Hacker-Schlag gefährdet Sicherheit von 33 Millionen Internet-Nutzern
Hackern ist es gelungen, Zugriff auf einen riesigen Passwort-Tresore zustehlen. 33 Millionen Nutzer sind damit gefährdet, dass ihre vermeintlich sicheren Zugangsdaten in die falschen Hände geraten sind. Wie weit der Schaden reicht, ist noch nicht absehbar. Im schlimmsten Fall können Angreifer damit komplette Internet-Identitäten oder Firmenprofile übernehmen und sogar die Schadensbegrenzung blockieren.
Der Passwort-Tresore eines großen, eigentlich vertrauenswürdigen Passwort-Managers wurde von Hackern abgegriffen. Was nach einer unscheinbaren Nachricht klingt, kann verheerende Konsequenzen haben. Wir erklären, warum das so ist und was Betroffene tun müssen.
Betroffen ist der Passwort-Manager LastPass, der nach eigenen Angaben 33 Millionen Kunden hat. Diese Kunden verwalten über LastPass ihre Passwörter. Die betroffene Datenbank enthält also URLs, welche diese Kunden nutzen sowie die zugehörigen Nutzernamen und Kennwörter. Wenn die Angreifer diese Daten entschlüsseln können, haben sie kompletten Zugriff auf alle Systeme, die der betroffene Mensch mit LastPass verwaltet. Die einzige Schutzbarriere, die jetzt noch stehen kann, sind Two-Way-Authentication Mechanismen oder intelligente Sicherheitsfragen.
LastPass erklärte in einer Stellungnahme, dass die betroffenen Daten verschlüsselt sind. Aber wenn Nutzer sich nicht an die Vorgaben für ein sicheres Master-Passwort gehalten haben, ist ein Zugriff dennoch möglich.
Sichere Passwörter sollten mindestens 12 Zeichen enthalten und dabei einen Mix aus Sonderzeichen, Ziffern sowie Groß- und Kleinbuchstaben enthalten. Keinesfalls sollten Sie einem Muster folgen oder auf Wörtern oder Daten basieren, die man Ihnen zuordnen kann. Ein Passort, das beispielsweise nur aus 7 Buchstaben besteht, kann innerhalb von Sekunden geknackt werden.
Ein IT-Experte erklärt, warum dieser Fall so dramatisch ist: Passwort-Manager werden in der Regel so genutzt, dass alle Zugangsdaten eines Nutzers dort gespeichert sind. Wer diese kontrolliert, hat das ganze Internetprofil eines Menschen in seiner Hand. Hacker können dann auch Passwörter ändern und damit verhindern, dass der Angriff rückgängig gemacht werden kann. Gewinnen die Angreifer dabei auch Zugriff auf die E-Mails, Social Media und Co, können mit weiteren Tricks sogar Two-Way-Authentication-Mechanismen ausgehebelt werden.
Wer sich als mögliches Ziel eines solchen Angriffs wägt und LastPass nutzt, sollte die Sicherheit der betroffenen IT-Systeme deshalb unbedingt prüfen und alle Passwörter ändern. Seien Sie auch achtsam, wenn Sie ungewöhnliche Anrufe oder E-Mails erhalten. Angreifer könnten versuchen durch Social Hacking weitere Sicherheitsbarrieren zu durchbrechen.
Die meisten Angriffe auf IT-Systeme gelingen durch Nutzer-Fehlverhalten. Bekannte Einfallstore sind unsichere Passwörter oder unüberlegte Auskünfte, die per E-Mail, Telefon oder SMS weitergegeben werden.
LastPass gab an, seine gesamte IT-Infrastruktur mit neuen Sicherheitsmechanismen neu aufgesetzt zu haben. Dadurch sollen weitere Sicherheitsvorfälle in Zukunft verhindert werden.
