Key Nest vs. LastPass: Was nach den Datenpannen 2022 zählt

Was LastPass jahrelang gut konnte

LastPass war über ein Jahrzehnt der bekannteste Cloud-Passwort-Manager. Browser-Integration funktionierte zuverlässig, das Onboarding war einfach, die Marke vertraut. Wer heute noch LastPass nutzt, hat oft schlicht keinen Grund gefunden zu wechseln – und genau das ist die Frage, die dieser Artikel ehrlich beantworten will.

Die Vorfälle 2022 – und was sie bedeuten

Zwischen August und Dezember 2022 wurde LastPass Ziel zweier verketteter Angriffe. Im Detail:

• August 2022: Angreifer kompromittieren den Entwickler-Account eines LastPass-Mitarbeiters und gewinnen Zugriff auf Quellcode sowie interne technische Informationen.
• November/Dezember 2022: Mit diesem Wissen erlangen die Angreifer Zugriff auf Backup-Daten von Kunden-Tresoren. Die verschlüsselten Felder (Passwörter, Notizen) blieben durch das Master-Passwort des Nutzers geschützt – aber Website-URLs und einige Metadaten waren im Klartext.

Die Konsequenz: Angreifer wissen, welcher Nutzer Konten bei welchen Diensten hat, und können gezielt Phishing- oder Brute-Force-Angriffe auf einzelne Master-Passwörter starten. Mehrere Krypto-Diebstähle in den Folgemonaten werden in der Sicherheits-Community direkt mit diesem Leak in Verbindung gebracht.

Zero-Knowledge: Theorie vs. Implementierung

Beide Tools werben mit Zero-Knowledge-Verschlüsselung – aber das Versprechen ist nur so gut wie seine konkrete Umsetzung. Drei Fragen sind entscheidend:

1. Werden alle Felder verschlüsselt? LastPass verschlüsselte URLs nicht vollständig – das wurde 2022 zum Problem. Key Nest verschlüsselt jeden Eintrag inklusive Metadaten.
2. Wie hoch ist die Iterationszahl der Key Derivation? LastPass hatte für Alt-Accounts deutlich niedrigere PBKDF2-Werte (5.000–100.000) – Brute-Force entsprechend einfacher. Heute übliche Werte: ≥ 600.000 PBKDF2 oder Argon2id.
3. Wie ist der Anbieter strukturell aufgestellt? Server-Standort, Mitarbeiterzugriff, Audit-Praxis.

Direkter Vergleich

| Kriterium | LastPass | Key Nest | |---|---|---| | Verschlüsselungs-Architektur | Zero-Knowledge, URLs historisch Klartext | Zero-Knowledge, alle Felder verschlüsselt | | Server-Standort | USA | EU (Deutschland) | | Bekannte schwere Vorfälle | 2015, 2022 (zwei verkettet) | keine | | Free-Tier | seit 2021 stark eingeschränkt | kostenlos bis 5 Nutzer | | Business-Pricing | ~7 USD / Nutzer / Monat | 4 € / Nutzer / Monat | | DSGVO / AVV | verfügbar | EU-nativ, vereinfachter Prozess | | Browser-Extensions | Chrome, Firefox, Safari, Edge | Chrome, Firefox, Safari, Edge | | 2FA / Hardware-Keys | ja | ja |

Wann LastPass weiterhin die richtige Wahl bleibt

• Sie sind bereits seit Jahren auf LastPass, haben das Master-Passwort nach 2022 rotiert und die Iterationszahl hochgesetzt, und ein Migrations-Projekt steht auf der Prioritätenliste sehr weit unten.
• Ihre Nutzer:innen sind an die LastPass-UI gewöhnt und das Risiko eines Migrations-Stresses überwiegt für Sie den Vertrauens-Schaden.

Wann Key Nest besser passt

• Sie starten neu und wollen ein Tool, dessen Vertrauensbilanz nicht erst wieder aufgebaut werden muss.
• Sie sind ein DACH-Team und wollen EU-Hosting + DSGVO ohne Workarounds.
• Sie sind ein kleines Team (2–50 Personen) und brauchen kein Enterprise-Featureset – sondern saubere Basics.
• Sie haben in den letzten zwei Jahren LastPass evaluiert und sich gefragt, ob es nicht etwas Reduzierteres gibt.

Migration ist kein Big-Bang-Projekt: Beide Tools unterstützen CSV-Export. Praktisch sind 30 Minuten realistische Umzugszeit für ein 10-Personen-Team.