LastPass Free herunterladendownload
Blog
Jüngste Artikel
Blog
Jüngste Artikel
Branchennews
LastPass für Admins
LastPass Labs
Produktupdates
Tipps und Tricks
bg
Sicherheitsnews

Sicherheitsvorfall – Neuigkeiten und empfohlene Maßnahmen

Karim ToubbaMarch 01, 2023
Sicherheitsvorfall – Neuigkeiten und empfohlene Maßnahmen
Für unsere LastPass-Kunden: Ich möchte Ihnen wichtige Neuigkeiten zu dem Sicherheitsvorfall mitteilen, den wir am 22. Dezember 2022 gemeldet haben.  Unsere umfassenden Untersuchungen sind nun abgeschlossen und wir haben seit dem 26. Oktober 2022 keine weiteren suspekten Aktivitäten festgestellt. Im Laufe dieser Untersuchungen kamen weitere Einzelheiten zu den Geschehnissen zum Vorschein. Diese neuen Erkenntnisse möchten wir heute mit Ihnen teilen. Im gleichen Zeitraum haben wir viel Zeit und Mühe investiert, um die Sicherheit zu stärken und gleichzeitig unsere Sicherheitsvorkehrungen insgesamt zu verbessern. Im heutigen Update möchte ich diese Vorkehrungen im Detail beleuchten und erläutern, welche zusätzlichen Schritte wir zur Erhöhung der Sicherheit unternehmen. Dieses Update befasst sich mit folgenden Fragen und Themen:
  • Was war vorgefallen und welche Maßnahmen haben wir ergriffen?
  • Auf welche Daten wurde zugegriffen?
  • Welche Maßnahmen sollten Sie ergreifen, um sich selbst oder Ihr Unternehmen zu schützen?
  • Diese Maßnahmen haben wir zum Schutz von LastPass ergriffen 
  • Was Sie von uns erwarten können
Wir haben das Privileg, Millionen von Nutzern und mehr als 100.000 Unternehmen zu bedienen, und wir möchten sicherstellen, dass wir all unseren Kunden die nötigen Informationen zur Beantwortung ihrer Fragen geben. Angesichts der Menge an Informationen, die wir heute teilen, haben wir dieses Update in zusammenfassende Abschnitte untergliedert, die jeweils eingebettete Links zu Seiten mit detaillierteren Informationen enthalten. Das Feedback unserer Kunden, dass wir Sie während des gesamten Prozesses häufiger und umfassender hätten informieren sollen, nehmen wir sehr ernst. Die Dauer der Nachforschungen zwang uns diesbezüglich zu schwierigen Kompromissen, aber wir verstehen und bedauern den Ärger, den unsere anfängliche Kommunikation sowohl für unsere Unternehmens- wie auch Privatkunden verursacht hat. Wir wünschen uns zufriedene Kunden. Deshalb geben wir Ihnen heute diese zusätzlichen Informationen und werden uns auch in Zukunft um eine effektivere Kommunikation bemühen. Wenn Sie den nächsten Abschnitt überspringen und sofort erfahren möchten, welche Maßnahmen LastPass zum Schutz Ihres Kontos oder Ihres Unternehmens empfiehlt, klicken Sie bitte hier (Privatanwender) oder hier (Unternehmensadministratoren).

WAS WAR VORGEFALLEN UND WELCHE MASSNAHMEN HABEN WIR ERGRIFFEN?

Die beiden Vorfälle, die wir im letzten Jahr offengelegt haben, betrafen LastPass und unsere Kunden. Keiner der Vorfälle wurde durch einen LastPass-Produktfehler oder unbefugten Zugriff auf bzw. Missbrauch von Produktionssystemen verursacht. Vielmehr nutzte der Eindringling eine Schwachstelle in Drittanbieter-Software aus und konnte vorhandene Kontrollen umgehen sowie schließlich auf Nichtproduktionsumgebungen für Entwicklung und Sicherungsspeicher zugreifen. Wir haben den Strafverfolgungsbehörden und unseren Threat-Intelligence- und Forensikpartnern die relevanten technischen Informationen, Kompromittierungsindikatoren (IOC; Indicators of Compromise) und Taktiken, Techniken und Verfahren der Hacker (TTP; Tactics, Techniques & Procedures) zur Verfügung gestellt. Bisher sind jedoch weder die Identität noch die Motivation des Angreifers bekannt. Es fand keine Kontaktaufnahme statt, ebenso wurden keine Forderungen gestellt, und es wurde keine glaubwürdige Untergrundaktivität festgestellt, die darauf hindeutet, dass der Angreifer aktiv an der Vermarktung oder dem Verkauf von Informationen beteiligt sei, die während der Vorfälle beschafft wurden. Zusammenfassung – Vorfall 1: Aufgrund einer Sicherheitslücke auf dem Firmenlaptop eines Softwaretechnikers konnte sich ein Eindringling unbefugten Zugriff auf eine cloudbasierte Entwicklungsumgebung verschaffen und Quellcode, technische Informationen und bestimmte interne LastPass-Systemgeheimnisse stehlen. Während dieses Vorfalls wurden keine Kunden- oder Vault-Daten preisgegeben, da sich in der Entwicklungsumgebung weder Kunden- noch Vault-Daten befinden. Wir erklärten den Vorfall für abgeschlossen, erfuhren aber später, dass die dabei gestohlenen Informationen verwendet wurden, um Angriffsziele zu identifizieren und den zweiten Vorfall einzuleiten. Als Reaktion auf den ersten Vorfall mobilisierten wir unsere internen Sicherheitsteams mit zusätzlicher Unterstützung von Mandiant.  Zur Eindämmung, Ausmerzung und Wiederherstellung wurden folgende Maßnahmen ergriffen:
  • Entwicklungsumgebung wurde entfernt und neu erstellt, um eine vollständige Eindämmung und Ausmerzung zu gewährleisten.
  • Bereitstellung zusätzlicher Sicherheitstechnologien und -kontrollen zur Ergänzung bestehender Kontrollen.
  • Alle relevanten von unseren Teams verwendeten Klartextschlüssel sowie evtl. preisgegebene Zertifikate wurden rotiert.
Einzelheiten zum ersten Vorfall und zu Abhilfemaßnahmen finden Sie hier. Zusammenfassung – Vorfall 2: Die Angreifer zielten auf einen leitenden DevOps-Techniker ab und nutzten dazu Schwachstellen in Drittanbieter-Software aus. Dank dieser Schwachstellen konnten die Eindringlinge Malware einschleusen, vorhandene Kontrollen umgehen und sich letztendlich unbefugten Zugriff auf Cloud-Backups verschaffen. Zu den Daten, auf die in diesen Backups zugegriffen wurde, gehörten Systemkonfigurationsdaten, API-Schlüssel, Schlüssel für Drittanbieter-Integrationen sowie verschlüsselte und unverschlüsselte LastPass-Kundendaten. Als Reaktion auf den zweiten Vorfall haben wir erneut unser Incident-Response-Team und Mandiant mobilisiert. Im Rahmen unserer laufenden Eindämmungs-, Ausmerzungs- und Wiederherstellungsmaßnahmen im Zusammenhang mit dem zweiten Vorfall haben wir nun die folgenden Maßnahmen ergriffen:
  • Analyse der cloudbasierten Speicherressourcen von LastPass und Anwendung zusätzlicher Richtlinien und Kontrollen.
  • Analyse und Anpassung bestehender Kontrollen für privilegierten Zugriff.
  • Rotation relevanter Schlüssel und Zertifikate, auf die der Angreifer zugegriffen hatte.
Weitere Informationen zu dem Hackerangriff sowie zu Abhilfemaßnahmen finden Sie hier.

AUF WELCHE DATEN WURDE ZUGEGRIFFEN?

Wie in den Vorfallszusammenfassungen beschrieben, beschaffte sich der Angreifer während der beiden Vorfälle sowohl proprietäre LastPass-Daten als auch Kundendaten, einschließlich der folgenden: Zusammenfassung der Daten, auf die im ersten Vorfall zugegriffen wurde:
  • On-Demand-, cloudbasierte Entwicklungs- und Quellcode-Repositories – darunter 14 von 200 Software-Repositorys.
  • Interne Skripte aus den Repositories – diese enthielten LastPass-Schlüssel und Zertifikate.
  • Interne Dokumentation – technische Informationen mit Beschreibungen der Entwicklungsumgebung.
Zusammenfassung der Daten, auf die im zweiten Vorfall zugegriffen wurde: 
  • DevOps-Schlüssel – vertrauliche Schlüssel, die verwendet wurden, um Zugriff auf cloudbasierten Sicherungsspeicher zu erhalten.
  • Cloudbasierter Sicherungsspeicher – enthielt Konfigurationsdaten, API-Schlüssel, Schlüssel für Drittanbieter-Integrationen, Kundenmetadaten und Sicherungen aller Kunden-Vault-Daten. Alle sensiblen Kunden-Vault-Daten außer URLs, Dateipfade zu installierter LastPass Windows- oder macOS-Software und bestimmte Anwendungsfälle mit E-Mail-Adressen, wurden nach dem Zero-Knowledge-Prinzip verschlüsselt und können nur mit einem eindeutigen Verschlüsselungsschlüssel aus dem Master-Passwort jedes Benutzers entschlüsselt werden. Zur Erinnerung: Die Master-Passwörter der Endbenutzer sind LastPass nie bekannt und werden von LastPass nicht gespeichert oder gepflegt – daher waren sie auch nicht von der Datenexfiltration betroffen.
  • Backup der LastPass-MFA-/Verbundanmeldungsdatenbank – enthielt Kopien von LastPass-Authenticator-Seed-Phrases sowie Telefonnummern, die für die MFA-Sicherungsoption verwendet werden (falls aktiviert), und eine Geteiltes-Wissen-Komponente („Split Knowledge“, sogenannter „K2-Schlüssel“), die für die LastPass-Verbundanmeldung (falls aktiviert) verwendet wird. Diese Datenbank war verschlüsselt, aber der separat gespeicherte Entschlüsselungsschlüssel gehörte zu den während des zweiten Vorfalls gestohlenen Schlüsseln.
Detaillierte Informationen zu den spezifischen Kundendaten, die von diesen Vorfällen betroffen sind, finden Sie hier.

WELCHE MASSNAHMEN SOLLTEN SIE ERGREIFEN, UM SICH SELBST ODER IHR UNTERNEHMEN ZU SCHÜTZEN?

Um unsere Kunden bei ihren eigenen Incident-Response-Maßnahmen besser zu unterstützen, haben wir zwei Sicherheitsberichte vorbereitet – einen für unsere Kunden von LastPass Free, Premium und Families und einen für unsere Business- und Teams-Benutzer. Mit den in den Sicherheitsberichten enthaltenen Informationen möchten wir unseren Kunden helfen, ihr LastPass-Konto zu sichern und auf diese Sicherheitsvorfälle so zu reagieren, dass ihren Anforderungen als Privatanwender bzw. dem Sicherheitsprofil und -umfeld ihres Unternehmens Genüge getan wird.
  • Sicherheitsbericht: Empfohlene Maßnahmen für Kunden von LastPass Free, Premium und Families. Dieser Bericht führt unsere Kunden von LastPass Free, Premium und Families durch die notwendigen Schritte, um wichtige LastPass-Einstellungen zu überprüfen und sicherzustellen, dass die Best Practices zum Schutz des Kontos befolgt werden.
  • Sicherheitsbericht: Empfohlene Maßnahmen für Administratoren von LastPass Business. Dieser Bericht führt Administratoren unserer Business- und Teams-Kunden durch eine Risikobewertung der LastPass-Kontenkonfiguration und der Drittanbieter-Integrationen und enthält Informationen, die sowohl für nicht verbundene Benutzer als auch Verbundbenutzer relevant sind.
Wenn Sie Fragen zu den empfohlenen Maßnahmen haben, wenden Sie sich bitte an den technischen Support oder Ihren Ansprechpartner im Customer-Success-Team, der Ihnen gerne weiterhilft.

DIESE MASSNAHMEN HABEN WIR ZUM SCHUTZ VON LASTPASS ERGRIFFEN

Seit August haben wir unsere gesamte Infrastruktur, unsere Rechenzentren und Cloudspeicher durch mehrere neue Sicherheitstechnologien erweitert, um unseren Sicherheitsansatz weiter zu stärken. Vieles davon war bereits geplant und konnte in kürzester Zeit erledigt werden, denn diese Arbeiten hatten wir bereits vor dem ersten Vorfall begonnen. Zusätzlich wurden erhebliche Investitionen in Sicherheit, Datenschutz und betriebliche Best Practices priorisiert und eingeleitet. Wir haben eine umfassende Überprüfung unserer Sicherheitsrichtlinien durchgeführt und gegebenenfalls notwendige Änderungen zur Beschränkung von Zugriff und Berechtigungen vorgenommen. Wir haben eine umfassende Analyse der vorhandenen Kontrollen und Konfigurationen durchgeführt und, wo notwendig, Änderungen vorgenommen, um den Schutz bestehender Umgebungen zu stärken. Zudem haben wir begonnen, die Verwendung von Verschlüsselungsmethoden innerhalb unserer Anwendungs- und Backup-Infrastruktur auszuweiten. Und schließlich beschäftigen wir uns mit längerfristigen Architekturinitiativen, um die Plattformentwicklung bei LastPass voranzutreiben. Klicken Sie hier, um die Liste der bereits abgeschlossenen Punkte aus unserer Sicherheits-Roadmap aufzurufen.

WAS SIE VON UNS IN ZUKUNFT ERWARTEN KÖNNEN

Seit unserem letzten Post vom 22. Dezember habe ich mit vielen unserer Geschäfts- und Privatkunden gesprochen. Ich verstehe, wie frustrierend es für unsere Kunden war, dass wir sie nicht schneller, klarer und umfassender über die Geschehnisse informiert haben. Diese Kritik akzeptiere ich vollkommen und ich übernehme die volle Verantwortung. Wir haben dazugelernt und sind entschlossen, künftig effektiver zu kommunizieren. Dazu gehört auch das heutige Update. Vor etwas mehr als einem Jahr haben GoTo und seine Investoren angekündigt, dass LastPass ein unabhängiges Unternehmen mit einem neuen Führungsteam werden solle. Damit soll das Potenzial von LastPass voll ausgeschöpft werden: Wir möchten das Versprechen zum Aufbau der marktführenden Passwort-Management-Plattform für Unternehmen einlösen. Ende April 2022 kam ich als CEO hinzu, um dieses Projekt zu leiten. In den letzten acht Monaten haben wir neue Führungskräfte eingestellt, um das Wachstum des Unternehmens voranzutreiben und eine neue Strategie umzusetzen. Dazu gehören anerkannte Branchenveteranen und Führungspersönlichkeiten aus der Sicherheits- und Technologiebranche. Im Rahmen der nächsten Wachstumsphase des Unternehmens haben wir mehrere Millionen US-Dollar zur Ausweitung unserer Investitionen in die Sicherheit unter Berücksichtigung der Menschen, Prozesse und Technologien abgestellt. Diese Investitionen unterschreiben unsere Verpflichtung, LastPass zu einem führenden Cybersicherheitsunternehmen weiterzuentwickeln und sicherzustellen, dass wir gegen zukünftige Bedrohungen gewappnet sind. Vielen Dank für Ihr Verständnis, Ihre Mithilfe und Ihre fortwährende Treue.

Karim Toubba

CEO von LastPass

bg

Erste Schritte mit LastPass Business

Testen Sie LastPass 14 Tage lang kostenlos..Keine Kreditkarte erforderlich.