Ende Mai 2026 griff ein unbekannter Angreifer gezielt Dashlane-Konten an: Brute-Force auf die 2FA-Absicherung, mit dem Ziel, neue Geräte zu registrieren und verschlüsselte Passworttresore herunterzuladen. Weniger als 20 Nutzer sind laut Dashlane betroffen — kein Massenvorfall, aber ein Szenario mit auffälligem Déjà-vu-Charakter.
Was passiert ist — und was „fewer than 20″ bedeutet
Am 31. Mai registrierte Dashlane ungewöhnliche Anmeldeversuche von unbekannten Geräten und entfernten Standorten. Ziel der Angreifer war nicht das direkte Einloggen per gestohlener Zugangsdaten, sondern das Registrieren neuer Geräte — ein Schritt, der normalerweise eine 2FA-Bestätigung erfordert. Das hohe Angriffsvolumen aktivierte Dashlanes automatische Sicherheitskontrollen, was vorübergehend Kontosperrungen auslöste. Betroffene Nutzer erhielten unvermittelt Verifizierungscodes per E-Mail, ohne etwas initiiert zu haben.
Bei „fewer than 20 users on the personal subscription plan“ — Dashlanes eigene Formulierung — gelang der Angriff. Die verschlüsselten Passworttresore dieser Konten wurden heruntergeladen. Das Unternehmen betont, seine internen Systeme seien nicht kompromittiert worden; die Tresore seien ohne das jeweilige Master-Passwort nicht lesbar. Am 1. Juni erklärte Dashlane den Vorfall für abgeschlossen und gab an, alle betroffenen Nutzer direkt informiert zu haben.
Das Muster kennt man — und das ist das Problem
LastPass, Ende 2022: Angreifer griffen Backup-Kopien von Kundentresoren ab — ebenfalls verschlüsselt, ebenfalls mit dem Verweis auf sichere Verschlüsselung. Rückblickend wurde daraus eine PR-Katastrophe ersten Ranges. Schwache Master-Passwörter ließen sich mit vertretbarem Aufwand knacken, und in den Tresoren steckten auch unverschlüsselte Metadaten wie Website-URLs — ein Detail, das LastPass anfangs kleinredete.
Dashlanes Vorfall ist vom Ausmaß deutlich kleiner. Das strukturelle Szenario ist dennoch identisch: Angreifer haben nun verschlüsselte Passwortdaten, gegen die sie mit moderner GPU-Leistung in aller Ruhe vorgehen können. Wer ein schwaches, kurzes oder anderweitig bekanntes Master-Passwort verwendet hat, sitzt mit einem konkreten Zeitproblem da — Dashlane kann das nicht mehr verhindern. Unklar bleibt außerdem, wie die Angreifer an die gezielten Konten gelangten: Kamen sie aus einem älteren Credential-Dump? Wurden sie durch Credential Stuffing identifiziert? Dazu hat Dashlane bisher nichts gesagt — und das ist die eigentliche Lücke in der Kommunikation.
Was betroffene Nutzer jetzt konkret tun sollten
Bei meinen Kunden ist Dashlane gelegentlich im Einsatz, meistens in der Business-Variante. Die erste Frage nach solchen Meldungen ist regelmäßig dieselbe: „Muss ich jetzt alle Passwörter ändern?“ Nach aktuellem Stand gilt: Wer keine direkte Benachrichtigung von Dashlane erhalten hat, ist nicht betroffen. Wer eine bekommen hat, sollte drei Schritte abarbeiten:
- Registrierte Geräte prüfen: In den Kontoeinstellungen unbekannte Geräteeinträge sofort entfernen. Wer eine verdächtige Geräteregistrierung per Mail bekam, ohne sie selbst ausgelöst zu haben, sollte jeden Eintrag genau ansehen.
- Master-Passwort ändern: Lang, einzigartig, nirgendwo sonst im Einsatz. Kurze oder mehrfach verwendete Passwörter müssen jetzt weg — der heruntergeladene Tresor wartet auf genau diese Schwäche.
- 2FA auf allen Konten aktivieren: Der Angriff lief gegen genau diese Hürde. Sie hilft — macht es aber nicht unmöglich, wie dieser Fall zeigt.
Wer keinen Dashlane-Account hat, aber einen anderen Cloud-Passwort-Manager nutzt: Die Empfehlungen gelten genauso. Das Master-Passwort ist das schwächste Glied im Sicherheitsmodell jedes dieser Dienste — und das bleibt es, solange die Tresore serverseitig synchronisiert werden.
Dashlane hat diesmal begrenzten Schaden angerichtet. Offen bleibt, warum es ausgerechnet diese Konten traf — und ob die Antwort darauf für Nutzer ohne Benachrichtigung so beruhigend ist, wie das Unternehmen suggeriert.
