Von den wenigsten beachtet findet im Internet konstant ein Krieg zwischen starken Kräften statt. Die einen wollen Daten sammeln und natürlich irgendwie schützen, die anderen wollen diese Daten haben um damit Geld zu verdienen. Meist nicht unbedingt legal.

Um seine eigenen Daten zu schützen ist eine der Standard-Empfehlungen, dass man für jede Website auch ein eigenes Kenntwort verwenden soll. Um hier den Überblick zu behalten, gibt es seit geraumer Zeit sogenannte „Passwort-Manager“. Also Programme, die die Zugangsdaten speichern und meistens auch automatisch einsetzen können, wenn Ihr eine Website aufruft.

Diese Programme sind dann natürlich der Single Point of Failure, denn kann jemand hierauf Zugriff bekommen, hat er Zugriff auf alle Zugangsdaten zu allen Websites, die Ihr dort hinterlegt habt. Daher müssen die Anbieter solcher Software eine ganz besondere Sorgfalt walten lassen. Das bedeutet unter anderem:

• Sie müssen ein Verschlüsselungssystem nehmen, dass derzeit nach dem Stand der Technik als ausreichend sicher gilt.
• Sie dürfen Euer Passwort nicht kennen und nicht speichern. Sogenanntes „Zero Knowledge“.
• Die verschlüsselten Daten dürfen nicht mit dem Passwort allein gesichert sein, sondern die Technik muss zusätzlich das „Erraten“ der Passwörter erschweren.
• Es sollten nach Möglichkeit keine weiteren Daten (unverschlüsselt) gespeichert werden, was auch ein Verstoß gegen Zero Knowledge wäre.

Ich will hier nicht zu tief in die Technik einsteigen.  Wichtig ist eben, dass die Verschlüsselung so sicher wie möglich ist, was den Verschlüsselungsstandard angeht und ganz wichtig ist, dass beim Anbieter keinerlei Daten gespeichert sein dürfen, die in  irgendeiner Form einen Rückgriff auf das Passwort, den Nutzer oder sein Surfverhalten zulassen.

Tür auf für „LastPass“.

Bei LastPass handelt es sich um einen sehr populären Schlüssel-Manager, der wohl vor einiger Zeit gehackt wurde. Diese Geschichte entwickelt sich zu einem Musterbeispiel dafür, wie es auf gar keinen Fall sein darf. Zwar wirbt LastPass mit Zero Knowledge und speichert meines Wissens nach zumindest nicht das Passwort. Aber, wenn man den üblichen Quellen [1, 2] glauben darf, begehen sie einige echt heftige Fehler. Oder begingen. Denn jetzt sind die Daten futsch:

1. LastPass sagt, dass nicht ihre Betriebsumgebung angegriffen wurde, sondern eine physisch getrennte Entwicklungsplattform. Was nicht erklärt, warum auf dieser Entwicklungsplattform komplette Kundendatensätze und nicht Testdatensätze lagen. Denn von dort wurden die Kundendaten kopiert.
2. LastPass sagt, dass sie ZeroKnowledge anwenden, legt das aber wohl sehr selektiv aus: Neben den gespeicherten Passwörtern, zu denen man keinen Zugang hat, wurden wohl Metadaten (so was wie Zeitpunkte und Daten) unverschlüsselt gespeichert und aufgerufene Websites.

Das ist natürlich jetzt ein Wurst-Käse-Szenario. Denn daraus ergeben sich zahlreiche mögliche Angriffsszenarien:

1. Phishing: Wenn ich weiß, wer wann mit welcher Mailadresse eine Website aufgerufen hat, kann ich ihn sehr genau ansprechen und die Wahrscheinlichkeit, meine Mail als bösartig zu erkennen, dramatisch senken. Damit kann ich den Nutzer auffordern, z. B. auf einen Link klicken. Und wir wissen, egal wie oft wir predigen in Mails nicht auf Links zu klicken, Ihr werdet es tun.
2. Phishing extended: Wenn ich es richtig anstelle, kann ich Euch sogar dazu kriegen, Euer altes Passwort einzugeben, indem ich Euch auffordere, es zu ändern und Euch dafür das Alte und das Neue auf eine Website einzugeben. Ich kann diese Daten an die echte Website weiterleiten und Euer Kenntwort dort ändern (dann kenne ich das), ich erfahre aber auch Euer echtes altes Kennwort. Eine Verschlüsselung zu brechen, deren Kennwort man kennt, ist ungleich einfacher, als wenn man das Passwort „erraten“ muss.
3. Erpressung: Ein böser Akteur der weiß, auf welcher Schmuddelseite ihr angemeldet seid. Er muss Euch nicht sagen, welches Video Ihr geschaut habt um Euch in Angst zu versetzen und die Bereitschaft zu erhöhen, einen Geldbetrag zu zahlen. Gelingt ihm aber eine Attacke nach 2, kann er Euch sogar zeigen, was Ihr Euch angesehen habt. Und wenn das Eure Zahlungsbereitschaft nicht erhöht…

Das sind 3 Szenarien die nur wenige Sekunden Nachdenken benötigen. Es gibt unzählige mehr, die so gut ausgeführt sein können, dass Ihr es erst merkt, wenn es zu spät ist. Dazu gehört natürlich auch Zugriff auf Eure Bankdaten!

Meine persönliche Meinung ist, dass LastPass damit verbrannt ist. Denen darf man nie wieder trauen, weil die Fehler so dilettantisch sind, dass mir echt die Spucke weg bleibt.

Und Ihr? Wenn Ihr LastPass verwendet, ändert auf den Websites (nicht über die App!!!!) die Passwörter und wenn möglich die Mail-Adresse.

Und klickt nicht auf Links in Mails die Ihr nicht selber angefordert habt, sondern geht direkt auf die Websites.

Seid besonders wachsam für Phishing-Attaken auf Websites, deren Daten Ihr bei LastPasse gespeichert habt!