Passwork im Test: Passwort-Manager für Unternehmen

Das Internet der Gegenwart ist ein Mitmachnetz. Es lebt davon, dass seine Nutzer miteinander und mit Dienstleistern auf digitalem Wege kommunizieren. Damit sich dabei nicht jeder als jeder andere ausgeben kann, ist der durchschnittliche Anwender im Zusammenhang mit digitalen Diensten mittlerweile einer schieren Passwortflut ausgesetzt: Jeder Online-Dienst verlangt, dass man sich zunächst registriert und eine Kombination aus Benutzernamen und Passwort festlegt. Nur mittels dieser Daten ist der Zugang später möglich.

Was für Endanwender gilt, gilt im Firmenkontext noch umfassender: Accounts bei Herstellern, Accounts bei lokalen Diensten, Zugangsdaten hier und dort, flankiert von Zusatzfeatures wie 2-Faktor-Authentifizierung (2FA) und einer Vielzahl an entsprechenden Apps dafür. Nicht wenige haben längst resigniert und verwenden bei sämtlichen Online-Diensten dieselben Zugangsdaten. Dabei ist ihnen meist bewusst, dass das im Hinblick auf Sicherheit keine gute Idee ist. Doch wissen sich Mitarbeitende in Unternehmen ebenso wie Privatanwender anders oft nicht zu helfen.

Passwork* tritt an, das Problem zu lösen. Im Kern ist Passwork eine Verwaltungssoftware für Passwörter und andere Geheimnisse. Es richtet sich vorrangig an Unternehmen – die Entwickler versprechen, dass sich mit Passwork Passwörter innerhalb großer Teams komfortabel und sicher ablegen und teilen lassen. Dazu besteht Passwork im Kern aus einem Server, der wahlweise in der Cloud oder auf eigener Infrastruktur laufen kann, und aus einer Vielzahl möglicher Schnittstellen hin zu den Benutzern. Eine Weboberfläche bietet das Tool ebenso an wie Plug-ins für die gängigen Browser am Markt. Auch für die üblichen Verdächtigen bei den mobilen Betriebssystemen besteht eine umfassende Integration, hauptsächlich für iOS und seine Ableger sowie für Android.

Wir haben Passwork auf die Probe gestellt und verraten, ob das Tool hält, was seine Entwickler versprechen.

Europäische Cloud oder Self-Hosting

Will man Passwork nutzen, steht man zunächst vor einer zentralen Frage: Hostet man das Werkzeug selbst oder greift man auf den in der Cloud gehosteten Dienst des Anbieters zurück? Passwork Europe SL, die Firma hinter der Lösung, hat seine Wurzeln in Finnland und ist heute in Spanien registriert. Die üblichen Probleme im Hinblick auf den amerikanischen CLOUD-Act hat man also nicht zu fürchten, wenn man sich für die in der Cloud gehostete Variante entscheidet. Sonderlich wohl dürfte vielen Verantwortlichen bei der Vorstellung, sämtliche Passwörter aller Mitarbeitenden im eigenen Unternehmen in fremde Hände zu geben, aber trotzdem nicht sein.

Passwork selbst beruhigt: Jeder Tresor innerhalb einer Passwork-Instanz, so das Versprechen, liegt ausschließlich verschlüsselt auf den dortigen Datenträgern. Beim Anlegen des Tresors definiert der Administrator einen "Master Key", ohne den der Zugriff auf den Tresor nicht möglich ist. Darüber hinaus ist es auch nicht möglich, diesen Hauptschlüssel zu rekonstruieren oder ohne ihn auf den Tresor zuzugreifen. Wer sich für Passwork entscheidet, stellt also tunlichst sicher, dass der genutzte Zentralschlüssel nicht nur im eigenen Kopf existiert, sondern idealerweise auch an einem weiteren, sicheren Ort.

Dasselbe gilt übrigens auch für die selbst gehostete Variante von Passwork. Auch bei dieser ist ein Zugriff auf die hinterlegten Daten ohne Masterschlüssel unmöglich. Zusätzlich bietet dieser Weg allerdings auch die Gewissheit, dass unerlaubter Zugriff durch Dritte auf die Daten weder physisch noch analog möglich ist. Wer also sicherstellen möchte, dass sensible Daten des eigenen Unternehmens dessen Obhut nicht verlassen, greift zur selbst gehosteten Version von Passwork.

Übersichtliche Passwortverwaltung

Die zentrale Zugriffsmethode für Anwender auf in Passwork hinterlegte Daten ist eine eigens im Passwork-Server integrierte Weboberfläche. Die gibt sich übersichtlich: Am linken Rand des Fensters findet sich eine Leiste für den Zugriff auf die in Passwork angelegten Tresore. Dabei unterscheidet Passwork zwischen privaten Tresoren und geteilten Tresoren. Private Tresore sind im Normalfall die persönlichen Tresore des eingeloggten Anwenders. Ihre Inhalte lassen sich nicht teilen. Geteilte Tresore, nomen est omen, sind für die Verwendung innerhalb von Gruppen und Teams gedacht.

Ein uns vom Anbieter zur Verfügung gestelltes Testsetup war mit Beispieldaten ausgestattet, die gut verdeutlichen, wie Passwork in den Augen seiner Macher zu nutzen ist: Unter den geteilten Tresoren fanden sich etwa Einträge mit den Namen HR, Buchhaltung, Kunden oder Soziale Netzwerke. Letzterer Ordner könnte beispielsweise die Zugangsdaten für den Facebook- oder Instagram-Auftritt des Unternehmens enthalten, der für HR die Zugangsdaten zu Diensten wie Personio. Innerhalb eines Tresors lässt sich die Struktur der abgelegten Passwörter weiter durch Ordner auffächern, die ihrerseits Unterordner haben können. Wer Ordnung in seine geheimen Zugangsdaten bringen und diese beibehalten möchte, tut sich in Passwork insofern nicht schwer.

Das gilt auch für die einzelnen Einträge selbst. Jeder Eintrag lässt sich neben der URL zum Dienst sowie einem Benutzernamen und einem Passwort auch mit Tags versehen. Für jeden einzelnen Eintrag ist zudem eine Historie verfügbar. Anhand dieser kann nachvollzogen werden, wann die hinterlegten Daten von wem zuletzt modifiziert worden sind. Das erfreut den Auditor und macht -- auch möglicherweise ungewollte -- Änderungen nachvollziehbar.

Neben statischen Passwörtern unterstützt Passwork auch TOTP-Passwörter für die Zwei-Faktor-Authentifizierung, wobei nur Admins den zur Generierung verwendeten TOTP-Schlüssel einsehen und ändern können. Eine Unterstützung von Passkeys ist für Anfang 2026 angekündigt.

Active-Directory- und LDAP-Integration mit SSO

Überhaupt hat man sich bei Passwork erkennbar viele Gedanken um das Thema Sicherheit gemacht. Weil das Werkzeug sich speziell an Unternehmen richtet, um Passwörter zu verwalten, verfügt Passwork beispielsweise über eine vollständige SSO-Integration für Active Directory (AD) und LDAP. Zentrale Benutzerverzeichnisse finden sich in den meisten Konzernen, sie gelten als ein elementares Gestaltungselement in Sachen Sicherheit und Compliance. Denn mit Verzeichnissen ist es möglich, jedweden anderen Dienst an eine zentrale Benutzerverwaltung anzuschließen.

Das macht das Vorhandensein etlicher Accounts für verschiedene Dienste im Unternehmen überflüssig und entbindet Nutzer wie Unternehmen von der Pflicht, zahllose Kombinationen aus Benutzername und Passwort sicher zu verwahren. Sinnvoll nutzen lässt sich das aber nur, wenn ein an LDAP oder AD angeschlossener Dienst dann auch eine Rollenverwaltung mitbringt, in der sich Benutzer und Gruppen aus dem Verzeichnis bestimmten Berechtigungen zuweisen lassen. Das ist bei Passwork der Fall.

Feine Rollenverwaltung

Das Werkzeug hat ein integriertes Role-Based Access Control (RBAC)-System mit feiner Granulierung. Konkret haben Unternehmen dadurch die Möglichkeit, den Zugriff auf einzelne Tresore zu beschränken, ihn etwa nur lesend zu erlauben, während derselbe Anwender in anderen Tresoren auch Veränderungen vornehmen darf. Durch die Funktionalität lassen sich die Hierarchien in Konzernen gut abbilden: Der CEO darf dann qua Definition alles, während reguläre Angestellte die meisten Passwörter nur betrachten dürfen. Abteilungsleiter dürfen in den Tresoren für ihr Team auch Änderungen vornehmen, nicht jedoch in den Tresoren anderer Teams. Seine volle Kraft entfaltet das System nur, wenn man die vielfältigen Möglichkeiten von Passwork ausreizt. Dafür ist etwas Einarbeitung nötig, die sich wegen der intuitiven GUI aber leicht erledigen lässt.

Passwort-Überwachung für mehr Sicherheit

Gut vorgebeugt ist halb gewonnen, denkt man sich offenbar zumindest bei Passwork. Denn neben den Sicherheits- und Compliance-Funktionen, die Passwork für sich selbst offeriert, beherrscht das Programm auch noch eine Art Überwachungsmodus für gespeicherte Daten. Dazu muss man wissen: Die in Passwork abgelegten Daten sind pro Benutzer mit einem Master-Schlüssel gesichert, den im Idealfall nur eben jener Benutzer hat. Er ist auch nicht wiederherstellbar, sollte er einmal verloren gehen. Und er kommt zum Einsatz, um die in Passwork hinterlegten Daten verschlüsselt abzulegen. Auch der Transit der Daten geschieht SSL-verschlüsselt.

Einen großen Teil der Funktionalität liefert entsprechend der Client, mittels dessen ein Anwender auf einen Passwork-Account zugreift. Im Normalfall also das GUI. In diesem ist eine Testfunktion integriert, die alle Daten im Zugriff des Benutzers auf ihre Sicherheit hin überprüft. Sonderlich umfassend ist die Prüfung dabei aber nicht, Passwork klopft die hinterlegten Passwörter schlicht auf Kriterien wie Länge und Vielfalt der Zeichenkombination ab. Auch eine Wörterbuchüberprüfung findet statt. Wer also das berühmte "Password" als Passwort nutzt, bekommt eine entsprechende Warnung serviert. Berücksichtigt sind dabei auch Passwörter aus Leaks in der Vergangenheit, die selbst Teil von entsprechenden Wörterbüchern geworden sind. Eine aktive Untersuchung aktuell kursierender Leaks vollzieht Passwork allerdings nicht. Dafür sind andere Werkzeuge nötig, etwa NordStellar (Test) von Nord Security.

Migration zu Passwork: Einfacher Import und Export

Steigt man von einer anderen Lösung zu Passwork um, will man vorhandene Datensätze üblicherweise weiternutzen. Doch kaum jemand wird sich freiwillig die Mühe machen, alle relevanten Passwörter händisch zu übertragen. Die gute Nachricht dabei: Viele Passwortmanager haben eine Export-Funktion für CSV- oder JSON-Dateien. Diese exportierten Daten, insbesondere CSV-Dateien, lassen sich in Passwork schnell und unkompliziert auf Tresorebene importieren.

Suchte man das Haar in der Suppe, könnte man kritisieren, dass Passwork keinen automatischen Import aus anderen Programmen beherrscht, etwa von der Konkurrenz. Ganz stimmt das nicht, denn zumindest mit KeePass-XML-Dateien kann Passwork umgehen. Fortgeschrittenere Formate wie jene von Bitwarden beherrscht das Programm aber nicht. Und überhaupt: Das erstmalige Aufsetzen einer zentralen Passwort-Verwaltung ist zwangsweise mit einer gewissen Mühe verbunden. Diese immerhin muss der Administrator nur einmal investieren, ganz am Anfang nämlich. Im Gegenzug spart eine sinnvolle Passwort-Verwaltung im Nachgang täglich kostbare Zeit, weil Passwörter leicht und schnell im Zugriff sind.

Neben der Import-Funktion hat Passwork übrigens auch eine Export-Funktion. Die kommt dann ins Spiel, wenn Unternehmen Datensätze aus Passwork sichern oder weiterverarbeiten möchten, etwa im Rahmen des Wechsels hin zu einer anderen Lösung. Hier unterstützt Passwork die erwähnten Formate JSON und CSV auch im Export, was wiederum die meisten Alternativen am Markt ihrerseits importieren können.

Gute Unterstützung von Browsern und mobilen Geräten

Der schönste Passwort-Manager hilft nicht, wenn seine Benutzung im Alltag nicht einfach und unkompliziert ist. Wo aber benötigen Anwender tagsüber vor allem ihre Passwörter? Klar: Beim Surfen im Netz und bei der Nutzung von Anwendungen auf dem Desktop. Auch mobile Geräte wie Smartphones oder Tablets machen mittlerweile einen großen Anteil der täglichen Nutzung digitaler Dienste aus, ein Passwort-Manager muss entsprechend gut integriert sein. Bei der Browser-Unterstützung gibt sich Passwork dabei keine Blöße: Microsoft Edge, Google Chrome, Firefox und Safari lassen sich allesamt mittels Plug-ins mit Passwork verkuppeln. Allerdings sind die Plug-ins nicht ganz so perfekt integriert wie die nativen Passwort-Lösungen der Browser – ein Problem, das Passwork gleichwohl mit allen anderen Browser-übergreifenden Passwort-Managern teilt. Die nativen Passwort-Assistenten sollten Nutzer jedenfalls -- unabhängig vom Browser -- deaktivieren, wenn das Passwork-Plugin zum Einsatz kommt.

Darüber hinaus stellt Passwork sowohl für iOS als auch für Android eine App-Variante des Web-GUIs zur Verfügung. Der Lösung erwächst hier zum Vorteil, dass Passwork sich vollständig mittels API steuern lässt. Eben jene API nutzen die mobilen Apps für Passwork konsequent. So lässt sich Passwork in iOS ebenso wie in Android als Ersatz für die ab Werk ausgelieferte Passwort-Anwendung nutzen. Auf iPhones öffnet sich dann beim Öffnen eines Programms oder einer Website, die die Eingabe von Benutzerdaten verlangen, nicht länger die Passwörter-App, sondern eben Passwork. So lässt sich auch über die verschiedenen Geräte hinweg eine sichere Passwort-Politik erzwingen.

API-Zugriff und Kommandozeilen-Interface

Die API-Fähigkeiten von Passwork sorgen schließlich auch dafür, dass Passwork sich in Form von Code an Anwendungen ankoppeln lässt. Die entsprechenden Funktionen stellt ein SDK bereit, das sich in eigenen Code integrieren lässt. So ist ein automatisierter Zugriff nicht nur auf Zugangsdaten, sondern unter anderem auch auf Rollendefinitionen, Dateianhänge, API-Schlüssel oder Aktivitätsprotokolle möglich. Interessant dürfte das vor allem für Anwendungen sein, die im Haus selbst entstehen. Passwork kann so über reines Passwort-Management hinaus einen sinnvollen Beitrag zur Sicherheit und zum Secrets Management leisten, weil an Passwork angeschlossene Programme ihre geheimen Daten direkt von dort beziehen, statt den menschlichen Umweg über Mail & Co. zu nehmen.

Für Python stellt Passwork einen eigenen Connector bereit. Zudem ist API-Zugriff über ein Kommandozeilen-Interface möglich, für das auch eine Docker-Konfiguration bereitsteht.

Passwork ist proprietäre Software

Negativ fällt bei Passwork auf, dass die zentrale Software der Lösung, also das Werkzeug zum Anlegen, Verwalten und Benutzen von Passwort-Tresoren, nicht unter einer freien Lizenz steht. Stattdessen handelt es sich – wie bei viele anderen kommerziellen Passwort-Manager auch – um proprietäre Software.

Das ist nicht automatisch ein Sicherheitsrisiko. Schließlich kommen Lösungen wie Passwork selten mit direktem Link ins Internet zum Einsatz. Würden sie etwa unbotmäßig heim telefonieren, fiele das spätestens auf der Firewall auf. Auch gibt der Hersteller den Quelltext von Passwork auf Wunsch zur Durchsicht heraus – so eine Gelegenheit zur Auditierung sollte für viele Unternehmen Bedingung sein, eine proprietäre Software wie Passwork einzusetzen. Eigene Zertifizierungen, die Unternehmen wie die Lufthansa – ein Passwork-Kunde – anstreben, sehen solche Audits gar zwingend vor. Trotz Prüfmöglichkeit des Quelltextes halten wir die Closed-Source-Eigenschaft von Passwork für ein Problem.

Zunächst, weil es mit Lösungen wie Bitwarden schlicht quelloffene Alternativen gibt – die potenziell auch dann unter Open-Source-Lizenz weiterentwickelt werden, wenn der Original-Entwickler auf eine proprietäre Lizenz umschwenkt. Dann erstellt die F/LOSS-Gemeinde bei entsprechend großer User-Base mitunter einen Fork der letzten freien Version, wie die Beispiele HashiCorp Vault und HashiCorp Terraform (und deren Forks OpenBao und OpenTofu) zeigen. Für bestehende Anwender ändert sich dann erst einmal nicht viel, wenngleich man für Support fortan auf die Community angewiesen ist.

Passwork beteuert, dass solche Entwicklungen nicht zu befürchten seien. Versprechen dieser Art sind mitunter aber hinfällig, wenn etwa ein Unternehmen durch einen Konzern geschluckt wird, der das Portfolio an eigene Gepflogenheiten anpasst. Nicht selten schnellen dann auch die Preise in die Höhe. Im Worst Case können Kunden dann ein zentrales Element der eigenen Infrastruktur nicht mehr sinnvoll bezahlen, haben aufgrund der Closed-Source-Eigenschaft aber auch keine Alternativen zur Verfügung: Der archetypische Lock-In-Effekt lässt grüßen.

(K)ein Ausweg beim Ausfall

Immerhin bietet Passwork eine bereits besprochene Exportfunktion, die das Sichern der Inhalte eines Passwork-Tresors im JSON- oder CSV-Format ermöglicht. Wenn man sämtliche interne Abläufe auf Passwork ausgerichtet hat und über das SDK automatisiert auf Passwork zugreift, hilft das jedoch nur bedingt. Denn eine solche enge Integration lässt sich nicht mal eben durch eine Alternative ersetzen. Dass Passwork ausgerechnet die sensibelsten und damit auch am dringendsten benötigten Daten innerhalb eines Unternehmens verwahren möchte, macht die Sache eher noch heikler.

Unbenommen seiner tollen Funktionalität setzt Passwork durch seine Closed-Source-Eigenschaft jedenfalls ein dickes Fragezeichen hinter die eigene Benutzung. Vaultwarden etwa, ein quelloffener Klon des Bitwarden-Servers, bietet ähnliche Funktionalität und einen Teil der Premium-Features von Bitwarden ohne Subskriptions- oder Lizenzkosten. Weil es vollständig kompatibel zum ebenfalls quelloffenen Bitwarden ist, unterstützt es zudem dieselben Integrationen in Browser und Betriebssysteme. Weitere freie Passwort-Manager wie Passbolt, KeePass oder KeePassXC kämen als Alternativen ebenfalls infrage.

Preise

Passwork fußt auf einem Subskriptionsmodell. Laut eigener Aussage ist Passwork nicht für kleinere Teams konzipiert und bietet daher vor allem für eine Benutzerzahl ab 100 Mitarbeitern ein solides Preis-Leistungs-Verhältnis. Für Teams mit 100 bis 1000 Benutzern werden zwischen 1,70 € und 2,55 € pro Benutzer und Monat fällig. Unternehmen, die Lizenzen für mehr als 1000 Mitarbeiter erwerben, gewährt Passwork bis zu 50 % Volumenrabatt. Die Angaben stammen von Passwork selbst, sie waren zum Zeitpunkt des Tests nicht online einzusehen und daher nicht überprüfbar -- hier ist also Verhandeln angesagt.

Für kleinere Unternehmen mit weniger als 100 Mitarbeitern gibt es die "Small Team-", "Business-" und "Premium"-Tarife. Der kleinste Tarif schlägt mit zwei Euro Gebühren pro angelegten Nutzer und Monat zu Buche, umfasst dafür aber Funktionen wie SSO oder LDAP-basiertes RBAC nicht. Zudem ist der gesamte Betrag für mindestens zehn Nutzer im Voraus fällig, sodass Passwork mindestens 240 € pro Jahr kostet. Wer SSO und andere Features braucht, benötigt die erweiterte Start-Lizenz, die drei Euro pro Benutzer und pro Monat kostet, allerdings mindestens 25 Benutzer vorsieht und ebenfalls per Vorkasse abgerechnet sind. Wer SSO will, greift auch hier zur erweiterten Lizenz für 4,50 € pro Nutzer und Monat. Die "Business"- und "Premium"-Tarife sind Staffeltarife für 50 oder 100 Nutzer mit denselben Preisen pro Nutzer und Monat (ebenfalls in der erweiterten Edition).

Fazit

Passwork* präsentiert sich im Test als funktional vielseitiger und umfassender Passwort-Manager. Die zentrale Verwaltung von Zugangsdaten für verschiedene Teams, die das Unternehmen als Kernfunktion seiner Lösung anpreist, funktioniert im Wesentlichen wie beworben. Verschiedene Tresore ("Ordner") innerhalb einer Passwork-Installation ermöglichen eine "Separation of Concern". Die Steuerung des Passwort-Zugriffs über eine Rollenverwaltung samt Anbindung an LDAP und Active Directory erfreuen den Auditor ebenso wie der Audit Trail, der bei Änderungen am Bestand der Daten in Passwork automatisch entsteht.

Nichts zu bemängeln gibt es am Web-UI von Passwork, das sich ebenso wenig verstecken muss wie die Integration in Browser und mobile Betriebssysteme. Seine proprietäre Lizenz allerdings verhagelt dem Werkzeug die Bestnote. Denn Unternehmen riskieren so erhebliche Lock-In-Effekte, wenn sie Passwork zur zentralen Komponente in ihrer IT-Architektur machen. Gerade im Hinblick auf die sensibelsten denkbaren Daten, nämlich Passwörter, dürften viele Unternehmen das schlicht nicht wollen.

* Mit einem Stern markierte Links sind Affiliate-Links, für die wir unter Umständen eine Provision erhalten. Der Kaufpreis erhöht sich dadurch nicht!

Redaktion & Aktualisierung: heise Download-Team