Der schwerwiegende LastPass-Hack aus dem Jahr 2022 wirkt bis heute nach: Laut Analysen von TRM Labs verlieren Nutzer weiterhin erhebliche Mengen an Kryptowährungen, weil Angreifer gestohlene, verschlüsselte Tresor-Backups systematisch offline angreifen, schwache Master-Passwörter knacken und so Zugriff auf Private Keys, Seed-Phrasen und Börsen-Accounts erhalten.
LastPass-Datenleck: Vom einzelnen Vorfall zur langfristigen Sicherheitsbedrohung
Ausgangspunkt des Vorfalls war die Kompromittierung des privaten Rechners eines LastPass-Mitarbeiters. Darüber verschafften sich die Angreifer Zugang zu internen Ressourcen und konnten unter anderem verschlüsselte Sicherungskopien von Nutzer-Tresoren (Vaults) exfiltrieren. In vielen dieser Vaults lagen nicht nur klassische Login-Daten, sondern auch Wallet-Zugänge, Seed-Phrasen und Zugangsdaten zu Krypto-Börsen.
LastPass setzt auf clientseitige Verschlüsselung: Der Inhalt des Tresors wird lokal verschlüsselt und mit einem Master-Passwort geschützt. Der Anbieter kennt dieses Passwort nicht und kann Vaults nicht selbst entschlüsseln. Der entscheidende Nebeneffekt: Wer eine verschlüsselte Vault-Datei besitzt, kann das Master-Passwort offline ausprobieren – ohne Sperrungen, ohne CAPTCHA, ohne Mehrfaktor-Abfrage. Der Schutz hängt damit fast ausschließlich von der Qualität des Master-Passworts und der verwendeten Schlüsselableitung (KDF) ab.
Offline-Brute-Force: Wenn ein schwaches Master-Passwort zur offenen Tür wird
TRM Labs bestätigt, dass die Täter genau diesen Ansatz verfolgten: Über Jahre hinweg betrieben sie Offline-Brute-Force-Angriffe auf Master-Passwörter der entwendeten Vault-Backups. Im Gegensatz zur Online-Anmeldung, bei der Rate Limits, Account-Sperren und MFA greifen, können Angreifer im Offline-Szenario ohne Unterbrechung Passwörter durchprobieren und nur durch ihre Hardware-Leistung begrenzt werden.
Vaults, die mit kurzen oder vorhersehbaren Master-Passwörtern geschützt waren – etwa einfache Wörter, Datumsangaben oder Tastaturmuster – lassen sich so mit hinreichender Zeit und GPU-Leistung häufig knacken. TRM Labs spricht von einem mehrjährigen „Fenster der Gelegenheit“: Viele Nutzer passten ihre Sicherheitskonfiguration nach dem Vorfall nicht an, sodass die Diebstahlserie bis mindestens Ende 2025 andauerte. Branchenberichte wie der jährlich erscheinende Verizon Data Breach Investigations Report zeigen seit Jahren, dass schwache oder wiederverwendete Zugangsdaten einer der häufigsten Einstiegspunkte für Angriffe sind.
Gestohlene Kryptowährungen und Spuren in eine russischsprachige Cybercrime-Ökosphäre
Nach Berechnungen von TRM Labs konnten bislang über 35 Millionen US-Dollar an digitalen Vermögenswerten identifiziert werden, die im Zusammenhang mit der LastPass-Datenpanne stehen. Rund 28 Millionen US-Dollar wurden demnach in Bitcoin umgewandelt und zwischen Ende 2024 und Anfang 2025 über den Privacy-Wallet-Dienst Wasabi Wallet verschleiert. Weitere etwa 7 Millionen US-Dollar gehen auf eine neue Angriffswelle im September 2025 zurück.
Die Blockchain-Analyse deutet auf eine russischsprachige Cybercrime-Ökosphäre hin. Zum einen tauchen bei der Geldwäsche wiederholt Dienste und Börsen auf, die bereits in früheren Fällen mit russischsprachigen Gruppen in Verbindung gebracht wurden. Zum anderen zeigt sich ein stabiler Verbund von Wallet-Adressen, die vor und nach dem Einsatz von Mixern interagieren, was auf eine gemeinsame operative Infrastruktur schließen lässt.
TRM Labs zufolge flossen Teile der gestohlenen Gelder über den Mixing-Dienst Cryptomixer[.]io und wurden anschließend über die Börsen Cryptex und Audia6 ausgeleitet. Das US-Finanzministerium nahm Cryptex im September 2024 in seine Sanktionslisten auf – unter anderem wegen mutmaßlicher Unterstützung beim Waschen von Kryptowährungen und Fiat-Geldern. Dies stützt die Einschätzung, dass hier etablierte kriminelle Strukturen agieren.
Warum viele LastPass-Nutzer auch Jahre später angreifbar blieben
Die anhaltende Erfolgsquote der Angriffe ist vor allem ein Resultat des menschlichen Faktors. Zahlreiche Nutzer änderten ihr Master-Passwort nach Bekanntwerden des Vorfalls nicht und beließen besonders kritische Geheimnisse wie Seed-Phrasen im Passwortmanager. Häufig wird „verschlüsselt“ fälschlich mit „praktisch unangreifbar“ gleichgesetzt, ohne die Rolle eines starken Master-Passworts zu berücksichtigen.
Die Sicherheit einer Vault hängt nicht nur von Algorithmen wie AES‑256 ab, sondern maßgeblich auch von der Stärke des Master-Passworts und den Parametern der Key Derivation Function (KDF) wie PBKDF2 oder Argon2. Eine geringe Anzahl von Iterationen in Kombination mit einem kurzen Passwort macht Offline-Brute-Force-Angriffe um Größenordnungen schneller. Mit der breiten Verfügbarkeit von GPUs und Cloud-Computing reichen heute passwortähnliche Konstrukte, die früher als „ausreichend komplex“ galten, oft nicht mehr aus. Sicherheitsrichtlinien wie NIST SP 800‑63 empfehlen daher explizit lange Passwortphrasen statt kurzer, schwer merkbarer Zeichenketten.
Empfehlungen: So schützen Sie Passwortmanager und Kryptowerte effektiv
Starke Master-Passwörter und robuste KDF-Konfiguration
Nutzer von Passwortmanagern sollten folgende Mindeststandards umsetzen:
– einen einzigartigen, langen Master-Passwortsatz verwenden, idealerweise eine leicht merkbare Passwortphrase mit mindestens 14–16 Zeichen;
– in den Einstellungen eine moderne KDF mit hohem Iterationswert (z. B. PBKDF2 oder Argon2) aktivieren bzw. überprüfen;
– überall dort, wo es möglich ist, Mehrfaktor-Authentifizierung (MFA) einschalten;
– bei jeder Nachricht über eine mögliche Kompromittierung eines Anbieters unverzüglich das Master-Passwort ändern und besonders sensible Zugänge (E-Mail, Börsen, kritische Accounts) neu absichern;
– regelmäßig prüfen, ob der genutzte Passwortmanager aktuelle Best Practices (Zero-Knowledge-Architektur, offene Sicherheits-Audits, starke Voreinstellungen) erfüllt, und gegebenenfalls einen Wechsel in Betracht ziehen.
Sichere Aufbewahrung von Seed-Phrasen und privaten Schlüsseln
Seed-Phrasen und Private Keys sollten als separate Sicherheitskategorie mit höchsten Schutzanforderungen behandelt werden. Empfehlenswerte Maßnahmen sind:
– nach Möglichkeit keine Seed-Phrasen in Cloud-Passwortmanagern oder E-Mails speichern;
– Hardware-Wallets oder dedizierte Offline-Lösungen für die Schlüsselverwaltung nutzen;
– physische Backups von Seed-Phrasen (z. B. auf Papier oder Metall) an sicheren, getrennten Orten verwahren und keine Fotos davon auf Smartphones oder in Cloud-Backups anlegen;
– eigene Krypto-Adressen regelmäßig über Block-Explorer oder Wallet-Tools monitoren und auf Börsen sowie in Wallets Echtzeit-Benachrichtigungen für Abhebungen und Transaktionen aktivieren.
Der LastPass-Vorfall zeigt eindrücklich, dass eine einzige Kompromittierung verschlüsselter Daten jahrelange, gezielte Angriffe nach sich ziehen kann, wenn Angreifer genügend Zeit und Rechenleistung zum Knacken schwacher Master-Passwörter haben. Wer heute seine digitale Sicherheit stärken möchte, sollte Master-Passwörter, KDF-Einstellungen und den Umgang mit Seed-Phrasen kritisch überprüfen, bestehende Konfigurationen konsequent verhärten und insbesondere Krypto-Werte nicht unreflektiert in Cloud-Diensten ablegen. Eine solche Sicherheitsinventur kostet wenig Zeit, reduziert aber das Risiko existenzbedrohender Verluste erheblich.
