Wenn du LastPass benutzt, haben Angreifer wahrscheinlich eine Kopie deines Tresors und all Deiner Passwörter.

Jetzt dein Master-Passwort zu ändern, wird nicht helfen, denn sie haben bereits eine Kopie, die mit deinem alten Passwort entsperrt werden kann.

Hintergrund:
LastPass, ein bekannter Passwort-Manager, wurde kürzlich gehackt und alle Passwörter, die der Dienst gespeichert hat, wurden gestohlen. Den Hackern gelang es, eine Sicherungskopie der Daten der Kunden des Dienstes zu erlangen, die sensible Daten und natürlich die Passwörter enthielt, auch wenn diese verschlüsselt waren. Am Am 22. Dezember gab LastPass über den offiziellen Blog bekannt, dass ein unbefugtes Eindringen stattgefunden hat: Den Hackern gelang es, eine Sicherungskopie zu erlangen, die “sowohl unverschlüsselte Daten wie Website-URLs als auch alle sensiblen verschlüsselten Daten wie Benutzernamen, Passwörter, Sicherheitshinweise und Daten zum automatischen Ausfüllen von Formularen” enthält.

Was ist zu tun?

1.) Benutze LastPass nicht mehr.
Wir wissen nicht, wie schlimm die Lage ist. Es ist möglich, dass Angreifer weiterhin Zugriff haben. Ändere also nicht einfach deine Passwörter und speichere sie wieder in LastPass. Wir werden uns zuerst um die dringenden Konten kümmern, und zwar manuell, und dann einen neuen Passwortmanager einrichten.

2.) Wenn Du virtuelle Vermögenswerte hast und Seed-Phrasen in deinem LastPass hattest, must Du Dich hierum unbedingt SOFORT kümmern.
Erstelle neue Wallets, schreibe die Seed-Phrasen NUR auf ein Stück Papier und verschiebe alle deine Vermögenswerte in die neuen Wallets.
Verschwende keine Zeit damit, eine perfekte Lösung für die Verwahrung zu finden, denn das ist Zeit, die du nicht hast. Wenn der Angreifer Zugang zu deinen Seed-Phrasen hat, kann er dein Vermögen jederzeit stehlen, und du kannst das nicht rückgängig machen. Bringe dein Vermögen zuerst in Sicherheit und denke später über eine langfristige Aufbewahrung nach.

3.) Ändere deine Passwörter für Börsen und andere Finanzprodukte.
Notiere dir deine Passwörter erst einmal auf Papier. Verwende für jede Börse ein anderes Passwort.

Schalte 2FA ein und stelle sicher, dass der 2FA-Code nicht in LastPass gespeichert ist. Falls doch, entferne 2FA und richte ihn in einer anderen App wieder ein.

4.) Ändere die Passwörter für deine E-Mail-Konten.
Jeder, der Zugang zu deinen E-Mails hat, kann über “Passwort vergessen”-Mechanismen auf deine anderen Konten zugreifen, also sorge dafür, dass deine E-Mails sicher sind. Einzigartiges Passwort pro Dienst, schreibe es auf Papier auf, verwende 2FA, die nicht auf LastPas gespeichert wurde.

5.) Ändere auch die Passwörter und 2FA deiner Apple iCloud- und Google-Konten.
Diese Konten können wahrscheinlich über Backups und Cloud-Synchronisationen auf die Daten auf deinem iPhone/Android zugreifen und dich möglicherweise ausschließen, also ändere sie so schnell wie möglich.

6.) Du hast deine wichtigsten Daten nun geschützt. Richte jetzt einen neuen Passwortmanager ein.
Ziehe 1Password/Bitwarden/Keepass in Betracht. Unser Favorit ist Keepass. Hierzu haben wir ebenfalls bereits ein Video veröffentlicht.

Richte einen ein, mit einem neuen, starken Master-Passwort. Speichere deine neuen Passwörter in diesem Manager. Keine Seed-Phrasen! Diese sind zu kritisch für einen Online-Passwortmanager.

7.) Jetzt, wo du einen neuen Passwort-Manager hast, solltest du ihn nutzen, um die Passwörter all deiner unkritischen Konten zu ändern.
Ja, alle.
Du hast wahrscheinlich viele, also priorisiere die wichtigsten. Arbeitskonten, Datei-/Fotospeicher, soziale Medien.

8.) Wir haben vor Kurzem das Video “Passwortlos” veröffentlicht. Schau es Dir unbedingt an, denn dies (USB-Sicherheitstoken) hilft, dass Dir so etwas nicht nochmals passiert.