Was uns der LastPass-Datenskandal über Compliance im Jahr 2026 lehrt

Was uns der LastPass-Datendiebstahl über Compliance im Jahr 2026 lehrt

Von Phil Muncaster • 17 Februar 2026

Die DSGVO war von Anfang an bewusst vage gehalten. Indem sie keine konkreten technischen Kontrollen vorschreibt – wie beispielsweise PCI DSS –, bleibt die Verordnung langfristig relevanter. Ihr Prinzip der „Technologieneutralität“ kann jedoch auch für Compliance-Teams frustrierend sein. Für praxisorientiertere Leitlinien orientieren sich viele an Best-Practice-Standards wie ISO 27001:2022, die einen strukturierten, risikobasierten Ansatz für Cybersicherheit fördert.

Wie die Datenpannen bei LastPass und anderen Organisationen gezeigt haben, ist das jedoch kein Allheilmittel – insbesondere dann nicht, wenn die Teams die Einhaltung der Vorschriften nicht mit einer Haltung der kontinuierlichen Überprüfung und Verbesserung angehen.

Was geschah mit LastPass?

Der LastPass-Datendiebstahl von 2022 legte schätzungsweise die Daten von rund 30 Millionen Kunden weltweit offen, darunter 1.6 Millionen in Großbritannien. Es handelte sich um einen durchaus ausgeklügelten Angriff, der in zwei Phasen unterteilt war:

Ein Angreifer kompromittierte den Laptop eines Softwareentwicklers und erlangte dadurch Zugriff auf einen SSE-C-Schlüssel. Theoretisch hätte er damit auf Backups von Kundendaten, einschließlich verschlüsselter Passwortspeicher, zugreifen können. Da der Schlüssel jedoch verschlüsselt war, benötigte man für den vollständigen Zugriff auf die Datenbank zusätzlich einen zweiten AWS-Zugriffsschlüssel.
Ein Angreifer nutzte eine Sicherheitslücke im Plex-Videostreamingdienst aus, der auf dem Laptop eines leitenden Entwicklungsingenieurs installiert war. Dadurch konnte er einen Keylogger installieren, den SSE-C-Schlüssel entschlüsseln und den AWS-Zugriffsschlüssel erlangen. Dies ermöglichte ihm den Zugriff auf die verschlüsselten Passwortspeicher.

Da die Masterpasswörter für diese Tresore lokal auf den Geräten der Kunden gespeichert und niemals mit LastPass geteilt wurden, hätten sie eigentlich sicher sein sollen. Doch die mangelhafte Implementierung des PBKDF2-Algorithmus führte in den Jahren nach dem Datenleck zu unzähligen Brute-Force-Angriffen auf Passwörter, was schätzungsweise zu einem Verlust von … führte. Kryptowährungsdiebstahl im Wert von 35 Millionen Dollar.

Was das ICO sagte

Das Büro des Informationsbeauftragten (ICO) LastPass wurde mit einer Geldstrafe von 1.2 Millionen Pfund belegt wegen „Versäumnis, angemessene technische und organisatorische Maßnahmen umzusetzen und anzuwenden, entgegen Artikel 5(1)(f) der britischen DSGVO und Artikel 32(1)“. Konkret erlaubte das Unternehmen leitenden Ingenieuren, mit privaten Laptops auf Produktionsschlüssel zuzugreifen, gestattete Mitarbeitern, private und geschäftliche Tresore mit demselben Masterpasswort zu verknüpfen, und versäumte es, die AWS-Schlüssel nach dem ersten Vorfall zu rotieren.

Die Aufsichtsbehörde räumte jedoch ein, dass die Einhaltung der ISO 27001:2022 hätte bedeuten müssen, dass das Unternehmen die eigenen Richtlinien des ICO zur Sicherung von Heimarbeitsgeräten und zur Trennung von privaten und geschäftlichen Geräten/Konten befolgt. Dies geschah offensichtlich nicht.

„LastPass ist kein Einzelfall. Unsere jüngste Studie ergab, dass mehr als ein Viertel (26 %) der Datenschutzexperten davon ausgehen, dass ihr Unternehmen innerhalb des nächsten Jahres mit einem schwerwiegenden Datenschutzverstoß rechnen muss. Dieses Risikoniveau entwickelt sich rasant zur Norm“, so Chris Dimitriadis, Chief Global Strategy Officer von ISACA, gegenüber IO (ehemals ISMS.online).

„Die Einhaltung von Standards wie ISO 27001 ist unerlässlich – aber nur der Anfang. Der LastPass-Datenskandal verdeutlicht eine bittere Wahrheit: Datenschutz und Datensicherheit dürfen nicht auf bloßes Abhaken von Checklisten reduziert werden. Unternehmen müssen über die minimale Einhaltung von Vorschriften hinausgehen und unternehmensweite Kompetenz- und Reifegradbewertungen durchführen.“

Umzug mit der Times

LastPass ist nicht das erste und wird sicherlich nicht das letzte Unternehmen sein, das trotz technischer Zertifizierung nach höchsten Sicherheitsstandards einen schwerwiegenden Sicherheitsverstoß erleidet. Weitere bemerkenswerte Fälle sind:

23andMeDas DNA-Testunternehmen wurde von der britischen Datenschutzbehörde ICO nach einem Datenleck, das Millionen von Kunden betraf, mit einer Geldstrafe von 2.3 Millionen Pfund belegt. Es hatte versäumt, die Multi-Faktor-Authentifizierung (MFA) für Nutzer verpflichtend vorzuschreiben, die Überwachung ungewöhnlicher Aktivitäten war unzureichend, und Angreifern wurde es ermöglicht, eine interne Funktion (DNA-Verwandte) zu missbrauchen, um auf mehr Konten zuzugreifen, als ihnen zugestanden hätte.
Interserve-GruppeDer Outsourcing-Anbieter wurde nach einem Verstoß gegen den Datenschutz mit einer Geldstrafe von 4.4 Millionen Pfund belegt. Obwohl der Vorfall von den Endpoint-Protection-Tools des Unternehmens gemeldet wurde, unterließ es die Untersuchung.

Fälle wie dieser verdeutlichen nicht die Mängel von Normen wie ISO 27001. Sie beweisen vielmehr, dass viele Organisationen Compliance-Programme immer noch nicht mit der richtigen Herangehensweise angehen.

„ISO 27001, SOC 2 und andere Standards sind zwar eine hervorragende und bewährte Grundlage für die Bewertung der Informationssicherheit von Unternehmen, aber sie sind nicht – und waren auch nie – als Garantie dafür gedacht, dass ein Unternehmen nicht gehackt werden kann oder dass 100 % der Richtlinien und Verfahren ordnungsgemäß eingehalten werden“, erklärt Ilia Kolochenko, CEO von ImmuniWeb.

„Darüber hinaus bedeutet selbst die ordnungsgemäße Einhaltung aller Richtlinien und Verfahren nicht, dass die zugrunde liegenden Prozesse technisch einwandfrei sind.“

Dennis Martin, Spezialist für Krisenmanagement und Geschäftsresilienz beim Technologie-Dienstleistungsunternehmen Axians UK, ergänzt, dass standardbasierte Compliance nur dann hilfreich ist, wenn Führungskräfte darauf bestehen, dass die Kontrollen in der Praxis funktionieren.

„Sicherheitsmaßnahmen müssen regelmäßig getestet, validiert und hinterfragt werden. Annahmen und dokumentierte Prozesse ersetzen keine Beweise. Eine ‚Nicht vertrauen, sondern testen‘-Mentalität ist unerlässlich, wenn Organisationen Vertrauen in ihre Sicherheitslage haben wollen“, erklärt er gegenüber IO (ehemals ISMS.online).

„Wirksame Compliance ist ein kontinuierlicher Prozess. Bedrohungen entwickeln sich weiter, Geschäftsabläufe verändern sich und Kontrollen verschlechtern sich mit der Zeit. Regelmäßige Überprüfung und Verbesserung sind notwendig, um sicherzustellen, dass das Geschriebene noch der Realität entspricht.“

Schnelle Implementierung

Tatsächlich „erkennt ISO 27001:2022 ausdrücklich an“, dass die Sicherheit nicht stillstehen dürfe, erklärt Didier Vandenbroeck, Vizepräsident für Sicherheit bei Oleria, gegenüber IO.

„Ein Kernprinzip des Standards ist die kontinuierliche Verbesserung. Von den Prüfern wird erwartet, dass sie Verbesserungsmöglichkeiten aufzeigen, wenn die Kontrollen zwar technisch konform sind, aber der sich wandelnden Bedrohungslandschaft nicht mehr gerecht werden“, erklärt er.

„Wenn Zertifizierungen zu einer bloßen Pflichterfüllung verkommen, geht dieses Prinzip verloren. Zertifikate sind letztendlich bedeutungslos, wenn Organisationen sie in der Praxis nicht anwenden oder nicht hinterfragen, ob die bestehenden Kontrollmechanismen angesichts der tatsächlichen Arbeitsweise der Menschen und der Vorgehensweise von Angreifern noch sinnvoll sind.“

IO CPO Sam Peters stimmt dem zu.

„Deshalb sind Rahmenwerke und Standards am effektivsten, wenn sie als lebendige Managementsysteme, als funktionierende Betriebsmodelle für das Management von Cyberrisiken, und nicht als statische Compliance-Meilensteine behandelt werden“, erklärt er gegenüber IO.

„Das Prinzip der kontinuierlichen Verbesserung, verankert durch regelmäßige Überprüfung, Hinterfragung und Anpassung, ist seit unserer Gründung zentraler Bestandteil unseres Ansatzes bei IO und spiegelt wider, was Regulierungsbehörden zunehmend in der Praxis erwarten. Auf diese Weise eingesetzt, bieten Rahmenwerke Organisationen eine nachhaltige Grundlage für das Management von Cyberrisiken in einem sich ständig verändernden Umfeld, anstatt nur eine Momentaufnahme der Compliance zu einem bestimmten Zeitpunkt zu liefern.“

Ein solcher Ansatz ist besonders wichtig für das Management von DSGVO-Risiken in einer Zeit, in der die Regulierungsbehörden dem Kontext immer mehr Bedeutung beimessen.

„Die Regulierungsbehörden signalisieren sehr deutlich, dass ‚angemessene technische und organisatorische Maßnahmen‘ als kontextabhängig und veränderlich und nicht als feststehend oder statisch zu verstehen sind. Was als angemessen gilt, hängt von Faktoren wie Risikoexposition, Datensensibilität und Bedrohungslage ab und wird zunehmend erst nach einem Vorfall bewertet“, so sein Fazit.

„In der Praxis bedeutet dies, dass die Regulierungsbehörden weniger daran interessiert sind, ob ein Rahmenwerk eingeführt wurde, sondern vielmehr daran, wie effektiv es im Laufe der Zeit zur Identifizierung, Überprüfung und zum Management von Informationssicherheitsrisiken eingesetzt wird.“

Phil Muncaster

Phil Muncaster ist seit 20 Jahren IT-Journalist. Er begann 2005 als Reporter beim Unternehmens-IT-Titel „IT Week“ und stieg zum Nachrichtenredakteur auf, bevor er das Unternehmen verließ, um eine freiberufliche Karriere einzuschlagen. Seitdem hat Phil für Titel geschrieben, darunter The Register, wo er über zwei Jahre lang als Asien-Korrespondent in Hongkong arbeitete, MIT Technology Review, SC Magazine, Infosecurity Magazine und andere.

Lesen Sie mehr von Phil Muncaster

Internet-Sicherheit 5. MÄRZ 2026

Britische Finanzdienstleistungsunternehmen versagen weiterhin bei den grundlegendsten Aufgaben, warnt die Bank of England in einem Banner.

Britische Finanzdienstleistungsunternehmen versagen weiterhin bei den Grundlagen, warnt die Bank of England.

Der britische Finanzdienstleistungssektor ist für seine Größe überdurchschnittlich leistungsstark. London steht dicht hinter New York als weltweit führendes Finanzzentrum an zweiter Stelle und ...

Phil Muncaster

Internet-Sicherheit 12 Februar 2026

Ist der Cyber-Aktionsplan der Regierung zweckmäßig?

Es kommt nicht oft vor, dass die Regierung Fehler eingesteht. Doch zu Beginn des Jahres erlebten wir ein seltenes Schuldbekenntnis: die Erkenntnis, dass eine frühere...

Phil Muncaster

Internet-Sicherheit 3 Februar 2026

Betrugsmeldungen im Zusammenhang mit dem WEF-Bericht sind mittlerweile die größte Cybersicherheitssorge von CEOs, aber nicht die einzige.

WEF-Bericht: Betrug ist mittlerweile die größte Cyber-Sorge von CEOs, aber nicht die einzige

Fünf Jahre sind eine lange Zeit in der Cybersicherheit. Doch genau so lange befragt das Weltwirtschaftsforum (WEF) bereits CEOs für seine globale Cybersicherheitsinitiative.

Phil Muncaster