Zum Hauptinhalt springen
S-EDV news
Schönfelder EDV
← Alle News
Sicherheit & Datenschutz 24.06.2026 · 3 min Lesezeit

LastPass: Erneute Datenpanne nach Klue-Supply-Chain-Angriff – Kundendaten abgeflossen

LastPass meldet eine weitere Datenpanne. Diesmal traf es Kundendaten aus dem Salesforce-System des Unternehmens – ausgelöst durch einen Supply-Chain-Angriff auf den Marktintelligenz-Dienst Klue.

MS
Marcel Schönfelder
IT-Freelancer & Inhaber
LastPass Sicherheitsvorfall nach Klue Supply Chain Angriff: Symbolische Darstellung eines Cyberangriffs auf einen Passwortmanager mit Server-System, abgeflossenen Kundendaten, digitalem Datenverkehr, Sicherheitswarnung und moderner Cybersecurity News Opti

Der Passwort-Manager LastPass ist erneut von einem Sicherheitsvorfall betroffen. Diesmal wurden Kundendaten aus dem Salesforce-System des Unternehmens abgegriffen – ausgelöst durch einen Supply-Chain-Angriff auf den Drittanbieter Klue. Die eigentlichen Passwort-Tresore der Nutzer blieben nach Unternehmensangaben unberührt.

Meldung und aktuelle Lage

Am 12. Juni 2026 wurde LastPass über einen Sicherheitsvorfall bei Klue (klü.com) informiert, einer Marktintelligenz-Plattform, die von den Go-to-Market-Teams von LastPass genutzt wird. Klue ist in die Salesforce- und Gong-Systeme von LastPass integriert. Die Angreifer erbeuteten OAuth-Tokens, die Klue für viele seiner Kunden hielt – darunter auch für LastPass.

Mit diesen gestohlenen OAuth-Tokens verschafften sich die Angreifer Zugriff auf die Salesforce-Umgebung von LastPass und entwendeten dort gespeicherte Kundendaten. Die Icarus-Erpressungsgruppe bekannte sich zu dem Angriff. Sie hatte zuvor die Infrastruktur von Klue kompromittiert, indem sie kompromittierte Legacy-Zugangsdaten für einen Integrationsdienst nutzte.

LastPass hat den Zugriff auf Klue umgehend gesperrt, die betroffenen OAuth-Tokens rotiert und die Strafverfolgungsbehörden eingeschaltet. Die Untersuchung daürt an.

Welche Daten sind betroffen?

Nach Angaben von LastPass könnten folgende Daten abgeflossen sein:

  1. Kundennamen
  2. Telefonnummern
  3. E-Mail-Adressen
  4. Postadressen
  5. Support-Case-Informationen
  6. Vertriebs- und CRM-bezogene Daten

Wichtig: Die eigentlichen Passwort-Tresore (Vaults) der Nutzer waren nicht betroffen. Die Produkte, Dienste und die Infrastruktur von LastPass selbst blieben nach Unternehmensangaben sicher. Auch auf Gong-bezogene Daten (Kundenanrufe und E-Mails) konnten die Angreifer nach aktuellem Stand nicht zugreifen.

Technische Details für Admins

Der Angriff zeigt ein klassisches Supply-Chain-Szenario: Ein Drittanbieter (Klue) hält OAuth-Tokens, die Zugriff auf die Systeme seiner Kunden (LastPass) gewähren. Die Angreifer nutzten kompromittierte Legacy-Zugangsdaten für einen Integrationsdienst, um in die Klue-Infrastruktur einzudringen. Von dort aus erbeuteten sie die OAuth-Tokens vieler Klue-Kunden – nicht nur LastPass.

Weitere betroffene Unternehmen sind unter anderem Recorded Future, Tanium, Jamf, Sprout Social, Gong und Insurity. Die Icarus-Gruppe exfiltrierte CRM-Daten und startete eine Erpressungskampagne.

LastPass warnte zudem vor Phishing-Versuchen über die Absender-Domains baccarat.com[.]au, robinskitchen.com[.]au und house[.]com.au. Nur Kommunikation über die offiziellen Support-Kanäle von LastPass sollte vertraut werden.

Risiko für KMU und Betrieb

Für Unternehmen, die LastPass nutzen, ist die unmittelbare Gefahr begrenzt – die Passwort-Tresore sind nicht betroffen. Dennoch ergeben sich Risiken:

  1. Die abgeflossenen Kontaktdaten (Namen, E-Mail, Telefon) eignen sich hervorragend für gezielte Phishing-Angriffe. Angreifer können sich als LastPass-Mitarbeiter ausgeben.
  2. Social Engineering auf Basis der CRM-Daten ist wahrscheinlich. Support-Case-Informationen verraten Angreifern, welche Probleme ein Kunde hatte – ideale Angriffsfläche.
  3. Das Vertrauen in LastPass ist nach mehreren Vorfällen (2022, 2023, 2026) weiter beschädigt. Unternehmen sollten die Entwicklung beobachten.

Was Admins jetzt prüfen sollten

  1. Wachsamkeit bei Phishing erhöhen: Mitarbeiter auf die erhöhte Phishing-Gefahr hinweisen. Insbesondere E-Mails von angeblichen LastPass-Mitarbeitern kritisch prüfen.
  2. OAuth-Token-Bestand prüfen: Welche Drittanbieter haben OAuth-Zugriff auf Ihre Systeme? Eine regelmäßige Überprüfung und Bereinigung alter Tokens ist essenziell.
  3. Supply-Chain-Risikobewertung: Prüfen, welche Drittanbieter Zugriff auf kritische Systeme haben. Legacy-Zugangsdaten identifizieren und entfernen.
  4. Multi-Faktor-Authentifizierung (MFA) für alle Salesforce-Zugänge: Auch wenn der Angriff über OAuth-Tokens lief, schützt MFA vor ähnlichen Szenarien.
  5. LastPass-Master-Passwort nicht teilen: Das Master-Passwort sollte mit niemandem geteilt werden – auch nicht mit angeblichen Support-Mitarbeitern.
  6. Überwachung auf ungewöhnliche Salesforce-Aktivitäten: Logs auf Zugriffe von ungewöhnlichen IPs oder zu ungewöhnlichen Zeiten prüfen.

Admin-Einschätzung

Der Vorfall ist ärgerlich für LastPass, aber die Auswirkungen sind diesmal begrenzter als bei früheren Vorfällen. Die Passwort-Tresore blieben sicher, und die Datenpanne betrifft nur CRM-Daten. Dennoch zeigt der Angriff, wie verwundbar Unternehmen über ihre Drittanbieter sind. Die Icarus-Gruppe hat mit einem einzigen Einbruch bei Klue Zugriff auf Dutzende Unternehmen erhalten – ein Paradebeispiel für die Gefahr von OAuth-basierten Integrationen.

Für Admins ist die wichtigste Lehre: Jeder OAuth-Token, den ein Drittanbieter für Ihr System hält, ist ein potenzielles Einfallstor. Regelmäßige Audits und das Prinzip der minimalen Berechtigungen sind hier der einzig wirksame Schutz.

Passende Anleitungen auf S-EDV

  1. Klue OAuth-Breach: Icarus-Gruppe erbeutet Salesforce-Daten – Hintergrund zum übergreifenden Angriff auf Klue-Kunden.
  2. ShapedPlugin Supply-Chain: Backdoor in WordPress-Pro-Plugins – Vergleichbare Supply-Chain-Angriffe im Juni 2026.

Quellen

  1. BleepingComputer: LastPass confirms data breach in Klue supply chain attack
  2. WinFuture: Sicherheitsvorfall bei LastPass: Angreifer erbeuten Kundendaten
  3. BornCity: Security-Sammelbeitrag mit LastPass-Erwähnung
Verwandt

Weiter lesen

Alle Artikel →
Samsung KNOX Sicherheitswarnung mit der Kernel-Schwachstelle CVE-2026-20971. Mehrere Galaxy Smartphones von S9 bis S25 zeigen eine kritische Sicherheitslücke im Android Kernel, dargestellt durch ein beschädigtes Schutzschild und Cybersecurity Warnmeldunge
24.06.2026 ·3 min

Samsung KNOX: Acht Jahre alte Kernel-Lücke CVE-2026-20971 betrifft Galaxy S9 bis S25

Die KNOX-Sicherheitsplattform von Samsung wies über acht Jahre eine Kernel-Schwachstelle auf. Die Lücke betraf Galaxy-Geräte von S9 bis S25 und konnte zur vollen Systemkontrolle missbraucht werden.
Cisco Unified CM Sicherheitslücke CVE 2026 20230 mit aktiv ausgenutzter SSRF Schwachstelle, VoIP Server und IP Telefone unter Cyberangriff in moderner IT News Darstellung.
24.06.2026 ·4 min

Cisco Unified CM: Kritische SSRF-Lücke CVE-2026-20230 jetzt aktiv ausgenutzt

Cisco Unified CM ist weltweit in Unternehmen im Einsatz. Jetzt wird eine SSRF-Lücke aktiv angegriffen, die Angreifern Root-Zugriff ermöglicht. Betroffene Admins müssen sofort handeln.
Nächtlich stehender ICE auf Bahnstrecke mit Warnsignal, Deutschlandkarte und GSM-R-Ausfall Symbol für bundesweite Störung im Zugverkehr der Deutschen Bahn.
24.06.2026 ·6 min

Deutsche Bahn: GSM-R-Ausfall legt bundesweiten Zugverkehr in der Nacht still

In der Nacht zum 23. Juni 2026 hat ein IT-Ausfall im digitalen Zugfunksystem GSM-R den deutschen Schienenverkehr lahmgelegt. Alle Züge standen still. Dieser Vorfall macht die massive Abhängigkeit kritischer Infrastrukturen von digitaler Kommunikationstechnik deutlich.