Passwort-Manager für Unternehmen: 7 Passwortverwaltungen im Vergleich

Wie lautete noch gleich das Passwort für den firmeninternen Help-Desk? Um dem Gedächtnis auf die Sprünge zu helfen, notieren immer noch Mitarbeiter ihre Passwörter auf Post-Its, die sie gut sichtbar an ihren Monitor kleben. Muss sich dann noch ein Team einen einzigen Amazon AWS-Zugang teilen, steigt erst recht die Gefahr, dass die Passwörter in falsche Hände geraten. Spätestens wenn dann ein Mitarbeiter das Unternehmen verlässt, muss man die Zugangsdaten neu vergeben.

Passwort-Manager für Unternehmen

Mit all dem Schluss machen Passwort-Manager. Sie sammeln sämtliche Zugangsdaten an einer zentralen Stelle, generieren bei Bedarf kryptische Passwörter und füllen über ein Browser-Plug-in direkt die Formulare auf Webseiten aus. Wer in welchem Umfang auf die Passwörter zugreifen darf, regelt die eingebaute Rechteverwaltung. Beim Ausscheiden eines Mitarbeiters setzt man die Passwörter per Knopfdruck zurück.

Passwort-Tresore: Selfhosted vs. Cloud

Sämtliche Passwort-Manager legen die ihnen anvertrauten Daten in verschlüsselten Tresoren ab. Diese Vaults darf man auf einem eigenen Server unterbringen oder aber in der Cloud des Passwort-Managers parken. Letzteres ist zwar bequem, da die Wartung entfällt und alle Mitarbeiter von jedem beliebigen Ort ihre Zugangsdaten abrufen können, man übermittelt jedoch einem Dritten unternehmenskritische Daten. Entsprechendes Vertrauen schaffen die Anbieter mit gleich mehreren Maßnahmen.

Zunächst setzen alle auf eine Zero-Knowledge-Architektur. Dabei chiffriert der Passwort-Manager die einzulagernden Zugangsdaten auf dem Gerät des Nutzers mit einem nur ihm bekannten Master-Passwort. Der Anbieter bekommt weder das Master-Passwort, noch die unverschlüsselten Daten zu Gesicht. Selbst wenn es ein Angreifer schaffen sollte, in die Cloud einzubrechen, würde er dank dieser Ende-zu-Ende-Verschlüsselung nur Datensalat sehen. Die meisten Anbieter gewähren zwar keinen Einblick in den Programmcode, lassen sich aber immerhin regelmäßig von externen Sicherheitsexperten überprüfen. Zudem loben viele Cloud-Anbieter über Bug-Bounty-Programme Preisgelder für entdeckte Sicherheitsprobleme aus.

Ausgeschlossene Passwort-Manager

Dennoch machten in der Vergangenheit vereinzelte Passwort-Manager auch negative Schlagzeilen. So wurden zu LastPass etwa mehrere schwerwiegende Sicherheitslücken bekannt. Da deren Folgen bisher nicht vollständig aufgeklärt sind, trauen wir uns eine detaillierte Einordnung der Software zum aktuellen Zeitpunkt nicht zu. Deshalb haben wir LastPass im Vergleich außen vor gelassen.

Nicht dabei sind zudem die Programme der KeePass-Familie: Obwohl vor allem KeePassXC gerne empfohlen wird, speichern die Tools sämtliche Informationen in einer einzigen Passwortdatei. Das wiederum erschwert nicht nur massiv die Synchronisation mit verschiedenen Systemen, sondern auch die Speicherung von Passwörtern für Gruppen.

Gemeinsamkeiten der Passwort-Manager

Neben Passwörtern speichern die Passwort-Manager noch andere sensible Informationen, etwa Kreditkartendaten. Die Daten darf man in mehreren Vaults verstauen und diese dann noch einmal thematisch in Gruppen zusammenfassen. Ihre Tresore öffnen die Anwender, indem sie sich beim Passwort-Manager mit einem (Master-)Passwort anmelden. Eine Zwei- oder Mehr-Faktor-Authentifizierung sichert den Zugriff auf die eingelagerten Daten weiter ab.

Die Mitarbeiter verwalten ihre der Zugangsdaten über eine Weboberfläche im Browser oder eine vom Anbieter bereitgestellte App für Android oder iOS. Per Mausklick oder Fingertipp teilt man die privaten Daten mit Kollegen – bei Bedarf zeitlich begrenzt. Auf diese Weise können etwa mehrere Außendienstler eine Kreditkarte nutzen. Einige Passwort-Manager erlauben explizit die Weitergabe von Passwörtern an Kunden und externe Mitarbeiter. Das ist beispielsweise nützlich, wenn man einem Kunden einen passwortgeschützten Download freigeben möchte.

Kompromittierte Passwörter

Bis auf HashiCorp Vault warnen die Passwort-Manager vor kompromittierten Zugangsdaten. Dazu suchen sie beständig im Internet und Darknet nach von Kriminellen veröffentlichten Zugangsdaten. Durchweg bleibt jedoch unklar, wie und wo genau die Passwort-Manager an ihre Informationen gelangen. Davon hängt jedoch maßgeblich ab, wie schnell sie vor neuen Datenlecks (Data Breaches) warnen können.

Sämtliche Passwort-Manager protokollieren jede durchgeführte Aktion. Diese Logs und Events berichten beispielsweise über fehlgeschlagene Authentifizierungen und Anmeldeversuche. Das wiederum kann Einbruchsversuche oder Missbrauch aufdecken. Die Logs ermöglichen allerdings auch eine Überwachung. Hier sollte man vor dem Einsatz die rechtlichen Schranken abklären.

Vergleich: 7 Passwort-Manager für Unternehmen

Für den Vergleich der Unternehmens-Passwortmanager haben wir uns insgesamt sieben Lösungen angesehen. Die Passwort-Manager NordPass Business (Test) und Passwork (Test) kannten wir bereits aus vorherigen Einzeltests. Die weiteren Kandidaten für unseren Vergleich ermittelten wir anhand der vermuteten Produktrelevanz. Als Grundlage dienten uns Suchmaschinendaten, Marktstudien und Diskussionsfäden. Zusätzlich haben wir mit Heylogin einen Anbieter aus dem deutschsprachigen Raum aufgenommen. Die Anbieter LastPass sowie KeePass stellen wir aus den bereits beschriebenen Gründen nicht vor.

1Password

Der in Kanada beheimatete Cloud-Dienst 1Password* merkt sich neben Zugangsdaten eine Fülle von weiteren privaten Daten, darunter Krypto-Wallets, Bonusprogramme, Software-Lizenzen, beliebige Dokumente und sogar medizinische Akten. Über ein bereitgestelltes Kommandozeilenwerkzeug lässt sich der Passwort-Manager in (Shell-)Skripte einbinden, obendrein gibt es Clients für Windows, macOS und Linux.

Eine Firewall erlaubt nur ausgewählten Geräten den Zugriff, etwa solchen mit vorgegebenen IP-Adressen. Die separat angebotene Funktion „1Password Device Trust“ beschränkt den Zugriff auf Geräte, die vorgegebenen Sicherheitsrichtlinien folgen. Auf diese Weise lassen sich unter anderem Geräte ausschließen, auf denen ein KI-Agent installiert ist. 1Password bereinigt regelmäßig die Zwischenablage von geheimen Daten. Externen Personen kann man explizit einen Gastzugang einrichten.

1Password unterstützt das Secure Remote Password (SRP)-Protokoll und arbeitet unter anderem mit Microsoft Entra ID, Google Workspace und Okta zusammen. Ereignisse berichtet 1Passwort an SIEM-Tools wie Splunk und Elastic, Warnungen landen in Slack. Obendrauf integriert sich der Passwort-Manager in Entwicklertools wie VS Code und CI/CD-Systeme. Über diesen Weg signiert 1Password etwa automatisch Git-Commits. Ein eingebauter SSH-Agent jongliert schließlich noch SSH-Schlüssel. Auf Wunsch übernimmt 1Password die Authentifizierung unter Anwendungen. Dieses Secret Management übernimmt ein separater 1Password Connect Server, den man auf eigener Hardware betreiben darf.

Die monatlichen Kosten hängen von der Anzahl der Nutzer und dem Funktionsumfang ab. Kleine Teams mit bis zu zehn Mitgliedern zahlen rund 21 € pro Monat. Unternehmen starten bei 9 €, hier allerdings pro Nutzer und Monat. Wer ein Jahr im Voraus zahlt, erhält einen Rabatt. Preise für das „Extended Access Management“, das unter anderem „1Password Device Trust“ umfasst, gibt es nur auf Anfrage. In jedem Fall lässt sich 1Password 14 Tage lang kostenlos testen. Für Managed Service Providers, die mit 1Password ihre Kunden schützen wollen, offeriert 1Password eine spezielle MSP Edition. Der Passwort-Manager selbst ist nach SOC 2 Type 2 zertifiziert, die Prüfberichte der regelmäßig konsultierten externen Sicherheitsexperten lassen sich online einsehen.

Fazit: 1Password gehört zu den funktionsreichsten Passwort-Managern im Testfeld, ist aber nur als Cloud-Dienst zu haben. Auf Interesse stößt 1Password vordergründig bei Entwicklern sowie Unternehmen, die den Zugriff detaillierter kontrollieren und reglementieren möchten.

Bitwarden & Vaultwarden

Bitwarden dürfen Unternehmen auf eigenen Servern betreiben. Wer den Cloud-Dienst abonniert, kann seine Daten explizit in europäischen Rechenzentren speichern lassen, Bitwarden wirbt zudem explizit mit der Einhaltung der GDPR. Browser-Plugins existieren selbst für exotische Exemplare, wie Brave und den Tor-Browser. Hinzu kommen Clients für Windows, macOS und Linux, obendrein spendiert Bitwarden ein Kommandozeilenwerkzeug und eine API.

Der Passwort-Manager speichert neben Zugangsdaten auch noch Notizen, Kreditkartendaten sowie „Identitäten“. Darunter fallen Telefonnummern und andere personenbezogene Daten, die Internetseiten häufig abfragen. Die Funktion Bitwarden Send verschlüsselt beliebige Texte oder Dateien und stellt sie über einen Link bereit. Auf diese Weise kann man freien Mitarbeitern Passwörter oder vertrauliche Dokumente zuspielen. Ein eingebauter SSH Agent ermöglicht das Signieren von Git Commits und die Anmeldung an SSH-Servern.

„Gesundheitsberichte“ informieren unter anderem über kompromittierte oder schlechte Passwörter. Darüber hinaus warnt Bitwarden vor Webseiten, die noch das unverschlüsselte HTTP anstelle von HTTPS nutzen. Für Notfälle lassen sich Vertrauenspersonen benennen, die auf den eigenen Vault zugreifen dürfen (Emergency Access). Bitwarden integriert sich mit E-Mail-Alias-Diensten wie Fastmail, Firefox Relay oder DuckDuckGo. Dank ihrer Hilfe muss man nicht die echten E-Mail-Adressen in den Zugangsdaten verwenden. Zum einen beugt man so Phishing vor, zum anderen lässt sich bei einer Spam-Flut der Alias-Name schnell deaktivieren.

Die Anmeldung bei Bitwarden gelingt alternativ per Single Sign On (SSO), wobei unter anderem Microsoft Entra ID, Duo, Amazon AWS, Google und Okta zum Einsatz kommen dürfen. Darüber hinaus arbeitet der Passwort-Manager mit bestehenden Verzeichnisdiensten zusammen, mit denen er auch entsprechende Daten synchronisiert. Darunter fallen LDAP-Server, Microsoft Entra ID Directory, Apple Directory Server und Google Workspace. Ereignisse reicht Bitwarden unter anderem an Splunk, Elastic und Microsoft Sentinel weiter. Entwickler dürfte die Integration von Ansible, GitHub Actions, GitLab CI/CD und Kubernetes Operator freuen.

Anders als die Konkurrenz veröffentlicht Bitwarden den Programmcode seines Passwort-Managers auf GitHub. Der zentrale Server untersteht dabei zwar weitgehend der liberalen GNU AGPL v3, einige Teile verwenden jedoch die einschränkende Bitwarden License v1.0. Eine komplett freie Alternative stellt Vaultwarden dar. Sie ist zwar zu Bitwarden kompatibel, Support erhält man allerdings nur aus der Community.

Die Preise von Bitwarden orientieren sich an der Anzahl der Nutzer und Funktionen. Kleine Teams starten ab 4 US-Dollar pro Monat und Nutzer, größere Unternehmen berappen 6 US-Dollar im Enterprise-Tarif. In jedem Fall darf man den Dienst sieben Tage lang testen.

Fazit: Bitwarden gehört zu den beliebten Klassikern unter den Passwort-Managern. Er integriert sich mit einer Vielzahl von externen Diensten und unterstützt sogar weniger genutzte Browser. Die Open-Source-Lizenz und die kompatible Implementierung Vaultwarden haben überdies eine große Community geschaffen.

Dashlane

Das in Frankreich beheimatete Dashlane* merkt sich auch Zahlungsmittel, beliebige Texte, Ausweise und persönliche Daten wie Telefonnummern. Auf Wunsch importiert Dashlane Zugangsdaten aus vielen Konkurrenten und Browsern. Der Passwort-Manager unterstützt zudem den SCIM-Standard und integriert sich mit bestehenden Identity Providern, was ein Single-Sign On ermöglicht.

Ähnlich wie viele Konkurrenten berechnet Dashlane einen „Passwort Health Score“, der die Sicherheit der hinterlegten Zugangsdaten in einem Wert zusammenfasst. Der Dienst warnt vor kompromittierten Zugangsdaten und suspekten Websites. Vor allem diese Fähigkeiten erweitert die ergänzend angebotene „Plattform“ Omnix*. Dank künstlicher Intelligenz soll sie sogar kommende Sicherheitsprobleme vorhersehen können. Die Nutzer erhalten kontextbezogene Warnungen, zudem „stupst“ sie der Passwort-Manager in Echtzeit an – letzteres auf Wunsch auch über Slack.

Dashlane lässt sich 14 Tage lang kostenlos testen. Danach ist die Passwortverwaltung bei jährlicher Abrechnung für 8 € pro Nutzer und Monat zu haben. Omnix kostet 11 € pro Benutzer und Monat, ebenfalls bei jährlicher Zahlung. In jedem Fall dürfen Kunden das VPN von Hotspot Shield mitnutzen.

Dashlane selbst erfüllt explizit die GDPR und ist SOC 2 Type II zertifiziert. Audit-Zertifikate stellt das Unternehmen teilweise in seinem Trust Center bereit, den jährlichen Penetration-Test und andere Dokumente gibt es nur auf Nachfrage.

Fazit: Dashlane punktet mit seinen Sicherheitschecks, für deren vollen Funktionsumfang man allerdings die Omnix-Plattform buchen muss. Der Passwort-Manager selbst lässt sich einfach bedienen, liefert dafür allerdings nur Grundfunktionen. Während das kleinen Unternehmen entgegenkommt, dürften vor allem Entwickler mit der Konkurrenz besser fahren.

HashiCorp Vault

Nicht nur Nutzer melden sich bei (Cloud-)Diensten an, auch Anwendungen müssen sich gegenüber Kollegen authentifizieren. So verlangt etwa eine Datenbank vom anklopfenden Content-Management-System passende Zugangsdaten. Auf genau diese Fälle fokussiert sich Vault. Der Passwort-Manager stammt vom Unternehmen HashiCorp, das mittlerweile zu IBM gehört.

Die allgemein Secrets genannten Zugangsdaten dürfen nach einer vorgegebenen Zeit automatisch auslaufen oder ungültig werden. Des Weiteren kann Vault Secrets automatisch wechseln („rotieren“), zurückrufen und dynamisch erzeugen. So generiert der Passwort-Manager auf Zuruf etwa Einmalpasswörter nach dem TOTP-Verfahren. In jedem Fall isolieren Namespaces die Daten voneinander, womit Vault sogar mandantenfähig ist. Auf Wunsch arbeitet Vault als Verschlüsselungsdienst („data encryption as a service“) und Zertifizierungsstelle. Unter anderem kann Vault Daten signieren und verifizieren, sowie X.509-Zertifikate erstellen und erneuern.

Vault ist modular aufgebaut, um jedes Secret kümmert sich eine darauf spezialisierte Secrets Engine. Statische Secrets landen in einem einfachen Key/Value-Store, der wie in einem Wörterbuch jedes Geheimnis unter einem Schlüsselwort ablegt. Die gemerkten Daten unterliegen dabei einer Versionsverwaltung.

Zugriff auf die Secrets und die Funktionen erhält man über ein Kommandozeilenwerkzeug und vor allem eine API. Die ebenfalls verfügbare Weboberfläche hilft primär bei administrativen Aufgaben. Wer bei Vault anklopfen darf, bestimmt ein externes Identity and Access Management System (IAM). Vault arbeitet dabei unter anderem mit einem LDAP-Server, GitHub oder Amazons AWS IAM zusammen. Ein Single-Sign On ist via Okta, Ping und Duo möglich. Des Weiteren integriert sich Vault mit anderen HashiCorp-Produkten – in erster Linie mit Consul und Boundary. Letztgenanntes System realisiert ein Privileged Access Management, während sich über Consul einzelne Softwarekomponenten, wie Microservices, gegeneinander authentifizieren. Überdies spricht Vault mit CI/CD- und Monitoring-Systemen sowie vielen weiteren externen Diensten. So jongliert Vault Kubernets Secrets und übergibt Ereignisse an Splunk.

Vault lässt sich als Cloud-Dienst buchen, bei dem Abonnenten die genutzte Zeit zahlen. Im günstigsten Tarif fallen 0,62 US-Dollar pro Stunde und Cluster an. Bei allen übrigen Tarifen steigt nicht nur der Funktionsumfang und der Preis, IBM berechnet auch noch pro Client 73 US-Dollar pro Monat. Wer zum ersten Mal bucht, bekommt immerhin ein Startkapital von 500 US-Dollar. Im Hintergrund spannt der Cloud-Dienst wahlweise Amazon AWS oder Microsoft Azure ein.

Alternativ lässt sich Vault auf eigenen Servern betreiben (On-Premise). Bei dieser Vault Enterprise getauften Lösung darf man mehrere Server zusammenschalten, um die Ausfallsicherheit zu erhöhen (High Availability). Ein solcher Cluster lässt sich zudem schnell in andere Rechenzentren replizieren. Automatische Snapshots des Cluster-Zustands beugen Datenverlusten vor. Ferner kann die Enterprise-Lösung im Server verbaute Hardware Security Modules zur Verschlüsselung einspannen. Daten speichert Vault wahlweise im Cluster, im Hauptspeicher, einem (externen) Dateisystem oder bei Cloud-Diensten, wie der Google Cloud. Preise für Vault Enterprise nennt IBM nur auf Nachfrage.

Als dritte Option kann man zur kostenlosen Open-Source-Fassung von Vault greifen. Dieser Community-Edition fehlen nicht nur einige Funktionen, sie unterliegt auch der Business Source License, die den kommerziellen Einsatz einschränkt. Eine Ausweichmöglichkeit bietet der kompatible Klon OpenBao, der die liberalere Mozilla Public License 2.0 nutzt.

Fazit: HashiCorp Vault richtet sich in erster Linie an Entwickler und Administratoren, deren Systeme einen zentralen Passwortspeicher und Zertifikatsserver benötigen. Für diese Einsatzzwecke stellt Vault ein ausgezeichnet skalierendes und flexibles System. Die Lizenzkosten können jedoch abhängig von der Nutzung schnell etwas höher ausfallen.

Heylogin

Das aus Braunschweig stammende Heylogin speichert seine Daten primär in einem Rechenzentrum von Hetzner. Backups schiebt der Passwort-Manager zu Ionos nach Nürnberg. Heylogin ist vom TÜV ISO 27001:2022 zertifiziert und explizit DSGVO-konform. Der Entwickler betont, dass selbst das Audit-Log nur die absolut notwendigen Ereignisse erfasst. Neben Passwörtern kann sich Heylogin Kreditkartendaten, Notizen und WLAN-Zugangsdaten merken.

Die eingelagerten Daten verschlüsseln die Sicherheitschips in den Geräten der Nutzer. Das erzwingt gleichzeitig eine 2-Faktor-Authentifizierung: Sobald die Browser-Erweiterung auf den Tresor zugreifen möchte, gibt der Nutzer den Einsatz des Sicherheitschips am Smartphone frei. Anschließend meldet ihn Heylogin automatisch an. Alternativ zu mobilen Geräten unterstützt der Passwort-Manager die Freigabe über Smartwatches, Touch ID, Windows Hello und einen FIDO2-USB-Stick. Letztgenannter ist etwa notwendig, wenn ein Gerät keinen Sicherheitschip besitzt.

Da bei Heylogin die Hardware die Daten verschlüsselt, benötigt man kein (Master-)Passwort. Das kann folglich nicht mehr in falsche Hände geraten, ein Zugriff auf den Heylogin-Tresor ist jedoch nur mit dem entsprechenden Gerät möglich. Sollte das verloren gehen, kommen Nutzer nur über eine Hintertür dennoch an ihre Daten: Die Tresore verschlüsselt Heylogin auch mit den Sicherheitschips der Administratoren. Diese können allerdings damit die Daten nicht selbst entschlüsseln, sondern nur eine Wiederherstellung auf einem neuen Gerät anstoßen.

Wie die Konkurrenz warnt Heylogin vor kompromittierten Passwörtern. Die Benutzerverwaltung dockt auf Wunsch bei Microsoft Entra ID und Google Workspace an, zudem lassen sich Nutzerkonten schnell über eine CSV-Tabelle importieren. Nutzern kann man nur eine von vier Rollen zuweisen, bei den Kontrahenten lassen sich die Zugriffsrechte feinstufiger vergeben. Externen Personen darf man immerhin einen Gastzugang einrichten („Nur Login“).

Privatnutzer erhalten einen kostenlosen, aber stark beschnittenen Zugang. Kleine Unternehmen zahlen 5 € pro Nutzer und Monat, bei jährlicher Zahlweise gibt es 20 Prozent Rabatt. Enterprise-Kunden ab 50 Mitarbeitern vorbehalten bleiben das Audit-Log und die Pwnitoring getaufte Funktion, die sämtliche Zugangsdaten permanent auf Sicherheitsprobleme abklopft. Preise nennt Heylogin hier nur auf Anfrage.

Fazit: Heylogin betreibt seinen Dienst komplett in Deutschland und bietet eine Hardware-basierende Verschlüsselung. Aufgrund seiner einfachen Bedienung und seines überschaubaren Funktionsumfangs ist der Passwort-Manager gerade für kleinere Unternehmen interessant. Die müssen allerdings standardmäßig auf die wichtige Passwortüberwachung (Pwnitoring) und die Audit-Logs verzichten.

NordPass Business

Hinter dem Passwort-Manager NordPass* steht das US-amerikanische Unternehmen Nord Security, das vor allem durch seinen VPN-Dienst NordVPN bekannt ist. Der Passwort-Manager jongliert neben Zugangsdaten auch Notizen, Kreditkarteninformationen und Kontaktdaten. Die eingebaute Versionsverwaltung merkt sich sämtliche Änderungen an den Zugangsdaten. Auf diese Weise kann man zu älteren Passwörtern zurückkehren und zudem nachverfolgen, welche Mitarbeiter im Unternehmen wann ein Passwort geändert haben. Zugangsdaten lassen sich mit außenstehenden Personen teilen. Für den Zugriff stellt NordPass auch Apps für Windows, macOS und Linux bereit.

Auf Wunsch erzeugt NordPass Alias-Namen für eine bestehende E-Mail-Adresse. Anders als bei Bitwarden ist dazu kein externer Dienst notwendig. NordPass bietet eine integrierte Alternative zum Google Authenticator, was Zwei-Faktor-Authentifizierungen erleichtert – Mitarbeiter benötigen keine separate App mehr. Bei kompromittierten Zugangsdaten stuft der Dienst das Risiko ein und verrät zudem, welche konkreten Daten abgeflossen sind. Darüber hinaus schlägt er passende Maßnahmen vor, wie das Sperren einer Kreditkarte. Meldet man die unternehmenseigenen Webseiten bei NordPass an, warnt der Dienst, sobald er die Domain im Zusammenhang mit einem Datenleck im Internet entdeckt.

Über den Sharing-Hub behalten Administratoren die Rechte im Blick. Er fasst unter anderem zusammen, welche Mitarbeiter ihre Zugangsdaten gerade mit welchen anderen Teammitgliedern teilen. Zudem lassen sich dort schnell Rechte entziehen oder gewähren. Scheidet ein Mitarbeiter aus dem Unternehmen aus, überträgt man seine Passwörter per Klick auf seine Nachfolgerin. Die Benutzer- und Gruppenbereitstellung erfolgt auf Wunsch über Entra ID oder Okta. Ein Single-Sign On läuft ebenfalls über Entra ID und Okta sowie Google Worksapce und MS ADFS. Überdies arbeitet NordPass mit Vanta und Splunk zusammen. Alle Aktivitätsprotokolle lassen sich über eine passende API abrufen und so in weiteren Tools auf Missbrauchsspuren analysieren.

Die monatlichen Kosten für den Passwort-Manager hängen vom Funktionsumfang, der Anzahl Nutzer und der Vertragslaufzeit ab. Der Tarif für kleine Teams mit bis zu zehn Mitgliedern ist für 1,99 € pro Monat und Nutzer im 1-Jahres-Paket zu haben. Der höchste Enterprise-Tarif mit allen Funktionen kostet im Jahrespaket 5,99 € pro Monat und Nutzer. Sämtliche Daten legt NordPass verschlüsselt in der Amazon AWS-Cloud ab. Abonnenten haben dabei die Wahl zwischen den Serverstandorten USA und Europa. NordPass selbst ist nach ISO 27001 und SOC 2 Type II zertifiziert.

Fazit: Wie Bitwarden gehört NordPass zu den Klassikern mit solidem Funktionsumfang. Die einfache Bedienung kommt Mitarbeitern entgegen, denn die vielen Clients erlauben die Nutzung auf zahlreichen Systemen. Allerdings bindet man sich an einen Cloud-Dienst aus dem Ausland, der die Daten bei Amazon lagert.

Passwork

Das aus Spanien stammende und nach ISO 27001 zertifizierte Passwork* steht separat On-Premises sowie in der Cloud zur Verfügung. Laut eigener Werbung auf Passwork.pro jongliert das System problemlos „über 30.000 Benutzer“. Die Benutzerverwaltung zapft auf Wunsch ein Active Directory oder einen LDAP-Server an, möglich ist zudem ein Single-Sign On via SAML. Audit-Logs und Compilance-Berichte helfen beim Aufspüren von Problemen und Missbrauch. Mit Hilfe der im Hintergrund werkelnden MongoDB-Datenbank realisiert Passwork das für Unternehmen wichtige Disaster-Recovery, eine Hochverfügbarkeit und ein automatisches Failover.

Ähnlich wie HashiCorp Vault kann Passwork das Secret Management übernehmen. Unter anderem integriert sich der Passwort-Manager über eine API in CI/CD-Systeme. Python-Programmierern erleichtert eine Bibliothek den Zugriff auf Passwork. Die Container-Welt unterstützt Passwork gleich doppelt: Zum einen erstellt der Passwort-Manager automatisch Kubernetes-Secrets, zum anderen existiert ein vorbereiteter Docker-Container, der Anwendungen in anderen Containern mit Secrets versorgt.

Wer in einem kleinen Team arbeitet und mit den Kernfunktionen auskommt, zahlt 3 Euro pro Nutzer und Monat. Den vollen Funktionsumfang mit SSO, Clustering, LDAP- und Active-Directory-Anbindung gibt es für 4,50 Euro pro Nutzer und Monat. Beide Preise beziehen sich auf eine jährliche Zahlung. Besonders treuen Kunden stellt Passwork Rabatte in Aussicht. Nach einer Registrierung darf man den Passwort-Manager 30 Tage lang kostenlos testen, darüber hinaus kann man mit dem Support eine Demo vereinbaren. Sicherheitstests hat das darauf spezialisierte Unternehmen HackerOne durchgeführt. Deren Prüfberichte lassen sich auf der Passwork-Website nicht einsehen, lediglich eine Zusammenfassung* ist dort veröffentlicht.

Ergänzend zur On-Premises-Fassung betreibt Passwork unter der Adresse https://passwork.me/ einen Cloud-Dienst. Die dahinter stehende Seite liefert allerdings keinerlei Informationen – dazu muss man explizit die nicht offensichtlich verlinkte Adresse https://passwork.me/de/cloud/ aufrufen. Dort kann man den Dienst für 1,5 US-Dollar pro Monat und Benutzer buchen. Verwirrenderweise offeriert die Seite eine On-Premise-Fassung für eine Einmalzahlung von 480 US-Dollar, bei der man sogar den Quellcode einsehen darf. Direkt kaufen kann man sie dennoch nicht: Der entsprechende Link führt ins Nirwana.

Den Cloud-Dienst konnten wir hingegen problemlos freischalten und wie versprochen sieben Tage lang ausprobieren. Der Funktionsumfang ist allerdings noch überschaubar und nicht auf demselben Stand wie die On-Premises-Version: So darf man Passwörter teilen, mit Tags auszeichnen, einer Notiz versehen und um eine bis zu 100 KByte großen Datei ergänzen. Die eingebaute Versionsverwaltung merkt sich sämtliche Änderungen an den gespeicherten Passwörtern. Kompromittierte Zugangsdaten spürte der Dienst in unseren Tests nicht auf, verpetzte aber immerhin unsichere und alte Log-ins. Anfang 2026 soll die Cloud schließlich alle Features der Selfhosted-Version enthalten.

Fazit: Die On-Premises-Fassung von Passwork richtet sich an Unternehmen, die den Passwort-Manager selbst aufsetzen und warten wollen. Seine Muskeln spielt der Passwort-Manager vor allem in einer Kubernetes-Umgebung und in CI/CD-Systemen aus. Der Funktionsumfang des Cloud-Dienstes wiederum ist noch ausbaufähig.

Fazit

Die Passwort-Manager unterscheiden sich vor allem in Details. So generieren alle auf Knopfdruck sichere Passwörter und nutzen eine Zero-Knowledge-Architektur. HashiCorp Vault ist auf das Secret Management geeicht, das auch 1Password und Passwork beherrschen. Unkompliziert und mit eher überschaubarem Funktionsumfang kommen Dashlane und das aus Deutschland stammende Heylogin daher. 1Password, Bitwarden, NordPass und Passwork spielen in einer untereinander vergleichbaren Liga – sie arbeiten mit anderen Diensten zusammen und punkten mit einer guten Erkennung von kompromittierten Passwörtern.

* Mit einem Stern markierte Links sind Affiliate-Links, für die wir unter Umständen eine Provision erhalten. Der Kaufpreis erhöht sich dadurch nicht!

Redaktion & Aktualisierung: heise Download-Team