PAllgemein

Passwortmanager

Tool zur sicheren Speicherung/Generierung starker, einzigartiger Passwörter.

Ein Passwortmanager ist eine Software, die Passwörter (und oft auch andere Zugangsdaten) verschlüsselt speichert, starke und einzigartige Passwörter generiert und sie bei Bedarf automatisch einfügt. Für KMU reduziert er das Risiko von Kontoübernahmen durch schwache oder wiederverwendete Passwörter und unterstützt eine saubere, nachvollziehbare Zugriffskontrolle.

Was bedeutet „Passwortmanager“?

Der Begriff beschreibt ein digitales „Tresor“-System: Alle Passwörter liegen zentral in einem verschlüsselten Datenspeicher (Vault). Zugriff erhält man über ein Master-Passwort und idealerweise einen zweiten Faktor (2FA/MFA). Viele Lösungen bieten zusätzlich Team-Funktionen, z. B. geteilte Tresore für Abteilungen oder Rollen.

Wie funktioniert ein Passwortmanager? (Praxis für KMU)

  • 1) Tresor anlegen: Der Passwortmanager erstellt einen verschlüsselten Vault. Verschlüsselung bedeutet: Selbst wenn jemand die Datei/Cloud-Daten erbeutet, sind Inhalte ohne Schlüssel nicht lesbar.
  • 2) Master-Passwort + MFA: Mitarbeitende melden sich mit einem starken Master-Passwort an; MFA (z. B. Authenticator-App) senkt das Risiko bei Phishing.
  • 3) Passwörter generieren: Für jedes Konto wird ein langes, zufälliges Passwort erstellt (z. B. 20+ Zeichen). Wiederverwendung wird vermieden.
  • 4) Autofill & Browser-/App-Integration: Der Manager erkennt Login-Seiten und füllt Benutzername/Passwort aus. Das spart Zeit und reduziert Tippfehler.
  • 5) Teilen & Berechtigungen: In Teams werden Zugänge über Freigaben statt über E-Mail/Chat verteilt. Berechtigungen (lesen/ändern) und Entzug bei Austritt sind zentral steuerbar.

Warum ist ein Passwortmanager wichtig für IT-Sicherheit & Datenschutz?

Viele Angriffe auf kleine Unternehmen starten mit kompromittierten Zugangsdaten (z. B. E-Mail, Microsoft 365, Shopsysteme, Banking). Ein Passwortmanager senkt typische Ursachen: schwache Passwörter, Passwort-Recycling und „Schatten-Listen“ in Excel oder Notiz-Apps. Außerdem unterstützt er Sicherheitsstandards wie „Least Privilege“ durch kontrolliertes Teilen und erleichtert Offboarding, weil Zugänge schnell entzogen oder rotiert werden können.

Rechtliche Einordnung (DSGVO) für KMU

Die DSGVO schreibt kein konkretes Tool vor, aber verlangt „geeignete technische und organisatorische Maßnahmen“ (Art. 32 DSGVO), um personenbezogene Daten zu schützen. Da Passwörter oft der Schlüssel zu Systemen mit personenbezogenen Daten sind, ist ein Passwortmanager eine naheliegende Maßnahme, um Vertraulichkeit und Zugriffskontrolle zu verbessern. Wichtig: Nutzen Sie einen Manager so, dass Rollen, Zugriffsrechte, MFA und geregelte Prozesse (On-/Offboarding) dokumentiert sind.

Typische Einsatzbeispiele im Unternehmen

  • Gemeinsame Accounts ersetzen: Statt „info@…“ mit einem geteilten Passwort: individuelle Konten + Rollen; falls ein Shared Account nötig ist, dann über geteilten Tresor.
  • Admin-Zugänge absichern: Admin-Passwörter nur im Admin-Tresor, mit strengen Rechten und MFA.
  • Passwort-Rotation: Bei Dienstleisterwechsel oder Mitarbeiter-Austritt Passwörter zentral ändern und Freigaben entziehen.

Worauf sollten KMU bei der Auswahl achten?

  • MFA-Unterstützung und idealerweise Passkey-/FIDO2-Optionen
  • Team-/Rollenverwaltung (RBAC), Freigaben, Notfallzugriff
  • Audit-Logs (wer hat was geteilt/geändert?)
  • Hosting & Datenschutz: Serverstandort/Unterauftragsverarbeiter, AV-Vertrag (falls Cloud-Dienst)
  • Backup/Recovery und klare Offboarding-Prozesse

Ergänzend kann ein Passwortmanager mit Secrets Management (Schlüsselverwaltung) zusammenspielen: Passwörter für Menschen gehören in den Passwortmanager, technische Secrets (API-Keys, Tokens) sollten zusätzlich in dedizierte Secret-Stores und nicht in Quellcode oder Automatisierungs-Workflows.