
Team-Passwortverwaltung bezeichnet die Praxis, Zugangsdaten innerhalb einer Gruppe mit einem dedizierten Tool (Passwort-Manager) zu speichern, zu organisieren und zu teilen — anstelle von Messengern, Tabellenkalkulationen oder individuellen Browser-Tresoren. Richtig umgesetzt erhält jedes Teammitglied Zugriff auf genau das, was es benötigt, nicht mehr, mit einem vollständigen Audit-Trail darüber, wer wann auf was zugegriffen hat.
Dieser Leitfaden behandelt die tatsächlichen Probleme, auf die Teams stoßen, wenn sie Zugangsdaten ohne ein geeignetes System teilen, worauf Sie bei einer Lösung achten sollten, wie Passwork jede Herausforderung adressiert und wie Sie eine Migration durchführen, ohne Ihr Team zu beeinträchtigen.
Wichtige Erkenntnisse
- Missbrauch von Zugangsdaten tritt in 39 % aller Sicherheitsverletzungen auf und ist damit die am weitesten verbreitete Technik über die gesamte Angriffskette hinweg — nicht nur beim initialen Zugriff.
- Die drei Fehlerarten beim informellen Teilen von Zugangsdaten sind Sichtbarkeitslücken, schleichende Zugriffsausweitung und Offboarding-Versäumnisse. Alle drei sind mit einem strukturierten Passwort-Manager vermeidbar.
- NIST SP 800-63B Rev. 4 hat die Regeln geändert: mindestens 15 Zeichen für Passwörter, keine obligatorischen Komplexitätsanforderungen und kein periodisches Ablaufdatum. Viele Organisationen arbeiten noch mit Richtlinien, die allen drei Punkten widersprechen.
- Effektive Team-Passwortverwaltung erfordert mehr als nur Speicherung: RBAC, Audit-Logs, AD/LDAP-Integration, SSO und sicheres externes Teilen sind für jedes Team, das über eine Handvoll Personen hinausgeht, unverzichtbar.
- Offboarding ist ein Sicherheitsereignis, keine HR-Formalität. Eine 7-Schritte-Checkliste für Zugangsdaten, die am oder vor dem letzten Arbeitstag eines Mitarbeiters durchgeführt wird, schließt die Lücken, die die meisten Vorfälle ausnutzen.
- Migration gelingt oder scheitert am Change Management, nicht an der Technologie. Der häufigste Fehler ist, die alte Tabellenkalkulation nach dem Rollout weiter zugänglich zu lassen.
Die Kosten des informellen Teilens von Zugangsdaten
Die meisten Teams beginnen mit einem geteilten Google Sheet, einer Slack-Nachricht oder einem Klebezettel an der Serverraumtür. Es funktioniert. Bis es nicht mehr funktioniert.
Die durchschnittlichen Kosten einer Datenschutzverletzung sanken laut dem IBM Cost of a Data Breach Report 2025 auf 4,44 Millionen US-Dollar — der erste Rückgang seit fünf Jahren. Das sind immer noch 4,44 Millionen US-Dollar pro Vorfall. Und gestohlene oder kompromittierte Zugangsdaten bleiben tief in der Durchführung von Angriffen verankert: Der Verizon Data Breach Investigations Report 2026 stellte fest, dass der Missbrauch von Zugangsdaten irgendwann in 39 % aller Sicherheitsverletzungen auftritt — die häufigste Technik im gesamten Datensatz.
Das Problem des informellen Teilens hat drei unterschiedliche Fehlerarten:
- Sichtbarkeitslücken. Wenn ein Passwort in einem Slack-Thread existiert, gibt es keine Aufzeichnung darüber, wer es hat, wer es weitergeleitet hat oder ob es geändert wurde. Wenn diese Zugangsdaten später kompromittiert werden, können Sie den zeitlichen Ablauf nicht rekonstruieren.
- Schleichende Zugriffsausweitung. Tabellenkalkulationen erzwingen keine Zugriffsgrenzen. Ein Entwickler, der im Januar ein Datenbankpasswort benötigte, hat im Dezember immer noch das gesamte Sheet — einschließlich Zugangsdaten für Systeme, die er nie berührt hat, und Accounts, auf die er keinen Zugriff haben sollte.
- Offboarding-Versäumnisse. Hier verursacht informelles Teilen den größten Schaden. Wenn ein Mitarbeiter das Unternehmen verlässt, hat die IT kein zuverlässiges Inventar dessen, worauf er Zugriff hatte. Die Standardreaktion (jedes geteilte Passwort ändern) ist sowohl störend als auch selten vollständig. Einige Zugangsdaten werden übersehen. Einige werden wochenlang nicht geändert.
Eine Huntress-Studie von 2024 ergab, dass 46 % der Menschen in diesem Jahr ein Passwort gestohlen wurde. Für Organisationen, die sich auf geteilte Tabellenkalkulationen und Chat-Nachrichten verlassen, multipliziert sich diese Gefährdung über jeden Account in der Datei.
Was Teams wirklich von einem Passwort-Manager benötigen
Bevor Sie ein Tool evaluieren, ist es hilfreich, die Anforderungen klar zu definieren. Die folgende Liste spiegelt wider, was IT-Manager und Sicherheitsteams durchweg als unverzichtbar identifizieren.
Ein zentrales, strukturiertes Repository
Zugangsdaten, die über die Browser und persönlichen Tresore einzelner Personen verstreut sind, sind für die Organisation praktisch unsichtbar. Ein Team-Passwort-Manager benötigt ein einziges, durchsuchbares Repository, auf das das gesamte Team zugreifen kann — organisiert nach Projekt, System oder Abteilung, mit einheitlicher Benennung und Tagging.
Flexible, granulare Zugriffskontrolle
Nicht jeder benötigt alles. Ein Junior-Entwickler braucht keine Produktionsdatenbank-Zugangsdaten. Ein externer Dienstleister braucht keine internen Admin-Accounts. Rollenbasierte Zugriffskontrolle (RBAC) ermöglicht es Ihnen zu definieren, wer Zugangsdaten auf Tresor- oder Ordnerebene lesen, bearbeiten oder verwalten darf — und diese Grenzen automatisch durchzusetzen.
Sichere Freigabemechanismen
Manchmal müssen Sie Zugangsdaten mit jemandem außerhalb Ihrer Organisation teilen: einem Anbieter, einem externen Dienstleister, einem Partner. Diese per E-Mail oder Chat zu versenden ist ein Sicherheitsvorfall, der nur darauf wartet zu passieren. Das richtige Tool bietet zeitlich begrenzte Einmal-Links, die nach dem ersten Zugriff oder nach einem festgelegten Zeitfenster ablaufen.
Aktivitätsüberwachung und Audit-Logs
Compliance-Frameworks einschließlich SOC 2 Trust Services Criteria CC6.1 und ISO 27001 Annex A.9 erfordern dokumentierte Nachweise darüber, wer wann auf was zugegriffen hat. Ein Audit-Log ist nicht optional. Es ist der Nachweis, der Sie bei einem Vorfall oder einer Prüfung vor Schwierigkeiten bewahrt.
Integration in bestehende IT-Infrastruktur
Ein Passwort-Manager, der einen separaten Identitätssilo erfordert, schafft mehr Arbeit, nicht weniger. Integration mit Active Directory (AD), LDAP und SSO-Anbietern bedeutet, dass sich Benutzer mit den Zugangsdaten authentifizieren, die sie bereits haben, und Bereitstellung/Deprovisionierung automatisch erfolgt, wenn HR das Verzeichnis aktualisiert.
NIST SP 800-63B Rev. 4: Was sich 2025 geändert hat
NIST SP 800-63B Rev. 4 (2025) aktualisiert die Richtlinien für digitale Identität, auf die sich die meisten Unternehmenssicherheitsrichtlinien beziehen. Mehrere Änderungen wirken sich direkt darauf aus, wie Organisationen ihre Passwortrichtlinien konfigurieren sollten.
| Richtlinienbereich | Rev. 3 Empfehlung | Rev. 4 Empfehlung |
|---|---|---|
| Minimale Passwortlänge | 8 Zeichen | 15 Zeichen (wenn das Passwort der einzige Authentifikator ist) |
| Komplexitätsregeln | „Sollte nicht" willkürliche Regeln auferlegen | „Darf nicht" willkürliche Komplexitätsanforderungen auferlegen |
| Periodisches Ablaufdatum | Nicht empfohlen | Verboten, es sei denn, eine Kompromittierung wird vermutet |
| Prüfung auf kompromittierte Passwörter | Dringend empfohlen | Verpflichtend |
Der Wechsel von sollte nicht zu darf nicht bei Komplexitätsregeln ist bedeutsam. Organisationen, die immer noch „muss eine Zahl, ein Symbol, einen Großbuchstaben enthalten"-Richtlinien durchsetzen, sind nun nicht mehr mit den NIST-Empfehlungen konform — und das aus gutem Grund. Forschungen zeigen durchweg, dass erzwungene Komplexitätsregeln vorhersehbare Muster erzeugen: Password1!, Summer2024@, Qwerty#1. Länge ist ein zuverlässigeres Sicherheitssignal als Zeichenvielfalt.
Das 15-Zeichen-Minimum folgt der gleichen Logik. Eine 15 Zeichen lange Passphrase wie correct-horse-battery-staple ist weitaus widerstandsfähiger gegen Brute-Force-Angriffe als ein 8-Zeichen-Passwort wie P@ssw0rd.
Die verpflichtende Prüfung auf kompromittierte Passwörter bedeutet, dass Organisationen einen Mechanismus benötigen, um neue Passwörter zum Zeitpunkt der Erstellung oder des Zurücksetzens gegen bekannte Breach-Datenbanken zu prüfen — nicht erst beim Login.
Wie Passwork jede Herausforderung adressiert
Die Verwaltung von Zugangsdaten erfordert einen ständigen Ausgleich zwischen strengen Sicherheitskontrollen und operativer Geschwindigkeit. Passwork löst diese Infrastrukturherausforderungen durch direkte Integration in Ihre bestehenden Verzeichnisdienste, Automatisierung der Zugriffskontrolle und vollständige Transparenz über die Nutzung von Zugangsdaten.
Datenorganisation: Tresore, Ordner, Tags und Verlauf

Passwork strukturiert Zugangsdaten in einer Hierarchie aus Tresoren und Ordnern. Ein Tresor kann einer Abteilung oder einem Projekt entsprechen. Ordner darin gruppieren zusammengehörige Zugangsdaten. Tags fügen eine übergreifende Dimension hinzu: Sie können Zugangsdaten nach Umgebung (Produktion, Staging, Entwicklung) oder nach Systemtyp (Datenbank, Cloud, Netzwerk) taggen — unabhängig davon, wo sie in der Ordnerstruktur liegen.
Jeder Zugangsdateneintrag pflegt einen vollständigen Änderungsverlauf. Wenn ein Passwort letzten Dienstag um 14:32 Uhr von einem bestimmten Benutzer rotiert wurde, wird das aufgezeichnet. Wenn Sie eine Änderung rückgängig machen oder prüfen müssen, ist der Verlauf vorhanden. Dies ist die Art von Nachverfolgbarkeit, nach der SOC 2- und ISO 27001-Prüfer fragen.
Rollenbasierter Zugriff: Trennung von Datenzugriff und Systemadministration

Passwork trennt den Datenzugriff von der administrativen Kontrolle durch zwei unterschiedliche Mechanismen: Benutzergruppen und Systemrollen.
- Benutzergruppen steuern den Datenzugriff — Dieses Modell verwaltet den Zugriff auf Tresore und Ordner. Sie weisen einer Gruppe (wie dem DevOps-Team) Berechtigungen zu, und jedes Mitglied erbt diese Berechtigungen automatisch. Wenn jemand dem Team beitritt, erhält er Zugriff. Wenn er geht, entfernen Sie ihn aus der Gruppe und der Zugriff wird für jeden Tresor und Ordner, den diese Gruppe berührt, widerrufen.
- Systemrollen definieren administrative Privilegien — Vordefinierte und benutzerdefinierte Rollen verwalten den Zugriff auf Systemeinstellungen, LDAP-Konfigurationen und globale Audit-Logs. Dies stellt sicher, dass Standardbenutzer nur mit ihren zugewiesenen Tresoren interagieren, während Administratoren die Plattforminfrastruktur verwalten. Unter dem Zero-Knowledge-Modell können Systemadministratoren nicht auf tatsächliche Passwörter zugreifen.
Berechtigungen innerhalb von Tresoren sind granular: Nur Lesen, Bearbeiten und Admin. Ein Nur-Lesen-Benutzer kann Zugangsdaten abrufen, aber nicht ändern oder löschen. Ein Admin kann die Struktur und Mitgliedschaft des Tresors verwalten. Sie können diese Berechtigungen über verschiedene Tresore für denselben Benutzer mischen: Ein Entwickler könnte Bearbeitungszugriff auf den Staging-Tresor und Nur-Lesen-Zugriff auf Produktion haben.

Diese Struktur löst das Offboarding-Problem direkt. Wenn ein Mitarbeiter das Unternehmen verlässt, deaktivieren Sie sein Konto. Seine Gruppenmitgliedschaften werden entfernt. Der Zugriff ist weg. Kein manuelles Inventar von „worauf hatte diese Person Zugriff?" erforderlich.
Sicherheit und Integration: 2FA, AD/LDAP und SSO
Passwork erzwingt Zwei-Faktor-Authentifizierung (2FA) auf Organisationsebene. Administratoren können sie für alle Benutzer verpflichtend machen, nicht nur optional. Unterstützte Methoden umfassen TOTP-Authenticator-Apps, Hardware-Sicherheitsschlüssel, Biometrie und Passkeys.
Für Organisationen, die Active Directory oder LDAP betreiben, synchronisiert Passwork Benutzer und Gruppen direkt aus dem Verzeichnis. Benutzerbereitstellung und -deprovisionierung folgen dem Verzeichnis: Wenn HR ein Konto in AD deaktiviert, wird der entsprechende Passwork-Zugriff automatisch widerrufen. Dies eliminiert den manuellen Schritt, den die meisten Offboarding-Prozesse übersehen.
SSO-Integration über SAML bedeutet, dass sich Benutzer über Ihren bestehenden Identity Provider authentifizieren. Keine separaten Passwork-Zugangsdaten zu verwalten, kein Passwort-Wiederverwendungsrisiko und keine Reibungsverluste für den Endbenutzer.
Externe Freigabe: Sichere Einmal-Links
Das Teilen von Zugangsdaten mit einer externen Partei (einem Auftragnehmer, einem Anbieter, einem Penetrationstester), ohne Ihren Tresor preiszugeben, ist ein häufiges operatives Erfordernis. Passwork handhabt dies mit zeitlich begrenzten Einmal-Freigabelinks. Sie generieren einen Link für bestimmte Zugangsdaten, legen ein Ablaufdatum fest (Stunden, Tage oder ein einziger Zugriff) und senden ihn. Sobald der Link abläuft oder verwendet wird, ist er weg. Der Empfänger erhält niemals Zugriff auf den Tresor selbst.
Dies unterscheidet sich kategorisch vom Einfügen eines Passworts in eine E-Mail. Der Link ist während der Übertragung verschlüsselt, das Zugriffsereignis wird protokolliert, und Sie können ihn vor Ablauf widerrufen, wenn sich die Umstände ändern.
Auditing: Aktivitätsprotokolle und Sicherheits-Dashboard

Jede Aktion in Passwork (Erstellung, Änderung, Zugriff, Freigabe, Löschung von Zugangsdaten) wird im Aktivitätsprotokoll mit Zeitstempel und Benutzerzuordnung aufgezeichnet. Das Protokoll ist exportierbar und kann über Syslog oder Windows Event Viewer-Integration an ein SIEM weitergeleitet werden.

Das Sicherheits-Dashboard zeigt schwache Passwörter, alte Passwörter und Zugangsdaten an, die innerhalb eines definierten Zeitraums nicht rotiert wurden. Dies gibt dem Sicherheitsteam einen kontinuierlichen Überblick über die Zugangsdaten-Hygiene ohne manuelle Audits. Wenn Zugangsdaten als schwach oder wiederverwendet erscheinen, ist dies für den Administrator sichtbar, nicht in einer Tabellenkalkulation vergraben.
Self-hosted vs. Cloud: Welche Bereitstellung passt zu Ihrer Organisation
Passwork ist in zwei Bereitstellungsmodellen verfügbar. Die Wahl zwischen ihnen hängt von Ihren Compliance-Anforderungen, IT-Kapazitäten und Risikotoleranz ab.
| Kriterium | Self-hosted | Passwork Cloud |
|---|---|---|
| Datenspeicherort | Ihre eigene Infrastruktur | EU-Sovereign-Cloud |
| Bereitstellungszeit | Stunden bis Tage | Minuten |
| Compliance-Kontrolle | Vollständig (Sie besitzen den Stack) | Modell der geteilten Verantwortung |
| Wartungsaufwand | Ihr Team verwaltet Updates | Von Passwork verwaltet |
| Verschlüsselung | AES-256, clientseitig, auf Ihren Servern | AES-256, Zero-Knowledge, clientseitig |
| Ideal für | Regulierte Branchen, Behörden, Hochsicherheitsumgebungen | KMUs, verteilte Teams, schnelle Bereitstellung |
Self-hosted-Bereitstellung ist sinnvoll, wenn Ihre Organisation unter strengen Datensouveränitätsanforderungen arbeitet: Behörden, Finanzinstitute, Gesundheitsorganisationen und Unternehmen, die branchenspezifischen Vorschriften unterliegen, die verbieten, dass Daten die interne Infrastruktur verlassen. Sie betreiben Passwork auf Ihren eigenen Servern (Linux mit Docker oder Windows Server), und alle Zugangsdaten werden mit AES-256 verschlüsselt, bevor sie jemals die Festplatte berühren. Die Verschlüsselungsschlüssel bleiben bei Ihnen.
Passwork Cloud ist die richtige Wahl, wenn Sie schnell einsatzbereit sein müssen und nicht die IT-Kapazität haben, um eine On-Premises-Infrastruktur zu verwalten. Die Cloud-Instanz wird innerhalb der EU-Jurisdiktion gehostet und verwendet dieselbe Zero-Knowledge-, clientseitige Verschlüsselungsarchitektur wie die Self-hosted-Version. Passwork Cloud ist ISO 27001 zertifiziert und DSGVO- sowie NIS2-konform.
Beide Modelle unterstützen den vollständigen Funktionsumfang: RBAC, AD/LDAP-Integration, SSO, Audit-Logs und die REST API.
Die Offboarding-Checkliste: Zugangsdaten sichern, wenn jemand das Unternehmen verlässt
Die meisten Sicherheitsvorfälle im Zusammenhang mit ausscheidenden Mitarbeitern passieren, weil Offboarding als HR-Prozess behandelt wird, nicht als Sicherheitsprozess. Die folgenden Schritte sollten parallel zu oder vor dem letzten Arbeitstag des Mitarbeiters durchgeführt werden.
Die 7-Schritte-Offboarding-Checkliste für Zugangsdaten
- Deaktivieren Sie das Konto sofort. In Passwork widerruft die Deaktivierung eines Benutzerkontos sofort alle Tresor- und Ordnerzugriffe. Wenn AD/LDAP-Synchronisierung konfiguriert ist, geschieht dies automatisch, wenn das Verzeichniskonto deaktiviert wird.
- Prüfen Sie geteilte Zugangsdaten. Überprüfen Sie das Aktivitätsprotokoll auf Zugangsdaten, auf die der ausscheidende Mitarbeiter in den letzten 30-90 Tagen zugegriffen hat. Dies ist Ihre Rotationsliste.
- Rotieren Sie Zugangsdaten, auf die er Bearbeitungszugriff hatte. Nur-Lesen-Zugriff ist risikoärmer; Bearbeitungszugriff bedeutet, dass er die Zugangsdaten hätte kopieren oder ändern können. Rotieren Sie diese zuerst.
- Widerrufen Sie alle aktiven Freigabelinks. Prüfen Sie auf nicht abgelaufene Einmal-Links, die der Mitarbeiter generiert hat. Widerrufen Sie sie vor dem letzten Arbeitstag.
- Übertragen Sie die Tresor-Eigentümerschaft. Wenn der Mitarbeiter Tresore besaß oder administrierte, übertragen Sie die Eigentümerschaft auf einen anderen Administrator, bevor das Konto deaktiviert wird.
- Prüfen Sie auf persönliche Tresore. Einige Benutzer speichern Arbeitszugangsdaten in persönlichen Browser-Tresoren oder Passwort-Manager-Konten außerhalb des Unternehmenstools. Dies ist Shadow IT. Adressieren Sie dies in Ihrer Richtlinie, nicht erst beim Offboarding.
- Dokumentieren Sie den Prozess. Protokollieren Sie die durchgeführten Offboarding-Aktionen, die rotierten Zugangsdaten und den Zeitstempel. Dies ist der Nachweis für ein zukünftiges Audit.
Der Unterschied zwischen einem sauberen Offboarding und einem Zugangsdaten-Vorfall liegt meist darin, ob Schritt 2 vor oder nach dem Ausscheiden des Mitarbeiters durchgeführt wurde.
Best Practices für Team-Passwortverwaltung 2026
Die Implementierung eines Passwort-Managers ist nur der erste Schritt zur Absicherung der Infrastruktur Ihrer Organisation. Um eine widerstandsfähige Sicherheitslage aufzubauen, müssen Sie Ihre täglichen Arbeitsabläufe mit modernen Authentifizierungsstandards in Einklang bringen und Gewohnheiten eliminieren, die Zugangsdaten externen Bedrohungen aussetzen.
Die folgenden Praktiken konzentrieren sich auf die Reduzierung der Angriffsfläche, die Sicherung der Maschine-zu-Maschine-Kommunikation und die Etablierung einer nahtlosen Benutzererfahrung, die unsichere Workarounds auf natürliche Weise eliminiert.
Adressieren Sie Shadow IT, bevor es Sie adressiert
Shadow IT im Bereich der Zugangsdatenverwaltung bedeutet, dass Mitarbeiter persönliche Passwort-Manager, im Browser gespeicherte Passwörter oder geteilte Tabellenkalkulationen außerhalb des genehmigten Tools verwenden. Laut Huntress (2024) identifizieren mehr als ein Viertel der Cybersicherheitsexperten Mitarbeiter, die dieselben oder schwache Passwörter verwenden, als ihre problematischste Sicherheitsgewohnheit.
Die Lösung ist kein Richtlinienmemo. Sie besteht darin, das genehmigte Tool einfacher zu bedienen als den Workaround. Browser-Erweiterungen, mobile Apps und Autofill-Unterstützung beseitigen die Reibung, die Menschen zu informellen Alternativen treibt. Wenn die Nutzung eines Passwort-Managers schneller ist als das Öffnen einer Tabellenkalkulation, werden die meisten Mitarbeiter ihn verwenden.
Wenden Sie die NIST Rev. 4-Mindestanforderungen auf Ihre Passwortrichtlinie an
Aktualisieren Sie die Passwortrichtlinie Ihrer Organisation entsprechend NIST SP 800-63B Rev. 4 (2025):
- Mindestens 15 Zeichen für Passwörter, die als einziger Authentifikator verwendet werden
- Keine obligatorischen Komplexitätsregeln (keine „muss eine Zahl und ein Symbol enthalten"-Anforderungen)
- Kein periodisches Ablaufdatum; Rotation nur bei bestätigter oder vermuteter Kompromittierung
- Neue Passwörter gegen eine Datenbank kompromittierter Zugangsdaten prüfen
Das Sicherheits-Dashboard von Passwork markiert schwache Passwörter, die Ihre definierten Schwellenwerte nicht erfüllen. Kombinieren Sie dies mit einer Richtlinie, die aktuelle NIST-Empfehlungen widerspiegelt, und Sie haben eine vertretbare Zugangsdaten-Hygiene-Position.
Behandeln Sie nicht-menschliche Zugangsdaten als vollwertige Bürger
API-Schlüssel, Service-Account-Passwörter, Datenbankverbindungszeichenfolgen und Deployment-Tokens sind ebenfalls Zugangsdaten. Sie sind oft gefährlicher als menschliche Zugangsdaten, weil sie langlebig sind, selten rotiert werden und häufig in Code oder Konfigurationsdateien eingebettet sind.
Passwork handhabt Secrets (Maschinen-Zugangsdaten) zusammen mit menschlichen Passwörtern, mit denselben RBAC-, Audit-Logging- und Rotationsverfolgungsfunktionen. Die technischen Leitfäden von Passwork behandeln Secrets-Management für DevOps-Workflows, einschließlich CI/CD-Pipeline-Integration.
Erzwingen Sie 2FA flächendeckend
Der State of Passkeys Report 2026 der FIDO Alliance ergab, dass 5 Milliarden Passkeys weltweit aktiv genutzt werden und 68 % der Organisationen Passkeys für die Mitarbeiterauthentifizierung einführen, pilotieren oder ausrollen. Passkeys repräsentieren die Entwicklungsrichtung, aber in der Zwischenzeit ist TOTP-basierte 2FA auf jedem Account der Mindeststandard.
In Passwork können Administratoren 2FA auf Organisationsebene verpflichtend machen. Es gibt keine Opt-out-Möglichkeit für Benutzer. Wenn Ihre aktuelle Einrichtung 2FA optional macht, ist das eine Richtlinienlücke, die es wert ist, heute geschlossen zu werden.
Migration Ihres Teams zu einem zentralen Passwort-Manager
Migration scheitert, wenn sie als technisches Projekt behandelt wird statt als Change-Management-Projekt. Die technischen Schritte sind unkompliziert. Das Team dazu zu bringen, die alten Methoden nicht mehr zu verwenden, erfordert mehr Arbeit.
Das 5-Phasen-Migrationsframework
- Inventur (Woche 1-2). Identifizieren Sie alle derzeit genutzten Zugangsdatenspeicher: Tabellenkalkulationen, geteilte Browser-Profile, persönliche Passwort-Manager, Chat-Nachrichten. Gehen Sie nicht davon aus, dass Sie alle kennen; fragen Sie das Team. Das Ziel ist ein vollständiges Bild, bevor Sie etwas verschieben.
- Strukturdesign (Woche 2-3). Definieren Sie Ihre Tresor- und Ordnerhierarchie, bevor Sie etwas importieren. Eine flache Struktur mit 200 Zugangsdaten in einem Tresor ist kaum besser als eine Tabellenkalkulation. Gestalten Sie sie entsprechend der tatsächlichen Arbeitsweise Ihres Teams: nach Projekt, nach System, nach Umgebung oder nach Team.
- Import und Validierung (Woche 3-4). Importieren Sie Zugangsdaten aus bestehenden Quellen mit den Import-Tools von Passwork. Validieren Sie, dass Einträge vollständig und korrekt kategorisiert sind. Weisen Sie Eigentümerschaft und Zugriffsberechtigungen zu, bevor Sie die Migration ankündigen.
- Schulung und Rollout (Woche 4-5). Führen Sie eine kurze Sitzung durch (30 Minuten reichen für die meisten Teams), die die Browser-Erweiterung behandelt, wie man Zugangsdaten abruft und wie man sie teilt. Das Ziel ist, die Ausrede „Ich weiß nicht, wie man es benutzt" zu beseitigen.
- Alte Speicher außer Betrieb nehmen (Woche 6+). Setzen Sie eine feste Frist für die Abschaltung der Tabellenkalkulation oder des geteilten Ordners. Kündigen Sie sie im Voraus an. Nach der Frist löschen Sie den alten Speicher und bestätigen Sie mit dem Team, dass das neue System die einzige Wahrheitsquelle ist.
Der häufigste Migrationsfehler ist, das alte System „nur für den Fall" weiter zugänglich zu lassen. Solange die Tabellenkalkulation existiert, werden einige Leute sie verwenden.
In die Praxis umsetzen

Die Lücke zwischen „wir haben einen Passwort-Manager" und „unsere Zugangsdatensicherheit ist tatsächlich unter Kontrolle" ist größer, als die meisten Teams erwarten. Das Tool ist der einfache Teil. Die Arbeit sind die Tresor-Struktur, die Zugriffsrichtlinie, der Offboarding-Prozess und die laufende Hygiene: sicherstellen, dass schwache Zugangsdaten rotiert werden und dass die Tabellenkalkulation, die jemand in der Finanzabteilung noch verwendet, außer Betrieb genommen wird.
Beginnen Sie mit der Inventur. Sie können nicht sichern, was Sie nicht sehen können. Sobald Sie wissen, welche Zugangsdaten existieren und wo sie sich befinden, folgt jeder andere Schritt logisch.
Häufig gestellte Fragen

Was ist Team-Passwortverwaltung?
Team-Passwortverwaltung ist die Praxis, Zugangsdaten innerhalb einer Gruppe mit einem dedizierten Tool zu speichern, zu teilen und den Zugriff darauf zu kontrollieren. Sie ersetzt informelle Methoden (Tabellenkalkulationen, Chat-Nachrichten, geteilte Browser-Profile) durch ein strukturiertes System, das Zugriffskontrollen durchsetzt, Aktivitäten protokolliert und sicheres Offboarding unterstützt.
Warum ist das Teilen von Passwörtern über Messenger oder E-Mail ein Sicherheitsrisiko?
Zugangsdaten, die über Messaging-Plattformen oder E-Mail gesendet werden, werden an mehreren Orten außerhalb Ihrer Kontrolle gespeichert: im Gesendet-Ordner des Absenders, im Posteingang des Empfängers, im Nachrichtenverlauf und möglicherweise auf Servern von Drittanbietern. Es gibt kein Ablaufdatum, keinen Zugriffswiderruf und keinen Audit-Trail. Wenn eines der Konten kompromittiert wird, sind die Zugangsdaten offengelegt.
Was sollte ein Team-Passwort-Manager beinhalten?
Ein Team-Passwort-Manager sollte zentrale Zugangsdatenspeicherung, rollenbasierte Zugriffskontrolle (RBAC), Audit-Logging, sichere externe Freigabe, Integration mit AD/LDAP und SSO sowie verpflichtende 2FA-Durchsetzung bieten. Für DevOps-Teams sind API-Zugriff und Secrets-Management für CI/CD-Pipelines ebenfalls erforderlich.
Was erfordert NIST SP 800-63B Rev. 4 für Passwörter?
NIST SP 800-63B Rev. 4 (2025) erfordert mindestens 15 Zeichen, wenn ein Passwort der einzige Authentifikator ist, verbietet obligatorische Komplexitätsregeln (wie das Erfordernis von Zahlen oder Symbolen), eliminiert periodische Ablaufrichtlinien und schreibt vor, neue Passwörter gegen bekannte Datenbanken kompromittierter Zugangsdaten zu prüfen.
Wie hilft ein Passwort-Manager beim Mitarbeiter-Offboarding?
Ein Passwort-Manager mit RBAC und AD/LDAP-Integration macht Offboarding deterministisch. Das Deaktivieren eines Benutzerkontos oder das Entfernen aus einer Verzeichnisgruppe widerruft sofort den Zugriff auf alle zugehörigen Tresore. Das Aktivitätsprotokoll zeigt, auf welche Zugangsdaten zugegriffen wurde, und gibt Ihnen eine präzise Rotationsliste statt einer Vermutung.
Was ist der Unterschied zwischen Self-hosted und Cloud-Passwortverwaltung?
Ein Self-hosted-Passwort-Manager läuft auf Ihrer eigenen Infrastruktur und gibt Ihnen volle Kontrolle über Datenspeicherort, Verschlüsselungsschlüssel und Konfiguration. Ein Cloud-Passwort-Manager wird vom Anbieter gehostet. Beide können Zero-Knowledge-Verschlüsselung verwenden, was bedeutet, dass die Server des Anbieters niemals Klartext-Zugangsdaten sehen. Self-hosted wird für regulierte Branchen bevorzugt; Cloud ist schneller bereitzustellen und erfordert weniger Wartungsaufwand.
Wie migriert man ein Team zu einem neuen Passwort-Manager?
Beginnen Sie mit einer Inventur aller bestehenden Zugangsdatenspeicher, entwerfen Sie Ihre Tresor-Struktur, bevor Sie etwas importieren, importieren und validieren Sie Zugangsdaten, führen Sie eine kurze Schulung durch und setzen Sie eine feste Frist für die Abschaltung des alten Systems. Der häufigste Fehler ist, die alte Tabellenkalkulation oder den geteilten Ordner nach der Migration weiter zugänglich zu lassen; solange sie existiert, werden einige Teammitglieder sie verwenden.



Inhaltsverzeichnis
- Wichtige Erkenntnisse
- Die Kosten des informellen Teilens von Zugangsdaten
- Was Teams wirklich von einem Passwort-Manager benötigen
- NIST SP 800-63B Rev. 4: Was sich 2025 geändert hat
- Wie Passwork jede Herausforderung adressiert
- Self-hosted vs. Cloud: Welche Bereitstellung passt zu Ihrer Organisation
- Die Offboarding-Checkliste: Zugangsdaten sichern, wenn jemand das Unternehmen verlässt
- Best Practices für Team-Passwortverwaltung 2026
- Migration Ihres Teams zu einem zentralen Passwort-Manager
- In die Praxis umsetzen
- Häufig gestellte Fragen
Inhaltsverzeichnis
- Wichtige Erkenntnisse
- Die Kosten des informellen Teilens von Zugangsdaten
- Was Teams wirklich von einem Passwort-Manager benötigen
- NIST SP 800-63B Rev. 4: Was sich 2025 geändert hat
- Wie Passwork jede Herausforderung adressiert
- Self-hosted vs. Cloud: Welche Bereitstellung passt zu Ihrer Organisation
- Die Offboarding-Checkliste: Zugangsdaten sichern, wenn jemand das Unternehmen verlässt
- Best Practices für Team-Passwortverwaltung 2026
- Migration Ihres Teams zu einem zentralen Passwort-Manager
- In die Praxis umsetzen
- Häufig gestellte Fragen
Self-hosted-Passwort-Manager für Ihr Unternehmen
Passwork bietet den Vorteil einer effektiven Teamarbeit mit Unternehmenspasswörtern in einer vollständig sicheren Umgebung
Mehr erfahren


