Ein Passwortmanager ist für Teams kein Luxus, sondern Grundvoraussetzung für IT-Sicherheit. Doch welche Lösung passt zu Ihrem Unternehmen? Wir vergleichen fünf gängige Passwortmanager nach den Kriterien, die für deutsche KMU wirklich zählen: DSGVO-Konformität, Self-Hosting, Kosten, Sicherheitsarchitektur und praktischer Nutzen.
Vergleichstabelle: 5 Passwortmanager für Teams
| Kriterium | Bitwarden | 1Password | Dashlane | Keeper | Keestash |
|---|---|---|---|---|---|
| Self-Hosting | Ja (Vaultwarden) | Nein | Nein | Nein | Ja |
| DSGVO-konform | Bedingt (US-Cloud) | Bedingt (Kanada/US) | Ja (EU-Option) | Bedingt (US-Cloud) | Ja (Self-Hosted) |
| Preis/Nutzer/Monat | ab 4 USD | ab 7,99 USD | ab 8 EUR | ab 4,50 EUR | Auf Anfrage |
| Open Source | Ja | Nein | Nein | Nein | Ja |
| Deutscher Support | Community | Englisch | Ja | Ja | Ja |
| Zero-Knowledge | Ja | Ja | Ja | Ja | Ja |
Warum Self-Hosting bei Passwörtern entscheidend ist
Passwörter sind die sensibelsten Daten eines Unternehmens. Wer sie in einer Cloud-Lösung speichert, vertraut darauf, dass der Anbieter die Daten sicher verwahrt und nicht auf Anfragen ausländischer Behörden herausgibt. Genau hier liegt das Problem für europäische Unternehmen: Der US CLOUD Act verpflichtet amerikanische Unternehmen, Daten auf Anfrage von US-Behörden herauszugeben, unabhängig davon, wo die Server physisch stehen.
Das betrifft Anbieter wie Bitwarden (US-Unternehmen), 1Password (kanadisches Unternehmen mit US-Infrastruktur) und Keeper (US-Unternehmen). Auch wenn diese Anbieter Zero-Knowledge-Verschlüsselung einsetzen und die Daten technisch nicht lesen können, bleibt die rechtliche Unsicherheit. Für Unternehmen, die mit personenbezogenen Daten arbeiten, etwa Anwaltskanzleien, Steuerberater oder Gesundheitsdienstleister, kann das zu einem Compliance-Problem werden.
Self-Hosting löst dieses Problem grundsätzlich: Die Daten verlassen Ihre Infrastruktur nicht. Sie bestimmen, wo die Daten liegen, wer Zugriff hat und welche Sicherheitsmassnahmen gelten. Kein Drittanbieter, keine ausländischen Behörden, kein Vertrauensvorschuss nötig.
Wann reicht eine Cloud-Lösung?
Für kleine Teams ohne besondere Compliance-Anforderungen kann eine Cloud-Lösung wie Bitwarden oder 1Password ausreichend sein. Die Verschlüsselung ist technisch stark, und der Komfort ist hoch. Entscheidend ist, dass Sie bewusst abwägen und die Entscheidung dokumentieren, denn genau das verlangt die DSGVO.
Keestash im Detail: Self-Hosted, Zero-Knowledge, Open Source
Keestash ist ein selbst gehosteter Passwortmanager, der speziell für Teams entwickelt wurde, die volle Kontrolle über ihre Zugangsdaten benötigen. Die Architektur basiert auf einem Zero-Knowledge-Prinzip: Passwörter werden clientseitig mit AES-256 verschlüsselt, bevor sie den Server erreichen. Der Server speichert ausschließlich verschlüsselte Daten und hat zu keinem Zeitpunkt Zugriff auf die Klartextpasswörter.
Keestash ist Open Source, was bedeutet, dass die Sicherheitsarchitektur transparent und unabhängig auditierbar ist. Für Unternehmen, die regelmäßige Security-Reviews durchführen müssen, ist das ein entscheidender Vorteil gegenüber proprietären Lösungen.
Für wen ist Keestash besonders geeignet?
- Agenturen und IT-Dienstleister: Verwalten Sie Kundenzugänge sicher und getrennt, ohne auf externe Cloud-Dienste angewiesen zu sein.
- Anwaltskanzleien und Steuerberater: Berufsgeheimnisse erfordern höchste Vertraulichkeit. Self-Hosting stellt sicher, dass keine Daten an Dritte fließen.
- IT-Abteilungen im Mittelstand: Zentralisiertes Credential-Management mit Audit-Trail und Teamfreigaben.
Migration: So wechseln Sie den Passwortmanager
Der Wechsel zu einem neuen Passwortmanager muss kein Großprojekt sein. Die meisten Tools, einschließlich Keestash, unterstützen den Import aus gängigen Formaten. Der typische Ablauf:
- Export aus dem bestehenden Tool: Bitwarden, 1Password und Dashlane bieten CSV- oder JSON-Exports an. Wichtig: Führen Sie den Export auf einem sicheren Gerät durch und löschen Sie die Exportdatei anschließend sicher.
- Import in das neue System: Laden Sie die exportierten Daten über die Import-Funktion in Keestash. Prüfen Sie, ob alle Einträge korrekt übernommen wurden.
- Team-Rollout: Richten Sie Team-Ordner und Freigaben ein. Schulen Sie Ihr Team in der Nutzung des neuen Tools, insbesondere Browser-Extension und Mobile-App.
- Altes System deaktivieren: Erst wenn alle Mitarbeiter erfolgreich migriert sind, deaktivieren Sie das alte System. Kündigen Sie das alte Abo erst nach einer Übergangsphase von mindestens zwei Wochen.
Fazit: Die richtige Wahl hängt von Ihren Anforderungen ab
Für Teams, die maximale Kontrolle und DSGVO-Konformität ohne Kompromisse benötigen, ist Self-Hosting die sicherste Wahl. Bitwarden über Vaultwarden oder Keestash bieten hier die besten Optionen. Der Unterschied: Keestash bietet als deutsche Lösung direkten Support und ist von Grund auf für den europäischen Markt konzipiert. Für Teams, die Cloud-Komfort bevorzugen und weniger regulierte Daten verwalten, sind Bitwarden Cloud oder 1Password solide Optionen.
Passwörter sicher verwalten mit Keestash
Keestash ist der selbst gehostete Passwortmanager für Teams, die Kontrolle über ihre Zugangsdaten behalten wollen. Zero-Knowledge-Architektur, AES-256-Verschlüsselung, Open Source, deutscher Support.
Keestash kennenlernen