Der weit verbreitete Passwortmanager LastPass meldet den Diebstahl von Teilen seines Quellcodes. Das Unternehmen teilt auch mit, welche Folgen dies für seine Kunden hat.

Viele Menschen nutzen Passwortmanager, um sich nicht alle Internet-Zugangsdaten merken zu müssen. Dabei handelt es sich um Programme, die alle Kombinationen verschlüsselt in einem virtuellen Tresor aufbewahren, man muss sich lediglich das Passwort für den Manager merken. Das erhöht normalerweise die Sicherheit, da Nutzer so eher komplizierte Kombinationen verwenden, die kaum zu knacken sind. Ein mulmiges Gefühl bekommt man aber, wenn man liest, dass der Passwortmanager selbst von Hackern angegriffen wurde. Genau das ist jetzt LastPass passiert, einem der weltweit am häufigsten genutzten Tresore für Zugangsdaten.

Vor zwei Wochen habe man ungewöhnliche Aktivitäten in Teilen der LastPass-Entwicklungsumgebung festgestellt, schreibt CEO Karim Toubba in einem Blogpost. Ermittlungen hätten ergeben, dass Unbekannte über ein kompromittiertes Entwicklerkonto Teile des Quellcodes und einige proprietäre technische Informationen von LastPass entwendet haben.

Weder Master-Passwörter noch Nutzerdaten erbeutet

Toubba betont allerdings, man habe keine Hinweise darauf gefunden, dass die Angreifer Zugriff auf Kundendaten oder verschlüsselte Passwort-Tresore erhalten haben. LastPass habe für weitere Untersuchungen ein führendes Unternehmen für Cybersicherheit und Forensik beauftragt und zusätzliche Sicherheitsmaßnahmen implementiert.

Die Hacker hätten auf keinen Fall Master-Passwörter erbeuten können, heißt es in angehängten FAQ, da durch eine sogenannte Zero-Knowledge-Architektur sichergestellt sei, dass sie niemand außer den Nutzern kennen könnten. Aus dem gleichen Grund seien auch keine im Tresor gespeicherten Daten kompromittiert worden. Außerdem habe die Untersuchung keine Hinweise auf einen Diebstahl von persönlichen Nutzerdaten ergeben. Die Entwarnung geht sogar so weit, dass LastPass seinen Kunden keine weiteren Maßnahmen empfiehlt.

Nicht der erste Angriff

Es ist nicht der erste Hackerangriff auf LastPass. Im vergangenen Winter haben Angreifer offenbar versucht, mit bei anderen Hacks erbeuteten Passwörtern Zugriff auf Nutzer-Tresore zu erhalten. Auch in diesem Fall waren Tresor-Inhalte offenbar nie gefährdet, solange Kunden ein einmaliges Master-Passwort verwendeten, wie aus einer Stellungnahme hervorgeht, die das Unternehmen "Appleinsider" gab.

Dass LastPass sicher ist, bestätigte erst im Juni Stiftung Warentest. Nur zwei von 16 Testkandidaten bescheinigten die Prüfer sehr gute Sicherheitsfunktionen. Weil seine Handhabung etwas kompliziert ist und Warentest sehr deutliche Mängel in der Datenschutzerklärung feststellte, kam LastPass aber über ein befriedigendes Gesamtergebnis nicht hinaus.