Zur Navigation zu den Quicklinks Zur Suche Zum Inhalt

Passwortmanager im KMU: Wie sicher sind sie wirklich?

Michael Schäublin
·
Tags:

Passwörter begleiten uns weiterhin im Arbeitsalltag. Passwortmanager versprechen Ordnung und Sicherheit. Doch wie belastbar ist dieses Versprechen wirklich? Dieser Beitrag ordnet die Ergebnisse einer ETH‑Studie praxisnah ein und erklärt, warum Passwort‑Hygiene allein nicht genügt. 

Was nehmen Sie aus diesem Blog mit?

  • Warum Passwortmanager sinnvoll bleiben, aber keine Sicherheitsgarantie sind
  • Welche Angriffsszenarien die ETH Zürich untersucht hat
  • Wo technische und organisatorische Grenzen liegen
  • Weshalb Prävention ohne Überwachung riskant bleibt
  • Wie ein Security Operations Center PasswortSicherheit sinnvoll ergänzt 

Statt Blog lesen persönlich beraten werden?
Jetzt Termin mit Christoph von Siebenthal vereinbaren.

Was ist Passwort‑Hygiene im Unternehmenskontext?

Passwörter sind trotz moderner Authentifizierungsverfahren weiterhin eine Notwendigkeit. Passkeys, Biometrische Verfahren und Multi Faktor Authentifizierung (MFA) gewinnen an Bedeutung, ersetzen Passwörter aber nicht vollständig. Jeder von uns greift täglich auf unterschiedliche Applikationen und Plattformen zu, die eigene Anmeldedaten voraussetzten.

Ein zentraler Grundsatz der Passwort‑Hygiene lautet: keine Wiederverwendung!
In der Praxis ist das ohne Hilfsmittel kaum umsetzbar. Passwort-Manager sind dafür geeignete Instrumente. Darin können Zugangsdaten in geordneter Form abgelegt und durch starke Verschlüsselung geschützt werden.

Damit werden Passwortmanager zu einem zentralen Sicherheitselement. Und genau dort beginnt die eigentliche Fragestellung. 

Welche Vorteile bringen Passwortmanager im KMU?

Richtig eingesetzt erhöhen Passwortmanager die Basissicherheit deutlich.

  • Sie reduzieren Passwort‑Wiederverwendung
  • Sie ermöglichen starke, zufällige Passwörter
  • Sie verbessern Nachvollziehbarkeit und Ordnung
  • Sie senken das Risiko einfacher Account‑Übernahmen
  • Sie entlasten Mitarbeitende im Alltag

Für KMU sind dies relevante Verbesserungen. Sicherheit wird praktikabel. Genau deshalb geniessen Passwortmanager hohes Vertrauen. 

Konkrete Use‑Cases aus der Praxis

  1. Zentrale Verwaltung von Zugängen
    IT‑Verantwortliche behalten Übersicht über kritische Logins. Abgänge lassen sich strukturiert bereinigen. Risiken durch verwaiste Konten sinken.
  2. Erhöhung der Passwort‑Qualität
    Lange, komplexe Passwörter werden praktikabel. Menschliche Abkürzungen entfallen.
  3. Reduktion von Support‑Aufwand
    Weniger Passwort‑Resets. Weniger Blockaden im Arbeitsalltag. 

Risiken, Sicherheit und Governance: was die ETH‑Studie zeigt

Weil Passwortmanager heikle Daten speichern, sind sie ein attraktives Ziel. Eine Studie der  ETH Studie ("Zero Knowledge (About) Encryption: AComparative Security Analysis of Three Cloud-based Password Managers " ; ETH News) untersuchte 2026 mehrere Passwortmanager unter spezifischen Angriffsszenarien. Der Fokus lag nicht auf der Frage, ob Passwortmanager grundsätzlich sicher sind, sondern wie sie sich in gezielten Attacken verhalten.

Die Forschenden zeigen unter anderem, dass bestimmte Speicher‑ und Synchronisationsmechanismen angreifbar sind.

 

 «Passwortmanager reduzieren viele Risiken, aber sie beseitigen nicht die Notwendigkeit zusätzlicher Schutzebenen und Erkennungsmechanismen.»

Michael Schäublin, Senior Consultant Security, OnPrem + Network 
SmartIT Service AG

Das bedeute für uns, dass die Einführung eines Passwortmanagers geplant und der Betrieb geregelt sein muss. Entscheidend ist dabei nicht nur das Produkt, sondern auch das Zusammenspiel aus Betriebssystem, Konfiguration und Nutzerverhalten. Diese Grundlagen vorausgesetzt und mit einem Monitoring kombiniert stellen Passwortmanager immer noch eine wichtige Massnahme zum sicheren Umgang mit Anmeldedaten dar.

So starten Sie sicher mit einem Passwort Manager

    • Bestehender Umgang mit Passwörtern überprüfen
    • Passwortmanager gezielt auswählen und konfigurieren
    • Nutzer:innen schulen
    • Sicherheitsereignisse systematisch überwachen

Nächster Schritt: Sicherheit ganzheitlich denken

Passwortmanager verbessern den Alltag. Sie verhindern einfache Fehler. Sie ersetzen jedoch keine Sicherheitsüberwachung. Angriffe beginnen oft dort, wo niemand hinschaut.

Ein Security Operations Center erkennt Auffälligkeiten, auch wenn Zugangsdaten formal korrekt verwendet werden. Es ergänzt Prävention durch Detektion.


Gerne unterstützen wir Sie bei der Einführung und der Überprüfung eines Passwortmanagers. Buchen Sie noch heute ein unverbindliches Gespräch mit Christoph von Siebenthal

 

 

Glossar

Passwort-Hygiene

Grundregeln für den sicheren Umgang mit Passwörtern. 

Passwortmanager

Software zur sicheren Speicherung und Verwaltung von Zugangsdaten. 

Master-Passwort

Zentrales Passwort zum Entschlüsseln des Tresors. 

SOC

Security Operations Center zur Überwachung von IT-Sicherheitsereignissen.

Angriffsszenario

Konkret beschriebener Ablauf eines Sicherheitsangriffs. 

FAQ Passwortmanager

Sind Passwort Manager sicher?

Sie erhöhen die Sicherheit, garantieren sie aber nicht. 

Sollten KMU trotzdem Passwortmanager nutzen?

Ja, jedoch bewusst und begleitet.

Was sagt die ETH-Studie konkret?

Dass Passwortmanager angreifbar sind, besonders bei bestehenden Systemzugriffen.

Reicht MFA zusätzlich aus?

Multifaktor Authentifikation reduziert Risiken, ersetzt aber keine Überwachung.

Warum ein SOC trotz Passwortmanager für KMU empfohlen wird?

Weil Angriffe auch mit gültigen Zugangsdaten stattfinden.