Hacker-Angriff auf Pass­wort-Manager Kunden­daten von LastPass gestohlen

4
Hacker-Angriff auf Pass­wort-Manager - Kunden­daten von LastPass gestohlen
Pass­wort-Manager gehackt. Kriminelle haben Zugriff auf LastPass-Server erlangt und Kunden­daten abge­griffen. © Stiftung Warentest

Kriminelle haben den Pass­wort-Manager LastPass gehackt. Dabei konnten sie Kunden­daten erbeuten. Was Betroffene jetzt tun sollten.

Angreifer erbeuteten Kunden­daten

Bereits im August ist der Pass­wort-Manager LastPass laut eigenen Angaben Opfer einer Hacker-Attacke geworden. Erst kurz vor Weih­nachten teilte das Unternehmen mit, dass die Angreifer dabei Kunden­daten wie Namen, Rechnungs­adressen, E-Mail-Adressen und Telefon­nummern erbeutet hatten. Kreditkarten­daten seien nicht betroffen gewesen.

Über­dies konnten sich die Hacker Zugang zu den Pass­wort-Tresoren der LastPass-Nutzer verschaffen, wie das Unternehmen mitteilt. Dabei entwendeten die Hacker sowohl unver­schlüsselte Daten wie die Webadressen der von den Kundinnen und Kunden genutzten Online-Accounts als auch verschlüsselte Daten wie die Benutzer­namen und Pass­wörter der jeweiligen Online-Accounts.

Pass­wörter entwendet – aber in verschlüsselter Form

Die Pass­wort-Tresore sind die sensibelsten Bereiche eines Pass­wort-Managers. Unver­schlüsselt enthalten die Tresore von LastPass die Webadressen aller Online­zugänge, für die Nutze­rinnen und Nutzer ein Pass­wort gespeichert haben. Diese Daten geben also Aufschluss darüber, bei welchen Diensten die Nutze­rinnen und Nutzer einen Online-Account haben – etwa Online­banken, E-Mail-Provider oder Bezahl­dienste.

Die wert­vollsten Informationen in einem Pass­wort-Tresor aber sind die darin gespeicherten Benutzer­namen und Pass­wörter der jeweiligen Online-Accounts. Auch die seien unter den erbeuteten Daten – allerdings in verschlüsselter Form, informiert der LastPass-Geschäfts­führer Karim Toubba in dem Blogbeitrag. Die Benutzer­namen und Pass­wörter können nur mit dem vom Nutzer vergebenen Master-Pass­wort ausgelesen werden. Ohne das Master-Pass­wort würde es laut LastPass „Millionen von Jahren“ dauern, um durch bloßes Ausprobieren – sogenannte Brute-Force-Atta­cken – die Verschlüsselung zu knacken.

Sicherheit nur mit starkem Master-Pass­wort

Ist das Master-Pass­wort ausreichend lang und komplex und wird bei keinem anderen Internet­dienst des Nutzers verwendet, sind die gestohlenen Daten auch weiterhin geschützt – voraus­gesetzt, dass LastPass die Verschlüsselungs­technik fehler­frei in seine Software einge­baut hat.

Seit 2018 müssen Master-Pass­wörter in LastPass dem Anbieter zufolge mindestens 12 Zeichen lang sein. Eine hohe Sicherheit bietet das aber nur, wenn das Master-Pass­wort zugleich komplex ist. Das heißt: Auch ein langes, aber sehr einfaches Pass­wort wie „123456789101112“ ist unsicher.

Tipp: Wenn Sie Zweifel an der Stärke Ihres Master-Pass­worts haben, sollten Sie es sicher­heits­halber ändern. Stellen Sie dabei sicher, dass das neue Master-Pass­wort unseren Tipps für ein sicheres Master-Passwort entspricht. Ändern Sie dann auch die Pass­wörter aller in LastPass gespeicherten Accounts. Das ist wichtig, da die mit dem bisherigen Master-Pass­wort geschützte Datei ja gestohlen wurde. Ebenfalls sinn­voll: Wenn einer Ihrer Accounts die Zwei-Faktor-Authentifizierung ermöglicht, sollten Sie diese nutzen. Dann wird beim Login neben dem Pass­wort noch ein zweiter Faktor abge­fragt – etwa ein per SMS oder per App generierter Pin-Code. Das bietet doppelten Schutz.

Vorsicht vor ungewöhnlichen E-Mails oder Chat-Nach­richten

Was Kunden von LastPass jetzt wissen sollten: Mit den erbeuteten Kunden­daten könnten Kriminelle versuchen, Nutze­rinnen und Nutzer von LastPass besonders glaubhaft eine Falle zu stellen. Sie könnten beispiels­weise eine Chat-Nach­richt oder E-Mail schi­cken, sich als Kollegin, Freund oder Angehöriger ausgeben und nach Zugangs­daten fragen. Der Anbieter LastPass weist darauf hin, dass er seine Kund­schaft nie auffordern werde, ihre Daten über einen Link zu bestätigen.

Tipp: Seien Sie wach­sam, falls Sie Zahlungs­aufforderungen erhalten, die Sie nicht zuordnen können, oder an unüblichen Stellen zur Eingabe eines Pass­worts aufgefordert werden. Weitere Tipps erhalten Sie in unseren Artikeln So schützen Sie sich vor Phishing und 10 Tipps für sicheres Surfen.

Im Test schnitt LastPass befriedigend ab

Wir haben LastPass Premium in unserem Passwort-Manager-Test vom Juni 2022 geprüft. Das Programm bekam die Gesamt­note Befriedigend (2,9). Das lag vor allem an seiner mittel­mäßigen Hand­habung, die ebenfalls nur befriedigend war. Die Sicher­heits­funk­tionen von LastPass bewerteten wir dagegen mit Sehr gut (1,5).

Um die Sicherheit von LastPass zu beur­teilen, prüften wir etwa die Mindest­länge des Master-Pass­worts, ob eine Zwei-Faktor-Authentifizierung möglich ist und wie komplex die Pass­wort­vorschläge sind. In all diesen Punkten konnte LastPass über­zeugen. Die Sicher­heits­architektur auf den Servern des Anbieters jedoch, die bei dem Angriff auf dessen IT-Systeme das Einfalls­tor waren, können wir nicht prüfen.

4

Mehr zum Thema

4 Kommentare Diskutieren Sie mit

Nur registrierte Nutzer können Kommentare verfassen. Bitte melden Sie sich an. Individuelle Fragen richten Sie bitte an den Leserservice.

Nutzer­kommentare können sich auf einen früheren Stand oder einen älteren Test beziehen.

GuessWhat am 01.01.2023 um 09:28 Uhr
@MHeise

Der Passwort Safe wird immer lokal auf dem Rechner, dem Smartphone oder dem Tablet geöffnet, niemals zentral. In der Cloud, also auf dem Server des Anbieters, liegt eine Datei. Diese Datei ist hochgradig mit dem Master Passwort verschlüsselt. Das Gerät des jeweiligen Benutzers lädt sich diese Datei dann herunter und entschlüsselt sie und öffnet sie lokal. Ist das Master Passwort also ausreichend sicher gewählt und hat der Anbieter die Verschlüsselung auch anständig implementiert, so besteht keine Möglichkeit für die Hacker, die Daten zu entschlüsseln. Also ja, wie auch im Artikel dargestellt, die Sicherheit hängt vom gewählten Master Passwort ab. Zumindest im Fall von LastPass hat der Anbieter immer und immer und immer wieder auf die Wahl eines möglichst sicheren Passworts hingewiesen. Schon seit geraumer Zeit wurde dann auch eine Schlüssellänge von mindestens zwölf Zeichen erzwungen. Zugegebenermaßen, das hätte schon früher passieren sollen.

MHeise am 29.12.2022 um 09:44 Uhr
Architekturproblem - Cloud

Das zentrale Thema ist doch: Ablage von senisblen Informationen in der Cloud.
Wenn der Anbieter gehackt wird, sind alle (!) betroffen, die dort Daten liegen haben. In dem Fall ist es so, dass ein starkes Master-Passwort, dass nicht abgefischt wurde, schützt. Aber was ist z.B. passiert, wenn einer seinen Safe geöffnet hat, während die Hacker unterwegs waren? Haben die auch dass Master-Passwort erbeuten können?
Ich bin deswegen kein Freund der zentralen Lösungen, sondern ein Verfechter von erprobten Lösungen, die zwar keinen Komfort haben (weil nur auf einem Device gespeichert), dafür aber sicherer sind. Ein Hacker erbeutet für seinen Aufwand nur die Daten eines Menschen. Themen der Cloud-Lösungen sind:
- interessant für Hacker, da nicht nur Daten eines Benutzers erbeutet werden (es lohnt sich)
- Vertrauen in den Anbieter ist wichtig
- Stärke des Master-Passworts ist immer wichtig
- wichtig ist, wie das Master-Passwort überprüft wird; ist es abfischbar?

GuessWhat am 28.12.2022 um 20:42 Uhr
Dank und Tipp

Super erklärt, was nach jetzigem Wissensstand passiert ist. Toll erklärt auch, was dies für Auswirkungen hat und auch was dies eben nicht für Auswirkungen hat. Und das sogar für einen Laien relativ verständlich, wie ich finde. Dickes Lob an die Stiftung Warentest! Es bleibt festzuhalten, dass wer ein ein ausreichend sicheres Master Passwort gewählt hat, nichts für seine Benutzernamen und Passwörter zu befürchten hat. Wie gesagt, Wissensstand heute. Tipp: Die Anzahl der so genannten Iterationen sollte von den bei den meisten Konten standardmäßig eingestellten 100.100 auf deutlich über 300.000 erhöht werden. Dies kann man in den erweiterten Sicherheitseinstellungen seines LastPass Kontos tun. Auswirkung hat dies natürlich nur für die Zukunft.

Leu am 28.12.2022 um 19:25 Uhr
Erklärungen

Über den Blog (blog.fefe.de) von Felix von Leitner (IT-Sicherheitsexperte) bin ich auf folgende Erklärungen gestoßen, falls jemand Interesse an mehr Hintergrund und kritische Bewertungen hat:
https://palant.info/2022/12/26/whats-in-a-pr-statement-lastpass-breach-explained/
Mit dem Browser Chrome lässt sich die Seite direkt auf deutsch übersetzen.