Passwort-Manager unter Druck: Milliarden-Leak und Millionen-Strafe

Eine Millionen-Strafe für LastPass, ein Leak mit 19 Milliarden Zugangsdaten und akademische Zweifel an der Verschlüsselung zwingen die Branche zum Umdenken.

Millionen-Vergleich nach jahrelangem Daten-Debakel

Die juristische Aufarbeitung eines schweren LastPass-Hacks von 2022 hat ein teures Ende gefunden. Das Unternehmen zahlte rund 25 Millionen Euro, um eine Sammelklage beizulegen. Über 16 Millionen Euro sind für Nutzer reserviert, die konkrete Verluste – etwa gestohlene Kryptowährungen – nachweisen können.

Das Risiko von Datenlecks bei Cloud-Anbietern zeigt, wie wichtig die volle Kontrolle über die eigenen Zugangsdaten ist. Dieser kostenlose Guide erklärt Schritt für Schritt, wie Sie alle Ihre Passwörter sicher und verschlüsselt auf Ihrem eigenen Computer verwalten. Nie wieder Passwort-Stress: Kostenlose Anleitung sichern

Das Problem bleibt jedoch akut. Angreifer erbeuteten damals verschlüsselte Tresor-Backups. Mit immer leistungsfähigerer Hardware knacken sie seither schwache Master-Passwörter. Noch Ende 2025 und Anfang 2026 wurden so Gelder gestohlen, die oft in Hochrisiko-Börsen landeten. Die Strafe zeigt: Die Zentralisierung sensibler Daten birgt langfristige Haftungsrisiken.

19 Milliarden gestohlene Passwörter zirkulieren

Die Dringlichkeit für sichere Passwörter wurde am 12. April 2026 noch deutlicher. Forscher entdeckten einen gewaltigen Datensatz in Hacker-Foren. Diese neueste Evolution der berüchtigten „RockYou“-Serie enthält schätzungsweise 19 Milliarden kompromittierte Passwörter.

Die Analyse offenbart ein fatales Muster: Nur ein winziger Teil der Einträge sind einzigartige Passwörter. Viele Nutzer verwenden dieselben Zugangsdaten für Banken, Soziale Medien und Berufsplattformen. Diese Sammlung ist eine perfekte Waffe für Credential-Stuffing-Angriffe, bei denen automatische Skripte Tausende Websites attackieren. Die Einstiegshürde für solche Angriffe ist 2026 dramatisch gesunken.

Forschung erschüttert „Zero-Knowledge“-Versprechen

Die grundlegende Architektur der Passwort-Manager steht selbst in der Kritik. Forscher der ETH Zürich und der Università della Svizzera italiana veröffentlichten eine Studie mit 27 Angriffsszenarien gegen Cloud-basierte Anbieter. Sie untersuchten, was passiert, wenn der Server des Anbieters vollständig kompromittiert ist.

Die Ergebnisse stellen das branchenübliche „Zero-Knowledge“-Versprechen infrage. Die Forscher zeigten, dass Angreifer Schwachstellen bei der Kontowiederherstellung, Passwort-Freigabe und Abwärtskompatibilität ausnutzen könnten. Bitwarden war anfällig für 12 Szenarien, LastPass für sieben und Dashlane für sechs.

Die schwerwiegendsten Lücken betrafen „bösartige Auto-Registrierung“ und „Key-Escrow“-Fehler. Sie könnten es ermöglichen, einen Tresor während der Einrichtung zu übernehmen oder den Hauptschlüssel abzufangen. 1Password schnitt aufgrund eines zusätzlichen Sicherheitsschlüssels besser ab, war aber nicht immun. Die betroffenen Unternehmen betonen, dass die Angriffe extrem komplexe Server-Kompromittierungen voraussetzen, die in der Praxis nicht beobachtet wurden.

Browser-Probleme und der Faktor Mensch

Neben langfristigen Sicherheitslücken behinderten diese Woche auch technische Pannen die Nutzer. Ein Update der Chromium-Engine (Version 147) ließ Erweiterungen von 1Password und anderen Managern abstürzen oder leere Bildschirme anzeigen. Die Entwickler arbeiten mit dem Chrome-Team an einer Lösung, die mit Änderungen am Browser-Cache zusammenhängt.

Angesichts von Milliarden gehackter Konten pro Quartal in Deutschland suchen viele Nutzer nach sichereren Alternativen zum klassischen Passwort. Erfahren Sie in diesem kostenlosen Report, wie Sie Passkeys bei Amazon, WhatsApp und Co. für maximale Sicherheit sofort einrichten. Kostenlosen Passkey-Ratgeber jetzt herunterladen

Vor dem Hintergrund dieser Herausforderungen setzen Anbieter zunehmend auf automatische Schulungen. Dashlane kündigte eine Integration mit der Plattform KnowBe4 an, um „menschliches Risiko“ zu adressieren. Das System erkennt in Echtzeit, wenn ein Mitarbeiter ein schwaches oder kompromittiertes Passwort verwendet, und startet sofort relevantes Security-Training. Das Ziel: riskantes Verhalten im Moment der Aktion zu korrigieren.

Ausblick: Das Ende der klassischen Passwörter?

Die Kombination aus Millionen-Strafe und Milliarden-Leak ist eine deutliche Warnung. Selbst verschlüsselte Speicher sind ein Single Point of Failure für nachlässige Nutzer. Die Ära, die sich allein auf Master-Passwörter verlässt, könnte zu Ende gehen.

Die Studie der ETH Zürich verlagert die Debatte von einfachen Fehlern hin zur kryptografischen Grundarchitektur. Sie zwingt Anbieter, Metadaten, Freigabe-Protokolle und Wiederherstellungsverfahren neu zu bewerten. Die Folge ist ein stärkerer Push für „Secure-by-Design“-Prinzipien.

Für 2026 wird ein beschleunigter Übergang zu Passkeys erwartet. Diese Technologie soll den anfälligen „Entschlüsselungsschritt“ eliminieren. Gleichzeitig bereiten sich Sicherheitsverantwortliche auf „Shadow AI“ vor – die nicht genehmigte Nutzung von KI-Tools durch Mitarbeiter, in die oft sensible Zugangsdaten fließen. Passwort-Manager dürften sich zu umfassenden Zugriffsmanagement-Plattformen entwickeln. Bis dahin bleibt der Rat: Multi-Faktor-Authentifizierung aktivieren und Passwörter für kritische Konten wechseln.

de | boerse | 69175214 |