Passwort-Manager gehackt. Kriminelle haben Zugriff auf LastPass-Server erlangt und Kundendaten abgegriffen. © Stiftung Warentest
Kriminelle haben den Passwort-Manager LastPass gehackt. Dabei konnten sie Kundendaten erbeuten. Was Betroffene jetzt tun sollten.
Angreifer erbeuteten Kundendaten
Bereits im August ist der Passwort-Manager LastPass laut eigenen Angaben Opfer einer Hacker-Attacke geworden. Erst kurz vor Weihnachten teilte das Unternehmen mit, dass die Angreifer dabei Kundendaten wie Namen, Rechnungsadressen, E-Mail-Adressen und Telefonnummern erbeutet hatten. Kreditkartendaten seien nicht betroffen gewesen.
Überdies konnten sich die Hacker Zugang zu den Passwort-Tresoren der LastPass-Nutzer verschaffen, wie das Unternehmen mitteilt. Dabei entwendeten die Hacker sowohl unverschlüsselte Daten wie die Webadressen der von den Kundinnen und Kunden genutzten Online-Accounts als auch verschlüsselte Daten wie die Benutzernamen und Passwörter der jeweiligen Online-Accounts.
Passwörter entwendet – aber in verschlüsselter Form
Die Passwort-Tresore sind die sensibelsten Bereiche eines Passwort-Managers. Unverschlüsselt enthalten die Tresore von LastPass die Webadressen aller Onlinezugänge, für die Nutzerinnen und Nutzer ein Passwort gespeichert haben. Diese Daten geben also Aufschluss darüber, bei welchen Diensten die Nutzerinnen und Nutzer einen Online-Account haben – etwa Onlinebanken, E-Mail-Provider oder Bezahldienste.
Die wertvollsten Informationen in einem Passwort-Tresor aber sind die darin gespeicherten Benutzernamen und Passwörter der jeweiligen Online-Accounts. Auch die seien unter den erbeuteten Daten – allerdings in verschlüsselter Form, informiert der LastPass-Geschäftsführer Karim Toubba in dem Blogbeitrag. Die Benutzernamen und Passwörter können nur mit dem vom Nutzer vergebenen Master-Passwort ausgelesen werden. Ohne das Master-Passwort würde es laut LastPass „Millionen von Jahren“ dauern, um durch bloßes Ausprobieren – sogenannte Brute-Force-Attacken – die Verschlüsselung zu knacken.
Sicherheit nur mit starkem Master-Passwort
Ist das Master-Passwort ausreichend lang und komplex und wird bei keinem anderen Internetdienst des Nutzers verwendet, sind die gestohlenen Daten auch weiterhin geschützt – vorausgesetzt, dass LastPass die Verschlüsselungstechnik fehlerfrei in seine Software eingebaut hat.
Seit 2018 müssen Master-Passwörter in LastPass dem Anbieter zufolge mindestens 12 Zeichen lang sein. Eine hohe Sicherheit bietet das aber nur, wenn das Master-Passwort zugleich komplex ist. Das heißt: Auch ein langes, aber sehr einfaches Passwort wie „123456789101112“ ist unsicher.
Tipp: Wenn Sie Zweifel an der Stärke Ihres Master-Passworts haben, sollten Sie es sicherheitshalber ändern. Stellen Sie dabei sicher, dass das neue Master-Passwort unseren Tipps für ein sicheres Master-Passwort entspricht. Ändern Sie dann auch die Passwörter aller in LastPass gespeicherten Accounts. Das ist wichtig, da die mit dem bisherigen Master-Passwort geschützte Datei ja gestohlen wurde. Ebenfalls sinnvoll: Wenn einer Ihrer Accounts die Zwei-Faktor-Authentifizierung ermöglicht, sollten Sie diese nutzen. Dann wird beim Login neben dem Passwort noch ein zweiter Faktor abgefragt – etwa ein per SMS oder per App generierter Pin-Code. Das bietet doppelten Schutz.
Vorsicht vor ungewöhnlichen E-Mails oder Chat-Nachrichten
Was Kunden von LastPass jetzt wissen sollten: Mit den erbeuteten Kundendaten könnten Kriminelle versuchen, Nutzerinnen und Nutzer von LastPass besonders glaubhaft eine Falle zu stellen. Sie könnten beispielsweise eine Chat-Nachricht oder E-Mail schicken, sich als Kollegin, Freund oder Angehöriger ausgeben und nach Zugangsdaten fragen. Der Anbieter LastPass weist darauf hin, dass er seine Kundschaft nie auffordern werde, ihre Daten über einen Link zu bestätigen.
Tipp: Seien Sie wachsam, falls Sie Zahlungsaufforderungen erhalten, die Sie nicht zuordnen können, oder an unüblichen Stellen zur Eingabe eines Passworts aufgefordert werden. Weitere Tipps erhalten Sie in unseren Artikeln So schützen Sie sich vor Phishing und 10 Tipps für sicheres Surfen.
Im Test schnitt LastPass befriedigend ab
Wir haben LastPass Premium in unserem Passwort-Manager-Test vom Juni 2022 geprüft. Das Programm bekam die Gesamtnote Befriedigend (2,9). Das lag vor allem an seiner mittelmäßigen Handhabung, die ebenfalls nur befriedigend war. Die Sicherheitsfunktionen von LastPass bewerteten wir dagegen mit Sehr gut (1,5).
Um die Sicherheit von LastPass zu beurteilen, prüften wir etwa die Mindestlänge des Master-Passworts, ob eine Zwei-Faktor-Authentifizierung möglich ist und wie komplex die Passwortvorschläge sind. In all diesen Punkten konnte LastPass überzeugen. Die Sicherheitsarchitektur auf den Servern des Anbieters jedoch, die bei dem Angriff auf dessen IT-Systeme das Einfallstor waren, können wir nicht prüfen.
-
Wer schützt mich vor Passwortklau?
- Die Programme erstellen starke Passwörter und schützen vor Angriffen. Auf sie zu verzichten, kann teuer werden. Doch im Test fanden wir nicht nur zuverlässige Manager.
-
Bequemer Zugang gegen Nutzerdaten
- Nach US-Giganten wie Facebook und Google ermöglichen es jetzt auch zwei deutsche Anbieter, sich auf verschiedenen Internetseiten mit demselben Passwort einzuloggen. Bei...
-
10 Tipps für sicheres Surfen
- Hacker, Viren, Sicherheitslücken – im Internet lauern viele Gefahren. Stiftung Warentest zeigt mit 10 Tipps, wie Sie PC, Handy und Konten vor Angreifern schützen.
Diskutieren Sie mit
Nur registrierte Nutzer können Kommentare verfassen. Bitte melden Sie sich an. Individuelle Fragen richten Sie bitte an den Leserservice.
Nutzerkommentare können sich auf einen früheren Stand oder einen älteren Test beziehen.
Der Passwort Safe wird immer lokal auf dem Rechner, dem Smartphone oder dem Tablet geöffnet, niemals zentral. In der Cloud, also auf dem Server des Anbieters, liegt eine Datei. Diese Datei ist hochgradig mit dem Master Passwort verschlüsselt. Das Gerät des jeweiligen Benutzers lädt sich diese Datei dann herunter und entschlüsselt sie und öffnet sie lokal. Ist das Master Passwort also ausreichend sicher gewählt und hat der Anbieter die Verschlüsselung auch anständig implementiert, so besteht keine Möglichkeit für die Hacker, die Daten zu entschlüsseln. Also ja, wie auch im Artikel dargestellt, die Sicherheit hängt vom gewählten Master Passwort ab. Zumindest im Fall von LastPass hat der Anbieter immer und immer und immer wieder auf die Wahl eines möglichst sicheren Passworts hingewiesen. Schon seit geraumer Zeit wurde dann auch eine Schlüssellänge von mindestens zwölf Zeichen erzwungen. Zugegebenermaßen, das hätte schon früher passieren sollen.
Das zentrale Thema ist doch: Ablage von senisblen Informationen in der Cloud.
Wenn der Anbieter gehackt wird, sind alle (!) betroffen, die dort Daten liegen haben. In dem Fall ist es so, dass ein starkes Master-Passwort, dass nicht abgefischt wurde, schützt. Aber was ist z.B. passiert, wenn einer seinen Safe geöffnet hat, während die Hacker unterwegs waren? Haben die auch dass Master-Passwort erbeuten können?
Ich bin deswegen kein Freund der zentralen Lösungen, sondern ein Verfechter von erprobten Lösungen, die zwar keinen Komfort haben (weil nur auf einem Device gespeichert), dafür aber sicherer sind. Ein Hacker erbeutet für seinen Aufwand nur die Daten eines Menschen. Themen der Cloud-Lösungen sind:
- interessant für Hacker, da nicht nur Daten eines Benutzers erbeutet werden (es lohnt sich)
- Vertrauen in den Anbieter ist wichtig
- Stärke des Master-Passworts ist immer wichtig
- wichtig ist, wie das Master-Passwort überprüft wird; ist es abfischbar?
Super erklärt, was nach jetzigem Wissensstand passiert ist. Toll erklärt auch, was dies für Auswirkungen hat und auch was dies eben nicht für Auswirkungen hat. Und das sogar für einen Laien relativ verständlich, wie ich finde. Dickes Lob an die Stiftung Warentest! Es bleibt festzuhalten, dass wer ein ein ausreichend sicheres Master Passwort gewählt hat, nichts für seine Benutzernamen und Passwörter zu befürchten hat. Wie gesagt, Wissensstand heute. Tipp: Die Anzahl der so genannten Iterationen sollte von den bei den meisten Konten standardmäßig eingestellten 100.100 auf deutlich über 300.000 erhöht werden. Dies kann man in den erweiterten Sicherheitseinstellungen seines LastPass Kontos tun. Auswirkung hat dies natürlich nur für die Zukunft.
Über den Blog (blog.fefe.de) von Felix von Leitner (IT-Sicherheitsexperte) bin ich auf folgende Erklärungen gestoßen, falls jemand Interesse an mehr Hintergrund und kritische Bewertungen hat:
https://palant.info/2022/12/26/whats-in-a-pr-statement-lastpass-breach-explained/
Mit dem Browser Chrome lässt sich die Seite direkt auf deutsch übersetzen.