Ende Juni 2026 bestätigte LastPass ein neues Datenleck - doch die Schlagzeile braucht sofort eine ehrliche Einordnung: Es ist kein weiteres Tresor-Leck. Angreifer erreichten Support- und Kontaktdaten, die in der Salesforce-Umgebung von LastPass gespeichert sind, während LastPass erklärte, dass seine Produkte, Dienste und Infrastruktur nicht betroffen waren und die Passwort-Tresore der Kunden sicher blieben. Hier ist, was tatsächlich geschah, was es bedeutet und was zu tun ist.
Was geschah
LastPass bestätigte, dass Angreifer auf Support-Fall-Daten zugriffen, die in seiner Salesforce-Umgebung gespeichert sind. Zu den offengelegten Informationen gehören Namen, Telefonnummern, E-Mail-Adressen und Postadressen der Kunden, Support-Fall-Daten und vertriebsbezogene Datensätze.
Der entscheidende Punkt, von LastPass selbst genannt: Seine Produkte, Dienste und Infrastruktur waren nicht betroffen, und die Passwort-Tresore der Kunden blieben sicher. Mit anderen Worten: Bei diesem Vorfall geht es um Support- und CRM-Kontaktdaten, nicht um den verschlüsselten Tresor, in dem Ihre gespeicherten Anmeldedaten liegen. Diese Unterscheidung trennt ihn vom vielfach diskutierten Tresor-Backup-Leck von 2022, und man sollte sie im Kopf behalten, bevor man reagiert. Wenn Sie die Bilanz der Plattform abwägen, ordnet unsere Analyse, ob LastPass sicher ist, das alles ein.
Wie es geschah - ein Lieferketten-Angriff auf Klue
Die Grundursache war kein Einbruch bei LastPass. Es war ein Lieferketten-Angriff auf Klue, eine Drittanbieter-Plattform für Marktintelligenz, die die Vertriebsteams von LastPass nutzen und die sich mit Salesforce und Gong integriert.
Um den 12. Juni 2026 nutzte ein als Icarus bezeichneter Bedrohungsakteur kompromittierte Altzugangsdaten eines Integrationsdienstes, um Klue zu durchbrechen. Von dort stahlen die Angreifer OAuth-Tokens, die Zugriff auf die Salesforce-Support-Fälle von LastPass gewährten. Ein vertrauenswürdiges, verbundenes Werkzeug wurde zum schwachen Glied - und diese Verbindung trug den Zugriff still bis in das CRM von LastPass.
LastPass war nicht das einzige Opfer. Derselbe Klue-Vorfall betraf Berichten zufolge auch Recorded Future, Tanium, Jamf, Sprout Social, Gong und Insurity.

Warum das wichtig ist, selbst wenn Sie LastPass nicht nutzen
Zwei Gründe. Erstens sind Lieferketten-Angriffe das Problem aller: Ein einziger kompromittierter Anbieter kann Daten vieler Unternehmen auf einmal offenlegen, was genau der Grund ist, warum derselbe Vorfall mehrere voneinander unabhängige Organisationen traf. Die verbundenen Werkzeuge, auf die sich Ihre Dienste stützen, sind Teil Ihrer Angriffsfläche.
Zweitens: Auch wenn Ihre Passwörter nicht offengelegt wurden, sind geleakte Kontaktdaten Treibstoff für Phishing. Angreifer mit Ihrem Namen, Ihrer E-Mail, Ihrer Telefonnummer und dem Wissen, dass Sie LastPass-Kunde sind, können sehr überzeugende falsche „Sicherheitswarnungen" basteln. Genau die geleakten Daten lassen einen Betrug echt wirken.
Was zu tun ist
Da Ihr Tresor nicht kompromittiert wurde, ist dies kein hektisches Zurücksetzen aller Passwörter. Die richtige Reaktion ist ruhig und gezielt:
- Rechnen Sie mit Phishing und werden Sie langsamer. Seien Sie skeptisch bei jeder unerwarteten E-Mail, jedem Anruf oder jeder SMS, die LastPass, ein „Leck" oder Ihr Konto erwähnt. Klicken Sie nicht auf deren Links; gehen Sie direkt zur offiziellen Website. Ein seriöses Unternehmen fragt nie nach Ihrem Master-Passwort.
- Prüfen Sie, dass die Zwei-Faktor-Authentifizierung aktiv ist. Mit 2FA (idealerweise einer Authenticator-App oder einem Hardware-Schlüssel - nicht SMS) ist selbst ein abgephishtes Passwort weit schwerer zu missbrauchen.
- Verwenden Sie überall ein einzigartiges Passwort. Dieses Leck legte keine Tresor-Passwörter offen, aber ein einzigartiges Passwort pro Website bleibt die Grundlage, die den Radius jedes künftigen Lecks begrenzt.
- Wägen Sie Ihre Optionen ab. Wenn wiederholte Vorfälle Ihr Vertrauen untergraben haben, ist ein Anbietervergleich vernünftig. Unser Leitfaden zu den besten LastPass-Alternativen legt die Abwägungen dar.
Das Fazit
Die ehrliche Zusammenfassung: Die Tresore von LastPass wurden im Juni 2026 nicht durchbrochen - eine Drittanbieter-Plattform namens Klue war es, und legte über eine verbundene Integration Support- und Kontaktdaten offen. Die praktische Gefahr ist gezieltes Phishing aus den geleakten Kontaktdaten, nicht gestohlene Passwörter. Bleiben Sie wachsam bei Nachrichten, die das Leck erwähnen, halten Sie 2FA aktiv und überall einzigartige Passwörter, und entscheiden Sie über Ihren Anbieter mit den Fakten statt mit der Angst.
★ Audit Cure53 2024 · ✓ Plan gratuit · Cross-platform
Sichere deine Konten ab → NordPassStarke, einzigartige Passwörter · Leck-Scanner · Gratis-Tarif→Häufig gestellte Fragen
Wurde mein LastPass-Passwort-Tresor beim Datenleck 2026 kompromittiert?
Nein. LastPass erklärte, dass seine Produkte, Dienste und Infrastruktur nicht betroffen waren und die Passwort-Tresore der Kunden sicher blieben. Der Vorfall von Juni 2026 legte Support-Fall- und Kontaktdaten (Namen, Telefonnummern, E-Mail- und Postadressen) offen, die in seiner Salesforce-Umgebung gespeichert sind, nicht die verschlüsselten Tresore, in denen Ihre Passwörter liegen. Das ist der entscheidende Unterschied zum bekannten Tresor-Leck von 2022: Jenes betraf Sicherungskopien von Tresordaten, dieses nicht.
Was genau wurde beim LastPass-Leck im Juni 2026 offengelegt?
Laut LastPass griffen die Angreifer auf Support-Fall-Daten und vertriebsbezogene Datensätze in seinem Salesforce-CRM zu. Zu den offengelegten Feldern gehören Namen, Telefonnummern, E-Mail-Adressen und Postadressen der Kunden. Es gibt keine verifizierte öffentliche Zahl dazu, wie viele Kunden betroffen waren - seien Sie also vorsichtig bei jeder konkreten Angabe, die Ihnen begegnet. Ihre gespeicherten Anmeldedaten und Ihr Master-Passwort gehörten nicht zu diesem Datensatz.
Wie kamen die Angreifer hinein, wenn LastPass selbst nicht gehackt wurde?
Die Grundursache war ein Lieferketten-Angriff auf Klue, eine Marktintelligenz-Plattform, die die Vertriebsteams von LastPass nutzen und die sich mit Salesforce und Gong integriert. Um den 12. Juni 2026 nutzte ein als Icarus bezeichneter Bedrohungsakteur kompromittierte Altzugangsdaten eines Integrationsdienstes, um Klue zu durchbrechen, und stahl dann OAuth-Tokens, die Zugriff auf die Salesforce-Support-Fälle von LastPass gewährten. Das schwache Glied war also ein vertrauenswürdiges, verbundenes Werkzeug, nicht die eigenen Systeme von LastPass.
War LastPass das einzige vom Klue-Vorfall betroffene Unternehmen?
Nein. Derselbe Klue-Lieferketten-Vorfall betraf Berichten zufolge mehrere weitere Organisationen, darunter Recorded Future, Tanium, Jamf, Sprout Social, Gong und Insurity. Lieferketten-Angriffe treffen viele Kunden eines einzigen kompromittierten Anbieters auf einmal, was mit ein Grund für ihre große Wirkung ist.
Was sollte ich nach dem LastPass-Leck 2026 tun?
Da Ihr Tresor nicht offengelegt wurde, müssen Sie nicht in Panik alle Passwörter zurücksetzen. Das echte Risiko ist gezieltes Phishing mit den geleakten Kontaktdaten. Also: Seien Sie skeptisch gegenüber unerwarteten E-Mails, Anrufen oder SMS, die LastPass oder Ihr Konto erwähnen, klicken Sie niemals auf deren Links und erreichen Sie LastPass nur über die offizielle Website. Stellen Sie sicher, dass die Zwei-Faktor-Authentifizierung aktiv ist, prüfen Sie, dass jedes Konto ein einzigartiges Passwort verwendet, und überlegen Sie, ob ein Anbieter mit saubererer Vorgeschichte besser zu Ihnen passt.



