Von Eva Müller-Tauber, 3/2026
Ob beim Hochfahren des Computers, um sich in Social-Media-Accounts oder von unterwegs ins VPN (Virtual Private Network) einzuwählen, Zugriff auf Personaldaten oder die Rechnungssoftware zur erhalten oder Onlinebanking zu betreiben – Passwörter gehören in der digitalen Welt zum Arbeitsalltag. Auch in Kleinunternehmen und bei Soloselbstständigen kommen so mittlerweile einige zusammen. Wer Cyberkriminellen nicht in die Hände spielen und deshalb überall dasselbe Passwort oder mehrere kurze, einfach zu merkende – und leicht zu knackende – Kennwörter nutzen willen, steht daher vor dem Problem: Wie behalte ich den Überblick, vermeide Passwortchaos?
Von einer Worddatei, Exelliste oder handgeschriebenen Liste mit Passwörtern rät IHK-IT-Sicherheitsexperte Bernhard Kux generell ab: „Das ist weder sicher noch praktisch.“ Zu groß sei das Risiko, dass unzureichend gesicherte digitale Listen in falsche Hände geraten, etwa weil irrtümlich die Passwort-Worddatei per Mail verschickt wird. „Dann hat der Unternehmer ein großes Problem.“ Gleichwohl müsse gewährleistet sein, dass im Ernstfall befugte Personen auf die Passwörter Zugriff haben und sie nutzen können, um das Geschäft am Laufen zu halten.
Sicher und regelkonform
Darum sowie aus Gründen der Compliance sei eine durchdachte und strukturierte Passwortverwaltung zwingend notwendig, ergänzt Jonas Miedl, Geschäftsführer und Chief AI-Officer der MDSYSTEC® GmbH in Mitterskirchen, „zum Beispiel, um den Anforderungen der DSGVO gerecht zu werden“. Zudem wollten Auftraggeber immer häufiger sichergehen, dass auch ihre Partner beziehungsweise Lieferanten etwaige Compliance-Anforderungen erfüllen, „und dazu gehören möglichst sichere Passwörter sowie eine sichere Passwortverwaltung“. Wer dies nicht nachweisen kann, hat gegebenenfalls im Wettbewerb mit der Konkurrenz schlechtere Karten oder einen Auftraggeber weniger.
Daher sei es ratsam, sich als Unternehmer mit dem Thema systematisch zu befassen, so Miedls Tipp. Er empfiehlt, zuerst einmal festzulegen: Wer muss Zugriff auf welche Programme, Daten und Websites bekommen? „Dabei sollten nur so wenige Zugänge wie nötig geschaffen werden und die Zugangsberechtigungen an bestimmte Rollen im Unternehmen geknüpft sein.“ Bei der Auswahl der Passwörter gelte der Grundsatz: Gern lang und komplex, im Zweifelsfall sei aber Länge noch wichtiger als Komplexität.
Digitaler Manager
Hilfreich, um starke Passwörter zu erstellen sowie sie zu verwalten und damit die Sicherheit seiner Onlineaccounts zu steigern, ist ein digitaler Passwortmanager. Er verwahrt und verschlüsselt die Kennwörter, Zugriff zu sämtlichen Zugangsdaten gibt es nur über ein komplexes Masterpasswort. Ein Passwortmanager funktioniert also ähnlich wie ein Notizbuch, das in einer Schublade eingeschlossen ist und dessen Inhalte somit nur für die Besitzerin oder den Besitzer einsehbar sind.
Der Vorteil: Anstelle von vielen verschiedenen Passwörtern muss sich der Nutzer nur noch eines merken. „Verliert man allerdings dieses Masterpasswort, sind im schlechtesten Fall alle Daten verloren“, warnt Miedl. Darum sollte es auch in einem Bankschließfach oder Tresor verwahrt und turnusmäßig, etwas jedes halbe Jahr, gewechselt werden“, rät der IT-Experte. Trotz einiger Mängel bei einzelnen Produkten bewertet auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) Passwortmanager als essenzielles Sicherheitstool und hilfreichen Begleiter im digitalen Alltag.
Zugang für Notfälle
Miedl sieht in der digitalen Passwortverwaltung noch einen weiteren Vorteil: „Verlässt ein Mitarbeiter das Unternehmen, können seine Zugriffsrechte auf Unternehmensaccounts automatisch entzogen werden. Das sorgt für eine saubere Trennung.“ Zusätzlich empfiehlt er, ein Notfallkonto einzurichten – „einen Break-Glass-Account, über den im Ernstfall, etwa bei längerer Krankheit oder einem Unfall, eine Vertrauensperson Zugriff auf die wichtigsten Unternehmensaccounts erhält.
Welcher Passwortmanager geeignet ist, hängt von verschiedenen Faktoren ab, etwa: Wie bin ich beziehungsweise mein Unternehmen organisiert? Gibt es einen IT-Verantwortlichen, oder muss ich mich als Unternehmer allein um das Thema kümmern? Welche Compliance-Anforderungen muss ich erfüllen? Arbeite ich und meine Mitarbeitenden an PC oder Mac oder auf unterschiedlichen Geräten mit unterschiedlichen Betriebssystemen? Ausschließlich im Büro oder oft remote? Möchte ich die Zugangsdaten lokal oder in der Cloud gespeichert haben? Wie viel Budget steht mir zur Verfügung?
Kernfunktionen kostenfrei
Es gibt kostenlose Tools wie etwa KeePass oder Passwort Depot 17, die ebenfalls mit einem Passwortgenerator arbeiten und recht sicher sind. „Wer ein wenig IT-affin ist, kann sich hier auch ohne externe Hilfe einarbeiten“, so Miedl. Oft bieten diese Lösungen allerdings nur die Kernfunktionen. Bei lokaler Speicherung muss man sich zudem selbst um erhöhte Sicherheit wie Virenschutz kümmern.
Doppelte Identitätskontrolle
„Auf jeden Fall empfehlenswert ist es, auch beim Passwortmanager die Zwei-Faktor-Authentifizierung zu aktivieren“, betont IHK-Experte Kux. Dabei wird die Identität des Nutzers zweimal überprüft. Häufig erhält dieser auf einem anderen Gerät einen Bestätigungscode, um sich bei seinem Account anzumelden. Der zweite Faktor kann allerdings auch ein Fingerabdruck auf einem entsprechenden Sensor oder die Verwendung eines USB-Tokens oder einer Chipkarte sein.