Thought Leadership
Die britische Datenschutzaufsicht ICO (Information Commissioner’s Office) hat den Passwort-Manager-Dienst LastPass zu einer Zahlung von 1,2 Millionen Pfund verurteilt. Hintergrund sind schwere Sicherheitsmängel bei einem Datenabfluss im Jahr 2022.
Unzureichende Schutzmaßnahmen bemängelt
John Edwards, der Information Commissioner, betonte die grundsätzliche Bedeutung von Passwort-Managern für die digitale Sicherheit. Gleichzeitig stellte er klar, dass Anbieter solcher Dienste besondere Verantwortung tragen und Zugriffe auf ihre Systeme strikt kontrollieren müssen. Die Kunden hätten darauf vertrauen dürfen, dass ihre Informationen angemessen geschützt werden. Eine Erwartung, die LastPass nicht erfüllt habe.
Die Strafe soll laut Edwards auch anderen Unternehmen in Großbritannien vor Augen führen, wie wichtig der Schutz von Kundendaten ist.
Was war passiert?
Bei dem Vorfall handelte es sich um zwei zusammenhängende Angriffe. Zunächst drangen Unbekannte in das Arbeitsnotebook eines Entwicklers ein und konnten so auf die Entwicklungsumgebung des Unternehmens zugreifen. Dabei wurden Teile des Quellcodes kopiert, konkret 14 von insgesamt etwa 200 Repositories.
Aufgeflogen war dieser Teil der Attacke durch einen automatischen Sicherheitshinweis von Amazon Web Services, nachdem die Angreifer Befehle ausführen wollten, für die keine Berechtigung vorlag. Die genaue Vorgehensweise bei der Kompromittierung des MacBooks ließ sich nicht mehr rekonstruieren, da zeitgleich ein Betriebssystem-Update stattfand und die Täter Spuren gezielt verwischten.
In den erbeuteten Daten befanden sich sowohl ungeschützte als auch verschlüsselte Zugangsinformationen, darunter ein Schlüssel zur Verschlüsselung von Backup-Daten in der Amazon-Cloud. Dieser Schlüssel war allerdings selbst noch verschlüsselt und zunächst nicht nutzbar.
Einen Tag darauf ereignete sich der schwerwiegendere Teil des Angriffs. Die Täter verschafften sich Zugang zum privaten Rechner eines hochrangigen Technikers aus dem DevOps-Bereich. Dieser gehörte zu einem kleinen Kreis von vier Personen, die über den Entschlüsselungsschlüssel für den zuvor erbeuteten Verschlüsselungsschlüssel verfügten.
Der Einbruch erfolgte über eine bekannte Sicherheitslücke in der Software Plex Media Server (CVE-2020-5741). Anschließend wurde Software zur Aufzeichnung von Tastatureingaben installiert, um das Master-Passwort abzufangen. Zusätzlich eigneten sich die Angreifer Session-Daten an, mit denen sich die Zwei-Faktor-Authentifizierung umgehen ließ.
Mit den so erlangten Informationen konnten die Täter schließlich auf die Cloud-Infrastruktur zugreifen und Backup-Datenbanken herunterladen.
Der Datenabfluss betraf persönliche Informationen von über 1,6 Millionen Nutzern aus Großbritannien. Konkret wurden mehr als 1,6 Millionen Mail- und IP-Adressen kopiert, dazu knapp 250.000 Telefonnummern, rund 160.000 Namen sowie etwa 118.000 Anschriften. Auch gespeicherte Website-Adressen waren betroffen.
Die eigentlichen Passwörter der Kunden wurden nach bisherigen Erkenntnissen nicht entschlüsselt.
Organisatorische Versäumnisse im Fokus
Die Datenschutzbehörde sieht das Problem nicht nur in technischen Schwachstellen. Kritisch bewertet die ICO die damals geltenden Unternehmensrichtlinien von LastPass: Führungskräfte wurden ermutigt, ihre privaten und beruflichen Accounts zu verbinden und mit ein und demselben Master-Passwort zu sichern. Diese Praxis erstreckte sich auch auf Mitarbeiter mit Zugriff auf hochsensible Firmendaten.
Als Konsequenz genügte der Zugriff auf den Privatrechner des Engineers, um gleichzeitig an geschäftskritische Informationen zu gelangen.
Ein weiteres Problem lag in der Kommunikation. Amazon Web Services registrierte zwischen Mitte und Ende Oktober 2022 verdächtige Aktivitäten und versandte entsprechende Warnmeldungen. Diese erreichten das Sicherheitsteam von LastPass jedoch erst mehr als zwei Wochen später am 2. November.
Die Ursache lag in veralteten Kontaktdaten: Auf der E-Mail-Verteilerliste stand fast ausschließlich Personal der früheren Konzernmutter GoTo, nachdem LastPass sich von diesem Unternehmen getrennt hatte. Lediglich ein LastPass-Mitarbeiter war noch aufgeführt.
Begründung für die Strafzahlung
Die ICO begründet die Geldbuße damit, dass LastPass keine ausreichend robusten technischen und organisatorischen Sicherheitsmaßnahmen implementiert hatte. Besonders die Praxis rund um private Geräte und die Kontenverknüpfung wertet die Behörde als problematisch.
Zwar hätten getrennte Master-Passwörter für private und geschäftliche Bereiche den zweiten Angriff möglicherweise nicht verhindert, aber eine wichtige zusätzliche Sicherheitsebene dargestellt. Die Aufsichtsbehörde verwies zudem darauf, dass an einen Anbieter von Passwort-Management-Lösungen besonders hohe Sicherheitsanforderungen zu stellen seien.
