Passwort-Manager im Unternehmenseinsatz – Teil 1: Warum kein Unternehmen mehr ohne sie auskommt

Diese Artikelserie erscheint im Rahmen des Dauenhauer Cybersicherheits-Survival-Guides.

Stellen Sie sich vor, ein Mitarbeiter verwendet für sein E-Mail-Konto, das CRM-System und den VPN-Zugang dasselbe Passwort – weil es sich so leichter merken lässt. Laut der Bitwarden World Password Day Survey 2023 tun das 85 % der Nutzer weltweit. Im Verizon Data Breach Investigations Report 2024 sind gestohlene Zugangsdaten der häufigste initiale Angriffsvektor: Sie tauchen in 24 % aller gemeldeten Angriffe auf – über einen 10-Jahres-Zeitraum sogar in fast einem Drittel aller bestätigten Datenpannen.

Das Problem ist nicht Fahrlässigkeit. Es ist schlicht Überforderung: Eine durchschnittliche Person verwaltet heute über 100 verschiedene Online-Konten. Wer für jedes ein starkes, einzigartiges Passwort wählen soll, braucht Werkzeug.

Was ein Passwort-Manager tatsächlich leistet

Ein Passwort-Manager ist mehr als ein digitales Notizbuch. Er übernimmt vier sicherheitskritische Aufgaben:

Automatische Passworterzeugung. Kryptografisch starke, einzigartige Passwörter für jedes Konto – ohne dass der Nutzer sich auch nur eines davon merken muss.

Verschlüsselte Speicherung. Alle Zugangsdaten liegen in einem gesicherten Tresor, der ohne das Master-Passwort nicht geöffnet werden kann.

Phishing-Schutz durch domänenbasiertes Autofill. Der Passwort-Manager füllt Zugangsdaten nur auf der echten Domain aus – nicht auf paypa1.com oder office365-login.de. Das ist ein systematischer Schutz, den kein Nutzertraining ersetzen kann.

Sicherheitsaudits. Doppelt verwendete, schwache oder bereits in Datenpannen aufgetauchte Passwörter werden proaktiv erkannt und gemeldet.

Grundprinzip: Selbst wenn ein Cloud-Passwort-Manager kompromittiert wird, sind Ihre Passwörter durch das Master-Passwort und Ende-zu-Ende-Verschlüsselung geschützt – vorausgesetzt, das Master-Passwort ist stark genug.

Wie Zero-Knowledge-Verschlüsselung funktioniert – und wo ihre Grenzen liegen

Das Herzstück aller seriösen Cloud-Passwort-Manager ist das Zero-Knowledge-Prinzip (ZKE – Zero Knowledge Encryption). Es bedeutet: Selbst der Anbieter kann die gespeicherten Passwörter nicht lesen.

Technisch funktioniert das so:

  • Das Master-Passwort verlässt das Gerät des Nutzers niemals im Klartext.
  • Aus dem Master-Passwort wird ein Verschlüsselungsschlüssel abgeleitet – über eine sogenannte Key Derivation Function (KDF), zum Beispiel PBKDF2-SHA256, scrypt oder Argon2.
  • Der Tresor wird ausschließlich lokal ver- und entschlüsselt. Der Server kennt nur das verschlüsselte Ergebnis.

Das klingt wasserdicht – und ist es meistens auch. Aber ein Forscherteam der ETH Zürich und der Università della Svizzera italiana hat im Februar 2026 gezeigt, dass das Zero-Knowledge-Versprechen unter einem konkreten Bedrohungsmodell brüchig werden kann: Was passiert, wenn der Server des Anbieters vollständig kompromittiert wird?

Die Antwort ist ernüchternd: Die Forscher identifizierten 27 erfolgreiche Angriffsszenarien gegen Bitwarden, LastPass und Dashlane. 1Password schnitt deutlich besser ab – wir kommen in Teil 3 dazu. Für jetzt gilt: ZKE ist kein absolutes Sicherheitsversprechen, aber nach wie vor der beste verfügbare Schutz – und ein erheblicher Fortschritt gegenüber dem Verzicht auf Passwort-Manager.

Die vier Kategorien von Passwort-Managern

Nicht jeder Passwort-Manager ist gleich aufgebaut. Für die Auswahl im Unternehmenskontext ist die grundlegende Architektur entscheidend:

Cloud-basiert – Bitwarden, 1Password, Dashlane, NordPass, LastPass Der Tresor wird verschlüsselt auf Servern des Anbieters gespeichert. Maximaler Komfort, plattformübergreifend, aber Abhängigkeit vom Anbieter und dessen Infrastruktur.

Lokal / Offline – KeePass / KeePassXC Der Tresor liegt ausschließlich auf dem lokalen Gerät. Keine Cloud-Abhängigkeit, maximale Kontrolle – aber manuelles Backup und Synchronisation zwischen Geräten sind Eigenverantwortung.

Self-Hosted – Vaultwarden (Bitwarden-kompatibel) Open-Source-Software auf eigenen Servern. Volle Datensouveränität, kein Drittanbieter in der Kette. Erfordert technisches Know-how und Betreiberverantwortung (Updates!).

Browser- / Betriebssystem-integriert – Apple Passwörter, Google Passwort-Manager Einfachster Einstieg, tief integriert – aber mit starkem Vendor-Lock-in und eingeschränkter Transparenz. Für den Unternehmenseinsatz mit mehreren Plattformen oft ungeeignet.

Was bedeutet das für Ihr Unternehmen?

Die Wahl der Kategorie entscheidet über Datensouveränität, DSGVO-Konformität und Betriebsaufwand. Für KMU in Deutschland gilt folgende Grundregel:

  • Höchste Datensouveränität: KeePassXC lokal oder Bitwarden Self-Hosted (Vaultwarden)
  • Bestes Gleichgewicht aus Komfort und Sicherheit: Bitwarden Cloud mit EU-Servern oder heylogin
  • Enterprise-Anforderungen / Compliance: 1Password oder Keeper

Im nächsten Teil schauen wir uns alle relevanten Produkte im Detail an – mit Pro/Con, Sicherheitsvorfällen und einer klaren Bewertungsmatrix.