Zum Hauptinhalt springen
Passwork LogoPasswork LogoSecurity champion course

Passwortverwaltung

Passwörter sind die Eingangstür zu allem, worauf Ihr Unternehmen aufbaut. E-Mail, Cloud-Infrastruktur, Quellcode, Datenbanken, Finanzsysteme – alles wird in erster Linie durch ein Passwort geschützt. Noch vor Firewalls, vor Verschlüsselung, vor jeder anderen Sicherheitsmaßnahme gilt: Wer das Passwort hat, kommt rein.

Deshalb ist Passwortverwaltung kein optionales Extra. Sie ist das Fundament, auf dem alles andere aufbaut. Sie können die besten Sicherheits-Tools der Welt einsetzen – wenn Ihr Team Passwörter mehrfach verwendet, Zugangsdaten in Slack speichert oder den AWS-Root-Account über ein Google-Dokument teilt, nützt das alles nichts.

Wenn Sicherheitsforscher Vorfälle bei kleinen Unternehmen analysieren, tauchen immer wieder dieselben Muster auf:

  • Jemand hat sein privates E-Mail-Passwort für einen Arbeits-Account wiederverwendet
  • Ein geteiltes Passwort lag in einem Slack-Kanal, und der Account wurde kompromittiert
  • Das Passwort eines ehemaligen Mitarbeiters funktionierte noch sechs Monate nach dessen Ausscheiden
  • Das Passwort des AWS-Root-Accounts lag in einem Google-Dokument

Das sind keine ausgefeilten Angriffe. Sie sind opportunistisch. Und sie lassen sich mit einem einzigen Tool verhindern: einem Passwortmanager.

Privater vs. geschäftlicher Passwortmanager

Die meisten Entwickler nutzen bereits einen privaten Passwortmanager. Das ist gut. Aber ein privates Tool – auch ein gutes – ist nicht für den Unternehmenseinsatz ausgelegt.

Hier ist der Unterschied:

Ein privater Passwortmanager ist für eine einzelne Person gedacht, die ihre eigenen Accounts verwaltet. Er speichert Ihre Passwörter, synchronisiert sie zwischen Ihren Geräten und erlaubt es, ein paar Einträge mit einer anderen Person zu teilen. Das ist der gesamte Umfang.

Ein geschäftlicher Passwortmanager ist für Teams, Rollen und betriebliche Kontinuität ausgelegt. Der Funktionsumfang ist grundlegend anders, weil das Problem ein anderes ist:

PrivatGeschäftlich
BenutzerEine PersonTeams, Abteilungen, das gesamte Unternehmen
TeilenEinfache Freigabe-LinksGeteilte Tresore mit rollenbasierter Zugriffskontrolle
OffboardingNicht zutreffendZugriff sofort in allen Systemen widerrufen
AuditKeinesVollständiges Protokoll jeder Aktion, von jedem Benutzer
AdministrationKeineZentrale Verwaltungskonsole, Richtliniendurchsetzung
ComplianceKeineAudit-Berichte, Zugriffsreviews, DSGVO-Tooling
DevOpsKeineCLI, API, CI/CD-Pipeline-Integration

Wer einen geschäftlichen Passwortmanager tatsächlich nutzt

Ein geschäftlicher Passwortmanager ist nicht nur für die Personen da, die Passwörter speichern. Er bedient mehrere verschiedene Rollen:

Mitarbeiter – speichern und rufen ihre eigenen Zugangsdaten ab, greifen auf geteilte Tresore zu, für die sie Berechtigung haben, nutzen Browser-Erweiterungen und mobile Apps.

Administratoren – verwalten Benutzerkonten, erstellen Tresorstrukturen, legen Passwortrichtlinien fest, erzwingen MFA, übernehmen Onboarding und Offboarding, überprüfen, wer worauf Zugriff hat.

Sicherheitsspezialisten – führen Zugriffsaudits durch, prüfen das vollständige Aktivitätsprotokoll, identifizieren schwache oder mehrfach verwendete Passwörter im gesamten Unternehmen, überprüfen, welche Zugangsdaten nicht rotiert wurden.

Auditoren – erstellen Compliance-Berichte, verifizieren die korrekte Anwendung von Zugriffskontrollen, bestätigen, dass sensible Systeme gemäß Richtlinie geschützt sind.

DevOps-Ingenieure – rufen Secrets programmatisch über CLI oder API für CI/CD-Pipelines ab, schleusen Zugangsdaten ohne Hardcoding in Container ein, rotieren Secrets ohne Anpassung der Deployment-Konfigurationen.

Warum private Tools nicht skalieren

Das Offboarding-Problem allein macht private Tools für den Unternehmenseinsatz unpraktisch. Wenn jemand das Unternehmen verlässt:

  • Sein privater Passwortmanager-Account geht mit ihm. Wenn er darin Unternehmens-Zugangsdaten gespeichert hat, liegen diese noch immer in seinem Tresor.
  • Per E-Mail oder Slack geteilte Zugangsdaten lassen sich nicht widerrufen – es gibt keine Möglichkeit zu wissen, was weitergeleitet wurde.
  • Sie können keine Liste erstellen, worauf die Person Zugriff hatte, weil es keine zentrale Aufzeichnung gibt.

Mit einem geschäftlichen Passwortmanager ist Offboarding eine einzige Aktion: Account deaktivieren. Der Zugriff auf alle geteilten Tresore wird sofort widerrufen. Das Audit-Log zeigt jede Zugangsdaten, auf die die Person zugegriffen hat. Sie erhalten eine Liste der geteilten Passwörter, die die Person kannte – und können die wichtigen rotieren.

Die gleiche Logik gilt für Zugriffsaudits. Vor einem geschäftlichen Passwortmanager beantwortet man die Frage „Wer hat Zugriff auf das Produktions-AWS?" dadurch, dass man Leute fragt. Danach ist es eine Abfrage.

Welchen Passwortmanager verwenden

Dieser Kurs wird Ihnen von Passwork präsentiert, und das ist unsere Empfehlung.

Passwork ist ein geschäftlicher Passwortmanager, der auf zwei Kernprinzipien aufbaut: Zero-Knowledge-Verschlüsselung und vollständige Kontrolle über Ihre Daten. Was das in der Praxis bedeutet:

Deployment-Optionen. Passwork gibt es in zwei Varianten:

  • On-Premise – auf Ihren eigenen Servern installiert. Ihre Passwörter verlassen Ihre Infrastruktur nie. Vollständige Datenhoheit. Geeignet für regulierte Branchen, Unternehmen mit strikten Sicherheitsrichtlinien oder alle, die keine Zugangsdaten in einer externen Cloud speichern möchten.
  • Cloud – gehostet von Passwork. Schnellere Einrichtung, keine Infrastruktur zu pflegen. Dennoch Zero-Knowledge – Passwork kann nicht auf Ihre Daten zugreifen, auch nicht in der Cloud-Version.

Sicherheitsarchitektur. AES-256- und RSA-Verschlüsselung. Client-seitige Verschlüsselung bedeutet, dass Passwörter verschlüsselt werden, bevor sie Ihr Gerät verlassen. ISO 27001 zertifiziert. Unabhängig von HackerOne getestet. DSGVO-konform. Vertrauen von Behörden und regulierten Organisationen in ganz Europa.

Team- und Admin-Funktionen. Geteilte Tresore mit granularen Berechtigungen, rollenbasierte Zugriffskontrolle, Audit-Logs, Compliance-Berichte, Active-Directory- und LDAP-Integration, SAML-SSO. Skaliert von 10 bis über 30.000 Benutzern, ohne dass ein Tool-Wechsel nötig wird.

DevOps-Integration. CLI für CI/CD-Pipelines, Python-SDK, Docker- und Kubernetes-Secret-Injection. Wenn Ihr Team Deployments durchführt, kann Passwork hartcodierte Zugangsdaten in Ihren Pipelines vollständig ersetzen.

Preise. Standard-Plan ab €3/Benutzer/Monat (jährliche Abrechnung). Kostenloser Test verfügbar, keine Kreditkarte erforderlich.

Verwenden Sie keine rein browserbasierten Passwortspeicher – diese unterstützen weder Teilen noch Teamverwaltung, und Sie verlieren die Zugriffskontrolle, wenn jemand das Unternehmen verlässt.

Einführung eines Passwortmanagers

Woche 1: Einrichtung

Erstellen Sie den Team-Account. Richten Sie die Admin-Konsole ein. Erstellen Sie geteilte Tresore für verschiedene Zwecke:

  • Einen Tresor für Infrastruktur-Zugangsdaten (AWS, Cloud-Provider, Hosting)
  • Einen Tresor für geteilte Dienste (Social-Media-Accounts, Analytics, geteilte Tools)
  • Einen Tresor für jedes Team, falls nötig

Konfigurieren Sie die Sicherheitseinstellungen: Master-Passwort-Stärke vorschreiben, 2FA für den Passwortmanager selbst aktivieren.

Woche 2: Migration

Fangen Sie mit sich selbst an. Übertragen Sie alle Ihre Arbeitspasswörter in den Manager. Installieren Sie die Browser-Erweiterung. Gewöhnen Sie sich an den Workflow.

Dann dasselbe für alle geteilten Zugangsdaten, die Sie kennen. Das AWS-Root-Account-Passwort im Google-Dokument? In den Passwortmanager verschieben und aus dem Dokument löschen.

Woche 3: Team-Einführung

Laden Sie Teammitglieder ein. Führen Sie eine 15-minütige Session durch und zeigen Sie, wie es funktioniert:

  • Wie man die Erweiterung installiert
  • Wie man neue Passwörter speichert
  • Wie man auf geteilte Tresore zugreift
  • Wie man starke Passwörter generiert

Geben Sie den Leuten eine Woche, um ihre eigenen Passwörter zu migrieren. Sprechen Sie alle an, die Schwierigkeiten haben.

Woche 4: Durchsetzung

Schreiben Sie den Passwortmanager für neue Accounts vor. Wenn jemand Zugriff auf ein geteiltes Tool benötigt, erhält er ihn über den Passwortmanager – nicht über Slack oder E-Mail.

Häufige Einwände

„Ich kann mir meine Passwörter merken"

Wahrscheinlich verwenden Sie sie mehrfach. Der Passwortmanager ermöglicht außerdem den Widerruf von Zugriffen, wenn jemand das Unternehmen verlässt – was nicht möglich ist, wenn Zugangsdaten in den Köpfen der Mitarbeiter stecken.

„Es ist unpraktisch"

Es gibt eine Eingewöhnungsphase von etwa einer Woche. Danach ist es eigentlich schneller – Sie müssen keine Passwörter eintippen und vergessen sie nie.

„Was, wenn der Passwortmanager gehackt wird?"

Ihre Passwörter werden mit Ihrem Master-Passwort verschlüsselt, bevor sie Ihr Gerät verlassen. Selbst wenn der Server kompromittiert wird, erhalten Angreifer verschlüsselte Datenbrocken, die sie nicht entschlüsseln können. Das ist besser als Passwörter in einem Google-Dokument.

Passwortrichtlinie

Sie brauchen eine schriftliche Passwortrichtlinie. Sie sollte eine Seite lang sein, nicht zehn.

Passwortrichtlinie

Passwortanforderungen:

  • Alle Arbeits-Accounts müssen Passwörter verwenden, die vom Unternehmens-Passwortmanager generiert werden
  • Mindestens 16 Zeichen (der Passwortmanager erledigt das automatisch)
  • Keine Passwort-Wiederverwendung zwischen Accounts

Passwortmanager:

  • Alle Mitarbeiter müssen Passwork für Arbeitspasswörter verwenden
  • Das Master-Passwort muss mindestens 16 Zeichen lang sein
  • Teilen Sie Ihr Master-Passwort niemals mit jemandem

Mehrfaktor-Authentifizierung:

  • MFA ist für alle kritischen Systeme Pflicht (siehe MFA-Kapitel)
  • Verwenden Sie TOTP-Apps, nicht SMS, wo immer möglich
  • Speichern Sie Backup-Codes im Passwortmanager

Geteilte Accounts:

  • Geteilte Zugangsdaten müssen im Passwortmanager gespeichert werden, niemals in Dokumenten oder Chats
  • Der Zugriff auf geteilte Accounts wird vierteljährlich überprüft

Das war's. Eine Seite. Die werden die Leute tatsächlich lesen.

Selbstkontrolle

Überprüfen Sie, bevor Sie weitermachen, ob Sie diese Punkte erledigt haben.

  • Team-Account erstellt (Passwork On-Premise oder Cloud)
  • Tresorstruktur eingerichtet (Infrastruktur, geteilte Dienste, Teams)
  • Sicherheitseinstellungen konfiguriert (Master-Passwort-Anforderungen, 2FA für den Manager)
  • Eigene Passwörter migriert
  • Mindestens eine geteilte Zugangsdaten von Slack/Docs in den Passwortmanager verschoben
  • Browser-Erweiterung installiert und funktionsfähig
  • Einladung an mindestens ein weiteres Teammitglied versandt
  • Passwortrichtlinie verfasst (eine Seite)

Wenn Sie mindestens 6 dieser 8 Punkte abhaken können, machen Sie weiter.

Wie es weitergeht

Passwörter sind geregelt. Als nächstes: Mehrfaktor-Authentifizierung – eine zweite Sicherheitsebene hinzufügen, damit gestohlene Passwörter allein nicht mehr ausreichen, um einzudringen.

© 2014–2025 «Passwork»
Unternehmen
Über unsDatenschutzrichtlinieISO 27001-ZertifikatVersionshinweiseRoadmapBlog
Browser-Erweiterung
Google ChromeMozilla FirefoxMicrosoft EdgeApple Safari
Mobile Anwendung
App StoreGoogle Play
Für Unternehmen
TeamsKleine UnternehmenUnternehmen und KonzerneEnterpriseOn-Premise-LösungPasswort-FreigabetoolSecret Management
Hilfe
BenutzerhandbuchTechnische DokumentationHilfezentrum