Was ist passiert?

Am 22. Dezember 2022 veröffentlichte der Passwortmanager LastPass eine Meldung, dass Angreifer Backups der verschlüsselten Passworttresore gestohlen haben.

Was ist LastPass?

LastPass ist ein Cloud-Passwortmanager. Nutzer können sich ein Passworttresor erstellen und darin verschlüsselt ihre Zugänge speichern. Sämtliche Daten werden dabei in der Cloud von LastPass gespeichert. Bereits in der Vergangenheit wurde LastPass Opfer von Cyberattacken. Dabei ist es den Kriminellen gelungen, in das Firmennetzwerk einzudringen und Quellcode der LastPass Software zu entwenden. Weiterhin erlangten die Angreifer bei dieser Attacke Zugriff auf Speicherschlüssel, die wiederum den Zugang zu den Tresor Backups ermöglichten.

Wie groß ist die Gefahr?

Die Angreifer haben die Tresordaten von LastPass entwendet. Dabei liegen den Angreifern nun die verschlüsselten Daten wie z.B. Usernamen und Passwörter vor, als auch unverschlüsselte Daten wie Website URLs oder sämtliche Kundenkontoinformationen. 
Die verschlüsselten Daten wurden mit 256-Bit-AES verschlüsselt. Diese Art der Verschlüsselung entspricht dem heutigen Standard. Die Daten können nur mit einem eindeutigen Schlüssel lesbar gemacht werden, dazu benötigen die Angreifer das Masterpasswort des Tresors.

Das Masterpasswort sollte ein möglichst langes und kompliziertes Passwort sein, mit diesem Masterpasswort haben die Nutzer Zugriff auf all ihre verschlüsselten Zugänge. 

Die Angreifer können nun sogenannte Brute-Force-Angriffe durchführen, dabei probieren sie automatisiert eine Vielzahl an möglichen Passwortkombinationen, um das Masterpasswort zu erraten. Je kürzer und schwächer das Masterpasswort, desto höher die Chance, das Passwort mithilfe von Brute-Force zu erraten.
Das Masterpasswort selber, ist LastPass nicht bekannt, die Entschlüsselung wird ausschließlich erst auf lokaler Nutzerebene im jeweiligen Desktop- oder Browserclient vorgenommen. Daher müssen sich die Angreifer das Masterpasswort anderweitig beschaffen, entweder durch die erwähnten Brute-Force-Angriffe oder durch gezieltes Phishing. Da den Angreifern ja nun auch sämtliche Kundeninformationen vorliegen, ist mit letzterem ebenfalls zu rechnen. 

Nach eigenen Angaben benutzen 33 Millionen Nutzer weltweit LastPass, darunter auch 100.000 Unternehmen.

Wie sollten Sie reagieren?

Wenn Sie Nutzer von LastPass sind, raten wir dringend dazu, dass Sie zum einen Ihr Masterpasswort ändern und zum anderen sämtliche Zugänge innerhalb des Tresors. Achten Sie in nächster Zeit unbedingt auf Ihre Mails, es kann sein, dass Sie Phishing-Mails bekommen, in welchen Sie wiederum dazu aufgefordert werden Ihr Masterpasswort einzugeben. 

Weiterhin empfehlen wir, dass Sie über alternative Passwortmanager nachdenken. Es ist nicht auszuschließen, dass die Angreifer sich Türen offengehalten haben und LastPass weiterhin im Fokus der Angreifer steht.
Für einzelne Nutzer empfehlen wir den Open-Source Passwortmanager KeePass. Für Unternehmen, die eine Organisationsstruktur abbilden möchten und Passwörter auch untereinander teilen müssen, empfehlen wir Bitwarden. Weiterhin arbeiten wir im Moment an einem Managed Password Service für unsere Kunden, weitere Informationen hierzu folgen in Kürze.