Wie hilft Datenputzer nach dem LastPass-Leak?

Unser Darknet-Radar überwacht kriminelle Foren rund um die Uhr und schlägt Alarm, sobald Ihre E-Mail-Adresse oder weitere Merkmale in neuen Dumps auftauchen, etwa falls die Erpresser die erbeuteten Kontaktdaten veröffentlichen. Zusätzlich verkleinert die automatisierte Löschung Ihrer Daten bei über 100 Datenbrokern Ihre Angriffsfläche, damit Kriminelle Ihre Daten schwerer zu einem Gesamtprofil zusammenführen können.

LastPass Datenleck Juni 2026: Kundendaten über Klue weg

Am 23. Juni 2026 hat der weit verbreitete Passwort-Manager LastPass ein Datenleck bestätigt. Über die kompromittierte Drittanbieter-Plattform Klue, ein Marktanalyse-Werkzeug, das mit dem Kundenmanagement-System (Salesforce) von LastPass verbunden war, gelangten Angreifer an Kundendaten: Namen, Telefonnummern, E-Mail- und Postadressen sowie Support- und Vertriebsdaten. Die gute Nachricht zuerst: Die verschlüsselten Passwort-Tresore und die Master-Passwörter sind nach Angaben von LastPass nicht betroffen. Die schlechte: Genau diese Kontaktdaten sind die ideale Munition für eine gezielte Phishing-Welle gegen Menschen, von denen die Täter nun wissen, dass sie einen Passwort-Manager nutzen.

Auf einen Blick: Das LastPass-Leak über Klue

Bestätigt am: 23. Juni 2026 (Vorfall bei Klue seit 12. Juni 2026).
Tresore sicher: Passwörter und Master-Passwort laut LastPass nicht betroffen.
Abgeflossen: Namen, Telefon, E-Mail, Postadresse, Support-Fälle.
Hauptrisiko: sehr glaubwürdiges, gezieltes Phishing (Spear-Phishing).

Was genau passiert ist: ein Angriff über die Lieferkette

Der Vorfall ist ein Lehrstück über das, was Fachleute einen Supply-Chain-Angriff nennen, also einen Angriff über die digitale Lieferkette. Vereinfacht gesagt: Nicht das gut gesicherte Schloss an der Haustür wurde geknackt, sondern der Schlüsseldienst, dem man einen Zweitschlüssel anvertraut hatte. LastPass selbst wurde nicht direkt gehackt. Stattdessen verschafften sich Angreifer Zugang zur Infrastruktur des Dienstleisters Klue, einer Plattform, die LastPass für Markt- und Vertriebsanalysen nutzte und die an das Salesforce-Kundenmanagement angebunden war.

Nach den vorliegenden Berichten nutzten die Täter dafür kompromittierte Alt-Zugangsdaten eines Integrationsdienstes, zogen daraus gültige Zugriffstoken (sogenannte OAuth-Token, eine Art digitaler Generalschlüssel zwischen zwei Systemen) und fragten damit über einen längeren Zeitraum die Salesforce-Schnittstellen ab. Auf diese Weise sollen Kundendaten von zahlreichen Unternehmen abgeflossen sein, die Klue einsetzten, darunter auch LastPass. Zu der Tat hat sich nach Angaben mehrerer Sicherheitsmedien eine Erpressergruppe bekannt, die mit der Veröffentlichung der Daten droht, sollte kein Lösegeld gezahlt werden. Bei LastPass selbst wurde der Vorfall am 12. Juni 2026 bekannt, die öffentliche Bestätigung der Kundenbetroffenheit folgte am 23. Juni 2026.

Welche Daten betroffen sind, und welche ausdrücklich nicht

Bei einem Passwort-Manager ist die erste und wichtigste Frage immer: Sind meine gespeicherten Passwörter in Gefahr? Die klare Antwort von LastPass lautet hier nein. Das Unternehmen betont, dass seine Produkte, Dienste und die Infrastruktur nicht beeinträchtigt wurden und die verschlüsselten Tresore sicher bleiben. Betroffen ist ausschließlich der Bereich des Kundenmanagements. Abgeflossen sind nach Unternehmensangaben:

Namen: Die vollständigen Namen der Kontaktpersonen aus dem Vertriebs- und Supportsystem.
Kontaktdaten: E-Mail-Adressen, Telefonnummern und Postadressen, also genau die Kanäle, über die Betrüger Sie ansprechen können.
Support- und Vertriebsdaten: Informationen aus früheren Support-Fällen und vertriebsbezogene Datensätze, die den Tätern Kontext über Ihre Beziehung zu LastPass liefern.

Was nicht abgeflossen ist, ist ebenso wichtig: keine Passwörter aus den Tresoren, keine Master-Passwörter, keine Zahlungsdaten aus dem Tresor. Wer also befürchtet, dass nun alle bei LastPass gespeicherten Logins offen im Netz stehen, kann zunächst durchatmen. Das eigentliche Risiko liegt an einer anderen Stelle, die viele unterschätzen.

Security Alert / Real Talk

Die brisanteste Information ist nicht eine einzelne E-Mail-Adresse, sondern der Kontext: Die Täter wissen jetzt, dass Sie LastPass-Kunde sind. Eine gefälschte E-Mail, die Ihren echten Namen kennt, Ihre frühere Support-Anfrage erwähnt und Sie auffordert, aus angeblichen Sicherheitsgründen Ihr Master-Passwort zu bestätigen, wirkt täuschend echt. Genau diese Glaubwürdigkeit ist die eigentliche Waffe nach diesem Leak.

Warum gerade ein Passwort-Manager-Leck so heikel ist

Bei einem beliebigen Online-Shop ist eine geleakte E-Mail-Adresse ärgerlich, aber überschaubar. Bei einem Passwort-Manager verschiebt sich die Lage. Das Master-Passwort ist der Generalschlüssel zu Ihrem gesamten digitalen Leben: E-Mail, Online-Banking, soziale Netzwerke, Einkaufskonten. Wer dieses eine Passwort ergaunert, öffnet im Zweifel alle Türen auf einmal. Und genau darauf werden die Betrugsversuche in den kommenden Wochen abzielen.

Das Muster ist absehbar: gezieltes Spear-Phishing, also nicht die plumpe Massen-Mail mit Rechtschreibfehlern, sondern die persönlich zugeschnittene Nachricht. Sie könnte so aussehen, als käme sie direkt vom LastPass-Sicherheitsteam, Sie mit Namen ansprechen und unter Zeitdruck setzen: "Verdächtige Anmeldung erkannt, bitte bestätigen Sie sofort Ihr Master-Passwort." Wer hier klickt und sein Master-Passwort eingibt, übergibt den Generalschlüssel freiwillig. Dieselbe Masche funktioniert per Anruf, dann spricht man von Vishing (Voice-Phishing). Wie raffiniert solche Anrufe inzwischen sein können, zeigt unser Beitrag zu KI-Schockanrufen und Stimmenklonung.

Sind Sie als deutscher oder österreichischer Kunde betroffen?

LastPass gehört zu den international bekanntesten Passwort-Managern und wird auch im DACH-Raum von vielen Privatpersonen genutzt. Eine offizielle, nach Ländern aufgeschlüsselte Betroffenenliste hat das Unternehmen bislang nicht veröffentlicht, der Vorfall wird als breit über viele Kundengruppen reichend beschrieben. Wenn Sie ein LastPass-Konto besitzen oder in der Vergangenheit ein Support- oder Vertriebsgespräch mit LastPass hatten, sollten Sie vorsorglich von einer möglichen Betroffenheit Ihrer Kontaktdaten ausgehen. Prüfen Sie mit unserem kostenlosen Check auf der Startseite, ob Ihre E-Mail-Adresse bereits in bekannten Dumps auftaucht.

Wie Sie eine Betroffenheit grundsätzlich seriös feststellen und welche Prüfdienste sinnvoll sind, erklären wir ausführlich in unserem Ratgeber Datenleck prüfen: So finden Sie heraus, ob Ihre Daten betroffen sind.

Erste Hilfe: Diese Schritte sind jetzt wichtig

Da Ihre Tresore voraussichtlich sicher sind, liegt der Schwerpunkt der Maßnahmen auf der Abwehr der zu erwartenden Betrugsansprache. Die Reihenfolge ist bewusst nach Dringlichkeit sortiert:

Misstrauen gegen LastPass-Nachrichten: Behandeln Sie jede unerwartete E-Mail, SMS oder jeden Anruf, der angeblich von LastPass kommt, als verdächtig. Klicken Sie nicht auf enthaltene Links, sondern tippen Sie die offizielle Adresse selbst in den Browser oder nutzen Sie ein gespeichertes Lesezeichen.
Master-Passwort niemals herausgeben: Ein seriöser Anbieter wird Sie nie per Mail oder Telefon nach Ihrem Master-Passwort fragen. Geben Sie es unter keinen Umständen ein, wenn Sie über einen Link in einer Nachricht dorthin gelangt sind.
Zwei-Faktor-Authentifizierung prüfen: Stellen Sie sicher, dass Ihr LastPass-Konto durch eine Bestätigung in zwei Schritten geschützt ist, idealerweise über eine Authenticator-App. Selbst ein erbeutetes Passwort ist damit deutlich weniger wert.
Master-Passwort prüfen, nicht panisch ändern: Da die Tresore nicht betroffen sind, ist kein hektischer Wechsel nötig. Vergewissern Sie sich aber, dass Ihr Master-Passwort lang, einzigartig und nirgendwo sonst verwendet ist. Falls nicht, ändern Sie es in Ruhe direkt in der App.
Bei Anrufen auflegen und zurückrufen: Lassen Sie sich am Telefon nicht unter Druck setzen. Beenden Sie das Gespräch und kontaktieren Sie den Dienst nur über die offiziell bekannten Wege. Auch die geleakte Telefonnummer kann für betrügerische Anrufe genutzt werden.

Mehr Hintergrund zu der Frage, warum ein Passwort-Manager trotz solcher Vorfälle sinnvoll bleibt und wie Sie das Master-Passwort wirklich absichern, finden Sie in unserem Beitrag zu Identitätsdiebstahl und sicheren Passwörtern.

Tauchen Ihre Kontaktdaten im Darknet auf?

Die Erpresser drohen mit der Veröffentlichung der erbeuteten Daten. Ein einmaliger Check ist nur eine Momentaufnahme. Unser Darknet-Radar überwacht kriminelle Foren rund um die Uhr und schlägt sofort Alarm, sobald Ihre E-Mail oder andere Merkmale in neuen Dumps auftauchen.

Jetzt Darknet-Check starten

Welche Rechte haben Sie als Betroffener?

Sind personenbezogene Daten von Privatpersonen aus dem DACH-Raum betroffen, greift die DSGVO. Nach Art. 34 DSGVO muss ein Unternehmen Betroffene benachrichtigen, wenn ein hohes Risiko für ihre Rechte und Freiheiten besteht. Darüber hinaus kann bei einem nachgewiesenen Verstoß ein Anspruch auf Schadensersatz nach Art. 82 DSGVO bestehen, wobei hier zu beachten ist, dass der Vorfall seinen Ursprung beim Dienstleister hatte. Verlassen Sie sich nicht allein auf eine spätere Benachrichtigung, deren Versand Wochen dauern kann. Eigeninitiative ist der bessere Schutz. Mehr dazu lesen Sie in unserem Ratgeber Entschädigung bei Datenlecks: Wann Sie Geld zurückbekommen.

Langfristig: Ihre digitale Angriffsfläche verkleinern

Dieser Vorfall zeigt eine unbequeme Wahrheit: Selbst wenn ein Dienst seine Kerndaten vorbildlich verschlüsselt, können Ihre Kontaktdaten über einen Dienstleister abfließen, auf den Sie keinen Einfluss haben. Was Sie jedoch beeinflussen können, ist, wie viele Kopien Ihrer Daten überhaupt im Umlauf sind. Datenbroker sammeln Namen, Adressen und Kontaktdaten systematisch und verkaufen sie weiter. Mit jedem dieser Profile steigt das Risiko, dass ein einzelner Leak mit weiteren Quellen zu einem präzisen Gesamtbild zusammengeführt wird, der idealen Grundlage für überzeugendes Phishing.

Genau hier setzt der Hebel der DSGVO an. Anstatt nur Symptome wie Spam und Phishing zu bekämpfen, fordert Datenputzer bei über 100 Datenbrokern die Löschung Ihrer Bestände nach Art. 17 DSGVO an. Je weniger Profile von Ihnen kursieren, desto kleiner ist die Angriffsfläche bei jedem künftigen Leck.

Niemand weiß unmittelbar nach einem solchen Vorfall, welche Datensätze tatsächlich vollständig abgeflossen sind und wer konkret betroffen ist. Die offizielle Bestätigung und eine vollständige Betroffenenliste kommen oft erst Wochen später oder bleiben ganz aus. Eine einmalige Prüfung von heute kann also trügerisch beruhigen. Genau hier setzt unser Darknet-Radar an: Es überwacht Ihre hinterlegte E-Mail-Adresse fortlaufend und meldet sofort, sobald diese Daten infolge eines Hacks oder einer Datenpanne im Darknet auftauchen oder gehandelt werden. So erfahren Sie von Ihrer Betroffenheit zeitnah und nicht erst, wenn der Schaden bereits eingetreten ist. Der Unterschied ist entscheidend: Ein kostenloser Check zeigt nur bereits bekannte, veröffentlichte Leaks. Das dauerhafte Monitoring im Abo ist das, was Sie bei künftigen Vorfällen rechtzeitig warnt.

Sind meine Passwörter beim LastPass Datenleck 2026 betroffen?

Nach Angaben von LastPass sind die verschlüsselten Passwort-Tresore und die Master-Passwörter nicht betroffen. Der Vorfall betrifft Kontakt- und Vertriebsdaten aus einer Salesforce-Umgebung, die über den Dienstleister Klue zugänglich war: Namen, Telefonnummern, E-Mail- und Postadressen sowie Support-Fälle. Ihre gespeicherten Zugangsdaten gelten damit als sicher, vorausgesetzt Ihr Master-Passwort ist stark und einzigartig.

Welche Daten sind beim Klue-Vorfall abgeflossen?

Betroffen sind nach Angaben von LastPass Kundennamen, Telefonnummern, E-Mail-Adressen, Postadressen sowie Support- und vertriebsbezogene Daten aus dem Salesforce-System. Diese Informationen stammen aus dem Kundenmanagement, nicht aus dem Passwort-Tresor. Sie genügen jedoch, um sehr glaubwürdige, persönlich zugeschnittene Phishing-Angriffe vorzubereiten.

Was muss ich als LastPass-Nutzer jetzt tun?

Seien Sie besonders wachsam bei E-Mails, SMS und Anrufen, die angeblich von LastPass stammen. LastPass wird Sie niemals nach Ihrem Master-Passwort fragen. Geben Sie dieses nie heraus, klicken Sie nicht auf Links in unerwarteten Nachrichten, sondern rufen Sie die offizielle Seite direkt auf. Aktivieren Sie die Zwei-Faktor-Authentifizierung und prüfen Sie, ob Ihr Master-Passwort stark und einzigartig ist.

Was ist der Unterschied zwischen dem kostenlosen Check und dem Darknet-Radar?

Der kostenlose Check auf unserer Startseite ist eine Momentaufnahme anhand bereits bekannter Datenbanken. Das Darknet-Radar bietet eine kontinuierliche 24/7-Überwachung und benachrichtigt Sie in Echtzeit, sobald Ihre E-Mail oder weitere sensible Merkmale in neuen kriminellen Dumps auftauchen, etwa falls die Erpresser die erbeuteten Kontaktdaten veröffentlichen.

Machen Sie sich unsichtbar.

Verlieren Sie keine Zeit. Mit dem automatisierten Löschservice von Datenputzer reduzieren Sie Ihre digitale Angriffsfläche und schützen sich nachhaltig vor den Folgen von Datenpannen wie diesem Vorfall bei LastPass und Klue.

Direkt buchen Bereits geschützt? Login

SSL-verschlüsselt & DSGVO-konform