06645 99991-0 [email protected]

ONE4 IT - News

Aktuelle Meldungen und Informationen

LastPass-Hack: Knacken LastPass-Hacker jetzt Passwort-Tresore?

Passwort-Manager wie LastPass sollen eigentlich für Passwortsicherheit sorgen. Im Dezember 2022 ist es Hackern jedoch gelungen, LastPass selbst zu hacken — und jetzt scheinen sie den LastPass-Hack zu nutzen, um Passwort-Tresore zu knacken!

Wir werden erklären, wie LastPass gehackt wurde und welche Bedrohungen von den LastPass-Hackern ausgingen.

Passwort-Manager — eigentlich eine gute Sache

Passwort-Manager sind sowohl für Privatpersonen als auch für Unternehmen eine wirklich gute Sache: Wie in einem Tresor können dort alle Zugangsdaten für Online-Plattformen und -Anwendungen gespeichert und bei Bedarf mit nur wenigen Klicks oder Tastatureingaben abgerufen werden. In Zeiten, in denen jeder immer mehr Anwendungen nutzt und dafür Zugangsdaten nutzt, ist das nicht nur sinnvoll, sondern fast notwendig. Denn: Sichere Passwörter bestehen aus möglichst komplizierten Zeichenketten, die möglichst nur einmal verwendet werden.

Schätzungen zufolge nutzen Mitarbeiter im Durchschnitt bis zu 100 Anwendungen, für deren Nutzung häufig Anmeldeinformationen erforderlich sind. Wir können davon ausgehen, dass sich nur sehr wenige Mitarbeiter so viele sichere Passwörter merken können. Es ist viel einfacher, sich nur ein Master-Passwort zu merken, um auf alle anderen Konten zugreifen zu können, wie es bei Passwort-Managern der Fall ist.

Problematisch wird es jedoch, wenn die Benutzerdaten von Passwort-Managern in falsche Hände geraten. Das scheint beim LastPass-Hack im Dezember 2022 passiert zu sein. Und jetzt, nur wenige Monate später, gibt es Anzeichen dafür, dass die LastPass-Hacker die erfassten Daten zu ihrem Vorteil nutzen!

Zu sehen ist ein Handy in einer hand, darauf werden die Zugangsdaten für Pexels abgefragt. Der LastPass-Hack ist eine Gefahr für solche Zugangsdaten. Bild: Pexels/cottonbro studio

Mitarbeiter des Unternehmens verwenden bis zu 100 Anwendungen, und die Anmeldedaten werden häufig in Passwortmanagern gespeichert. Bild: Pexels/CottonBro Studio

LastPass-Hack — das ist passiert

Am 22. Dezember 2022 meldete LastPass zwei Sicherheitsvorfälle. Bei einem ersten Angriff im August gelang es Angreifern, sich über eine Sicherheitslücke auf dem Firmenlaptop eines Softwareingenieurs Zugriff auf eine cloudbasierte Entwicklungsumgebung zu verschaffen und Quellcode, technische Informationen und bestimmte interne LastPass-Systemgeheimnisse zu stehlen. Laut LastPass wurden jedoch keine Kunden- oder Vault-Daten preisgegeben. Aber: Die gestohlenen Daten ermöglichten einen zweiten Angriff.

Bei diesem zweiten Angriff zielten die LastPass-Hacker auf einen erfahrenen DevOps-Ingenieur ab und nutzten Sicherheitslücken in Software von Drittanbietern aus. Es gelang ihnen, Malware einzuschleusen, bestehende Kontrollen zu umgehen und sich letztlich unbefugten Zugriff auf Cloud-Backups zu verschaffen. Sie konnten auf Systemkonfigurationsdaten, API-Schlüssel, Schlüssel für Integrationen von Drittanbietern sowie verschlüsselte und unverschlüsselte LastPass-Kundendaten zugreifen.

Laut Futurezone bestätigte LastPass, dass die Hacker beim LastPass-Datendiebstahl unter anderem Firmennamen, Benutzernamen, Rechnungsadressen, E-Mail-Adressen, die IP-Adressen, von denen Benutzer auf LastPass zugegriffen haben, sowie gespeicherte URLs stehlen konnten. Daten für die Multi-Faktor-Authentifizierung — einschließlich der Telefonnummern der Benutzer — wurden möglicherweise auch aus einem Archiv mit veralteten Backups abgerufen.

Passwort-Tresore sind ebenfalls betroffen

LastPass betont, dass die LastPass-Hacker nicht auf sensible Kundentresordaten zugreifen konnten, da diese nur mit dem Master-Passwort eingesehen werden können. Die Master-Passwörter der Benutzer sind LastPass selbst jedoch überhaupt nicht bekannt und werden auch nicht von LastPass gespeichert oder verwaltet. Stattdessen wird das Master-Passwort lokal auf den Geräten der Benutzer gespeichert und durch die sogenannte „Password — Based Key Derivation Function 2“ (PBKDF2) geschützt. Dabei handelt es sich um einen speziellen Algorithmus, der das Passwort vor Brute-Force-Angriffen schützen soll.

Aber: Die Angreifer konnten auch auf eine Sicherungskopie der verschlüsselten Passwort-Tresore der Nutzer zugreifen. Das sind Datenbanken, die alle bei LastPass gespeicherten Passwörter enthalten. Aufgrund der sogenannten Zero-Knowledge-Architektur sind diese Passwort-Tresore laut LastPass in den Händen von LastPass-Hackern immer noch sicher. Denn: Wie das Master-Passwort verschlüsselt LastPass auch alle anderen Passwörter lokal auf den Geräten der Nutzer und synchronisiert sie erst dann zwischen den Cloud-Servern. So weit, so gut?

Zu sehen ist eine Tastatur, darauf liegt ein Zahlenschloss; das Bild stecht symbolisch für den LastPass-Hack. Bild: Unsplash/Towfiqu barbhuiya

Knacken LastPass-Hacker jetzt auch Passwort-Tresore? Bild: Unsplash/Towfiqu Barbhuiya

Sind Passwort-Tresore doch geknackt?

Doch Monate später gibt es nun Berichte, dass es den LastPass-Hackern vielleicht doch noch gelungen ist, die Passwort-Tresore zu knacken und sie offenbar gezielt ausgenutzt zu haben. Wie Heise berichtet, haben es Cyberkriminelle offenbar auf Krypto-Wallets abgesehen. Demnach haben IT-Forscher 150 Vorfälle untersucht, bei denen insgesamt mehr als 35 Millionen US-Dollar in Kryptowährungen geraubt wurden. Die aktuelle Annahme ist, dass die Cyberkriminellen mit Brute-Force-Angriffen auf die Passwortsafes erfolgreich gewesen sein könnten.

Dem Bericht zufolge ist es jedoch auch möglich, dass die LastPass-Hacker an die sogenannte „Seed Phrase“ gelangt sind. Dies ist ein privater Schlüssel für den Zugriff auf Krypto-Assets. Jeder mit diesem Schlüssel kann auf die Kryptowährungs-Assets zugreifen und sie auf andere Konten verschieben. Es scheint, dass alle betroffenen Krypto-Investoren ihre Startphrase in LastPass gespeichert haben.

LastPass-Hack: Was sollten Unternehmen tun?

Tatsache ist, dass der LastPass-Hack ein schwerwiegender Vorfall ist, der die Sicherheit von Millionen von Benutzern gefährdet. Unternehmen — und ihre Mitarbeiter — sollten nach diesem Vorfall Maßnahmen ergreifen und sich die folgenden Tipps zu Herzen nehmen:

  • Ändern Sie alle Passwörter, die Sie in LastPass gespeichert haben!
    Da nicht sicher ist, ob die LastPass-Hacker die Passwort-Tresore tatsächlich knacken werden, ist es wichtig, alle in LastPass gespeicherten Passwörter zu ändern. Das dauert zwar einige Zeit, ist aber vorsichtshalber elementar.
  • Legen Sie ein sicheres LastPass-Master-Passwort fest!
    Vorsichtshalber sollten Sie auch das Master-Passwort für Ihren LastPass-Vault ändern. Wir sagen immer: Es sollte so stark und sicher wie möglich sein. Verwenden Sie mindestens 12 Zeichen, einschließlich Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen.
  • Aktivieren Sie die Multi-Faktor-Authentifizierung (MFA)!
    MFA bietet eine zusätzliche Sicherheitsebene, indem es zusätzlich zu Ihrem Passwort eine zusätzliche Bestätigungsmethode anfordert — zum Beispiel in Form eines Codes auf Ihrem Smartphone.
  • Richten Sie die Zwei-Faktor-Authentifizierung für alle Online-Konten ein!
    MFA ist nicht nur für LastPass wichtig, es sollte auch für alle Online-Konten aktiviert sein. Dies gilt insbesondere im geschäftlichen Kontext, da Datenschutz hier besonders wichtig ist.
  • Überprüfe deine Passwörter regelmäßig!
    Passwörter sollten auch in Zukunft regelmäßig aktualisiert werden, um die Sicherheit zu gewährleisten. Ein Passwort-Manager kann dabei helfen, auch wenn er derzeit durch den LastPass-Hack etwas diskreditiert ist.
  • Seien Sie wachsam vor Phishing-Angriffen!
     Die erfassten Daten laden Cyberkriminelle buchstäblich zu weiteren Angriffen ein. Angriffe über Phishing-E-Mails sind beispielsweise sehr wahrscheinlich. Seien Sie daher besonders vorsichtig bei E-Mails von unbekannten Absendern.
  • Bieten Sie Ihren Mitarbeitern Sicherheitstrainings an!
    Es ist wichtig, dass Ihre Mitarbeiter über die neuesten Sicherheitsbedrohungen und -praktiken informiert sind. Bieten Sie ihnen regelmäßige Sicherheitsschulungen an, um sie auf dem Laufenden zu halten.

Die Umsetzung dieser Tipps kann dazu beitragen, Ihre LastPass-Konten und Ihre anderen Online-Konten vor Cyberangriffen zu schützen. LastPass selbst hat übrigens auch einige Schritte unternommen, um die Sicherheit seiner Systeme zu verbessern. Unter anderem wurden die gesamte Infrastruktur, die Rechenzentren und der Cloud-Speicher um mehrere neue Sicherheitstechnologien erweitert.

one4 IT hilft Ihnen gerne weiter!

Es liegt in der Natur der Sache, dass gerade Passwort-Manager sozusagen ständig angegriffen werden — schließlich können hier auf einen Schlag tonnenweise Zugangsdaten abgerufen werden. Die Lieferanten setzen entsprechend hohe Waffen ein, aber sie sind offensichtlich nicht unfehlbar. Mit anderen Worten, selbst die sichersten Passwort-Manager sind nicht davor gefeit, gehackt zu werden. Vielleicht lässt Sie der LastPass-Vorfall sogar daran zweifeln, ob die Verwendung von Passwort-Managern wirklich Sinn macht?

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist sich dessen ziemlich sicher. Der Einschätzung des BSI zufolge ist die Nutzung eines Passwort-Managers in jedem Fall besser als die wiederholte Verwendung gängiger Passwörter. Für Unternehmen ist es wichtig, die verschiedenen Programme auf dem Markt genau unter die Lupe zu nehmen und die jeweiligen Risiken abzuwägen.

Weitere Informationen:
LastPass, LastPass, futurezone, heise, KrebsonSecurity, BSI
Zur besseren Lesbarkeit verwenden wir im Text die männliche Form. Es sind jedoch immer alle Geschlechter und Geschlechtsidentitäten gemeint.

Lesen Sie den Originalartikel auf IT-SERVICE.network

 

KATEGORIEN

ARCHIV