Lastpass gilt als einer der besten Passwort-Manager. Und ich gestehe, dass ich bis vor kurzem auch davon überzeugt war. Zu 100 Prozent.
Denn Lastpass hat meinen Umgang mit Passwörtern grundlegend verändert. Während ich früher die immer gleichen, einfach zu erinnernden Buchstabenkombinationen für verschiedene Webseiten und Online-Dienste verwendet hatte, brachte Lastpass auf einen Schlag mehr Sicherheit und Komfort. Nun konnte ich komplizierte (und damit sicherere) Kennwörter einfach erstellen und musste trotzdem nur ein einziges – das Hauptkennwort – in Erinnerung behalten.
Doch nun hat sich meine Beurteilung zum Negativen geändert. Denn die jüngsten Ereignisse sind kein Ruhmesblatt für das US-Unternehmen, das hinter dem genialen Software-Tool steckt.
In der Nacht auf Dienstag traf eine beunruhigende Nachricht von Lastpass in meinem Postfach ein. In dem Schreiben ohne persönliche Anrede teilte man mir mit, dass «verdächtige Aktivitäten in unserem Netzwerk entdeckt und sofort blockiert» worden seien.
Wenn Hacker Daten erbeuten, ist das eine mittlere Katastrophe für Unternehmen, deren Kerngeschäft die sichere Verwaltung sensibler Daten ist. Noch viel schlimmer ist, wenn nicht schnell und offen kommuniziert wird. Und genau da liegt der Hund begraben.
Der Lastpass-Chef liess am Montag verlauten, dass die «überwiegende Mehrheit» der Nutzer nicht von dem Angriff betroffen sei. Im Firmenblog wurde eine Stellungnahme veröffentlicht, die auf die technischen Details eingeht.
Was aufhorchen lässt, ist das Timing der «Krisenkommunikation»: Der Server-Einbruch hatte sich bereits am vergangenen Freitag ereignet. Es verstrichen also mehrere Tage, bis sich die Verantwortlichen veranlasst sahen, eine offizielle Warnung herauszugeben.
Mit Verlaub: Das geht gar nicht!
So fragte ich via Twitter beim US-Unternehmen nach.
@schurt3r Hi Daniel: Please feel free to get in touch with press[at]lastpass[dot]com. Our incident response worked as expected...
— LastPass Support (@LastPassHelp) 16. Juni 2015
@schurt3r We detected intrusion immediately, locked down all accounts, took proactive measures, & are notifying all users.
— LastPass Support (@LastPassHelp) 16. Juni 2015
Kurz zusammengefasst: Laut Lastpass wurde der Einbruchsversuch sofort entdeckt und die erforderlichen Massnahmen getroffen.
Allerdings lauern die grössten Gefahren laut dem Sicherheitsexperten Martin Vigo vor allem in den gestohlenen E-Mail-Adressen und Passworterinnerungen, wie Zeit Online berichtete. Die Hacker könnten den Nutzern gefälschte E-Mails im Namen von Lastpass schicken, die auf die Sicherheitslücke hinweisen und einen Link mit der Bitte enthalten, das Master-Passwort zu ändern.
Meine darauf folgende Anfrage bei Lastpass hat ergeben, dass es gegen diese Gefahr kein einfaches Mittel gibt. Das Unternehmen sagt, es sei nicht in der Lage, Kunden mit persönlicher Anrede anzuschreiben – weil es die entsprechenden Informationen nicht sammle.
Das Fazit: Lastpass-Nutzer sind selber in der Verantwortung, sie sollten ein komplexes Master-Passwort verwenden und ihr Konto zusätzlich durch die Zwei-Faktor-Authentifizierung vor Fremdzugriff schützen.
Es soll nicht unerwähnt bleiben, dass es interessante Alternativen gibt. Der bekannteste Konkurrent dürfte 1Password sein.
Wer seine Passwörter sicher von Lastpass zu 1Password transferieren will, kann dieser ausführlichen und bebilderten Anleitung folgen.
Update: In einer früheren Version hiess es fälschlicherweise, die Zwei-Faktor-Authentifizierung gehöre zum Premium-Angebot. Der Dank geht an die Leser, die uns auf den Fehler hingewiesen haben.