Schluss mit Passwort-Chaos: Warum jedes Unternehmen einen Passwort-Manager braucht

Die meisten Cyberangriffe auf kleine und mittlere Unternehmen sind nicht das Werk genialer Hacker, die sich durch komplexe Firewalls kämpfen. Sie beginnen mit etwas viel Banalerern: einem Passwort, das jemand mehrfach verwendet hat. Ein Mitarbeiter nutzt dasselbe Passwort für seinen privaten E-Mail-Account und das Firmen-CRM. Der private Account wird bei einem Datenleck kompromittiert. Der Angreifer probiert die Zugangsdaten bei bekannten Business-Tools aus - und ist drin.

Die Dimension des Problems

Cybernews hat zwischen April 2024 und April 2025 über 19 Milliarden geleakte Passwörter analysiert. Das Ergebnis: 94 Prozent davon waren wiederverwendet oder dupliziert. Das bedeutet, dass die überwältigende Mehrheit der Menschen für verschiedene Dienste identische oder nahezu identische Passwörter nutzt.

Für Unternehmen ist das eine Katastrophe mit Ansage. Im Jahr 2025 waren 80 Prozent aller kleinen Unternehmen von mindestens einem Cyberangriff betroffen. Die durchschnittlichen Kosten eines erfolgreichen Angriffs liegen bei 164.000 Euro für kleine Betriebe - eine Summe, die für viele existenzbedrohend ist. 60 Prozent der betroffenen Kleinunternehmen müssen innerhalb von sechs Monaten nach einem schweren Cyberangriff schliessen.

Und das Erschreckende: In 41 Prozent der Fälle war nicht ausgefeilte Schadsoftware die Ursache, sondern menschliche Fehler. Ein falscher Klick, ein wiederverwendetes Passwort, ein fehlendes Update.

Warum "gute Passwörter merken" nicht funktioniert

Der durchschnittliche Arbeitnehmer verwaltet heute zwischen 50 und 100 verschiedene Zugangsdaten. E-Mail, CRM, Projektmanagement, Cloud-Speicher, Banking, Social Media, Branchensoftware, Lieferantenportale. Für jeden Dienst ein einzigartiges, langes, komplexes Passwort zu erstellen und sich zu merken, ist schlicht unmöglich. Deshalb greifen 68 Prozent der Mitarbeiter zur einfachsten Lösung: Sie verwenden dasselbe Passwort überall.

Auch die beliebten Strategien helfen nicht wirklich. "Firmenname2025!" ist kein sicheres Passwort - es ist ein Muster, das Angreifer als erstes testen. Passwörter auf Zetteln am Monitor sind offensichtlich keine Lösung. Und Excel-Listen mit Zugangsdaten sind nicht nur unsicher, sondern ein Datenschutz-Alptraum, der bei einer DSGVO-Prüfung für erhebliche Probleme sorgen kann.

Die Lösung: Ein Passwort-Manager

Ein Passwort-Manager löst das Grundproblem: Du musst dir nur noch ein einziges, wirklich starkes Master-Passwort merken. Alles andere erledigt die Software. Sie generiert für jeden Dienst ein einzigartiges, komplexes Passwort, speichert es verschlüsselt und füllt es bei Bedarf automatisch ein.

Für Unternehmen bieten professionelle Passwort-Manager zusätzliche Funktionen, die den Unterschied machen:

• Geteilte Tresore: Team-Zugangsdaten (Social-Media-Accounts, gemeinsam genutzte Tools) werden zentral verwaltet, ohne dass das Passwort im Klartext geteilt werden muss.
• Zugangskontrolle: Administratoren können festlegen, wer auf welche Zugangsdaten zugreifen darf - und den Zugang sofort entziehen, wenn ein Mitarbeiter das Unternehmen verlässt.
• Sicherheitsberichte: Dashboards zeigen auf einen Blick, welche Mitarbeiter schwache oder wiederverwendete Passwörter nutzen.
• Notfall-Zugang: Definierte Vertrauenspersonen können im Ernstfall auf kritische Zugangsdaten zugreifen.

Gute Optionen für kleine und mittlere Unternehmen sind Bitwarden (Open Source, ab 4 Dollar pro Nutzer und Monat), 1Password Business (ab 7,99 Dollar) und Keeper (ab 3,75 Dollar). Alle drei bieten die genannten Team-Funktionen, End-to-End-Verschlüsselung und sind DSGVO-konform einsetzbar.

Der zweite Faktor: 2FA ist Pflicht

Ein Passwort-Manager allein reicht nicht. Was passiert, wenn trotzdem ein Passwort kompromittiert wird - etwa durch einen Phishing-Angriff? Hier kommt die Zwei-Faktor-Authentifizierung ins Spiel.

Bei 2FA reicht das Passwort allein nicht mehr aus, um sich anzumelden. Zusätzlich wird ein zweiter Faktor benötigt: ein Code aus einer Authenticator-App, ein Hardware-Schlüssel oder eine biometrische Bestätigung. Selbst wenn ein Angreifer dein Passwort kennt, kommt er ohne den zweiten Faktor nicht rein.

Die Realität zeigt allerdings ein Problem: Während 87 Prozent der grossen Unternehmen bereits MFA durchsetzen, liegt die Adoptionsrate bei kleinen Unternehmen bei nur 30 bis 35 Prozent. Genau diese Lücke nutzen Angreifer gezielt aus.

Welche 2FA-Methoden gibt es?

• Authenticator-Apps (Google Authenticator, Authy, Microsoft Authenticator): Generieren zeitbasierte Einmalcodes. Kostenlos, einfach einzurichten, deutlich sicherer als SMS.
• Hardware-Schlüssel (YubiKey, SoloKeys): Physische USB-Geräte, die den Login per Knopfdruck bestätigen. Die sicherste Option, besonders für Administratoren und kritische Systeme.
• SMS-Codes: Besser als nichts, aber die schwächste Variante. SMS können abgefangen werden. Nur als Fallback verwenden.

Die Zukunft: Passkeys

Während Passwörter mit 2FA heute der Standard sind, zeichnet sich eine grundlegende Veränderung ab. Passkeys ersetzen das Passwort komplett durch kryptografische Schlüsselpaare, die auf deinem Gerät gespeichert werden. Statt ein Passwort einzutippen, bestätigst du die Anmeldung mit deinem Fingerabdruck, deiner Gesichtserkennung oder einer PIN.

Die Adoption ist beeindruckend: Die FIDO Alliance berichtet, dass bereits über eine Milliarde Menschen mindestens einen Passkey aktiviert haben. 87 Prozent der Unternehmen pilotieren oder implementieren Passkeys aktiv. Die Verbreitung hat sich innerhalb von zwei Jahren von 53 auf 87 Prozent fast verdoppelt.

Passkeys sind nicht nur bequemer, sondern auch sicherer als Passwörter. Sie können nicht gephisht werden, weil der private Schlüssel das Gerät nie verlässt. Sie können nicht wiederverwendet werden, weil jeder Dienst sein eigenes Schlüsselpaar bekommt. Und sie können nicht erraten werden, weil es keinen Text gibt, den man erraten könnte.

Für Unternehmen bedeutet das: Passkeys sollten überall dort aktiviert werden, wo sie bereits unterstützt werden - Google, Microsoft, Apple, GitHub, Shopify und viele weitere Dienste bieten die Option bereits an. Ein Passwort-Manager bleibt parallel notwendig, weil noch nicht alle Dienste Passkeys unterstützen.

Der Fahrplan für dein Unternehmen

IT-Sicherheit muss nicht kompliziert sein. Mit diesen vier Schritten hebst du das Sicherheitsniveau deines Unternehmens erheblich an:

• Schritt 1 - Passwort-Manager einführen: Wähle einen Anbieter, richte die Team-Struktur ein und migriere alle Zugangsdaten. Zeitaufwand: Ein bis zwei Nachmittage.
• Schritt 2 - 2FA aktivieren: Beginne mit den kritischsten Konten (E-Mail, Banking, Cloud-Speicher, Admin-Zugänge) und arbeite dich zu allen Diensten vor, die 2FA unterstützen.
• Schritt 3 - Passkeys einrichten: Überall dort, wo die Option verfügbar ist, Passkeys als primäre Anmeldemethode aktivieren.
• Schritt 4 - Regelmässig prüfen: Einmal im Quartal die Sicherheitsberichte des Passwort-Managers checken und schwache Passwörter ersetzen.

Der gesamte Aufwand für ein kleines Team: Etwa ein bis zwei Arbeitstage für die initiale Einrichtung, danach wenige Minuten pro Woche. Die Kosten: Zwischen 3 und 8 Euro pro Mitarbeiter und Monat für den Passwort-Manager. Im Vergleich zu den durchschnittlichen 164.000 Euro Schaden eines Cyberangriffs ist das keine Investition - das ist eine Selbstverständlichkeit.