Das LastPass-Datenleck 2022 erklärt: Was gestohlen wurde, was es bedeutet und wie man umsteigt
Im August / November 2022 exfiltrierten Angreifer LastPass-Cloud-Backups, darunter verschlüsselte Nutzer-Tresore plus unverschlüsselte Metadaten. Hier ist, was dokumentiert ist und was jetzt zu tun ist, wenn Sie noch ein LastPass-Konto haben.
Dokumentierte Zeitleiste
Laut den veröffentlichten Vorfallsmitteilungen von LastPass: Im August 2022 kompromittierten Angreifer den Rechner eines LastPass-Entwicklers und griffen auf Quellcode zu. Im November 2022 nutzten Angreifer Zugangsdaten aus dem August-Vorfall, um auf Cloud-Backups im Cloud-Speicher eines Drittanbieters von LastPass zuzugreifen. Diese Backups enthielten verschlüsselte Kunden-Tresore plus unverschlüsselte Metadaten — Tresor-URLs, Konto-E-Mail-Adressen, Abrechnungsinformationen. LastPass offenbarte den Datendiebstahl am 22. Dezember 2022 (blog.lastpass.com/posts/notice-of-recent-security-incident).
Was die Verschlüsselung tatsächlich schützt
LastPass-Tresore sind mit AES-256 verschlüsselt, wobei der Schlüssel über PBKDF2 aus dem Master-Passwort abgeleitet wird. Die Stärke des Schutzes hängt ab von (a) der Entropie des Master-Passworts und (b) der PBKDF2-Iterationszahl. Die Standard-Iterationszahl von LastPass betrug bei alten Konten 5.000, bevor sie 2018 auf 100.100 erhöht wurde. Vor 2018 erstellte Konten haben womöglich noch niedrige Iterationszahlen, sofern der Nutzer nicht manuell aktualisiert hat — die Vorfallsmitteilungen von LastPass dokumentieren dies. Ein schwaches Master-Passwort mit niedriger Iterationszahl ist offline per Brute Force knackbar; ein starkes Master-Passwort mit 100.100+ Iterationen ist es mit aktueller Hardware nicht.
Was zu tun ist, wenn Sie ein LastPass-Konto haben oder hatten
Schritt 1: Exportieren Sie Ihren LastPass-Tresor über die Web-Konsole (Einstellungen → Erweiterte Optionen → Exportieren). Schritt 2: Importieren Sie ihn in Bitwarden oder 1Password (beide haben direkte LastPass-Importer, dokumentiert unter bitwarden.com/help/import-from-lastpass und 1password.com/help). Schritt 3: Wechseln Sie die Passwörter bei jedem Konto mit hohen Offenlegungskosten — Finanzen, E-Mail, primäre Social-Media-Konten. Schritt 4: Aktivieren Sie 2FA bei jedem Konto, das es unterstützt. Schritt 5: Löschen Sie das LastPass-Konto über die Web-Konsole. War Ihr Master-Passwort stark (12+ Zufallszeichen oder eine Passphrase aus 6+ Wörtern), ist der verschlüsselte Tresor rechnerisch sicher; die Rotation ist eine Vorsichtsmaßnahme. War Ihr Master-Passwort schwach, behandeln Sie die hochwertigen Konten als kompromittiert.
Warum das Datenleck die gesamte Passwortmanager-Kategorie betraf, nicht nur LastPass
Das LastPass-Datenleck veranlasste Sicherheitsforscher, die architektonischen Entscheidungen in der gesamten Kategorie genauer zu betrachten. Zwei konkrete Erkenntnisse: (1) Verschlüsselungs-Iterationszahlen sind nicht alle gleich — der Unterschied zwischen 5.000 und 100.100 PBKDF2-Iterationen ist groß. Argon2id (die moderne KDF, die Bitwarden und andere verwenden) ist nochmals deutlich stärker. (2) Die Offenlegung von Metadaten (URLs von Konten, E-Mail-Adressen) ist ein realer Datenschutzschaden, selbst wenn die Tresorinhalte verschlüsselt bleiben, weil die Metadaten einem Angreifer helfen, Ziele zu priorisieren. Moderne auditierte Manager begrenzen die Metadaten in der Data-at-Rest-Schicht.
Quellen
Offizielle Vorfallsmitteilungen von LastPass: blog.lastpass.com/posts/notice-of-recent-security-incident. Bitwarden LastPass-Importer: bitwarden.com/help/import-from-lastpass. 1Password-Hilfe: 1password.com/help. Argon2id: password-hashing.net/argon2-specs.pdf. Alle URLs abgerufen am 2026-04-30.