Passwort-Manager im Detail

Passwort-Manager im Detail¶

Das Hauptkapitel hat die Grundlage gelegt: Passwort-Manager sind die Lösung für das Passwort-Problem, und die Empfehlung lautet Bitwarden, 1Password oder KeePassXC. Dieser Deep Dive erklärt, wie Passwort-Manager intern funktionieren, was die Architekturunterschiede bedeuten, was bei Verlust des Master-Passworts passiert – und was Passkeys sind und warum sie langfristig die Passwort-Frage neu stellen. Mit Bezug zu Arztpraxen und TI-Konnektor-Authentifizierung.

Wie ein Passwort-Manager funktioniert – das Zero-Knowledge-Prinzip¶

Das Vertrauensproblem beim Passwort-Manager ist offensichtlich: Sie geben alle Ihre Zugangsdaten in eine einzige Anwendung – und vertrauen darauf, dass diese Anwendung sicher ist. Was passiert, wenn der Anbieter gehackt wird?

Die Antwort liegt im Zero-Knowledge-Prinzip: Ein gut designter Passwort-Manager verschlüsselt Ihren Tresor ausschließlich auf Ihrem Gerät, bevor irgendetwas den Anbieter erreicht. Der Anbieter speichert nur verschlüsselte Datenpakete – er kennt weder Ihr Master-Passwort noch den Inhalt Ihres Tresors. Selbst wenn die Server des Anbieters kompromittiert werden, haben Angreifer nur wertlosen Chiffretext.

Wie das technisch funktioniert:

Sie geben Ihr Master-Passwort ein.
Aus dem Master-Passwort wird lokal auf Ihrem Gerät ein kryptografischer Schlüssel abgeleitet – durch eine rechenintensive Hashfunktion (z. B. PBKDF2 oder Argon2). Diese Funktion ist bewusst langsam, um Brute-Force-Angriffe zu erschweren.
Mit diesem Schlüssel wird Ihr Tresor lokal entschlüsselt.
Wenn Sie Änderungen speichern, wird der Tresor lokal neu verschlüsselt und der verschlüsselte Tresor an den Server übertragen.

Der Anbieter sieht zu keinem Zeitpunkt den Schlüssel oder die entschlüsselten Inhalte. Das ist Zero-Knowledge.

Die Konsequenz: Wenn Sie Ihr Master-Passwort vergessen, kann Ihnen der Anbieter nicht helfen. Es gibt keine „Passwort vergessen"-Funktion, die Ihre Daten zurückbringt. Der Anbieter kann Ihren Account löschen, aber er kann den Tresor nicht entschlüsseln. Das ist eine Stärke – und zugleich eine Verantwortung.

Architekturunterschiede: Cloud, lokal, selbst gehostet¶

Die drei empfohlenen Passwort-Manager verfolgen unterschiedliche Architekturansätze – mit unterschiedlichen Stärken und Schwächen.

Bitwarden – Cloud mit Open-Source-Kern¶

Bitwarden ist Open Source: Der gesamte Quellcode ist öffentlich einsehbar und wird regelmäßig von unabhängigen Sicherheitsforschern geprüft. Das ist ein erheblicher Vertrauensvorteil gegenüber proprietären Lösungen – Sie müssen dem Anbieter nicht blind vertrauen, weil Sie (oder jemand mit technischem Know-how) den Code selbst prüfen können.

Der Standardbetrieb ist cloudbasiert: Bitwarden synchronisiert Ihren verschlüsselten Tresor über die eigenen Server. Zero-Knowledge ist implementiert.

Selbst-Hosting: Bitwarden kann vollständig auf einem eigenen Server betrieben werden – entweder auf einem VPS oder auf einem Praxis-Heimserver. Das gibt maximale Kontrolle, erfordert aber technisches Know-how und regelmäßige Wartung. Für die meisten Arztpraxen ist der Cloud-Betrieb die pragmatischere Wahl.

Kostenmodell: Die kostenlose Version deckt alle wesentlichen Funktionen ab. Der Premium-Plan (wenige Euro pro Jahr) ergänzt TOTP-Generierung im Manager, verschlüsselte Dateianhänge und erweiterte 2FA-Optionen – relevant, wenn Sie eHBA-Zugangsdaten speichern.

1Password – Cloud mit starkem Team- und Praxisfokus¶

1Password ist proprietär – der Quellcode ist nicht öffentlich. Das ist ein prinzipieller Nachteil gegenüber Bitwarden, der aber durch umfangreiche externe Sicherheitsaudits und eine langjährige positive Sicherheitsbilanz teilweise ausgeglichen wird.

1Password implementiert eine technische Besonderheit: den Secret Key. Neben dem Master-Passwort gibt es einen zusätzlichen, zufällig generierten Schlüssel, der lokal gespeichert wird. Der Tresor wird mit der Kombination aus Master-Passwort und Secret Key verschlüsselt. Ein Angreifer, der Ihr Master-Passwort kennt, aber nicht Ihren Secret Key hat, kann Ihren Tresor nicht entschlüsseln.

Der Nachteil: Der Secret Key muss beim Einrichten auf neuen Geräten eingegeben werden. Wer ihn verliert und sich gleichzeitig von allen Geräten aussperrt, verliert den Zugang zum Tresor unwiederbringlich. Der Secret Key muss deshalb sicher aufbewahrt werden – 1Password stellt dafür ein druckbares „Emergency Kit" bereit.

Kostenmodell: 1Password ist ausschließlich kostenpflichtig – es gibt keinen dauerhaften kostenlosen Plan, nur eine Testphase. Für Praxen mit mehreren Mitarbeitern gibt es Team-Pläne.

KeePassXC – lokal, kein Cloud-Zwang¶

KeePassXC speichert den Tresor als verschlüsselte Datei lokal auf Ihrem Gerät. Es gibt keinen Anbieter, keinen Server, keine Synchronisierung – es sei denn, Sie richten sie selbst ein.

Das ist der maximale Kontrollansatz: Ihre Daten verlassen niemals Ihr Gerät, es sei denn, Sie entscheiden sich aktiv dafür. Für alle, die aus Gründen des ärztlichen Berufsgeheimnisses grundsätzlich keine Daten in Drittanbieter-Clouds geben wollen, ist KeePassXC die konsequente Wahl.

Der Preis der Kontrolle: Sie sind selbst für die Synchronisierung zwischen Geräten verantwortlich. Eine verbreitete Lösung ist, die KeePass-Datenbankdatei in einem selbst kontrollierten Speicher (verschlüsselter USB-Stick, lokales NAS, eigener Server) abzulegen und manuell oder über ein Sync-Tool zwischen Geräten abzugleichen. Das ist fehleranfälliger als eine automatische Cloud-Synchronisierung.

KeePassXC ist Open Source, kostenlos und hat keine laufenden Kosten.

Was passiert, wenn das Master-Passwort verloren geht?¶

Das ist die existenzielle Frage beim Passwort-Manager – und die Antwort ist unbequem: Wer das Master-Passwort verliert und keinen Wiederherstellungsweg eingerichtet hat, verliert seinen Tresor unwiederbringlich.

Kein seriöser Passwort-Manager bietet eine „Passwort vergessen"-Funktion, die Ihren Tresor zurückbringt. Das wäre nur möglich, wenn der Anbieter Zugang zu Ihren entschlüsselten Daten hätte – was das Zero-Knowledge-Prinzip aufheben würde.

Was Sie jetzt einrichten sollten:

Option 1: Notfallzugang (Bitwarden, 1Password) Bitwarden bietet einen „Emergency Access": Sie können einer Vertrauensperson (z. B. Praxispartner, Praxismanager) Zugang zu Ihrem Tresor gewähren. Die Person muss den Zugang anfragen; Sie haben eine konfigurierbare Wartezeit (z. B. 7 Tage), um den Zugang abzulehnen. Läuft die Frist ab, erhält die Vertrauensperson Zugang. Das schützt gegen unberechtigten Zugang und sichert gleichzeitig den Notfallzugang.

1Password's Emergency Kit erfüllt eine ähnliche Funktion: Das ausgedruckte Dokument mit Master-Passwort und Secret Key wird sicher verwahrt – z. B. im Bankschließfach oder beim Notar.

Option 2: Aufbewahrung im Notfalldokument Das Master-Passwort (und ggf. der Secret Key bei 1Password) gehören ins Notfalldokument – physisch ausgedruckt, sicher aufbewahrt, nicht digital gespeichert. Das Notfalldokument selbst ist verschlossen aufzubewahren.

Option 3: KeePass-Datenbankdatei sichern Bei KeePassXC ist die Datenbankdatei das Backup. Eine verschlüsselte Kopie der Datenbankdatei – zusammen mit dem Master-Passwort an einem getrennten, sicheren Ort – ist der Wiederherstellungsweg.

Merksatz: Das Master-Passwort ist der Generalschlüssel zu allem. Wer es verliert und keinen Notfallweg eingerichtet hat, steht vor verschlossenen Türen – ohne Schlüsseldienst.

Den Tresor selbst sichern – Backup-Strategien für den Passwort-Manager¶

Der vorherige Abschnitt behandelt den Zugang zum Tresor – was passiert, wenn das Master-Passwort verloren geht. Davon zu trennen ist eine andere Frage: Was passiert, wenn der Dienst selbst nicht mehr verfügbar ist? Ein Anbieter kann ausfallen, ein Konto gesperrt werden, ein Abo unbemerkt ablaufen. Auch der Tresor selbst braucht daher eine Backup-Strategie.

Die folgenden Ansätze lassen sich kombinieren – und sollten es auch. Ein einzelner Wiederherstellungsweg ist ein Single Point of Failure.

Strategie 1: Zweiter Passwort-Manager als paralleler Tresor

Ein zweiter, unabhängiger Passwort-Manager wird regelmäßig mit einem Export aus dem Primärsystem befüllt. Im Notfall – Dienst nicht erreichbar, Konto gesperrt, Abo abgelaufen – ist der zweite Tresor sofort nutzbar.

Diese Strategie ist in der Praxis eine der zuverlässigsten, weil sie keine manuelle Entschlüsselung oder technische Expertise im Notfall erfordert. Voraussetzung ist, dass der zweite Dienst wirklich unabhängig ist: anderer Anbieter, andere Infrastruktur, idealerweise andere Authentifizierungsmethode. Ein zweiter Bitwarden-Account hilft wenig, wenn Bitwarden selbst ausfällt.

Geeignete Kombinationen: 1Password als Primärsystem + Bitwarden (kostenlos) als Backup-Tresor, oder umgekehrt. Wer maximale Unabhängigkeit will, nutzt KeePassXC als Offline-Backup – keine Cloud, kein Dienst, der ausfallen kann.

Eine interessante Variante ist der Einsatz eines konzeptionell anders aufgebauten Dienstes als Backup-Tresor – etwa heylogin. Im Unterschied zu klassischen Passwort-Managern arbeitet heylogin hardwaregebunden: Die Authentifizierung erfolgt über ein physisches Gerät (Smartphone oder Hardware-Token), ohne klassisches Master-Passwort. Wer 1Password oder Bitwarden als Primärsystem nutzt und seine Zugangsdaten regelmäßig per Export nach heylogin importiert, hat damit einen Backup-Tresor mit völlig anderer Architektur – was die Unabhängigkeit erhöht. Ein Angriff oder Systemfehler, der den einen Ansatz trifft, trifft den anderen in der Regel nicht.

Der kritische Punkt: Die Exportdatei, die zwischen den Systemen wandert, enthält alle Passwörter im Klartext oder in leicht entschlüsselbarem Format. Sie darf niemals unverschlüsselt auf der Festplatte liegen. Importieren Sie sie direkt und löschen Sie die Exportdatei anschließend sicher. Legen Sie sie niemals in einem unverschlüsselten Cloud-Ordner ab.

Strategie 2: Verschlüsselter Offline-Export

Regelmäßiger Export aus dem Passwort-Manager als CSV oder JSON, sofortige Verschlüsselung der Exportdatei (z. B. in einem VeraCrypt-Container oder einem 7-Zip-Archiv mit AES-256-Verschlüsselung und starkem Passwort), anschließende Ablage auf einem verschlüsselten USB-Stick oder einer externen Festplatte, die offline und sicher aufbewahrt wird.

Vorteil gegenüber Strategie 1: kein zweiter laufender Dienst nötig, keine laufenden Kosten, vollständige Offline-Verfügbarkeit. Nachteil: rein manueller Prozess, der konsequent und regelmäßig durchgeführt werden muss. Wer den Export-Rhythmus nicht in seine Routine integriert, hat schnell einen veralteten Stand.

Empfehlenswert für Arztpraxen, die Notfalldokumente mit sensiblen Zugangsdaten führen: Dieser Export ersetzt oder ergänzt das physische Notfalldokument.

Empfehlenswerter Rhythmus: monatlich, nach jeder größeren Änderungsphase (z. B. nach dem Migrieren vieler eHBA-bezogener Passwörter) und immer vor einem geplanten Gerätewechsel.

Strategie 3: Physisches Notfalldokument für kritische Konten

Nicht alle Passwörter, aber die wirklich existenzkritischen – E-Mail-Konto, Domain-Registrar, Banking, Zugang zu eHBA und TI-Konnektor, der Passwort-Manager selbst – werden ausgedruckt und physisch sicher aufbewahrt. Ein Bankschließfach, ein Tresor oder die Aufbewahrung beim Notar sind geeignete Orte.

Das physische Dokument hat einen unschlagbaren Vorteil: Es ist vollständig unabhängig von Technik, Strom und Internet. Es hat aber auch eine klare Schwäche: Es veraltet. Wer ein Passwort ändert, muss das Dokument aktualisieren – was in der Praxis leicht vergessen wird. Deshalb eignet sich diese Strategie nicht als einzige Maßnahme, sondern als letztes Sicherheitsnetz für die absolute Kerngruppe kritischer Zugänge.

Strategie 4: Bitwarden Emergency Access / 1Password Emergency Kit

Diese in einem früheren Abschnitt bereits beschriebenen Mechanismen sichern primär den Zugang, nicht den Tresor als Datei. Sie sind eine sinnvolle Ergänzung – aber kein Ersatz für ein inhaltliches Backup, denn sie helfen nur, wenn der Dienst selbst noch funktioniert.

Empfehlung: Mindestens zwei Strategien kombinieren

Keine dieser Strategien ist für sich allein ausreichend. Die pragmatischste Kombination für Arztpraxen:

Strategie 1 (zweiter Tresor) als Haupt-Backup – immer erreichbar, kein technischer Aufwand im Notfall
Strategie 3 (physisches Dokument) für die 5–10 kritischsten Zugänge – als letztes Netz, das auch ohne Strom und Internet funktioniert

Wer höhere Anforderungen hat oder Berufsgeheimnisträger ist, ergänzt mit Strategie 2 (verschlüsselter Offline-Export) für eine vollständige, unabhängige Kopie des gesamten Tresors.

Merksatz: Ihr Passwort-Manager ist selbst ein kritisches System – und kritische Systeme brauchen ein Backup. Die Frage ist nicht ob Sie eine Backup-Strategie brauchen, sondern welche Kombination zu Ihrer Arbeitsweise passt.

Passwort-Manager und 2FA – das optimale Zusammenspiel¶

Ein häufiger Fehler: TOTP-Codes für Dienste im selben Passwort-Manager speichern wie die Passwörter für diese Dienste. Das ist praktisch – aber es untergräbt den Sinn von Zwei-Faktor-Authentifizierung.

Der zweite Faktor soll sicherstellen, dass ein Angreifer, der Ihr Passwort kennt, trotzdem keinen Zugang hat. Wenn Passwort und TOTP-Code aus derselben Quelle kommen – dem kompromittierten Passwort-Manager – ist der zweite Faktor wirkungslos.

Empfehlung: TOTP-Codes für kritische Dienste (E-Mail, Domain-Registrar, Banking, eHBA-Zugang, TI-Konnektor, der Passwort-Manager selbst) in einer separaten 2FA-App aufbewahren – zum Beispiel Aegis (Android, Open Source), Raivo (iOS) oder einem Hardware-Token wie YubiKey. Für weniger kritische Dienste ist die Speicherung im Passwort-Manager ein akzeptabler Kompromiss zwischen Sicherheit und Komfort.

Passkeys – die Zukunft ohne Passwörter¶

Passkeys sind eine neue Authentifizierungstechnologie, die Passwörter langfristig ersetzen soll. Sie werden von den großen Plattformanbietern (Apple, Google, Microsoft) und zunehmend von vielen Websites unterstützt. Es lohnt sich, das Konzept zu verstehen – auch wenn Passkeys heute noch nicht überall verfügbar sind.

Wie Passkeys funktionieren:

Ein Passkey ist ein kryptografisches Schlüsselpaar: ein privater Schlüssel, der auf Ihrem Gerät gespeichert bleibt, und ein öffentlicher Schlüssel, den der Dienst kennt. Beim Login beweist Ihr Gerät durch eine kryptografische Signatur, dass es den privaten Schlüssel besitzt – ohne den Schlüssel selbst zu übertragen. Die Authentifizierung erfolgt durch Biometrie (Fingerabdruck, Face ID) oder PIN auf Ihrem Gerät.

Was das bedeutet: - Es gibt kein Passwort, das gestohlen werden kann. - Es gibt kein Passwort, das bei einem Datenleck des Anbieters kompromittiert wird. - Phishing-Angriffe funktionieren nicht: Ein Passkey ist an die exakte Domain des Dienstes gebunden – eine gefälschte Website kann den Passkey nicht nutzen.

Der aktuelle Stand: Passkeys werden von Google, Apple, Microsoft, GitHub, PayPal und vielen anderen Diensten unterstützt. Die Verbreitung wächst schnell. Moderne Passwort-Manager (Bitwarden, 1Password) können Passkeys bereits speichern und synchronisieren.

Was Sie heute tun sollten: Aktivieren Sie Passkeys für Dienste, die sie anbieten – insbesondere für Google-Konto, Apple ID und Microsoft-Konto. Behalten Sie aber vorerst Passwort und 2FA als Fallback, bis Passkeys flächendeckend etabliert sind.

Merksatz: Passkeys machen Phishing auf kompatiblen Diensten praktisch unmöglich. Sie sind keine Zukunftsmusik mehr – aber noch kein vollständiger Ersatz für Passwörter.

Die Grenzen des Passwort-Managers¶

Ein Passwort-Manager ist ein mächtiges Werkzeug – aber kein Allheilmittel. Die wichtigsten Grenzen:

Das Master-Passwort ist der schwächste Punkt. Wenn das Master-Passwort schwach ist, bricht die gesamte Sicherheitskette zusammen. Das Master-Passwort muss lang sein (mindestens 16 Zeichen, besser 20+), einzigartig und niemals anderswo verwendet werden. Eine Passphrase aus mehreren zufälligen Wörtern – zum Beispiel vier oder fünf unzusammenhängende Wörter – ist sowohl sicher als auch merkbar.

Malware auf dem Gerät hebt die Sicherheit auf. Wenn Ihr Gerät mit einem Keylogger oder Infostealer infiziert ist, kann Malware das Master-Passwort abfangen, während Sie es eingeben, oder den entschlüsselten Tresor aus dem Arbeitsspeicher auslesen. Der Passwort-Manager schützt gegen Angriffe auf Server und Netzwerk – nicht gegen Angriffe auf das Endgerät selbst. Deshalb sind Gerätesicherheit und aktuelle Software unverzichtbar.

Browser-Erweiterungen sind eine Angriffsfläche. Die meisten Passwort-Manager bieten Browser-Erweiterungen für automatisches Ausfüllen. Diese Erweiterungen sind praktisch – aber sie erweitern auch die Angriffsfläche. Böswillige Websites können versuchen, die automatische Ausfüllfunktion auszunutzen. Konfigurieren Sie die Erweiterung so, dass sie nur auf Anfrage ausfüllt, nicht automatisch beim Laden der Seite.

Geteilte Passwörter sind ein Sonderfall. Wenn Sie Zugangsdaten mit Mitarbeitern oder Praxispartnern teilen, gelten besondere Anforderungen. Bitwarden und 1Password unterstützen geteilte Tresore oder Organisationen. Teilen Sie niemals das Master-Passwort selbst – sondern nutzen Sie die dafür vorgesehenen Freigabefunktionen.

Passwort-Manager im Detail