· Ratgeber  · 4 Min. Lesezeit

Passwörter im Team: Bitwarden oder Vaultwarden statt Excel-Liste und Zettel

Excel-Liste und Browser-Speicher reichen im Betrieb nicht. Was ein Passwortmanager leisten muss und wann Bitwarden oder Vaultwarden passt.

Excel-Liste und Browser-Speicher reichen im Betrieb nicht. Was ein Passwortmanager leisten muss und wann Bitwarden oder Vaultwarden passt.

Es gibt eine Datei, die ich in fast jedem Betrieb finde, den ich neu übernehme: „Passwörter.xlsx”. Manchmal liegt sie auf dem Server, manchmal im E-Mail-Postfach, manchmal klebt die Kurzfassung als Zettel am Monitor an der Anmeldung. Ich schreibe das ohne Häme, denn das Problem ist verständlich: Ein Team braucht gemeinsame Zugänge, und irgendwo müssen die ja stehen. Nur ist die Excel-Liste dafür der schlechteste Ort, den es gibt.

Warum Excel, Browser und Zettel im Betrieb nicht reichen

Die drei üblichen Behelfslösungen haben jeweils denselben Kern-Fehler: Sie schützen nicht und sie vergessen nicht.

  • Die Excel-Liste ist unverschlüsselt oder mit einem schwachen Blattschutz versehen, liegt in Kopien an Orten, die niemand mehr kennt, und jeder, der sie einmal geöffnet hat, kennt alle Zugänge, für immer.
  • Der Browser-Speicher ist bequem, aber an ein Gerät und ein Profil gebunden. Team-Freigaben gibt es nicht, und wer Zugriff auf den Rechner hat, hat oft auch Zugriff auf die gespeicherten Passwörter.
  • Der Zettel am Monitor ist für jeden lesbar, der den Raum betritt, in einer Praxis auch für Patienten.

Dazu kommt das eigentliche Betriebsrisiko: Weil das Merken mühsam ist, wird ein Passwort überall verwendet. Taucht es bei einem einzigen Datenleck irgendeines Online-Dienstes auf, sind plötzlich viele Ihrer Zugänge offen.

Was ein Passwortmanager im Team leistet

Ein Passwortmanager löst genau diese Punkte, und zwar systematisch:

  • Starke, einmalige Passwörter: Der Manager erzeugt für jeden Dienst ein eigenes, langes Zufallspasswort. Merken muss sich Ihr Team nur noch ein einziges Master-Passwort.
  • Ende-zu-Ende-Verschlüsselung: Der Tresor wird auf dem Gerät ver- und entschlüsselt. Der Server, egal wo er steht, sieht nur verschlüsselte Daten.
  • Mehr-Faktor-Anmeldung (MFA): Der Tresor selbst lässt sich mit einem zweiten Faktor absichern, damit das Master-Passwort allein nicht reicht.
  • Team-Freigaben statt Passwort-Weitergabe: Über Organisationen und Sammlungen erhalten Mitarbeiter genau die Zugänge, die sie für ihre Arbeit brauchen, nicht die komplette Liste.
  • Sauberes Offboarding: Verlässt jemand das Team, entziehen Sie den Zugriff zentral mit wenigen Klicks. Ohne Passwortmanager müssten Sie stattdessen jedes geteilte Passwort überall ändern, was in der Praxis fast nie vollständig passiert.

Gerade der letzte Punkt ist für kleine Betriebe und Praxen oft das stärkste Argument: Personalwechsel gibt es überall, und ein ausgeschiedener Mitarbeiter, der weiterhin alle Zugänge kennt, ist ein reales Risiko.

Bitwarden und Vaultwarden: zwei Wege zum selben Ziel

Meine Empfehlung fällt auf das Bitwarden-Ökosystem, aus zwei Gründen: Es ist Open Source und es lässt sich selbst betreiben.

Bitwarden ist eine etablierte, quelloffene Lösung mit Apps für alle gängigen Systeme und Browser, inklusive Team-Funktionen über Organisationen. Sie können sie als gehosteten Dienst nutzen oder auf eigener Infrastruktur betreiben.

Vaultwarden ist eine leichtgewichtige, inoffizielle Server-Alternative, die mit den offiziellen Bitwarden-Apps kompatibel ist. Sie läuft mit sehr geringen Anforderungen auf einem kleinen Server im eigenen Haus oder bei einem EU-Hoster. Das ist der Weg, den ich für die meisten meiner Kunden bevorzuge: Der Passwort-Tresor des Betriebs liegt auf eigener Hardware oder zumindest in der EU, unter Ihrer Kontrolle. Das ist Datenhoheit im besten Sinne, und es passt zu allem, was ich sonst aufbaue, von der Firewall bis zum Backup. Wie ich Sicherheit insgesamt angehe, lesen Sie auf der Seite IT-Sicherheit & ISMS.

Ehrlich dazu: Selbst hosten heißt auch selbst verantworten. Ein Vaultwarden-Server braucht Updates, eine Sicherung und jemanden, der sich kümmert. Genau dafür gibt es die laufende IT-Betreuung, in der solche Dienste gepflegt und überwacht werden.

Ehrlich: das Master-Passwort ist der Schlüssel, im Guten wie im Schlechten

Ein Punkt gehört auf den Tisch, bevor Sie starten: Bei Ende-zu-Ende-Verschlüsselung gibt es keine Hintertür. Wer sein Master-Passwort verliert, kommt an seinen Tresor nicht mehr heran, auch ich nicht, und das ist Absicht. Deshalb gehören zur Einführung immer zwei organisatorische Maßnahmen: ein geregelter Notfallzugriff (etwa ein sicher hinterlegter Wiederherstellungsweg für den Inhaber) und ein sauber verwahrtes Master-Passwort, nicht auf dem Zettel am Monitor.

Und: Die Einführung ist kein reines Technikprojekt. Rechnen Sie mit einer kurzen Team-Einweisung, damit alle wissen, wie Freigaben funktionieren und warum der Browser-Speicher künftig tabu ist. Nach meiner Erfahrung reicht dafür eine gemeinsame Stunde, danach ist der Manager schnell selbstverständlich.

Für Praxen: Passwort-Regeln sind Teil der §390-Pflichten

Für Arzt- und Zahnarztpraxen ist das Thema keine Geschmacksfrage. Die IT-Sicherheitsrichtlinie nach §390 SGB V verlangt unter anderem Regeln für Passwörter und den Umgang mit Zugängen, gestaffelt nach Praxisgröße: Anlage 1 gilt für alle Praxen, Anlage 2 ab 6 und Anlage 3 ab 21 ständig mit der Datenverarbeitung betrauten Personen. Ein Passwortmanager ist ein pragmatischer Weg, diese Anforderungen im Alltag tatsächlich zu leben statt nur auf Papier. Die Details habe ich im Beitrag §390 SGB V verständlich erklärt zusammengefasst, das ersetzt keine Rechtsberatung.

Weg von der Excel-Liste, in einem Nachmittag. Ich richte Bitwarden oder selbst gehostetes Vaultwarden für Ihr Team ein, inklusive Freigaben, MFA, Notfallzugriff und kurzer Einweisung. Der erste Schritt ist ein kostenloses Erstgespräch über die Seite IT-Sicherheit & ISMS.

Alex Jabi, Jabi IT

Alex Jabi

Ich betreue IT, Informationssicherheit und Datenschutz für KMU und Praxen an der Bergstraße und im Odenwald, persönlich, dokumentiert und ohne Cloud-Zwang.

Mehr über mich
Zurück zum Ratgeber