Ein Gericht hat einen Vergleich über drei Millionen Euro gebilligt, von dem über eine Million betroffene Nutzer in Kanada profitieren. Der Rechtsstreit um das Sicherheitsleck beim Passwort-Manager LastPass aus dem Jahr 2022 ist damit beigelegt.
Der Vergleich entschädigt rund 1,1 Millionen kanadische Konten, die von dem Vorfall betroffen waren. Zwar räumt LastPass mit der Einigung kein Fehlverhalten ein, doch betroffene Nutzer können nun bis zu 500 Euro für nachgewiesene Ausgaben, Zeitaufwand oder konkrete Verluste geltend machen – einschließlich solcher aus Kryptowährungen. Die Frist für Anträge endet am 23. Juni 2026.
Der aktuelle Vorfall bei LastPass zeigt eindringlich, dass herkömmliche Passwörter allein oft kein ausreichender Schutz mehr sind. Erfahren Sie in diesem kostenlosen Report, wie Sie mit der zukunftssicheren Passkey-Technologie Ihre Konten bei Amazon, WhatsApp und Co. endlich unknackbar machen. Kostenlosen Passkey-Ratgeber jetzt herunterladen
So läuft die Antragstellung ab
Der Vergleich schließt ein langwieriges Verfahren ab, das Sicherheitsforscher als Wendepunkt für die gesamte Passwort-Manager-Branche bezeichnen. Der Vorfall 2022 legte verschiedene Nutzerdaten offen und löste eine landesweite Sammelklage in Kanada aus.
Die Entschädigung umfasst Auslagen und professionelle Gebühren, die direkt durch den Vorfall entstanden sind. Die Obergrenze liegt bei 500 Euro pro Person – die endgültige Summe hängt von der Zahl der eingereichten Anträge ab. Der Zeitpunkt ist kein Zufall: In der Woche des Welt-Passwort-Tages am 7. Mai 2026 betonten Experten die Notwendigkeit starker, einzigartiger Passwörter mit mindestens 12 Zeichen und der Zwei-Faktor-Authentifizierung (2FA).
Bildungssektor im Visier von Hackern
Während der LastPass-Vergleich vergangene Schwachstellen adressiert, erschüttert ein massiver Datenraub die Bildungslandschaft. Der Angreifer ShinyHunters hat Berichten zufolge Daten von 275 Millionen Lehrern und Schülern weltweit gestohlen – über das Lernmanagementsystem Canvas. Die Sicherheitslücke in einer Salesforce-Integration traf rund 9.000 Schulen.
Besonders betroffen sind Einrichtungen in Singapur und den Niederlanden. Die National University of Singapore und das Singapore Institute of Management riefen am 7. Mai zu sofortigen Passwort-Änderungen auf. Die NUS schränkt den Zugang zu Canvas zwischen dem 11. und 14. Mai ein, um Sicherheitsupdates durchzuführen. Zu den gestohlenen Daten gehören Namen, E-Mail-Adressen und Matrikelnummern.
Auch die University of Amsterdam und 43 weitere niederländische Bildungseinrichtungen sind betroffen. Die Universität betonte, dass der Unterricht unter erhöhten Sicherheitsvorkehrungen fortgesetzt werde. Der Vorfall folgt auf einen früheren Angriff auf Instructure, den Betreiber von Canvas, im September 2025.
KI-gesteuerte Malware auf dem Vormarsch
Parallel zu diesen Entwicklungen entdecken Sicherheitsforscher immer raffiniertere Schadsoftware. Anfang Mai 2026 identifizierten Experten „PromptSpy“ – eine neue Malware, die Googles KI-Modell Gemini nutzt, um Daten direkt von Sperrbildschirmen zu extrahieren und Bildschirmaktivitäten aufzuzeichnen.
Der Banking-Trojaner TCLBanker verbreitet sich über WhatsApp und Outlook. Er greift 59 verschiedene Finanz-Apps an, indem er Android-Zugänglichkeitsdienste missbraucht, um Überlagerungsangriffe durchzuführen und 2FA-Codes abzufangen. Eine weitere Kampagne namens CallPhantom brachte 28 betrügerische Apps in den Google Play Store, die 7,3 Millionen Mal heruntergeladen wurden.
Angesichts immer aggressiverer Banking-Trojaner, die gezielt Finanz-Apps auf Android-Geräten angreifen, wird eine professionelle Absicherung zur Pflicht. Dieser Gratis-Ratgeber liefert Ihnen 5 sofort umsetzbare Schutzmaßnahmen, um Ihr Smartphone effektiv vor Hackern und Datenmissbrauch zu schützen. 5 Schutzmaßnahmen für Android-Smartphones kostenlos sichern
Die „Hologram“-Kampagne, aktiv seit Februar 2026, setzt auf Rust-basierte Malware mit einem 130 MB großen Dropper, um Sandbox-Analysen zu umgehen. Sie zielt auf 250 Browser-Erweiterungen ab, darunter 201 Kryptowährungs-Wallets und 49 Passwort-Manager. Kaspersky-Forscher dokumentierten zudem einen Fall, bei dem Android-Malware Akkus nach nur zwei Tagen durch Krypto-Mining überhitzen ließ.
Regulierungsbehörden reagieren
Die anhaltende Bedrohungslage hat rechtliche Konsequenzen. Das Landgericht Berlin II verurteilte die Apobank zu über 200.000 Euro Schadenersatz an ein Phishing-Opfer – ein Präzedenzfall für die Haftung von Finanzinstituten.
Der Schweizer Softwareanbieter Bexio macht die Zwei-Faktor-Authentifizierung für alle 100.000 Nutzer verpflichtend, nachdem Angreifer IBAN-Daten auf Rechnungen manipuliert hatten. Kritische Android-Sicherheitslücken wie CVE-2026-0073 und CVE-2026-0049 ermöglichen Fernzugriff oder Geräteeinfrieren ohne Nutzerinteraktion.
Auch die Bankenstabilität gerät unter Druck: Am 10. Mai 2026 meldeten Kunden der Deutschen Bank und der Postbank weitreichende Probleme beim Online-Banking – Logins gelangen, doch Kontostände und Umsätze ließen sich nicht abrufen. Ähnliche Störungen trafen die US-Bank KeyBank.
Ausblick
Die Sicherheitsbranche bleibt in höchster Alarmbereitschaft. Das Zusammentreffen historischer Vorfälle wie dem LastPass-Leck 2022 und aktuellen Massendiebstählen wie dem Canvas-Vorfall zeigt: Der Schutz persönlicher Daten erfordert ein grundlegendes Umdenken. Mit KI-gesteuerter Malware wie PromptSpy und persistenten Botnets – darunter das V0id-Botnet mit 1,5 Millionen infizierten Android-TV-Geräten – setzen Experten auf verpflichtende 2FA und verschärfte Regulierung. Die Ära optionaler Sicherheitsfunktionen neigt sich dem Ende zu.
