LastPass-Hack: Wie sicher sind meine Passwörter?

33 Millionen Kund*innen, 2 Hacks, ein Datenleck. Zum zweiten Mal in 6 Monaten wurde der beliebte Passwort-Manager LastPass gehackt. Beim letzten Angriff entwendeten Cyberkriminelle nicht nur persönliche Daten, sondern sogar verschlüsselte Passwörter der LastPass-Kundschaft.

Wie kam es zu dem Datenleck? Was können Betroffene jetzt tun? Und hat der Vorfall rechtliche Folgen für LastPass? Die futurezone beantwortet gemeinsam mit Experten alle Fragen rund um den Hack.

Wie ist das Datenleck entstanden?

Anfang Dezember informierte LastPass seine Nutzer*innen über ein Datenleck. Es habe ungewöhnliche Aktivitäten auf einem der Cloudspeicher des Passwort-Managers gegeben, den er sich mit seiner Muttergesellschaft GoTo (früher bekannt als LogMeIn) teilt.

Hintergrund des Vorfalls ist ein Angriff auf LastPass, der sich im August diesen Jahres zutrug (die futurezone berichtete). Damals erbeuteten Hacker*innen den Quellcode von LastPass, was es ihnen in weiterer Folge ermöglichte, einen Angestellten des Anbieters zu attackieren. Über diese Schwachstelle gelangten sie schließlich an die in der Cloud befindlichen Daten der LastPass-Nutzerschaft.

Bei dem Datenleck handle es sich um ein „Worst-Case-Szenario“, sagt IT-Sicherheitsforscher Sebastian Bicchi von Sec-Research im futurezone-Interview.

Welche Daten wurden entwendet?

Anfang des Monats dementierte LastPass noch, dass Kundendaten oder gar Passwörter entwendet wurden. Dies relativiert der Anbieter nun. Tatsächlich erbeuteten die Angreifer*innen persönliche Informationen, darunter „Firmennamen, Benutzernamen, Rechnungsadressen, E-Mail-Adressen, Telefonnummern und die IP-Adressen, von denen aus die Kund*innen auf den LastPass-Dienst zugriffen“, heißt es seitens LastPass.

Hinzu kommen gespeicherte URLs, Kreditkarteninformationen seien aber nicht geleakt worden. Dafür aber die sogenannten Passworttresore. Das sind verschlüsselte Datenbanken, die sämtliche bei LastPass hinterlegten Passwörter der Nutzer*innen enthalten. Um die verschlüsselten Tresore zu knacken und sich Zugang zu den einzelnen Passwörtern von Onlinediensten zu verschaffen, benötigen die Angreifer*innen das sogenannte Masterpasswort. Dieses ist nur den Endkund*innen bekannt, ist also nicht Teil der von der Cloud gestohlenen Datenbanken.

Wie viele Personen betroffen sind, ist nicht bekannt. LastPass hat Berichten zufolge mehr als 33 Millionen Nutzer*innen auf der ganzen Welt.

Welche Gefahren entstehen durch das Leck?

Grundsätzlich macht das Datenleck die Masterpasswörter von Betroffenen auf 2 Wegen angreifbar. Einerseits könnten die Hacker*innen sie durch sogenannte Brute-Force-Attacken knacken. Dies ist eine Angriffsmethode, bei der ein Algorithmus so lange unterschiedliche Zeichenkombinationen ausprobiert, bis das Passwort erraten wird. 

Dass die Angreifer*innen nun über die verschlüsselten Passworttresore verfügen, macht Brute-Force-Attacken wesentlich effizienter. „Die Vaults können nun offline geknackt werden“, erklärt Experte Bicchi. „Man muss nicht online jedes Passwort durchprobieren, sondern kann es mit DPUs (Data Processing Units, Anm.) oder kleineren Cloudrechnern herausfinden.“

Auch Phishing- oder Social-Engineering-Attacken sind eine Gefahr. Denn die Hacker*innen verfügen, wie zuvor erwähnt, dank dem Leak über eine Menge an Metadaten der LastPass-Kundschaft. Sie wissen über Usernamen, Mailadressen und Telefonnummern Bescheid. Über eine trügerische Mail, in der sich die Cyberkriminellen beispielsweise als LastPass ausgeben, könnten sie die Masterpasswörter ergaunern.

LastPass warnt in einer Stellungnahme vor Phishing-Attacken. Der Anbieter betont, es würde niemals Kund*innen nach dem LastPass-Masterpasswort fragen oder dazu auffordern, über einen Link persönliche Daten zu verifizieren.

Sollten Betroffene Passwörter ändern?

Das hängt vom Masterpasswort ab. „Es wäre äußerst schwierig, die Masterpasswörter der Kund*innen mit Brute-Force-Attacken zu erraten“, heißt es seitens LastPass. Halte man die Empfehlungen des Anbieters ein, dauere es „Millionen von Jahren“ bis ein Masterpasswort geknackt werde.

Laut Bicchi stimmt diese Rechnung, wenn es sich um ein komplexes, zufälliges Masterpasswort handelt - vorausgesetzt es wird bei keinem anderen Onlinedienst verwendet. Der Experte gibt aber zu bedenken: „Aus der Praxis weiß man, dass die Menschen dazu tendieren, Passwörter mehrmals zu verwenden.“ Im Netz gebe es Datenbanken mit Passwörtern, die in der Vergangenheit bereits geleakt wurden. Befände sich ein Passwort in einer solchen Datenbank, „können die Angreifer beim Entschlüsseln sehr viel schneller sein“, erklärt Bicchi.

Ist das Masterpasswort also einzigartig und komplex, können Nutzer*innen beruhigt sein. Master- und Vaultpasswörter sollten vorsichtshalber geändert werden, sollte dies nicht der Fall sein. Experte Bicchi rät außerdem dazu, grundsätzlich eine 2-Faktor-Authentifizierung einzurichten. Das biete zusätzlichen Schutz.

Welche Schritte unternimmt LastPass jetzt?

Um weiteren Datenlecks vorzubeugen, will LastPass seine IT-Infrastruktur neu aufsetzen. Der Anbieter verspricht, bereits jetzt weitere Sicherheitsmaßnahmen umgesetzt zu haben – darunter Warnfunktionen, die LastPass über unautorisierte Aktivitäten informieren sollen.

„Die Untersuchung des Falls ist noch nicht abgeschlossen“, hält LastPass fest. „Aus Gründen der Vorsicht haben wir die Strafverfolgung und die zuständigen Aufsichtsbehörden über den Vorfall informiert“. Die Kund*innen will der Anbieter weiter am Laufenden halten.

Sollte ich ganz auf einen Passwort-Manager verzichten?

Nein. Passwort-Manager sollten trotz des Vorfalls nicht zur Gänze abgeschrieben werden. „Ein Manager ist immer noch um ein Vielfaches besser, als überall das gleiche Passwort zu verwenden“, erklärt Bicchi. Bedenken wären berechtigt, wenn Passwort-Manager exakte Kopien der Masterpasswörter auf Servern abspeichern würden. Kein vernünftiger Anbieter funktioniert aber auf diese Weise.

Wer sich als Laie für einen Passwort-Manager entscheidet, solle sich laut dem Experten in erster Linie die Historie des Anbieters ansehen. Gab es in der Vergangenheit beispielsweise Datenlecks oder wurde Kritik an dem Dienst von technisch versierten Personen geübt, sollte man lieber die Finger von dem jeweiligen Anbieter lassen. „Für Laien aber auch für Experten ist es grundsätzlich schwierig, die Sicherheit eines Passwort-Managers zu beurteilen“, merkt Bicchi an. Denn man könne ja nicht hinter die Kulissen blicken.

Hat LastPass fahrlässig gehandelt?

„Das ist schwierig zu sagen“, lautet Bicchis Einschätzung. Denn man wisse noch nicht über alle Einzelheiten des Hacks Bescheid. „Allein, dass ein solches Leck bei einem Password-Manager vorgefallen ist, ist aber schon relativ bedenklich“, so der Experte weiter. Bereits in der Vergangenheit habe es immer wieder Vorfälle rund um LastPass gegeben.

Dies könnte also Anlass dazu geben, auf einen anderen Provider umzusatteln. Alternative Anbieter sind unter anderem:

• Bitwarden
• KeePass
• 1Password
• Enpass

Hat der Vorfall rechtliche Konsequenzen für LastPass?

Ja und Nein. Betroffene in Österreich, deren persönliche Informationen in die Hände der Angreifer*innen gelangt sind, könnten Schadenersatz von LastPass fordern. Und zwar gemäß der Datenschutzgrundverordnung (DSGVO) der EU. Diese gilt in sämtlichen EU-Mitgliedsstaaten.

Die DSGVO sticht sich allerdings mit dem geltenden österreichischen Recht. Nach dem Wortlaut der Verordnung ist nicht klar, ob bereits die bloße Verletzung der DSGVO einen Schadenersatzanspruch begründet, oder ob ein konkreter Schaden eingetreten sein muss. In Österreich muss aber, um einen Schadenersatzanspruch geltend zu machen, ein tatsächlicher Schaden entstanden sein. Bei immateriellen Schäden - also solchen, die nicht das Vermögen betreffen - braucht es außerdem eine gewisse Erheblichkeit.

„In Österreich ist diese Frage im Zusammenhang mit der DSGVO noch nicht ausjudiziert”, gibt Christian Kern, Rechtsanwalt bei Jank Weiler Operenyi Rechtsanwälte (Deloitte Legal), zu bedenken. „Im Moment gehen die Literaturmeinungen auseinander”, sagt der Datenschutzexperte. Derzeit ist ein Verfahren beim Europäischen Gerichtshof (EuGH) anhängig, das sich mit dieser Frage befasst.

„Nur aufgrund der Verletzung der DSGVO selbst kann nach derzeitigem Stand kein Schadenersatzanspruch geltend gemacht werden”, lautet die vorläufige Einschätzung Kerns. Entstünde allerdings ein konkreter Schaden für Kund*innen, bspw. durch Identitätsdiebstahl mit den Daten, könnten Geschädigte LastPass laut dem Experten zur Kasse bitten.