Zum Inhalt

Passwort-Manager im Detail

Passwort-Manager im Detail

Das Hauptkapitel hat die Grundlage gelegt: Passwort-Manager sind die Lösung für das Passwort-Problem, und die Empfehlung lautet Bitwarden, 1Password oder KeePassXC. Dieser Deep Dive erklärt, wie Passwort-Manager intern funktionieren, was die Architekturunterschiede bedeuten, was bei Verlust des Master-Passworts passiert – und was Passkeys sind und warum sie langfristig die Passwort-Frage neu stellen.

Wie ein Passwort-Manager funktioniert – das Zero-Knowledge-Prinzip

Das Vertrauensproblem beim Passwort-Manager ist offensichtlich: Du gibst alle deine Zugangsdaten in eine einzige Anwendung – und vertraust darauf, dass diese Anwendung sicher ist. Was passiert, wenn der Anbieter gehackt wird?

Die Antwort liegt im Zero-Knowledge-Prinzip: Ein gut designter Passwort-Manager verschlüsselt deinen Tresor ausschließlich auf deinem Gerät, bevor irgendetwas den Anbieter erreicht. Der Anbieter speichert nur verschlüsselte Datenpakete – er kennt weder dein Master-Passwort noch den Inhalt deines Tresors. Selbst wenn die Server des Anbieters kompromittiert werden, haben Angreifer nur wertlosen Chiffretext.

Wie das technisch funktioniert:

  1. Du gibst dein Master-Passwort ein.
  2. Aus dem Master-Passwort wird lokal auf deinem Gerät ein kryptografischer Schlüssel abgeleitet – durch eine rechenintensive Hashfunktion (z. B. PBKDF2 oder Argon2). Diese Funktion ist bewusst langsam, um Brute-Force-Angriffe zu erschweren.
  3. Mit diesem Schlüssel wird dein Tresor lokal entschlüsselt.
  4. Wenn du Änderungen speicherst, wird der Tresor lokal neu verschlüsselt und der verschlüsselte Tresor an den Server übertragen.

Der Anbieter sieht zu keinem Zeitpunkt den Schlüssel oder die entschlüsselten Inhalte. Das ist Zero-Knowledge.

Die Konsequenz: Wenn du dein Master-Passwort vergisst, kann dir der Anbieter nicht helfen. Es gibt keine „Passwort vergessen"-Funktion, die deine Daten zurückbringt. Der Anbieter kann deinen Account löschen, aber er kann den Tresor nicht entschlüsseln. Das ist eine Stärke – und zugleich eine Verantwortung.

Architekturunterschiede: Cloud, lokal, selbst gehostet

Die drei empfohlenen Passwort-Manager verfolgen unterschiedliche Architekturansätze – mit unterschiedlichen Stärken und Schwächen.

Bitwarden – Cloud mit Open-Source-Kern

Bitwarden ist Open Source: Der gesamte Quellcode ist öffentlich einsehbar und wird regelmäßig von unabhängigen Sicherheitsforschern geprüft. Das ist ein erheblicher Vertrauensvorteil gegenüber proprietären Lösungen – du musst dem Anbieter nicht blind vertrauen, weil du (oder jemand mit technischem Know-how) den Code selbst prüfen kannst.

Der Standardbetrieb ist cloudbasiert: Bitwarden synchronisiert deinen verschlüsselten Tresor über die eigenen Server. Zero-Knowledge ist implementiert.

Selbst-Hosting: Bitwarden kann vollständig auf einem eigenen Server betrieben werden – entweder auf einem VPS oder auf einem Heimserver. Das gibt maximale Kontrolle, erfordert aber technisches Know-how und regelmäßige Wartung. Für die meisten Selbständigen ist der Cloud-Betrieb die pragmatischere Wahl.

Kostenmodell: Die kostenlose Version deckt alle wesentlichen Funktionen ab. Der Premium-Plan (wenige Euro pro Jahr) ergänzt TOTP-Generierung im Manager, verschlüsselte Dateianhänge und erweiterte 2FA-Optionen.

1Password – Cloud mit starkem Familien- und Teamfokus

1Password ist proprietär – der Quellcode ist nicht öffentlich. Das ist ein prinzipieller Nachteil gegenüber Bitwarden, der aber durch umfangreiche externe Sicherheitsaudits und eine langjährige positive Sicherheitsbilanz teilweise ausgeglichen wird.

1Password implementiert eine technische Besonderheit: den Secret Key. Neben dem Master-Passwort gibt es einen zusätzlichen, zufällig generierten Schlüssel, der lokal gespeichert wird. Der Tresor wird mit der Kombination aus Master-Passwort und Secret Key verschlüsselt. Ein Angreifer, der dein Master-Passwort kennt, aber nicht deinen Secret Key hat, kann deinen Tresor nicht entschlüsseln.

Der Nachteil: Der Secret Key muss beim Einrichten auf neuen Geräten eingegeben werden. Wer ihn verliert und sich gleichzeitig von allen Geräten aussperrt, verliert den Zugang zum Tresor unwiederbringlich. Der Secret Key muss deshalb sicher aufbewahrt werden – 1Password stellt dafür ein druckbares „Emergency Kit" bereit.

Kostenmodell: 1Password ist ausschließlich kostenpflichtig – es gibt keinen dauerhaften kostenlosen Plan, nur eine Testphase.

KeePassXC – lokal, kein Cloud-Zwang

KeePassXC speichert den Tresor als verschlüsselte Datei lokal auf deinem Gerät. Es gibt keinen Anbieter, keinen Server, keine Synchronisierung – es sei denn, du richtest sie selbst ein.

Das ist der maximale Kontrollansatz: Deine Daten verlassen niemals dein Gerät, es sei denn, du entscheidest dich aktiv dafür. Für alle, die grundsätzlich keine Daten in Drittanbieter-Clouds geben wollen – etwa aus berufsrechtlichen Gründen –, ist KeePassXC die konsequente Wahl.

Der Preis der Kontrolle: Du bist selbst für die Synchronisierung zwischen Geräten verantwortlich. Eine verbreitete Lösung ist, die KeePass-Datenbankdatei in einem selbst kontrollierten Speicher (HiDrive, eigener Server, verschlüsselter USB-Stick) abzulegen und manuell oder über ein Sync-Tool zwischen Geräten abzugleichen. Das ist fehleranfälliger als eine automatische Cloud-Synchronisierung.

KeePassXC ist Open Source, kostenlos und hat keine laufenden Kosten.

Was passiert, wenn das Master-Passwort verloren geht?

Das ist die existenzielle Frage beim Passwort-Manager – und die Antwort ist unbequem: Wer das Master-Passwort verliert und keinen Wiederherstellungsweg eingerichtet hat, verliert seinen Tresor unwiederbringlich.

Kein seriöser Passwort-Manager bietet eine „Passwort vergessen"-Funktion, die deinen Tresor zurückbringt. Das wäre nur möglich, wenn der Anbieter Zugang zu deinen entschlüsselten Daten hätte – was das Zero-Knowledge-Prinzip aufheben würde.

Was du jetzt einrichten solltest:

Option 1: Notfallzugang (Bitwarden, 1Password) Bitwarden bietet einen „Emergency Access": Du kannst einer Vertrauensperson (z. B. Ehepartner, Geschäftspartner) Zugang zu deinem Tresor gewähren. Die Person muss den Zugang anfragen; du hast eine konfigurierbare Wartezeit (z. B. 7 Tage), um den Zugang abzulehnen. Läuft die Frist ab, erhält die Vertrauensperson Zugang. Das schützt gegen unberechtigten Zugang und sichert gleichzeitig den Notfallzugang.

1Password's Emergency Kit erfüllt eine ähnliche Funktion: Das ausgedruckte Dokument mit Master-Passwort und Secret Key wird sicher verwahrt – z. B. im Bankschließfach oder beim Notar.

Option 2: Aufbewahrung im Notfalldokument Das Master-Passwort (und ggf. der Secret Key bei 1Password) gehören ins Notfalldokument – physisch ausgedruckt, sicher aufbewahrt, nicht digital gespeichert. Das Notfalldokument selbst ist verschlossen aufzubewahren.

Option 3: KeePass-Datenbankdatei sichern Bei KeePassXC ist die Datenbankdatei das Backup. Eine verschlüsselte Kopie der Datenbankdatei – zusammen mit dem Master-Passwort an einem getrennten, sicheren Ort – ist der Wiederherstellungsweg.

Merksatz: Das Master-Passwort ist der Generalschlüssel zu allem. Wer es verliert und keinen Notfallweg eingerichtet hat, steht vor verschlossenen Türen – ohne Schlüsseldienst.

Den Tresor selbst sichern – Backup-Strategien für den Passwort-Manager

Der vorherige Abschnitt behandelt den Zugang zum Tresor – was passiert, wenn das Master-Passwort verloren geht. Davon zu trennen ist eine andere Frage: Was passiert, wenn der Dienst selbst nicht mehr verfügbar ist? Ein Anbieter kann ausfallen, ein Konto gesperrt werden, ein Abo unbemerkt ablaufen. Auch der Tresor selbst braucht daher eine Backup-Strategie.

Die folgenden Ansätze lassen sich kombinieren – und sollten es auch. Ein einzelner Wiederherstellungsweg ist ein Single Point of Failure.

Strategie 1: Zweiter Passwort-Manager als paralleler Tresor

Ein zweiter, unabhängiger Passwort-Manager wird regelmäßig mit einem Export aus dem Primärsystem befüllt. Im Notfall – Dienst nicht erreichbar, Konto gesperrt, Abo abgelaufen – ist der zweite Tresor sofort nutzbar.

Diese Strategie ist in der Praxis eine der zuverlässigsten, weil sie keine manuelle Entschlüsselung oder technische Expertise im Notfall erfordert. Voraussetzung ist, dass der zweite Dienst wirklich unabhängig ist: anderer Anbieter, andere Infrastruktur, idealerweise andere Authentifizierungsmethode. Ein zweiter Bitwarden-Account hilft wenig, wenn Bitwarden selbst ausfällt.

Geeignete Kombinationen: 1Password als Primärsystem + Bitwarden (kostenlos) als Backup-Tresor, oder umgekehrt. Wer maximale Unabhängigkeit will, nutzt KeePassXC als Offline-Backup – keine Cloud, kein Dienst, der ausfallen kann.

Eine interessante Variante ist der Einsatz eines konzeptionell anders aufgebauten Dienstes als Backup-Tresor – etwa heylogin. Im Unterschied zu klassischen Passwort-Managern arbeitet heylogin hardwaregebunden: Die Authentifizierung erfolgt über ein physisches Gerät (Smartphone oder Hardware-Token), ohne klassisches Master-Passwort. Wer 1Password oder Bitwarden als Primärsystem nutzt und seine Zugangsdaten regelmäßig per Export nach heylogin importiert, hat damit einen Backup-Tresor mit völlig anderer Architektur – was die Unabhängigkeit erhöht. Ein Angriff oder Systemfehler, der den einen Ansatz trifft, trifft den anderen in der Regel nicht.

Der kritische Punkt: Die Exportdatei, die zwischen den Systemen wandert, enthält alle Passwörter im Klartext oder in leicht entschlüsselbarem Format. Sie darf niemals unverschlüsselt auf der Festplatte liegen. Importiere sie direkt und lösche die Exportdatei anschließend sicher. Lege sie niemals in einem unverschlüsselten Cloud-Ordner ab.

Strategie 2: Verschlüsselter Offline-Export

Regelmäßiger Export aus dem Passwort-Manager als CSV oder JSON, sofortige Verschlüsselung der Exportdatei (z. B. in einem VeraCrypt-Container oder einem 7-Zip-Archiv mit AES-256-Verschlüsselung und starkem Passwort), anschließende Ablage auf einem verschlüsselten USB-Stick oder einer externen Festplatte, die offline und sicher aufbewahrt wird.

Vorteil gegenüber Strategie 1: kein zweiter laufender Dienst nötig, keine laufenden Kosten, vollständige Offline-Verfügbarkeit. Nachteil: rein manueller Prozess, der konsequent und regelmäßig durchgeführt werden muss. Wer den Export-Rhythmus nicht in seine Routine integriert, hat schnell einen veralteten Stand.

Empfehlenswerter Rhythmus: monatlich, nach jeder größeren Änderungsphase (z. B. nach dem Migrieren vieler Passwörter) und immer vor einem geplanten Gerätewechsel.

Strategie 3: Physisches Notfalldokument für kritische Konten

Nicht alle Passwörter, aber die wirklich existenzkritischen – E-Mail-Konto, Domain-Registrar, Banking, der Passwort-Manager selbst – werden ausgedruckt und physisch sicher aufbewahrt. Ein Bankschließfach, ein Tresor oder die Aufbewahrung beim Notar sind geeignete Orte.

Das physische Dokument hat einen unschlagbaren Vorteil: Es ist vollständig unabhängig von Technik, Strom und Internet. Es hat aber auch eine klare Schwäche: Es veraltet. Wer ein Passwort ändert, muss das Dokument aktualisieren – was in der Praxis leicht vergessen wird. Deshalb eignet sich diese Strategie nicht als einzige Maßnahme, sondern als letztes Sicherheitsnetz für die absolute Kerngruppe kritischer Zugänge.

Strategie 4: Bitwarden Emergency Access / 1Password Emergency Kit

Diese in einem früheren Abschnitt bereits beschriebenen Mechanismen sichern primär den Zugang, nicht den Tresor als Datei. Sie sind eine sinnvolle Ergänzung – aber kein Ersatz für ein inhaltliches Backup, denn sie helfen nur, wenn der Dienst selbst noch funktioniert.

Empfehlung: Mindestens zwei Strategien kombinieren

Keine dieser Strategien ist für sich allein ausreichend. Die pragmatischste Kombination für Selbständige:

  • Strategie 1 (zweiter Tresor) als Haupt-Backup – immer erreichbar, kein technischer Aufwand im Notfall
  • Strategie 3 (physisches Dokument) für die 5–10 kritischsten Zugänge – als letztes Netz, das auch ohne Strom und Internet funktioniert

Wer höhere Anforderungen hat oder Berufsgeheimnisträger ist, ergänzt mit Strategie 2 (verschlüsselter Offline-Export) für eine vollständige, unabhängige Kopie des gesamten Tresors.

Merksatz: Dein Passwort-Manager ist selbst ein kritisches System – und kritische Systeme brauchen ein Backup. Die Frage ist nicht ob du eine Backup-Strategie brauchst, sondern welche Kombination zu deiner Arbeitsweise passt.

Passwort-Manager und 2FA – das optimale Zusammenspiel

Ein häufiger Fehler: TOTP-Codes für Dienste im selben Passwort-Manager speichern wie die Passwörter für diese Dienste. Das ist praktisch – aber es untergräbt den Sinn von Zwei-Faktor-Authentifizierung.

Der zweite Faktor soll sicherstellen, dass ein Angreifer, der dein Passwort kennt, trotzdem keinen Zugang hat. Wenn Passwort und TOTP-Code aus derselben Quelle kommen – dem kompromittierten Passwort-Manager – ist der zweite Faktor wirkungslos.

Empfehlung: TOTP-Codes für kritische Dienste (E-Mail, Domain-Registrar, Banking, der Passwort-Manager selbst) in einer separaten 2FA-App aufbewahren – zum Beispiel Aegis (Android, Open Source), Raivo (iOS) oder einem Hardware-Token wie YubiKey. Für weniger kritische Dienste ist die Speicherung im Passwort-Manager ein akzeptabler Kompromiss zwischen Sicherheit und Komfort.

Passkeys – die Zukunft ohne Passwörter

Passkeys sind eine neue Authentifizierungstechnologie, die Passwörter langfristig ersetzen soll. Sie werden von den großen Plattformanbietern (Apple, Google, Microsoft) und zunehmendem viele Websites unterstützt. Es lohnt sich, das Konzept zu verstehen – auch wenn Passkeys heute noch nicht überall verfügbar sind.

Wie Passkeys funktionieren:

Ein Passkey ist ein kryptografisches Schlüsselpaar: ein privater Schlüssel, der auf deinem Gerät gespeichert bleibt, und ein öffentlicher Schlüssel, den der Dienst kennt. Beim Login beweist dein Gerät durch eine kryptografische Signatur, dass es den privaten Schlüssel besitzt – ohne den Schlüssel selbst zu übertragen. Die Authentifizierung erfolgt durch Biometrie (Fingerabdruck, Face ID) oder PIN auf deinem Gerät.

Was das bedeutet: - Es gibt kein Passwort, das gestohlen werden kann. - Es gibt kein Passwort, das bei einem Datenleck des Anbieters kompromittiert wird. - Phishing-Angriffe funktionieren nicht: Ein Passkey ist an die exakte Domain des Dienstes gebunden – eine gefälschte Website kann den Passkey nicht nutzen.

Der aktuelle Stand: Passkeys werden von Google, Apple, Microsoft, GitHub, PayPal und vielen anderen Diensten unterstützt. Die Verbreitung wächst schnell. Moderne Passwort-Manager (Bitwarden, 1Password) können Passkeys bereits speichern und synchronisieren.

Was du heute tun solltest: Aktiviere Passkeys für Dienste, die sie anbieten – insbesondere für Google-Konto, Apple ID und Microsoft-Konto. Behalte aber vorerst Passwort und 2FA als Fallback, bis Passkeys flächendeckend etabliert sind.

Merksatz: Passkeys machen Phishing auf kompatiblen Diensten praktisch unmöglich. Sie sind keine Zukunftsmusik mehr – aber noch kein vollständiger Ersatz für Passwörter.

Die Grenzen des Passwort-Managers

Ein Passwort-Manager ist ein mächtiges Werkzeug – aber kein Allheilmittel. Die wichtigsten Grenzen:

Das Master-Passwort ist der schwächste Punkt. Wenn das Master-Passwort schwach ist, bricht die gesamte Sicherheitskette zusammen. Das Master-Passwort muss lang sein (mindestens 16 Zeichen, besser 20+), einzigartig und niemals anderswo verwendet werden. Eine Passphrase aus mehreren zufälligen Wörtern – zum Beispiel vier oder fünf unzusammenhängende Wörter – ist sowohl sicher als auch merkbar.

Malware auf dem Gerät hebt die Sicherheit auf. Wenn dein Gerät mit einem Keylogger oder Infostealer infiziert ist, kann Malware das Master-Passwort abfangen, während du es eingibst, oder den entschlüsselten Tresor aus dem Arbeitsspeicher auslesen. Der Passwort-Manager schützt gegen Angriffe auf Server und Netzwerk – nicht gegen Angriffe auf das Endgerät selbst. Deshalb sind Gerätesicherheit und aktuelle Software unverzichtbar.

Browser-Erweiterungen sind eine Angriffsfläche. Die meisten Passwort-Manager bieten Browser-Erweiterungen für automatisches Ausfüllen. Diese Erweiterungen sind praktisch – aber sie erweitern auch die Angriffsfläche. Böswillige Websites können versuchen, die automatische Ausfüllfunktion auszunutzen. Konfiguriere die Erweiterung so, dass sie nur auf Anfrage ausfüllt, nicht automatisch beim Laden der Seite.

Geteilte Passwörter sind ein Sonderfall. Wenn du Zugangsdaten mit Mitarbeitern oder Kooperationspartnern teilst, gelten besondere Anforderungen. Bitwarden und 1Password unterstützen geteilte Tresore oder Organisationen. Teile niemals das Master-Passwort selbst – sondern nutze die dafür vorgesehenen Freigabefunktionen.

Checkliste: Passwort-Manager im Detail

  • Ich nutze einen Passwort-Manager mit Zero-Knowledge-Verschlüsselung.
  • Mein Master-Passwort ist lang (mindestens 16 Zeichen), einzigartig und wird nirgendwo sonst verwendet.
  • Das Master-Passwort (und ggf. Secret Key / Emergency Kit) ist sicher aufbewahrt – physisch, getrennt vom Gerät.
  • Ich habe einen Notfallzugang eingerichtet (Emergency Access bei Bitwarden, Emergency Kit bei 1Password, Datenbankdatei-Backup bei KeePassXC).
  • Ich habe mindestens zwei Backup-Strategien für den Tresor selbst: z. B. zweiter Passwort-Manager + physisches Notfalldokument für kritische Konten.
  • Exportdateien aus dem Passwort-Manager werden sofort verschlüsselt und nach dem Import gelöscht – sie liegen nie unverschlüsselt auf der Festplatte oder in der Cloud.
  • Der verschlüsselte Offline-Export (falls genutzt) wird regelmäßig aktualisiert – mindestens monatlich.
  • TOTP-Codes für kritische Dienste liegen in einer separaten 2FA-App, nicht im Passwort-Manager.
  • Die Browser-Erweiterung ist so konfiguriert, dass sie nur auf Anfrage ausfüllt.
  • Ich habe geprüft, welche meiner wichtigen Dienste Passkeys unterstützen, und aktiviere sie schrittweise.
  • Mein Gerät ist aktuell und frei von Malware – die Sicherheit des Passwort-Managers steht und fällt mit der Gerätesicherheit.