LastPass: Wieder war Zugriff auf Kundendaten möglich

Vermutlich sind die meisten unserer Leser, die mal LastPass als Passwortmanager nutzten, in den letzten Jahren abgewandert (Alternativen, u. a.: 1Password, Enpass, Bitwarden, KeePass und Derivate). Da hatte sich ja funktions- und preistechnisch einiges geändert.

Bezüglich der Sicherheit meldet LastPass nun abermals einen Angriff auf die Server des Unternehmens. Man habe vor kurzem ungewöhnliche Aktivitäten innerhalb eines Cloud-Speicherdienstes eines Drittanbieters festgestellt, der derzeit sowohl von LastPass als auch von seiner Tochtergesellschaft GoTo genutzt wird.

Es wurde festgestellt, dass eine unbefugte Partei unter Verwendung von Informationen, die sie im August 2022 erhalten hat, in der Lage war, Zugang zu bestimmten Informationen der Kunden zu erlangen. Die Passwörter der Kunden bleiben aufgrund der Zero-Knowledge-Architektur von LastPass sicher verschlüsselt. Man arbeite mit Hochdruck daran, das Ausmaß des Vorfalls zu verstehen und herauszufinden, auf welche spezifischen Informationen zugegriffen worden ist.

Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf ge­lan­gt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir ei­ne kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Avatar-Foto

Hallo, ich bin Carsten! Ich bin gelernter IT-Systemelektroniker und habe das Blog 2005 gegründet. Baujahr 1977, Dortmunder im Norden, BVB-Fan und Vater eines Sohnes. Auch zu finden bei X, Threads, Facebook, LinkedIn und Instagram.

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

43 Kommentare

  1. Naja, ist ja auch eine Grundsatzfrage einer Cloud, seine geheimsten Passwörter und Daten anzuvertrauen.
    Sobald wer Daten in der Cloud ablegt, besteht immer das Risiko, das diese Daten durch Fehler anderer ungeschützt sind.
    Daher lehne ich Cloud Datenspeicher von fremden Diensten grundsätzlich ab.
    Weder meine Webcam Streams noch Passwörter müssen außerhalb im Web liegen.
    Da ist die eigene NAS zu Hause, die man von Außen nur per VPN erreicht, meist die bessere Variante.

    • Ich glaube, dass der Großteil der Menschen (bzw. der Hersteller) eine NAS nie so gut absichern kann, wie ein professioneller Clouddienst seine Hochverfügbarkeitsserver…

      • Allerdings ist es ein Unterschied, ob ich mit einem Hack tausende oder nur ein Datensatz erhalte. Das ist ein Vorteil von privaten NAS, da sie sich nicht so sehr lohnen.

        Inwieweit die geringere Attraktivität die geringere Sicherheit ausgleicht, kann ich nicht beurteilen. Allerdings kann man, wie Flori, sein NAS nur lokal und per VPN erreichbar machen. Das ist zwar auch keine absolute Sicherheit (die es sowieso nicht gibt), hilft aber vermutlich ungemein.

        • womit das ganze dann aber wieder so funktionabel wie der klassische Zettelkasten ist

          • Was schränkt Dich dabei ein? Die VPN-Verbindung baut sich automatisch auf. Außerdem kann der Passwortmanager (Keepass2Android in meinem Fall) die Datenbank cachen und synchronisieren, wenn ich Zuhause bin.

    • Genau und dann macht man port forwarding und dann verschwinden die Daten trotzdem. Oder werden verschlüsselt. Qnap auch ein gutes Beispiel dazu.

      So pauschal kann man das für alle Menschen nicht beantworten

    • Du hast das Prinzip eben nicht verstanden. Ich nutze zwar 1P, aber mir wäre es auch recht, wenn meine verschlüsselten vaults dort allgemein zugänglich lägen. Hätte ich kein Vertrauen in die Verschlüsselung, wäre die einzig konsequente Verhaltensweise, wie meine Oma zu leben.

      • Ich bin kein Freund von „wenn ich dieses mache, muss ich das andere sein lassen“.

        Es gibt noch viele Zwischenstufen.

        Wenn es Datenlecks und Sicherheitsprobleme gibt, ist es nie die Verschlüsselung an sich. Es ist IMMER das Schlüsselmanagement – in welcher Form auch immer.

        Man kann also durchaus vertrauen in die Verschlüsselung haben. Aber man darf dem Unternehmen und derer Implementierung des Schlüsselmanagements Misstrauen.

        Ich muss also nicht wie meine Oma leben;)

        Analog dazu wäre übrigens ein Hochsicherheitstresor, dessen Code an der Tür steht.
        Der Tresor hält, was er verspricht – er lässt nur Leute mit Code rein.

    • Man kann Daten auch in der Cloud absichern. Meine KeePass-Datei kannst du nur mit einer Schlüsseldatei samt Masterpasswort öffnen. Passwort alleine reicht also nicht.

  2. „Man arbeite mit Hochdruck daran, das Ausmaß des Vorfalls zu verstehen und herauszufinden, auf welche spezifischen Informationen zugegriffen worden ist.“

    Man hat also keinen blassen Schimmer was passiert ist und stochert im Nebel. Warum werden solche Anbieter noch genutzt?

    • Einer der Dirks says:

      Weil 95% deren Nutzer das hier gar nicht mitbekommen.

      • Beim letzten Vorfall wurden die Kunden per Mail informiert. Die Aussage kann so pauschal also nicht stimmen.

        • Das ist in meinen Augen auch eine große Errungenschaft der DSGVO:
          Kunden müssen über bestimmte Vorfälle informiert werden.

      • Genau das ist meist der Fall.
        Habe selbst zwischen 2014 – 2019 LastPass genutzt. War schlichtweg der erste Passwortmanager, mit dem ich mich selbst auseinander gesetzt und irgendwo her eine Premium Testlizenz erhalten hatte.
        Wurde dann im Bekanntenkreis auf die Sicherheitsprobleme von LastPass aufmerksam gemacht und bin dann zu einer Kombination aus Bitwarden & KeePass2 (je nach Passwort) gewechselt. Damit fahre ich inzwischen recht gut und kann seit dem Wechsel auch endlich wieder gut schlafen.

    • Andere Lesart: wir wissen zwar noch nicht das genaue Ausmaß, wollen aber von Anfang an für maximale Transparenz sorgen und öffentlich machen, was wir wissen.

      Sonst kriegen Unternehmen nämlich von anderer Seite Ärger, wenn sie sich erst nach ein paar Wochen mit Infos melden.

  3. Ein Einbruch im November mit im August erbeuteten Zugangsdaten?

    Da hat wohl jemand seine Passworte nicht geändert…

  4. Weiter so, immer schön alles in die Cloud packen…….

    • Selbstredend. Ich habe weder Zeit noch Lust Fotos, Videos, Adressen, E-Mails, Passworte usw mehrfach täglich manuell zu synchronisieren.

      • Da kann man glaube ich die allgemeine Aussage „die Cloud“ ersetzen durch „inkompetente und/oder nicht vertrauenswürdige Anbieter“.
        Ich will auch den Komfortgewinn durch das Internet haben – aber das sollen bitte kompetente und vertrauenswürdige Anbieter übernehmen.

        Dann ist „Cloud“ für mich okay.

  5. Sobald die üblichen Trolls lediglich die Überschrift gelesen haben, geht schon das Gemeckere schon los. Dabei ist die Sicherheit des Passwortmanagers laut Inhalt des Artikels gar nicht kompromittiert worden.

    • Das vielleicht nicht. Aber es sind wiederholt Daten abhanden gekommen.
      Das alleine ist doch schon ein Problem.
      Und es wird laut dem Artikel von caschy ja auch nicht ausgeschlossen, dass die Datenbank mit den Passwörtern weg ist. Es heißt ja nur, die Sicherheit der Verschlüsselung sei nicht kompromittiert.

      • So what? Die nächste Generation (passkeys) lebt davon, dass es einen quasi öffentlichen Schlüssel gibt.

      • Mir geht es nicht primär um die Verschlüsselung, sondern um die Sicherheitsarchitektur. Diese schließt aus, dass Dritte auf die Logindaten zugreifen können, selbst wenn sie die gesamte Lastpass-Datenbank klauen. Denn auch bei Lastpass kann man wegen der Sicherheitsarchitektur nicht auf sensible Benutzerdaten im Klartext zugreifen. Mehr dazu hier:

        https://support.lastpass.com/download/lastpass-technical-whitepaper

        Und klar ist es nicht gut, wenn jemand gehackt wird. Niemals kann das gut sein. Aber es spricht eben nicht generell gegen das Speichern von Daten in der Cloud.

  6. Ich verstehe nicht, dass SafeInCloud beim Thema Passwortmanager fast nie genannt wird. Ich nutze es seit mehreren Jahren und bin absolut zufrieden. Die Pro Version muss nur einmalig für €12 gekauft werden und kann dann auf Mac, iOS, iPadOS, Android, HarmonyOS, Windows genutzt werden und bietet Extensions für alle Browser. Familienfreigabe inklusive.

    Entschieden habe ich mich dafür, weil ich die Passwortdatenbank verschlüsselt in meiner Nextcloud nutzen kann (per WebDAV).

    • Das klassische Phänomen: warum hat mein Workaround so wenig Bedeutung?

      • Moment mal.
        Da hat ein Anbieter Daten verloren. Dann ist er offenbar nicht in der Lage, den Fehler abzustellen, hat ne neue Lücke oder hat kein Interesse daran, die Lücke zu schließen – es wird nochmal eingebrochen.
        Es sind also potenziell alle persönlichen Informationen, die er über mich verarbeitet hat, im Umlauf. Also Zahlungsinformationen, Mails usw. Je nachdem, was die halt von dir wissen wollten.

        Und du sagst „so what?“

        Und was hat das mit passkeys zutun?

        • Tja, da wird dir offenbar langsam was klar. Erklärung habe ich oben gegeben. Thema Passkeys musst du dir selbst erschließen. Das ganze ist unschön, aber alles andere als ein Skandal oder gar gefährlich für die Nutzer.

          • Erklär mir bitte, was du meinst. Mir fehlt ein Stück, um dir folgen zu können.
            Ich weiß auch, was Passkeys sind. Aber der Zusammenhang zwischen einem Datenleck bei Lastpass und Passkeys ist mir wirklich nicht klar.
            Das eine ist eine Authentifizierung mit Hilfe von Asymmetrisches Verschlüsselung und das andere ist ein Datenleck.

            • Wenn dieses Datenleck für die Sicherheit der Passwörter relevant wäre, würde niemand Passwörter in der Cloud sichern. Es ist generell nur deshalb sicher, weil die Verschlüsselung sicher ist. Ergo ist es ein Datenleck wie jedes andere. Wie beim Onlineschuhverkäufer. Die Tatsache, dass es bei einem Passwortanbieter erfolgt ist, klickt nur mehr. Für den Anbieter ist es zwar ein Reputationsschaden, aber in einem Teckblog sollte man ne Ebene drüber stehen.

              • Genau das habe ich doch auch geschrieben?
                Trotzdem führt es dazu, dass man diesem Anbieter weniger vertraut. Wenn er denn schon zwei Mal hintereinander Angriffe in seine Infrastruktur nicht verhindern konnte – wieso sollte ich ihm dann zutrauen, die Verschlüsselung in den Passwortsafe richtig zu implementieren?

                • Weil es standardisiert ist oder weil das das ultimative Ziel wäre, aber nie passiert ist? Genauso gut könntest du dich fragen, warum du noch Vertrauen ins Grundgesetz haben kannst, wo es doch vorkommt, dass ne Ampel falsch schaltet. Ist ne Frage der Konsequenz der Logik.

                  • Nur weil es standardisiert ist, heißt das nicht, dass es auch korrekt umgesetzt wurde! Ist wie mit der Rechtschreibung: „dass“ ist auch standardisiert, hast Du aber trotzdem falsch gemacht.

  7. Was nehme ich denn um PWs zwischen Android (Chrome), Windows (EDGE) und ios (Safari) komfortabel auszutauschen? Ich nutze seit Jahren LastPass…

    • Meine Empfehlung ist BItwarden. Kostenlos (saugünstige Premiumversion aber auch vorhanden) und Open Source. Funktioniert auf allen Plattformen…

    • Oder KeePassXC. Ist ebenfalls openSource und die KeePass Datenbankdatei kann auch mit anderen Programmen genutzt werden. Ich nutze an den Linux Rechnern KeePassXC und an den Apple Geräten StrongBox (sehr netter Entwickler). Meine Datenbank liegt in ner Nextcloud (man kann auch irgendwas anderes nehmen) welche mit Masterpasswort + Schlüsseldatei gesichert ist. KeePassXC und StrongBox sind so immer synchron und kann auch von sämtlichen Browsern per Plugin die Passwörter automatisch am Anmeldebildschirm eintragen lassen. 1x im Monat hab ich ne Erinnerung eingerichtet, die Datenbankdatei als Backup wegzusichern. So bin ich nicht von einer einzelnen Firma abhängig und habe dennoch die „Cloud“-Vorteile einer synchronen Datenbank. Nur als Idee, jeder hat unterschiedliche Bedürfnisse.

    • Kannst dir 1Password mal anschauen.

      • Ist das denn sicherer?

        • Das kann man nicht seriös mit ja beantworten.
          Alles ist so lange sicher, bis jemand einen Fehler findet. Und Fehler wird jede Software haben. 1Password ist schon ein großer Player, allerdings gefällt mir deren Änderung des Geschäftsmodells nicht.

          KeePass scheint mir das Konzept zu haben, das am wenigsten Fehler zulässt.
          Ansonsten bin ich ein Freund davon, wenn man nicht Vertrauen MUSS, sondern Vertrauen KANN.
          Wenn du eine geschlossene Lösung wie 1Password verwendest, dann MUSST du vertrauen.
          Wenn du eine Lösung wie KeePass verwendest, dann KANNST du vertrauen, MUSST es aber nicht.

          Viele der Leute, die heir regelmäßig kommentieren, verwenden übrigens Bitwarden. Nur, um das auch noch ins Spiel zu bringen:)

  8. NanoPolymer says:

    Die Passwörter sind zwar nicht kompromittiert. Würde als Kunde spätestens jetzt aber wechseln.

  9. Wenn es eine vernünftige Anleitung zum Wechseln von Lastpass zu einem anderen Anbieter geben würde, dann würden viele wechseln.

Es werden alle Kommentare moderiert. Lies auch bitte unsere Kommentarregeln:

Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen. Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte - gerne auch mit Humor. In jedes Thema Politik einbringen ist nicht erwünscht.

Du willst nichts verpassen?

Du hast die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren.