Eigentlich sollen Passwort-Manager wie LastPass für Passwortsicherheit sorgen. Im Dezember 2022 ist es Hackern aber gelungen, LastPass selbst zu hacken – und jetzt scheinen sie den LastPass-Hack zu nutzen, um Passwort-Tresore zu knacken!
Wir erklären, wie LastPass gehackt wurde und welche Gefahren durch die LastPass-Hacker drohen.
Passwort-Manager – eigentlich eine gute Sache
Eigentlich sind Passwort-Manager sowohl für Privatpersonen als auch Unternehmen eine wirklich gute Sache: Wie in einem Tresor lassen sich darin sämtliche Zugangsdaten für Online-Plattformen und Anwendungen hinterlegen und bei Bedarf mit wenigen Klicks beziehungsweise Tastenanschlägen aufrufen. Das ist in Zeiten, in denen jeder einzelne immer mehr Anwendungen nutzt und dafür Zugangsdaten verwendet, nicht nur nützlich, sondern fast schon notwendig. Denn: Sichere Passwörter bestehen aus möglichst komplizierten Zeichenfolgen, die möglichst nur einmal verwendet werden.
Es gibt Schätzungen, nach denen Mitarbeiter durchschnittlich bis zu 100 Anwendungen nutzen, für deren Nutzung häufig Login-Daten benötigt werden. Wir können davon ausgehen, dass sich die wenigsten Mitarbeiter so viele sichere Passwörter merken können. Viel einfacher ist es doch, sich nur ein Master-Passwort merken zu müssen, um damit auf alle anderen Zugänge zugreifen zu können, wie es bei Passwort-Managern der Fall ist.
Problematisch wird es allerdings dann, wenn die Nutzerdaten von Passwort-Managern in die falschen Hände geraten. Genau das scheint beim LastPass-Hack im Dezember 2022 passiert zu sein. Und jetzt, bereits einige Monate später, gibt es Anzeichen, dass die LastPass-Hacker die erbeuteten Daten zu ihren Gunsten nutzen!
Bis zu 100 Anwendungen nutzen Mitarbeiter von Unternehmen, die Zugangsdaten werden oft in Passwort-Managern gespeichert. Bild: Pexels/cottonbro studio
LastPass-Hack – das ist passiert
Am 22. Dezember 2022 hat LastPass zwei Sicherheitsvorfälle gemeldet. Bei einem ersten Angriff im August war es Angreifern gelungen, sich über eine Sicherheitslücke auf dem Firmenlaptop eines Software-Technikers Zugriff auf eine cloudbasierte Entwicklungsumgebung zu verschaffen und dort Quellcode, technische Informationen und bestimmte interne LastPass-Systemgeheimnisse zu stehlen. Laut LastPass sollen dabei aber keine Kunden- oder Vault-Daten preisgegeben worden sein. Aber: Die gestohlenen Daten ermöglichten einen zweiten Angriff.
Bei diesem zweiten Angriff zielten die LastPass-Hacker auf einen leitenden DevOps-Techniker ab und nutzten dabei Schwachstellen in einer Drittanbieter-Software aus. Es gelang ihnen, Malware einzuschleusen, vorhandene Kontrollen zu umgehen und sich letztendlich unbefugten Zugriff auf Cloud-Backups zu verschaffen. Dabei konnten sie auf Systemkonfigurationsdaten, API-Schlüssel, Schlüssel für Drittanbieter-Integrationen sowie verschlüsselte und unverschlüsselte LastPass-Kundendaten zugreifen.
Nach Angaben von futurezone hat LastPass bestätigt, dass die Hacker beim LastPass-Datenklau unter anderem Firmennamen, Benutzernamen, Rechnungsadressen, E-Mail-Adressen und die IP-Adressen, von denen aus Nutzer auf LastPass zugriffen, sowie gespeicherte URLs erbeuten konnten. Aus einem Archiv mit veralteten Backups können außerdem Daten für die Multi-Faktor-Authentifizierung abgegriffen worden sein – darunter Telefonnummern der Nutzer.
Auch Passwort-Tresore betroffen
LastPass betont, dass die LastPass-Hacker nicht auf sensible Kunden-Vault-Daten zugreifen konnten, da diese nur mit dem Master-Passwort einzusehen sind. Die Master-Passwörter der Nutzer seien LastPass selbst aber gar nicht bekannt und würden auch nicht von LastPass gespeichert oder gepflegt. Stattdessen wird das Master-Passwort lokal auf den Geräten der Nutzer gespeichert und von der sogenannten „Password-Based Key Derivation Function 2“ (PBKDF2) geschützt. Das ist ein spezieller Algorithmus, der das Passwort vor Brute-Force-Attacken schützen soll.
Aber: Die Angreifer konnten auch eine Sicherungskopie der verschlüsselten Passwort-Tresore der Nutzer abgreifen. Dabei handelt es sich um Datenbanken, die sämtliche bei LastPass hinterlegten Passwörter enthalten. Aufgrund der sogenannten Zero-Knowledge-Architektur sind diese Passworttresore nach Angaben von LastPass in den Händen der LastPass-Hacker dennoch sicher. Denn: Wie das Master-Passwort verschlüsselt LastPass auch alle anderen Passwörter lokal auf den Geräten der Nutzer und synchronisiert sie erst danach über die Cloud Server. So weit, so gut?
Knacken LastPass-Hacker jetzt auch die Passwort-Tresore? Bild: Unsplash/Towfiqu barbhuiya
Werden Passwort-Tresore doch geknackt?
Monate später gibt es aber jetzt Berichte, dass die LastPass-Hacker es geschafft haben könnten, die Kennwort-Tresore doch zu knacken und sie offenbar ganz gezielt auszunutzen. Wie heise berichtet, scheinen es die Cyberkriminellen nämlich auf Krypto-Wallets abgesehen zu haben. IT-Forscher haben demnach 150 Vorfälle untersucht, bei denen insgesamt mehr als 35 Millionen US-Dollar in Kryprowährungen geraubt wurden. Die aktuelle Vermutung ist, dass die Cyberkriminellen mit Brute-Force-Attacken auf die Passwort-Safes erfolgreich gewesen sein könnten.
Möglich sei dem Bericht zufolge aber auch, dass die LastPass-Hacker an die sogenannte „Seed Phrase“ gelangt sein könnten. Dabei handelt es sich um einen privaten Schlüssel zum Zugriff auf Krypto-Anlagen. Jeder, der diesen Schlüssel besitzt, kann auf die Kryptowährung-Besitztümer zugreifen und auf andere Konten verschieben. Scheinbar sollen alle betroffenen Krypto-Investoren ihre Seed Phrase in LastPass gespeichert haben.
LastPass-Hack: Was sollten Unternehmen tun?
Fakt ist: Der LastPass-Hack ist ein ernstzunehmender Vorfall, der die Sicherheit von Millionen von Benutzern gefährdet. Unternehmen – und ihre Mitarbeiter – sollten unbedingt handeln und sich nach diesem Vorfall folgende Tipps zu Herzen nehmen:
- Ändern Sie alle Passwörter, die Sie in LastPass gespeichert haben!
Da nicht sicher ist, ob die LastPass-Hacker die Passwort-Tresore nun tatsächlich knacken, ist es unbedingt wichtig, alle in LastPass hinterlegten Passwörter zu ändern. Das nimmt zwar etwas Zeit in Anspruch, ist als Vorsichtsmaßnahme aber elementar. - Setzen Sie ein starkes Master-Passwort für LastPass ein!
Auch das Master-Passwort für Ihren LastPass-Tresor sollten Sie vorsichtshalber ändern. Wir immer gilt: Es sollte so stark und sicher wie nur möglich sein. Verwenden Sie mindestens 12 Zeichen, einschließlich Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen. - Aktivieren Sie die Multi-Faktor-Authentifizierung (MFA)!
Die MFA fügt eine zusätzliche Sicherheitsebene hinzu, indem Sie neben Ihrem Passwort eine zusätzliche Bestätigungsmethode anfordert – zum Beispiel in Form eines Codes auf dem Smartphone. - Richten Sie eine Zwei-Faktor-Authentifizierung für alle Online-Konten ein!
MFA ist nicht nur für LastPass wichtig, sondern sollte für alle Online-Konten aktiviert werden. Das gilt ganz besonders in einem geschäftlichen Kontext, da hier der Datenschutz in besonderem Maß gefordert ist. - Überprüfen Sie regelmäßig Ihre Passwörter!
Passwörter sollten auch in Zukunft regelmäßig aktualisiert werden, um die Sicherheit zu gewährleisten. Ein Passwort-Manager, auch wenn er durch den LastPass-Hack aktuell etwas in Verruf steht, kann dabei helfen. - Seien Sie bei Phishing-Angriffen wachsam!
Die erbeuteten Daten laden die Cyberkriminellen regelrecht zu weiteren Attacken ein. Sehr wahrscheinlich sind beispielsweise Angriffe via Phishing-E-Mails. Seien Sie daher bei E-Mails von unbekannten Absendern besonders vorsichtig. - Bieten Sie Ihren Mitarbeitern Sicherheitstraining an!
Es ist wichtig, dass Ihre Mitarbeiter über die neuesten Sicherheitsbedrohungen und -praktiken aufgeklärt sind. Bieten Sie ihnen regelmäßige Sicherheitsschulungen an, um sie auf dem Laufenden zu halten.
Die Umsetzung dieser Tipps kann dazu beitragen, Ihre LastPass-Konten und Ihre anderen Online-Konten vor Cyberangriffen zu schützen. LastPass selbst hat übrigens auch einige Schritte unternommen, um die Sicherheit seiner Systeme zu verbessern. Unter anderem wurden die gesamte Infrastruktur, die Rechenzentren und Cloud-Speicher durch mehrere neue Sicherheitstechnologien erweitert.
Unsere IT-Dienstleister unterstützen Sie gern!
Es liegt in der Natur der Sache, dass besonders Passwort-Manager sozusagen unter Dauerbeschuss stehen – immerhin lassen sich hier auf einen Schlag Unmengen an Zugangsdaten ergattern. Die Anbieter fahren dementsprechend hohe Geschütze auf, doch unfehlbar sind sie offensichtlich nicht. Oder anders gesagt: Selbst die sichersten Passwort-Manager sind nicht davor gefeit, gehackt zu werden. Vielleicht lässt Sie der LastPass-Vorfall daher sogar daran zweifeln, ob der Einsatz von Passwort-Managern wirklich so sinnvoll ist?
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist sich dessen recht sicher. Der Einsatz eines Passwort-Managers, so die BSI-Einschätzung, ist in jedem Fall besser, als gängige Passwörter wiederholt zu benutzen. Wichtig ist für Unternehmen, sich die verschiedenen Programme auf dem Markt genau anzusehen und die jeweiligen Risiken abzuwägen.
Sollten Sie dabei Hilfe benötigen: Die Experten aus dem IT-SERVICE.NETWORK unterstützen Sie gern bei der Überlegung, ob LastPass wirklich das richtige Tool für Ihr Unternehmen ist. Fakt ist: LastPass gehört trotz des Vorfalls weiterhin zu den Passwort-Managern, die für den Unternehmenseinsatz empfohlen sind. Sollten Sie sich dennoch über Alternativen informieren wollen, sprechen Sie uns gern an!
Weiterführende Informationen:
LastPass, LastPass, futurezone, heise, KrebsonSecurity, BSI
Zur besseren Lesbarkeit verwenden wir im Text die männliche Form. Gemeint sind jedoch immer alle Geschlechter und Geschlechtsidentitäten.
Geschrieben von
Seit Anfang 2019 ist Janina Kröger für den Blog des IT-SERVICE.NETWORK verantwortlich – anfangs in der Position der Online-Redakteurin und inzwischen als Content Marketing Managerin. Die studierte Germanistin/Anglistin und ausgebildete Redakteurin behält das Geschehen auf dem IT-Markt im Blick, verfolgt gespannt neue Trends und Technologien und beobachtet aktuelle Bedrohungen im Bereich des Cybercrime. Die relevantesten… Weiterlesen
Schreiben Sie einen Kommentar
* = Pflichtfelder
Bitte beachten Sie unsere Datenschutzerklärung