Een wachtwoordmanager kiezen voor je MKB: waar let je écht op?

Die Wahl eines Passwort-Managers ist keine Geschmacksfrage, aber auch keine Raketenwissenschaft. Ein praktischer Leitfaden für Unternehmer ohne eigene IT-Abteilung.

Fast jeder Unternehmer, mit dem wir sprechen, weiß inzwischen, dass ein Passwort-Manager kein Luxus ist. Trotzdem beobachten wir in der Praxis, dass die Entscheidung entweder jahrelang aufgeschoben wird – oder innerhalb von fünf Minuten auf Basis einer Podcast-Werbung fällt. Beides funktioniert nicht. In diesem Beitrag gehen wir durch, worauf es wirklich ankommt, wenn du einen Passwort-Manager für ein Unternehmen mit 5 bis 50 Mitarbeitern auswählst.

Was ein Passwort-Manager leisten soll – und was nicht

Die Grundlage ist einfach: ein zentraler Ort für alle Passwörter, gesichert mit einem starken Masterpasswort und Zwei-Faktor-Authentifizierung. Jeder hat seinen eigenen Tresor, ergänzt durch gemeinsame Tresore für Team-Accounts (etwa das info@-Postfach, die Buchhaltungssoftware oder das LinkedIn-Unternehmensprofil).

Was ein Passwort-Manager nicht sein sollte: ein Ablageort für beliebige Dokumente, ein Ersatz für dein IAM-Tool oder ein Vorwand, Passwörter zu teilen, die eigentlich persönlich bleiben sollten. Halte diese Grenze klar, dann bleibt das Tool praktikabel.

Die fünf Kriterien, die wirklich zählen

1. Echte Team-Funktionalität – kein Familien-Abo

Viele kleine Unternehmen starten mit einem Family-Plan eines Consumer-Managers. Das reicht bis zum fünften Mitarbeiter – danach nicht mehr. Du brauchst rollenbasierte Zugriffssteuerung, gemeinsame Tresore pro Abteilung und die Möglichkeit, den Zugriff einer Person mit einem Klick zu entziehen. Prüfe, ob du Benutzer gruppieren kannst und ob ersichtlich ist, wer Zugang zu welchem Tresor hat.

2. Ein sauberer Offboarding-Prozess

Wenn jemand das Unternehmen verlässt, musst du innerhalb weniger Minuten den Zugriff sperren und die gemeinsamen Passwörter rotieren können. Nicht alle Manager machen das gleich einfach. Fordere eine Demo an und lass das Szenario „Mitarbeiter verlässt das Unternehmen noch heute" vorführen. Gibt es dabei Chaos? Nächster Kandidat.

3. Protokollierung und Audit-Trail

Wer hat wann welches Passwort eingesehen? Für einen GDPR-Vorfall, einen Verdacht auf Datenleck oder eine routinemäßige Zugriffsüberprüfung musst du das nachweisen können. Ein Audit-Log ist kein Luxus – es ist Beweismittel.

4. SSO und SCIM (wenn das Budget es erlaubt)

Nutzt du Microsoft 365 mit einer ordentlichen Lizenz, willst du deinen Passwort-Manager mit Entra ID verbinden. Neuer Mitarbeiter in Entra angelegt? Automatisch ein Account im Passwort-Manager. Ausgeschieden? Automatisch entfernt. Das ist oft einem teureren Plan vorbehalten, spart aber enorm viel manuelle Arbeit. Für kleine Teams ist es Overkill; ab etwa 15 Mitarbeitern lohnt es sich.

5. Speicherort der Daten

Die großen Anbieter setzen auf Zero-Knowledge-Verschlüsselung, was bedeutet, dass der Anbieter selbst deine Passwörter nicht einsehen kann. Gut. Schau außerdem, wo die verschlüsselten Daten gespeichert werden (EU ist ein Vorteil für die GDPR-Konformität) und wie der Anbieter mit Sicherheitsvorfällen umgeht. Ein früheres Datenleck ist kein automatischer Ausschlussgrund – entscheidend ist, wie darauf reagiert wurde.

Die praktischen Fragen, die kaum jemand stellt

Neben diesen fünf Kriterien gibt es ein paar ganz pragmatische Fragen, die du in einer Demo unbedingt stellen solltest:

• Funktioniert es auf den Smartphones aller Mitarbeiter? iOS und Android – und erkennt die App Zugangsdaten in anderen Apps automatisch?
• Was passiert, wenn jemand sein Masterpasswort vergisst? Gibt es einen Wiederherstellungsprozess, oder ist alles verloren? Und was bedeutet das für dich als Administrator?
• Wie einfach ist der Massenimport? Du musst womöglich 80 Passwörter aus einer Excel-Datei oder einem anderen Tool übertragen, ohne einen ganzen Abend zu opfern.
• Kannst du pro Tresor eine separate 2FA erzwingen? Masterpasswort plus 2FA ist Standard, aber für echte Kronjuwelen willst du ein zusätzliches Schloss.

Was in der Praxis funktioniert

Für die meisten KMU funktioniert dieser Aufbau:

1. Ein Passwort-Manager für das gesamte Unternehmen – nicht drei verschiedene pro Abteilung.
2. Persönlicher Tresor pro Mitarbeiter – auch für private Passwörter, sonst wird er nicht konsequent genutzt.
3. Gemeinsame Tresore pro Team oder Projekt, mit klar benannten Verantwortlichen.
4. Ein separater Tresor für „Admin/Kronjuwelen" mit stark eingeschränktem Zugriff und zusätzlicher 2FA.
5. Eine halbjährliche Überprüfung: Wer hat Zugriff auf welchen Tresor – und ist das noch korrekt?

Dieser letzte Schritt ist keine Übertreibung. Er ist genau der Grund, warum wir bei Kunden so häufig vergessene Accounts finden – vergessen, weil niemand je nachgeschaut hat.

Die größte Falle: Einführung ohne Plan

Das Tool auswählen ist der einfache Teil. Die Einführung ist, wo es schiefläuft. Mitarbeiter nutzen weiterhin ihre alte Excel-Liste „bis es ruhiger wird" oder speichern Passwörter trotzdem im Browser. Plane deshalb mindestens eine gemeinsame Sitzung, in der jeder tatsächlich seine ersten zwanzig Passwörter in den Manager einträgt. Und legt fest: Ab Datum X verschwinden Excel, Post-its und Browser-Speicherung.

Ein Passwort-Manager ist eine jener Investitionen, bei der man im Nachhinein denkt: Warum habe ich das nicht früher gemacht? Aber nur, wenn man ihn auch wirklich nutzt.

Willst du den größeren Zusammenhang verstehen – wie gemeinsame Accounts sicher bleiben, wie du 2FA ausrollst und wie du Zugänge sauber vergibst und entziehst? Dann schau dir unsere 2FA-Implementierung und den Zugangs-Check an. Wir helfen dir nicht nur bei der Auswahl, sondern auch bei der tatsächlichen Einführung.