anonym.legal
Zurück zum BlogTechnisch

Was der LastPass-Verstoß jedem Unternehmen über die...

LastPass verschlüsselte die Daten seiner Nutzer. Die Tresore wurden dennoch exfiltriert. 600K+ Okta-Daten folgten.

March 17, 20268 min Lesezeit
LastPass breach lessonsSaaS vendor securitycloud vendor riskenterprise securityzero-knowledge architecture

Der Verstoß, der die Annahmen zur Sicherheit von Unternehmens-Clouds veränderte

Der LastPass-Verstoß von 2022 ist nicht in erster Linie eine Geschichte über Passwortmanager. Es ist eine Geschichte darüber, was passiert, wenn Unternehmen Cloud-Anbieter mit ihren sensibelsten Daten vertrauen und dieses Vertrauen verletzt wird — nicht durch Leichtsinn, sondern durch Implementierungsschwächen, die von außen unsichtbar waren.

LastPass vermarktete eine Zero-Knowledge-Architektur. Die Architektur war in der Praxis nicht Zero-Knowledge. 25 Millionen Nutzer hatten ihre verschlüsselten Tresore exfiltriert. Der Verstoß wurde erstmals im August 2022 bekannt gegeben und mehrfach bis Ende 2022 aktualisiert, als sich der Umfang erweiterte.

Für Unternehmen im Gesundheitswesen, Finanzwesen und in der Rechtsdienstleistungsbranche — Sektoren, in denen die Datenexposition regulatorische Haftung schafft — war der LastPass-Verstoß kein isoliertes Ereignis, das man aus der Ferne beobachten konnte. Es war ein Vorgeschmack auf ein systemisches Problem.

Die Implementierungsdetails, die wichtig waren

Die Analyse nach dem Verstoß offenbarte zwei kritische Implementierungsschwächen:

Mangel an Iterationsanzahl: LastPass verwendete PBKDF2 zur Schlüsselableitung. Für neuere Konten verwendeten sie 100.100 Iterationen — unterhalb der Branchenempfehlung von 600.000. Für ältere Konten (in einigen Fällen vor 2018) lag die Iterationsanzahl bei nur 1 Iteration. Niedrigere Iterationszahlen machen Brute-Force-Angriffe auf die verschlüsselten Tresore rechnerisch machbar. Angreifer, die Tresore erlangten, konnten systematisch versuchen, Master-Passwörter zu knacken.

Exposition von Metadaten: Während der Inhalt der Tresore verschlüsselt war, waren die Metadaten es nicht. URLs, die im Passwortmanager gespeichert waren, Benutzernamen und Dienstnamen waren in den exfiltrierten Daten sichtbar. Angreifer konnten identifizieren, bei welchen Diensten Nutzer Konten hatten, was gezielte Phishing- und Credential-Stuffing-Angriffe ermöglichte, selbst ohne die Tresorverschlüsselung zu knacken.

Für Beschaffungsteams, die Cloud-Sicherheitsanbieter bewerten, zeigt der Fall LastPass, dass zwei Fragen getrennt beantwortet werden müssen: "Ist die Architektur Zero-Knowledge?" und "Ist die Implementierung korrekt?"

Der Okta-Verstoß: Derselbe Monat, ein anderer Mechanismus

Im Oktober 2023 gab Okta bekannt, dass ein Bedrohungsakteur eine gestohlene Berechtigung verwendet hatte, um auf das Kundensupportsystem von Okta zuzugreifen. Der Verstoß offenbarte 600.000+ Kundensupportdaten, einschließlich Dateien, die von Kunden während der Support-Interaktionen hochgeladen wurden.

Okta ist eine Plattform für Identitätssicherheit. Der Verstoß war kein grundlegendes Architekturversagen — es war ein Versagen der Zugangskontrolle in der Lieferkette. Die Berechtigung eines Supportmitarbeiters wurde kompromittiert, und der Angreifer nutzte legitimen Zugang, um auf sensible Daten zuzugreifen.

Die Kombination aus LastPass und Okta veranschaulicht die beiden Versagensmodi, mit denen Unternehmens-Cloud-Anbieter konfrontiert sind:

  • Architekturversagen: Zero-Knowledge-Behauptungen, die nicht wirklich umgesetzt wurden
  • Zugangskontrollversagen: legitime Berechtigungen, die zu unbefugtem Datenzugriff führen

Die Zero-Knowledge-Architektur adressiert den ersten Versagensmodus. Sie schützt nicht vor einem entschlossenen Angreifer, der legitime Berechtigungen für die Supportsysteme des Anbieters erlangt. Aber sie stellt sicher, dass selbst ein solcher Angreifer nicht auf die Klartextdaten der Kunden zugreifen kann — denn die Supportsysteme des Anbieters haben niemals Zugriff auf entschlüsselbare Daten.

Sicherheitsvorfälle bei SaaS stiegen von 2022 bis 2024 um 300 %

Die Forschung von AppOmni und der Cloud Security Alliance, die Sicherheitsvorfälle bei SaaS von 2022 bis 2024 verfolgt, ergab einen 300%igen Anstieg der Sicherheitsvorfälle, die SaaS-Plattformen in diesem Zeitraum betreffen.

Die Zahl von 300 % stellt keinen Anstieg der Sophistizierung der Angreifer dar. Sie repräsentiert das Wachstum der SaaS-Adoption, kombiniert mit der Anpassung der Angreifer: Da immer mehr Unternehmensdaten auf Cloud-Plattformen verschoben wurden, verlagerten Angreifer Ressourcen, um diese Plattformen ins Visier zu nehmen. Der ROI, einen SaaS-Anbieter zu kompromittieren — Zugang zu Daten von Dutzenden oder Hunderten von Unternehmenskunden gleichzeitig zu erhalten — ist erheblich höher, als einzelne Unternehmen ins Visier zu nehmen.

Für Unternehmen, die ihre Sicherheitsbewertungsprozesse für Anbieter auf der Annahme aufgebaut haben, dass Cloud-Anbieter sichere Ziele sind, erfordert die Datenlage von 2022-2024 eine Neukalibrierung. Die Annahme ist falsch. SaaS-Anbieter sind vorrangige Ziele.

Die Prüfungscheckliste nach LastPass

Für Unternehmen, die die Sicherheit von Cloud-Anbietern nach den Vorfällen bei LastPass und Okta neu bewerten, eine praktische Checkliste:

Implementierung der Verschlüsselung:

  • Fordern Sie den Schlüsselableitungsalgorithmus, die Iterationsanzahl und die Speicherparameter an
  • Bestätigen Sie, dass die Iterationszahlen den aktuellen OWASP-Empfehlungen entsprechen (600.000 PBKDF2-SHA256 Minimum oder gleichwertige Argon2id-Parameter)
  • Überprüfen Sie, dass die Schlüsselableitung clientseitig erfolgt, nicht auf den Servern des Anbieters

Schutz von Metadaten:

  • Fragen Sie spezifisch, welche Metadaten im Klartext neben dem verschlüsselten Inhalt gespeichert werden
  • Fordern Sie das Datenmodell an, das zeigt, welche Felder verschlüsselt sind und welche in Verstoßsszenarien zugänglich sind

Zugangskontrollen für Supportsysteme:

  • Fordern Sie Dokumentationen zum Zugang von Supportmitarbeitern zu Kundendaten an
  • Bestätigen Sie, dass Supportsysteme nicht auf die Klartextdaten der Kunden zugreifen können

Verlauf der Verletzungsbenachrichtigungen:

  • Fordern Sie die Offenlegung aller vorherigen Sicherheitsvorfälle an, einschließlich solcher, die nicht die Schwellenwerte für die öffentliche Offenlegung erreicht haben
  • Bewerten Sie die Transparenz und Vollständigkeit früherer Offenlegungen

Der LastPass-Verstoß war teilweise ein Versagen der Implementierung und teilweise ein Versagen der Transparenz über die Implementierung. Unternehmen, die vor der Auswahl eines Anbieters detaillierte Fragen stellen, erhalten Antworten, die eine informierte Risikobewertung ermöglichen. Unternehmen, die hochrangige Behauptungen akzeptieren — "wir verschlüsseln Ihre Daten" — übernehmen das Risiko, die Implementierungsdetails nach einem Verstoß zu entdecken.

Quellen:

Verwandte Artikel

Technisch

Cross-Platform PII: Mac, Linux, and Windows

Privacy officers on Mac, legal on Windows, data engineers on Linux — all processing the same data with different tools. Here's why OS-agnostic detection.

Technisch

Cross-Application PII: Word, Chrome, and AI

Customer data flows from browser research to Word drafts to Claude prompts. Each context switch is a potential leakage point.

Technisch

GDPR in App Logs: JSON PII Compliance

Application logs contain customer email addresses, IPs, and account numbers that GDPR Article 5(1)(e) requires be managed.

Bereit, Ihre Daten zu schützen?

Beginnen Sie mit der Anonymisierung von PII mit über 285 Entitätstypen in 48 Sprachen.

Kostenlose Testversion startenFunktionen anzeigen