Builder, UX-Generierung, Copy, SEO, Personalisierung, A/B-Tests, Template-Risiken, Accessibility, Security und technischer Schuldenaufbau.

Lesen ->
growth

AI SEO / GEO im Jahr 2026: Ihre nächsten Kunden sind nicht Menschen — sondern Agents

Suche verschiebt sich von Klicks zu Antworten. Bots und AI-Agents crawlen, zitieren, empfehlen — und kaufen zunehmend. Erfahren Sie, was AI SEO / GEO bedeutet, warum klassisches SEO nicht mehr reicht und wie PAS7 Studio Marken im agentischen Web sichtbar macht.

Lesen ->
blogs

Der leistungsstärkste Chip von Apple? M5 Pro und M5 Max brechen Rekorde

Eine Analyse zu Apple M5 Pro und M5 Max im März 2026. Wir zeigen, warum diese Chips als die stärksten professionellen Laptop-SoCs von Apple gelten können, wie sie sich gegen M4 Pro, M4 Max, M1 Pro, M1 Max schlagen und was der Vergleich mit aktuellen Intel- und AMD-Chips zeigt.

Lesen ->

Professionelle Entwicklung für Ihr Geschäft

Wir erstellen moderne Web-Lösungen und Bots für Unternehmen. Erfahren Sie, wie wir Ihnen helfen können, Ihre Ziele zu erreichen.

Unsere Dienstleistungen