Passwort-Manager im Unternehmenseinsatz – Teil 2: Bitwarden, 1Password, KeePass, heylogin & Co. im Vergleich
Im ersten Teil haben wir erklärt, warum Passwort-Manager für Unternehmen keine optionale Komfortlösung sind, sondern Sicherheitsinfrastruktur. Jetzt wird es konkret: Welches Produkt passt zu welchem Anforderungsprofil?
Die Bewertung basiert auf verifizierten, unabhängigen Quellen: dem BSI CAOS 3.0-Audit (Oktober 2024), der BSI/FZI-Studie (Dezember 2025) und dem ETH Zürich-Paper (Februar 2026). Herstelleraussagen, die nicht durch externe Audits belegt sind, werden entsprechend eingestuft.
Bitwarden – Die empfehlenswerteste Open-Source-Lösung
Auf einen Blick: Cloud (Open Source, MIT-Lizenz) · Self-Hosted möglich · Gegründet 2016, USA · EU-Server in Frankfurt · AES-256-CBC + PBKDF2-SHA256
Bitwarden hat eine seltene Kombination: vollständig offener Quellcode, günstige Preise und keine bekannte Datenpanne in der Unternehmensgeschichte. Regelmäßige externe Audits (zuletzt 2023 durch Cure53) geben der Sicherheitsarchitektur ein belastbares Fundament.
Stärken: Open Source und vollständig prüfbar · EU-Server verfügbar (DSGVO-freundlich) · Self-Hosting via Vaultwarden möglich · Sehr günstiger Preis (kostenlos bis ~0,83 €/Monat)
Schwächen: ETH Zürich-Studie (Februar 2026) identifizierte 12 Angriffsszenarien im Malicious-Server-Bedrohungsmodell – werden behoben. Vaultwarden (Self-Hosting-Variante) hatte zwei kritische CVEs im BSI CAOS 3.0-Audit – beide behoben in Version 1.32.0 (August 2024).
Wichtig für Self-Hosted-Betreiber: Wer Vaultwarden einsetzt, muss auf Version ≥ 1.32.0 aktualisiert haben. Ältere Instanzen waren für Cross-Tenant-Datenzugriff anfällig.
Für wen: KMU mit DSGVO-Sensibilität, technische Teams, alle, die Open-Source-Prüfbarkeit schätzen.
1Password – Beste Sicherheitsarchitektur, höchster Komfort
Auf einen Blick: Cloud (proprietär) · Gegründet 2006, AgileBits Inc. (Kanada) · AES-256 + PBKDF2-SHA256 + zusätzlicher 128-Bit Secret Key
1Password hat zwei Alleinstellungsmerkmale, die kein Mitbewerber vergleichbar umsetzt:
Secret Key: Ein zusätzlicher 128-Bit-Schlüssel, der ausschließlich auf den Nutzergeräten gespeichert ist. Selbst bei vollständig kompromittierten Servern kann kein Angreifer ohne diesen Schlüssel Tresordaten entschlüsseln. Damit werden serverseitige Brute-Force-Angriffe praktisch unmöglich.
Travel Mode: Tresore werden vor Grenzkontrollen vollständig vom Gerät entfernt – nicht nur versteckt. Das ist ein echtes Sicherheitsmerkmal für Unternehmensreisende und Berater mit vertraulichen Mandaten.
Die BSI/FZI-Studie (Dezember 2025) attestierte 1Password: keine Designfehler, vollständige Verschlüsselung aller Inhalte, korrekt konfigurierte Kryptografie-Parameter. Die ETH-Studie zeigte für 1Password keine neuen Angriffsvektoren – das beste Ergebnis aller analysierten Produkte.
Stärken: Stärkste ZKE-Implementierung laut unabhängiger Audits · Keine direkte Kundendaten-Kompromittierung in der Geschichte · Beste Benutzeroberfläche im Markt · Starke Business-Funktionen
Schwächen: Proprietärer Quellcode · Teuerster der verglichenen Anbieter · Kein Self-Hosting möglich · Kanadisches Unternehmen (Five Eyes) – Metadaten und Accountdaten unterliegen nicht-europäischem Recht. Hinweis: Die Payload-Verschlüsselung ist so stark, dass der CLOUD Act insoweit ins Leere läuft – für Accountdaten und Metadaten gilt das nicht.
Für wen: Unternehmen mit hohem Sicherheitsbedarf, Apple/macOS-lastiges Umfeld, Geschäftsreisende.
KeePass / KeePassXC – Der Goldstandard für Datensouveränität
Auf einen Blick: Lokal / Offline (Open Source, GPL) · Keine Cloud · Kostenlos · Gegründet 2003 (KeePass), 2016 (KeePassXC als Community-Fork)
KeePass und sein modernerer Nachfolger KeePassXC verfolgen eine radikale Prämisse: Passwörter verlassen das Gerät niemals. Keine Cloud, kein Anbieter, kein Abo. Die Datenbank liegt als portabler Datei vor – auf dem lokalen Gerät, einem USB-Stick, NAS oder einer selbst betriebenen Cloud.
Das BSI CAOS 3.0-Audit (2024) bestätigte: nur niedrig eingestufte Schwachstellen, keine kritischen Probleme. KeePassXC wurde auch in der BSI/FZI-Studie (Dezember 2025) ohne grundsätzliche Sicherheitsbedenken eingestuft.
Stärken: Maximale Datensouveränität – keine Server-Angriffe möglich · Open Source und EU-auditiert (EU-FOSSA-Programm) · Kostenlos · Argon2 als moderne Key Derivation Function · Kombinierter Schutz: Master-Passwort + Schlüsseldatei + YubiKey möglich
Schwächen: Kein nativer Cross-Plattform-Sync (eigene Lösung oder Drittdienst nötig) · Mobile Nutzung erfordert separate Apps · Backup liegt in Eigenverantwortung · Einstieg für weniger technikaffine Nutzer aufwändiger
Empfehlung für Hochsicherheitsszenarien: KeePassXC + Sync über eigene Nextcloud oder lokales NAS. Für technisch versierte Nutzer ist das der Goldstandard.
heylogin – Kein Master-Passwort, Made in Germany
Auf einen Blick: Cloud (proprietär) · heylogin GmbH, Hannover · Serverstandort: ausschließlich Deutschland · ISO 27001:2022 · Investoren: Mozilla Ventures
heylogin verfolgt einen grundlegend anderen Ansatz: Statt eines geheimen Wissensfaktors (Master-Passwort) setzt die Sicherheit auf einen Besitzfaktor – den Hardware-Sicherheitschip des Smartphones (Apple Secure Enclave / Android StrongBox). Der kryptografische Schlüssel verlässt das Gerät niemals.
Das bedeutet: Selbst wenn die Cloud-Server kompromittiert werden, sind die Tresordaten ohne das physische Gerät wertlos. Dieses Architekturprinzip löst das Kernproblem der ETH-Zürich-Studie 2026 – Angriffe auf schwache Master-Passwörter durch kompromittierte Server – auf konzeptioneller Ebene.
Stärken: Kein Master-Passwort – eliminiert das häufigste Angriffsziel · Hardware-basierte Verschlüsselung · Entwicklung und Hosting ausschließlich in Deutschland · DSGVO-konform, ISO 27001 · Einfaches Team-Management (On-/Offboarding mit einem Klick) · Kostenlos für Privatnutzer
Schwächen: Proprietärer Quellcode – kein öffentlicher Sourcecode-Audit bekannt (Stand März 2026) · Starke Gerätabhängigkeit · Noch vergleichsweise kleines Unternehmen · Kein Android-Tablet-Support (Stand 2025)
Einschränkung: Das Security Whitepaper V3.0 ist technisch fundiert (die Gründer haben akademischen Kryptografie-Hintergrund), ersetzt aber keinen unabhängigen Sourcecode-Audit. Dieser steht noch aus.
Für wen: DSGVO-sensible KMU in Deutschland, Teams ohne technische Expertise, Unternehmen mit häufigem Personalwechsel.
LastPass – Eine klare Warnung
Kurzbewertung: LastPass hatte 2022 den schwerwiegendsten Sicherheitsvorfall in der Geschichte der Passwort-Manager: In einem zweistufigen Angriff wurden die Passworttresore sämtlicher Kunden gestohlen – ca. 30 Millionen Nutzer betroffen, inklusive unverschlüsselter URL-Metadaten. 2024 wurde die Nutzung gestohlener Tresordaten für Kryptowährungsdiebstahl dokumentiert. 2025 verhängte die britische Datenschutzbehörde ICO ein Bußgeld von 1,2 Mio. GBP. Die ETH-Studie 2026 identifizierte 7 Angriffsszenarien – Behebung noch nicht abgeschlossen.
Empfehlung: LastPass ist für neue Einsätze nicht empfehlenswert. Bestandskunden sollten die Migration zu Bitwarden oder 1Password dringend prüfen.
Die übrigen Anbieter im Überblick
Dashlane ist komfortabel und poliert, hat ein integriertes VPN und Dark Web Monitoring. Die ETH-Studie 2026 fand 6 Angriffsszenarien, die schwerwiegendsten wurden nach Responsible Disclosure behoben. Server ausschließlich in den USA – DSGVO-Drittlandtransfer obligatorisch.
NordPass nutzt XChaCha20 (moderner als AES-256) und Argon2, bietet EU-Region und ist günstig. Kein tiefes unabhängiges Audit bekannt. Business-Vertragspartei ist Nord Security Inc. (USA) – CLOUD Act Risiko für Business-Kunden.
Keeper hat FedRAMP-Zertifizierung (US-Behördentauglich), ISO 27001 und SOC 2 Typ II. EU-Serverstandorte verfügbar. US-Unternehmen – CLOUD Act Risiko. Teurer als Bitwarden.
Browser-integrierte Lösungen (Apple, Google) sind der einfachste Einstieg, aber mit starkem Vendor-Lock-in und eingeschränkter Transparenz. Laut BSI/FZI-Studie (Dez. 2025) ist bei Google Chrome ein theoretischer Herstellerzugriff möglich.
Bewertungsmatrix (Skala 1–5)
| Anbieter | Sicherheit | Souveränität | Komfort | Preis-Leis. | DSGVO Payload | DSGVO Account | Gesamt |
|---|---|---|---|---|---|---|---|
| Bitwarden Self-Hosted | 5 | 5 | 4 | 5 | 5 | 5 | 4,8 |
| KeePass/XC | 5 | 5 | 3 | 5 | 5 | 5 | 4,6 |
| heylogin | 4 | 5 | 5 | 4 | 4 | 5 | 4,6 |
| Bitwarden Cloud | 4 | 4 | 4 | 5 | 4 | 4 | 4,2 |
| 1Password | 5 | 3 | 5 | 3 | 5 | 3 | 4,0 |
| Keeper | 4 | 3 | 4 | 3 | 4 | 3 | 3,5 |
| Apple/Google | 3 | 2 | 5 | 5 | 2 | 2 | 3,2 |
| NordPass | 3 | 3 | 4 | 4 | 3 | 2 | 3,1 |
| Dashlane | 3 | 2 | 5 | 3 | 3 | 2 | 3,0 |
| LastPass | 1 | 2 | 3 | 3 | 1 | 1 | 1,9 |
Sicherheitsnote basiert auf unabhängig verifizierten Audits – nicht auf Herstelleraussagen. DSGVO Payload: Qualität der Verschlüsselung der Passwortdaten. DSGVO Account: Metadaten, Serverstandort, Unternehmensrecht.
Im dritten und letzten Teil der Serie fassen wir die wichtigsten Sicherheitsstudien zusammen, beleuchten die DSGVO-Dimensionen und geben eine konkrete Handlungsempfehlung – je nach Unternehmensgröße und Anforderungsprofil.