​

Ich weiß echt nicht, was mich gerade mehr traurig macht. Dass wir 2025 immer noch Passwörter haben, oder dass wir darüber diskutieren, wie man sie richtig verwendet.

Wer kennt es nicht, dass man bei der Verwandtschaft sitzt, beim Laptop den E-Mail-Client neu verbindet und der Onkel einen Schweißausbruch bekommt, wenn man ihm nach dem Passwort fragt. – "Passwort? Ich hab kein Passwort. Das hast du doch." Meist ist dann doch eines der drei Lieblingskennwörter, die vom Online-Banking bis hin zum Torrent-Forum überall verwendet werden. Ob da jetzt hinten noch das Ausrufezeichen fehlt, hat man dann meist schnell ausprobiert.

Das ist eine berechtigte Frage. Unser Gehirn ist nicht dafür gemacht, sich zufällig generierte Kombinationen aus verschiedenen Zeichen für hunderte individuelle Zugänge zu merken. Als Passwörter in den 60ern erfunden wurden, gab es zwei Jahrzehnte später immer noch kein Internet. Und von einem Zugang der Massen ganz zu schweigen.

Es gibt mehrere Möglichkeiten, wie du Passwörter setzen kannst:

1. Du verwendest überall das gleiche Passwort.
2. Du verwendest überall das gleiche Passwort, aber leicht abgeändert.
3. Du verwendest ein paar unterschiedliche Passwörter, je nach Sicherheitsbedarf.
4. Du verwendest überall das gleiche Passwort, und schreibst noch den Namen der Webseite hinten dran.
5. Du verwendest überall unterschiedliche Passwörter, aber zufallsgeneriert.

Je näher du an Punkt 5 herankommst, desto mehr musst du deine Passwörter verwalten. Ein Passwort-Manager kann eine gute Lösung sein, aber ist es wirklich schlau, alles auf eine Karte zu setzen? Was, wenn der Passwort-Manager kompromittiert wird oder man – nicht lachen – sogar das Kennwort vergisst?

Ist ein Passwort-Manager nicht gefährlich?

Ja, das ist er. Es ist echt riskant, alle Passwörter in ein einziges System zu stecken, ohne das Risiko zu streuen. Und das gleiche gilt für das Active Directory in deinem Netzwerk und dein Entra ID in der Cloud. Auch dort sind alle deine Passwörter in einem zentralen System gespeichert. 🤯

Ein Passwort-Manager ist echt die einzige sinnvolle Lösung, um Anmeldedaten nachhaltig aufzubewahren und verschiedenen Mitarbeitern über einen sicheren Weg bereitzustellen. Du kannst die Zugriffe auf Kennwörter und Bereiche verwalten, ohne die Inhalte zu kennen. Und wenn doch mal was schiefgeht, kannst du gelöschte und veränderte Elemente auch wiederherstellen.

Eins ist klar: Wie beim AD solltest du auch hier auf höchste Sicherheit achten. Alle User müssen die Multifaktor-Authentifizierung nutzen. Und für die Admins sollte es eine zusätzliche Absicherung geben, zum Beispiel mit einem physischen Security Key. Außerdem solltest du regelmäßig ein Offline-Backup der Datenbank machen und den Master-Encryption-Key ausdrucken und im Tresor aufbewahren.

Wie du den richtigen Passwort-Manager auswählst

Wenn du alles, was dir wichtig ist, an einem Ort sammelst, solltest du dir auch Gedanken darüber machen, wem du alles anvertraust. Du musst dich erstmal für einen Passwort-Manager entscheiden, der zu dir passt. Es gibt Cloud-Lösungen, aber auch welche die du selbst bei dir im Netzwerk betreiben kannst.

Wenn du nach einem passenden Produkt suchst, solltest du die folgenden Kriterien abwägen:

• Sicherheit: Wie vertrauenswürdig ist der Hersteller, welche Kryptographie wird verwendet, und welche Absicherungen gibt es (MFA, Zertifikate)?
• Usability: Wie benutzerfreundlich ist die Oberfläche, wieviel Schulung benötigen Mitarbeiter und welche Plattformen werden unterstützt (Windows, Linux, macOS, iOS, Android, Web-Browser)?
• Hosting: Gibt es die Option das Produkt selbst zu hosten? Kann ich denn für die Sicherheit des Servers in meinem Rechenzentrum garantieren? Das ist nämlich gar nicht so trivial, wenn man keine physische Hardware mit HSM (Hardware Security Module) verwendet.
• Berechtigungen: Wie fein granular kann ich die Rechte meiner Nutzer auf verschiedene Bereiche und einzelne Elemente verwalten?
• Protokollierung: Ist in den Audit-Logs nachvollziehbar, welche Kennwörter von welchem User geöffnet wurden?
• Backup: Wie kann die Passwort-Datenbank gesichert und exportiert werden? Ist sie gegebenenfalls auch auf Drittsystemen lesbar?
• Recovery: Können überschriebene Kennwörter einfach wiederhergestellt werden? Wie sehen die Notfallzugriffe für Admins aus?
• Integration: Kann ich mein lokales AD, oder Entra ID für den Login anbinden? Möchte ich das überhaupt, oder ist mir eine Trennung lieber?
• Preis: Den kaufmännischen Aspekt sollte man auch nicht vergessen. Viele Produkte sind in der Basis-Variante sehr günstig, werden aber teuer, sobald man Features wie Single Sign-On (AD, Entra ID) dazu nimmt.

Was ist mit KeePass?

KeePass ist in Unternehmen sehr beliebt. Es ist kostenlos, muss nicht installiert werden, und einfach zu benutzen. Kurz gesagt, es ist perfekt für private und persönliche Zwecke. Leider ist KeePass aber nur ein Passwort-Tresor und kein Passwort-Manager.

Du kannst dort Kennwörter ablegen und jeder der die Zugangsdaten zu deinem Tresor hat, kann auch auf alle Inhalte zugreifen. Wenn der Zugang weg ist, kann der Tresor auch nicht mehr geöffnet werden. Das größte Problem ist aber tatsächlich, dass die Zugriffe auf einzelne Elemente nicht verwaltet und protokolliert werden können. Wenn ein Mitarbeiter ausscheidet, sollten alle darin befindlichen Kennwörter geändert werden. Viel Spaß, wenn das ein Mitarbeiter aus der IT-Abteilung ist und nur ein KeePass Tresor für alle wichtigen Service-Accounts verwendet wurde.

Fazit

Du kannst von den Mitarbeitern nicht erwarten, dass sie überall sichere und unterschiedliche Kennwörter verwenden, wenn du ihnen nicht die entsprechenden Werkzeuge zur Verfügung stellst.

Investier in einen guten Passwort-Manager für alle Mitarbeiter und schule sie auch ausreichend, wie sie ihn verwenden. Das Letzte, was du willst, ist, dass deine Leute alle Kennwörter im Passwort-Manager abgelegt haben, aber trotzdem überall gleich sind. 😭