Die Vereinbarung betrifft Millionen Nutzer, deren Daten bei schweren Sicherheitsvorfällen 2022 gestohlen wurden. Ein Gericht in Massachusetts muss dem Deal noch zustimmen.
Der Fall LastPass zeigt drastisch, dass herkömmliche Passwörter selbst in digitalen Tresoren ein Sicherheitsrisiko darstellen können. Eine moderne Alternative bieten Passkeys, die den Login per Fingerabdruck ermöglichen und Hackern keine Angriffsfläche für Datenklau bieten. Kostenlosen Report zu Passkeys jetzt anfordern
Der Vergleich sieht zwei Entschädigungstöpfe vor: 8,2 Millionen Euro für allgemeine Schäden und ein spezielles 16,25-Millionen-Euro-Krypto-Pool. Dieses Geld ist Nutzern vorbehalten, die nachweislich Kryptowährungen verloren haben. LastPass bestreitet weiterhin jedes Fehlverhalten, will aber die Kosten und Ablenkung eines langwierigen Prozesses vermeiden. Die endgültige Genehmigung ist für eine Anhörung Mitte Juli angesetzt.
Wer wie viel Geld erhält
Das Vergleichsmodell bietet je nach Schadensausmaß mehrere Entschädigungswege. Die meisten betroffenen US-Kontoinhaber aus dem Zeitraum August bis November 2022 haben Anspruch auf eine pauschale Zahlung von 25 US-Dollar. Ein spezieller Nachweis finanzieller Verluste ist dafür nicht nötig.
Bewohner des US-Bundesstaates Kalifornien erhalten aufgrund strengerer Datenschutzgesetze zusätzlich 100 US-Dollar. Darüber hinaus können Nutzer bis zu 300 US-Dollar für dokumentierte „gewöhnliche Verluste“ wie Kosten für Identitätsschutz-Dienste erstattet bekommen.
Für schwerwiegendere Fälle sind Entschädigungen bis zu 10.000 US-Dollar möglich. Voraussetzung ist der Nachweis von Identitätsdiebstahl oder Betrug, der direkt auf den LastPass-Vorfall zurückzuführen ist. Diese Ansprüche unterliegen einer strengeren Prüfung.
Millionen-Reserve für Kryptowährungs-Verluste
Der Großteil des Vergleichsgeldes – 16,25 Millionen Euro – ist für das spezielle Krypto-Pool reserviert. Dieser Fonds adressiert die folgenschwerste Konsequenz des Hacks: den Diebstahl von Kryptowährungen nach dem Zugriff auf private Schlüssel und Seed-Phrasen in den Nutzertresoren.
Sicherheitsforscher haben Millionenbeträge gestohlener Digital-Assets mit der Datenpanne in Verbindung gebracht. Betroffene Nutzer können unter dem Vergleich nun Ansprüche von bis zu 900.000 US-Dollar pro Person geltend machen. Ein vom Gericht bestellter Sonderbeauftragter prüft jede Einreichung individuell.
Zusätzlich zu den Geldzahlungen sieht der Vergleich Sachleistungen vor. Ehemalige Nutzer mit einem kostenlosen Konto erhalten ein sechsmonatiges Upgrade auf LastPass Premium. Das Unternehmen verpflichtet sich zudem, für alle aktuellen Nutzer einen Dark-Web-Monitoring-Service bereitzustellen.
Wer nach dem LastPass-Vorfall seine Passwörter lieber lokal auf dem eigenen Gerät statt in der Cloud verwalten möchte, findet in diesem Leitfaden die passende Lösung. Erfahren Sie Schritt für Schritt, wie Sie Ihre Zugänge mit der Experten-Software KeePassXC professionell absichern. Gratis-Guide zur sicheren Passwort-Verwaltung herunterladen
So lief der mehrstufige Cyberangriff ab
Technische Ermittlungen zeichneten das Bild eines ausgeklügelten, mehrstufigen Angriffs. Er begann im August 2022 mit der Kompromittierung des Firmen-Laptops eines LastPass-Entwicklers. Der Angreifer erlangte so Zugang zu Quellcode und internen Dokumenten.
In einer zweiten Phase zielte der Hacker auf den privaten Laptop eines leitenden DevOps-Ingenieurs. Über eine bekannte Schwachstelle im Plex Media Server installierte der Angreifer einen Keylogger. So konnte er das Master-Passwort des Ingenieurs abfangen und an hochsensible AWS-Schlüssel gelangen.
Damit kopierte der Täter eine große Menge Daten, darunter unverschlüsselte Kundendaten wie Namen und E-Mail-Adressen. Kritisch war der Diebstahl von Backups der verschlüsselten Nutzertresore. Zwar waren die Passwörter selbst geschützt, nicht aber die darin gespeicherten Webseiten-URLs. Diese Metadaten gaben den Angreifern eine Roadmap, welche Konten sie nach erfolgreicher Knackung priorisieren sollten.
Regulatorische Konsequenzen und Branchenvertrauen
Der US-Vergleich ist nur ein Teil der globalen Folgen für LastPass. Die britische Datenschutzbehörde ICO verhängte bereits eine Geldstrafe in Höhe von 1,2 Millionen Pfund. Sie kritisierte, das Unternehmen habe keine angemessenen technischen Maßnahmen zum Schutz personenbezogener Daten umgesetzt.
Die Aufsichtsbehörde monierte speziell, dass leitende Ingenieure sensible Produktionszugänge von privaten Geräten aus nutzen durften. Diese vermeidbaren Sicherheitslücken hätten den Angriff erst ermöglicht, so die ICO.
Der Vergleich markiert einen Wendepunkt für die gesamte Passwort-Manager-Branche. Die Marketing-Behauptung des „Zero-Knowledge“-Prinzips – der Anbieter habe keinen Zugang zu den Passwörtern – steht nun infrage. Der Fall zeigt: „Zero-Knowledge“ bedeutet nicht „Zero-Risk“, wenn die Verschlüsselung geknackt oder Metadaten ungeschützt bleiben können.
Konkurrenten dürften nun verstärkt auf robuste Multi-Faktor-Authentifizierung (MFA) setzen und Architekturen entwickeln, die die Speicherung unverschlüsselter Metadaten minimieren.
Nächste Schritte für Betroffene
Die Frist für betroffene LastPass-Nutzer, Ansprüche anzumelden, endet am 2. Juli 2026. Nutzer, die eine Benachrichtigung per E-Mail erhalten haben, müssen ihre eindeutige ID und PIN auf der offiziellen Vergleichs-Website verwenden.
Die Anforderungen für den Nachweis außergewöhnlicher oder Krypto-Verluste sind deutlich strenger. Hier sind Aufzeichnungen zum Vorfall, Eigentumsnachweise für die Assets und Belege für den Diebstahl erforderlich.
Das Gericht hat für den 14. Juli 2026 eine Anhörung zur endgültigen Genehmigung angesetzt. Stimmt die Richterin dem Vergleich zu und gibt es keine Berufungen, könnten die Auszahlungen Ende 2026 oder Anfang 2027 beginnen. Der genaue Zeitpunkt hängt von der Gesamtzahl der Anträge und der Prüfdauer für die komplexen Krypto-Ansprüche ab.
