Das Problem
„Passwort123!" und Post-its am Monitor sind der Normalfall. In der Praxis heisst das: wenn ein Mitarbeiter kündigt, ändert niemand die 40+ geteilten Passwörter. Wenn ein Laptop gestohlen wird, stehen die Zugänge in einer offenen Chrome-Session. Wenn einer der Logins auf haveibeenpwned auftaucht, wissen wir nicht welche anderen mit dem gleichen Passwort gleich dran sind.
Ein Passwort-Manager löst 90 % davon, und die Einführung dauert 30 Minuten pro Person.
Die drei Optionen
| Tool | Hosting | Kosten | Gut für |
|---|---|---|---|
| Vaultwarden (self-hosted Bitwarden-compat.) | Eigener Server / Container | kostenlos | Wir machen das selbst oder ein Partner, volle Kontrolle |
| Bitwarden Cloud | Cloud (US/EU) | ca. CHF 4/User/Monat | Wenig IT-Overhead, Schweizer KMU, EU-Option wählen |
| 1Password Business | Cloud (US/CA) | ca. CHF 8/User/Monat | Business-Features, SCIM-Provisioning, Einbindung ohne eigene IT |
Unsere Default-Empfehlung: Vaultwarden selfhosted wenn wir schon managen, sonst Bitwarden Cloud EU.
Setup in 30 Minuten
- Org-Account anlegen (Admin)
- SSO / 2FA einrichten, am besten gegen den M365-Tenant
- Collections strukturieren:
IT-Admin(nur IT)Buchhaltung(Finanz-Team)Marketing(Marketing-Team)Shared General(alle)
- Erste Passwörter importieren, aus Browsern, Excel-Listen, LastPass-Export
- User einladen, automatisch via SSO
- Policy: Master-Passwort ≥ 14 Zeichen, 2FA Pflicht, Auto-Logoff nach 15 Min
Day-to-Day-Nutzung
Browser-Extension
Die Extension (Chrome, Firefox, Edge, Safari) ist der Kern. Autofill beim Login, Alert bei neuer Site, Passwort-Generator direkt im Dialog.
Mobile App
iOS + Android-Apps beherrschen Autofill auch dort (iOS ≥ 13, Android mit Accessibility- Service). Das reduziert „Ich hab das Passwort nicht dabei" drastisch.
Shared Items
Passwörter, die mehrere brauchen (Cloudflare-Admin, Buchhaltungs-Software, Social-Media- Accounts): als Collection-Items, nicht kopiert. Bei Mitarbeiter-Wechsel reicht „Collection verlassen" statt 40 Passwort-Änderungen.
Onboarding + Offboarding
- Onboarding: Neuer User bekommt Zugang zu den Collections ihrer Rolle. Fertig.
- Offboarding: Admin entzieht User-Zugang. Optional: betroffene Shared-Passwörter rotieren (bei sehr sensitiven Accounts).
Konkrete Do's und Don'ts
| ✅ | ❌ |
|---|---|
| Master-Passwort ist einmalig, überall anders | Master-Passwort in E-Mail / Chat senden |
| 2FA auch auf dem Passwort-Manager selbst | 2FA-Backup-Codes im Passwort-Manager (!), die gehören offline |
| Shared Collections statt Kopien | Passwörter per Messenger weitergeben |
| Starke Master-Passwörter (Diceware-Phrase) | Master-Passwort = Firmenname + Jahr |
| Audit-Report quartalsweise | „Never touch a running password" |
Pitfall: 2FA-Seeds im gleichen Manager
Verlockend aber riskant: wenn jemand den Bitwarden-Vault kompromittiert, hat er auch die 2FA-Codes. Unser Rat:
- High-Security-Accounts (Admin, Banking, Cloud-Provider): 2FA separat auf YubiKey/FIDO2 oder dediziertem Authenticator-Phone
- Normale Accounts (Standard-Logins): 2FA im Passwort-Manager ist OK, besser als kein 2FA
Awareness-Training
Einmaliges 30-Min-Kickoff im Team reicht. Themen:
- Was ist „stark" (Länge > Komplexität)
- Wieso kein Password-Reuse
- Warum Phishing → Master-Passwort niemals auf Formularen eingeben
- Wie man Shared-Collections richtig nutzt
Wir führen solche Kickoffs bei Kunden regelmässig durch, siehe Managed Workplace.