Die Wahl des besten Passwort-Managers für Unternehmen ist nicht dieselbe Entscheidung wie die Wahl für den privaten Gebrauch. Die Einsätze sind andere: wucherende geteilte Zugangsdaten, Offboarding-Risiken bei Mitarbeitern, regulatorische Audits und die organisatorischen Kosten eines Sicherheitsvorfalls, der mit einem einzigen wiederverwendeten Passwort beginnt.
Dieser Leitfaden vergleicht fünf Passwort-Manager auf Unternehmensniveau für Organisationen von ~12-Personen-Startups bis zu ~400-Mitarbeiter-Mittelständlern. Dieser Leitfaden konzentriert sich ausschließlich auf die Kriterien, die für IT- und Sicherheitsentscheider zählen: SSO/SAML, automatisierte SCIM-Provisionierung, RBAC, Audit-Logs, Compliance-Zertifizierungen und überprüfbare Preise pro Nutzer.
Bitwarden Business ist unsere Top-Wahl für die meisten Unternehmen zu 5 $/Nutzer/Monat mit gehostetem SCIM und quelloffener Auditierbarkeit. NordPass Business gewinnt beim Preis zu 3,69 $/Nutzer/Monat. 1Password Business ist die Premium-UX-Wahl für Organisationen mit größeren Sicherheitsbudgets.
01 — Ranking der Business-Passwort-Manager 2026
| Rang | Lösung | Preis /Nutzer/Mon. | SCIM 2.0 | SSO SAML | EU-Cloud | Am besten für |
|---|---|---|---|---|---|---|
| 1 | Bitwarden Business | 5 $ | Gehostet | Enterprise (7 $) | Ja (Frankfurt) | KMU + Mittelstand |
| 2 | NordPass Business | 3,69 $ | Gehostet | Inklusive | Ja (LT/DE) | Budget-orientierte Teams |
| 3 | 1Password Business | 7,99 $ | Bridge | Inklusive | Ja | Premium-UX, größere Firmen |
| 4 | Proton Pass Business | 7,99 $ | Gehostet | Inklusive | Schweiz | DSGVO-sensible Firmen |
| 5 | Keeper Business | 6,67 $ | Gehostet | Inklusive | Ja | US-Behörden, compliance-lastig |
Methodik: ein redaktioneller Vergleich über 12 Unternehmenskriterien – basierend auf Anbieterdokumentation, veröffentlichten Sicherheits-/Compliance-Zertifizierungen und dem Konsens öffentlicher Tests, mit verifizierten Preisen mit Stand Juni 2026.
02 — Was ist SCIM-Provisionierung und warum braucht sie jedes Unternehmen?
SCIM (System for Cross-domain Identity Management) ist das Protokoll, das Passwort-Manager-Konten automatisch erstellt, aktualisiert und deaktiviert, wenn ein Mitarbeiter eintritt, die Rolle wechselt oder geht – gesteuert von deinem IdP (Okta, Azure AD, Google Workspace). Ohne SCIM dauert der manuelle Kontenentzug Tage; Geisterkonten sind der Vektor Nr. 1 für interne Zugangsdaten-Vorfälle. Mit SCIM verbreitet sich der Entzug in unter 30 Sekunden. Bitwarden Business (5 $/Nutzer/Monat) enthält gehostetes SCIM; Bitwarden Enterprise (7 $) ergänzt SSO SAML. NordPass Business (3,69 $) enthält sowohl SCIM als auch SSO im Basisplan.
03 — Was einen Business-Passwort-Manager von einem privaten unterscheidet
Die meisten Tests privater Passwort-Manager konzentrieren sich auf UX-Feinschliff, Geschwindigkeit der Browser-Erweiterung und Einzelpreise. Für ein Unternehmen rangieren diese Kriterien bestenfalls an 4. Stelle. Die Entscheidungskriterien, die wirklich zählen:
Must-have-Funktionen für jede Unternehmensbereitstellung
Automatisierte SCIM-2.0-Provisionierung — Die einzelne wichtigste Funktion. Wenn ein Mitarbeiter geht, verbreitet SCIM den Kontenentzug über deinen IdP in unter 30 Sekunden an den Passwort-Manager. Ohne SCIM bleiben Geisterkonten ausgeschiedener Mitarbeiter aktiv – das ist der Vektor Nr. 1 für interne Zugangsdaten-Vorfälle. Alle fünf besprochenen Lösungen unterstützen SCIM.
Rollenbasierte Zugriffssteuerung (RBAC) — Die Fähigkeit, granulare Berechtigungen zuzuweisen (Eigentümer, Admin, Manager, Nur-Lese-Nutzer) und Zugangsdaten nach Abteilung, Projekt oder Sensibilitätsstufe in Sammlungen oder Tresore zu segmentieren. Entscheidend, damit Finanz-, HR- und Engineering-Zugangsdaten sich nicht gegenseitig kontaminieren.
Admin-Konsole + Audit-Logs — Ein zentrales Admin-Dashboard, das zeigt, wer auf was, wann, von welcher IP und mit welchem Ergebnis zugegriffen hat. Audit-Logs müssen für SOC-2- oder ISO-27001-Compliance ins SIEM exportierbar sein (Splunk, Datadog, Sumo Logic). Die Aufbewahrung zählt: achte auf mindestens 90 Tage, 12 Monate bevorzugt.
Compliance-Zertifizierungen — SOC 2 Type 2 ist die Grundlinie. ISO 27001 für europäische Organisationen. HIPAA BAA für das US-Gesundheitswesen. FedRAMP für die US-Regierung. Alle fünf hier behandelten Lösungen halten mindestens SOC 2 Type 2.
Mit IdP synchronisierte Gruppenverwaltung — Abteilungen, Teams und Berechtigungsgruppen sollten automatisch von deinem Identitätsanbieter (Okta, Azure AD, Google Workspace) synchronisiert werden, damit die IT keine parallelen Gruppenstrukturen verwaltet.
Nice-to-have-Funktionen (wichtig bei Skalierung)
- SSO SAML 2.0: Single Sign-on über deinen IdP. Kritisch ab 100+ Mitarbeitern. Bei kleinerer Größe deckt starke MFA den Großteil des Risikos ab.
- Durchsetzung von Master-Passwort-Richtlinien: Mindestlänge, Rotationskadenz, Komplexitätsanforderungen zentral ausgespielt.
- Notfallzugriff + Kontowiederherstellung: Wenn ein Mitarbeiter den Zugriff verliert, wie stellt die IT seinen Tresor wieder her, ohne dessen Inhalte zu lesen?
- API + CLI: Bitwarden CLI und 1Password CLI ermöglichen die Secret-Injektion in CI/CD-Pipelines – wichtig für DevOps-Teams.
- Families-Plan inklusive: 1Password Business enthält kostenloses Families für alle Mitarbeiter, was die private Akzeptanz spürbar fördert (und Schatten-IT reduziert).
03 — Bitwarden Business — insgesamt am besten für KMU und Mittelstand
Preise: 5 $/Nutzer/Monat (Teams) oder 7 $/Nutzer/Monat (Enterprise).
Warum es für die meisten Unternehmen gewinnt:
- Gehosteter SCIM-2.0-Endpunkt — anders als die selbst gehostete Bridge von 1Password ist der SCIM-Endpunkt von Bitwarden cloud-gehostet, ohne Server zum Bereitstellen oder Warten. Unterstützt Okta, Azure AD, JumpCloud, OneLogin und Google Workspace nativ.
- Günstigste unter den seriösen B2B-Lösungen — 5 $/Nutzer/Monat sind 38 % günstiger als 1Password Business und 26 % günstiger als Keeper. Für 100 Mitarbeiter über 3 Jahre: 18.000 $ vs 28.764 $ (1Password) – eine Differenz von 10.764 $.
- Open Source GPL v3 — Bitwardens Server, Clients und SDKs sind alle öffentlich auf GitHub. Du kannst die Verschlüsselungslogik auditieren, die Zero-Knowledge-Architektur überprüfen und Vaultwarden als vollständig selbst gehostete Alternative betreiben.
- SOC 2 Type 2 + ISO 27001 veröffentlicht und jährlich erneuert. Unabhängige Audits von Cure53 (2022) und Insight Risk (2023) öffentlich.
- EU-Cloud Frankfurt — EU-Datenresidenz seit 2024, was Datenhoheits-Einwände europäischer Beschaffungsteams ausräumt.
- Kein Sicherheitsvorfall in 8+ Betriebsjahren — verglichen mit LastPass (Vorfall 2022) ist Bitwardens Sicherheitsbilanz unübertroffen.
Einschränkungen:
- SSO SAML 2.0 erfordert den Enterprise-Plan (7 $/Nutzer/Monat) – eine reale Kostensteigerung für SSO-abhängige Organisationen.
- Die Desktop-UX ist funktional, aber weniger ausgefeilt als bei NordPass oder 1Password.
- Die anfängliche Admin-Einrichtung erfordert bei ersten Bereitstellungen 3–5 Stunden Lektüre der Bitwarden-Dokumentation.
Am besten für: Startups und KMU mit 10–50 Mitarbeitern (Teams-Plan), Mittelständler mit 50–500 Mitarbeitern (Teams oder Enterprise je nach SSO-Bedarf), DevOps-Teams, die eine Vault-CLI-Integration wünschen.
Siehe unseren Leitfaden zur SCIM-Provisionierung mit Bitwarden Business 2026 für die Schritt-für-Schritt-Einrichtung von Okta/Azure AD/Google Workspace.
Kostenlose Bitwarden-Business-Testphase starten →5 $/Nutzer/Mon. · Gehostetes SCIM · SOC 2 Type 2 · Open Source · EU-Cloud Frankfurt→04 — NordPass Business — bestes Preis-Leistungs-Verhältnis
Preise: 3,69 $/Nutzer/Monat (Teams, jährlich) oder 5,39 $/Nutzer/Monat (Business).
NordPass Business ist die am meisten unterschätzte Option am Markt der Business-Passwort-Manager. Mit 3,69 $/Nutzer/Monat ist es 32 % günstiger als Bitwarden Teams und enthält SSO SAML und SCIM in seinem Standard-Business-Plan – Funktionen, die Bitwarden hinter der Enterprise-Stufe verriegelt.
Hauptstärken:
- Günstigste seriöse B2B-Lösung — 3,69 $/Nutzer/Monat für 100 Mitarbeiter = 13.284 $/Jahr vs Bitwarden zu 18.000 $/Jahr. Die jährliche Differenz von 4.716 $ bei 100 Nutzern ist für budgetsensible Organisationen bedeutsam.
- SSO SAML 2.0 im Business-Plan enthalten — kein Upsell auf eine „Enterprise"-Stufe erforderlich.
- Moderne XChaCha20- + Argon2id-Verschlüsselung — modernere kryptografische Primitive als das von den meisten Wettbewerbern genutzte AES-256/PBKDF2.
- Gehosteter SCIM-2.0-Endpunkt — Okta, Azure AD, Google Workspace, JumpCloud unterstützt.
- SOC 2 Type 2 + ISO 27001 + Cure53-Audit 2024 veröffentlicht.
- EU-Datenresidenz verfügbar (Server in Litauen und Deutschland).
- Nord-Security-Ökosystem: stimmiges Bündel mit NordLayer (B2B-VPN) und NordLocker (verschlüsselter Speicher) auf einer einzigen Anbieterrechnung.
Einschränkungen:
- Proprietärer Closed-Source-Code – anders als bei Bitwarden kannst du die Verschlüsselungsimplementierung nicht auditieren.
- Keine Self-Host-Option.
- Kleinere B2B-IT-Community als Bitwarden oder 1Password (weniger Tutorials, weniger Drittanbieter-Integrationen).
- Weniger ausgereifte CLI/API für DevOps-Secret-Injektion.
Am besten für: budgetbewusste Teams von 10–200 Mitarbeitern, Organisationen, die bereits NordVPN Business (NordLayer) nutzen, Unternehmen, die SSO im Basis-Business-Plan inklusive wollen.
05 — 1Password Business — Premium-UX für größere Organisationen
Preise: 7,99 $/Nutzer/Monat (Business). Enterprise-Preise nach individuellem Angebot.
1Password ist das Produkt, das Sicherheit auf Unternehmensniveau am besten mit UX auf Verbraucherniveau ausbalanciert. Der Grund, warum es nicht Platz 1 erreicht, ist der Preis: Mit 7,99 $/Nutzer/Monat kostet es 60 % mehr als Bitwarden Business für in den meisten Bereitstellungen gleichwertige Sicherheitsergebnisse.
Hauptstärken:
- Erstklassige Desktop- und Mobil-UX — durchgängig als der ausgefeilteste Passwort-Manager auf beiden Plattformen bewertet. Geringerer Widerstand der Mitarbeiter beim Rollout im Vergleich zu Bitwarden.
- Watchtower-B2B-Dashboard — zentralisierte Vorfallswarnungen, Erkennung schwacher Passwörter und Berichte zu MFA-Lücken, direkt in der Admin-Konsole sichtbar.
- SSO SAML 2.0 inklusive im Basis-Business-Plan (Bitwarden erfordert dafür Enterprise).
- Families für alle Mitarbeiter inklusive — jeder Business-Platz enthält ein kostenloses 1Password-Families-Abo, was Schatten-IT und private Zugangsdaten-Wucherung spürbar reduziert.
- 128-Bit-Secret-Key — zusätzlich zum Master-Passwort verhindert ein gerätegebundener Secret Key Brute-Force-Angriffe, selbst wenn die Tresordatenbank kompromittiert wäre.
- Regelmäßige Cure53- und externe Audits veröffentlicht.
Einschränkungen:
- Selbst gehostete SCIM-Bridge — 1Password verlangt, dass du einen Docker-Container (die SCIM-Bridge) auf deiner eigenen Infrastruktur bereitstellst, um die SCIM-Provisionierung zu ermöglichen. Das erhöht die operative Komplexität gegenüber den cloud-gehosteten Endpunkten von Bitwarden oder NordPass.
- Geschlossener proprietärer Code — anders als bei Bitwarden ist der serverseitige Code nicht öffentlich auditierbar.
- Keine Self-Host-Option über den SCIM-Bridge-Container hinaus.
- Premium-Preis — 28.764 $/Jahr für 100 Mitarbeiter über 3 Jahre vs 18.000 $ für Bitwarden.
Am besten für: Mittelständler (100–500 Mitarbeiter) mit Budget für Premium-Tools, Organisationen, die UX und Adoptionsgeschwindigkeit der Mitarbeiter priorisieren, Unternehmen mit bestehenden Atlassian-/Slack-Ökosystemen (die 1Password-Integrationen sind am ausgereiftesten).
Siehe unseren detaillierten Vergleich Bitwarden vs 1Password 2026 für eine direkte Gegenüberstellung.
06 — Proton Pass Business — DSGVO-by-design für EU-sensible Organisationen
Preise: 7,99 $/Nutzer/Monat (Business).
Proton Pass Business besetzt eine einzigartige Compliance-Nische: Es ist der einzige große Business-Passwort-Manager, der unter Schweizer Jurisdiktion operiert, mit Ende-zu-Ende-verschlüsselter Architektur, die nicht nur auf Passwörter, sondern auf alle Tresor-Metadaten (URLs, Notizen, Labels) angewandt wird.
Hauptstärken:
- Schweizer Jurisdiktion — Proton AG hat ihren Sitz in Genf und operiert unter Schweizer Datenschutzrecht (in bestimmter Hinsicht strenger als die DSGVO). Kein US CLOUD Act und keine EU-Datenanfragen greifen.
- Open-Source-Clients — der Anwendungscode ist öffentlich auf GitHub auditierbar.
- Integriertes Proton-Business-Ökosystem — wenn deine Organisation Proton Mail, Drive, VPN oder Calendar nutzt, ist Proton Pass Business ein natürliches Bündel zu wettbewerbsfähigen Preisen pro Nutzer gegenüber dem Einzelkauf.
- Zero-Knowledge-Architektur — verschlüsselte Metadaten bedeuten, dass Proton anders als die meisten Wettbewerber nicht sehen kann, für welche Websites deine Mitarbeiter Zugangsdaten speichern.
- SCIM + SSO SAML Ende 2024 hinzugefügt.
- SOC 2 Type 2 + ISO 27001 (über die Gruppenzertifizierung von Proton AG).
Einschränkungen:
- Jüngeres B2B-Produkt — Ende 2023 gestartet, die Admin-Konsole reift noch gegenüber Bitwarden oder 1Password.
- Die Tresor-Suchgeschwindigkeit ist bei großen Tresoren (10.000+ Einträgen) langsamer als bei Wettbewerbern.
- Kleinere IT-Community für Fehlersuche und Drittanbieter-Integrationen.
- Kein Self-Host für die Passwort-Manager-Komponente.
Am besten für: EU-ansässige Organisationen mit DSGVO-Compliance-Anforderungen, NGOs, Journalismus-Organisationen, Unternehmen mit ausdrücklicher Abneigung gegen US-Cloud-Jurisdiktion, Organisationen, die bereits auf dem Proton-Business-Stack sind.
Siehe unseren Vergleich Proton Pass vs Bitwarden 2026 für eine detaillierte Aufschlüsselung.
Proton Pass Business ausprobieren →Schweizer Jurisdiktion · Open-Source-Clients · SOC 2 Type 2 · DSGVO-by-design→07 — Keeper Business — am besten für compliance-lastige und regulierte Branchen
Preise: 6,67 $/Nutzer/Monat (Business). Enterprise erfordert ein individuelles Angebot.
Keeper ist die Standardwahl für Organisationen in regulierten US-Branchen (Bundesregierung, Verteidigung, US-Gesundheitswesen). Kein anderer Business-Passwort-Manager erreicht seinen Compliance-Zertifizierungsstapel.
Hauptstärken:
- FedRAMP-autorisiert — der einzige große Passwort-Manager mit FedRAMP-Autorisierung, was ihn zur vorgeschriebenen Wahl für US-Bundesbehörden macht.
- FIPS 140-2 validiert — erforderlich für Bereitstellungen beim US-Verteidigungsministerium und in der Intelligence Community.
- SOC 2 Type 2 + ISO 27001 + ISO 27017 + ISO 27018 — einer der vollständigsten Compliance-Stapel am Markt.
- Active-Directory-Bridge für Legacy-On-Premise-AD-Umgebungen ohne Cloud-IdP.
- KeeperPAM (Privileged Access Management) als Modul-Add-on verfügbar — kombiniert Passwortverwaltung mit Aufzeichnung privilegierter Sitzungen, nützlich für Organisationen, die Server- und Datenbank-Zugangsdaten verwalten.
- BreachWatch — Dark-Web-Überwachung direkt in die Admin-Konsole integriert.
Einschränkungen:
- UX weniger ausgefeilt als NordPass oder 1Password auf Desktop und Mobil.
- Intransparente Preise bei Skalierung — über 50 Nutzern wechselt Keeper zu individuellen Angeboten, was die Budgetprognose erschwert.
- Geschlossener proprietärer Code.
- Kein Self-Host außerhalb der KeeperPAM-Enterprise-Option.
Am besten für: US-Bundesbehörden (FedRAMP Pflicht), US-Verteidigung und -Intelligence, US-Gesundheitswesen (HIPAA BAA), Organisationen mit Bedarf an integriertem PAM.
08 — Vollständige Funktionsvergleichstabelle
| Funktion | Bitwarden Business | NordPass Business | 1Password Business | Proton Pass Business | Keeper Business |
|---|---|---|---|---|---|
| Preis /Nutzer/Mon. | 5 $ | 3,69 $ | 7,99 $ | 7,99 $ | 6,67 $ |
| Jahreskosten 100 Nutzer | 6.000 $ | 4.428 $ | 9.588 $ | 9.588 $ | 8.004 $ |
| SSO SAML 2.0 | Enterprise (7 $) | Inklusive | Inklusive | Inklusive | Inklusive |
| SCIM 2.0 | Gehostet | Gehostet | Bridge (Self-Host) | Gehostet | Gehostet |
| RBAC | Ja | Ja | Ja | Ja | Ja |
| Audit-Logs / Event-Logs | 90 Tage (Teams) | 6 Monate | 365 Tage | 90 Tage | 2 Jahre |
| Admin-Konsole | Web | Web | Web + CLI | Web | Web + CLI |
| Open Source | Ja (GPL v3) | Nein | Nein | Nur Clients | Nein |
| Self-Host | Ja (Vaultwarden) | Nein | Nein | Nein | Nur KeeperPAM |
| EU-Datenresidenz | Ja (Frankfurt) | Ja (LT/DE) | Ja | Schweiz | Ja |
| SOC 2 Type 2 | Ja | Ja | Ja | Ja | Ja |
| ISO 27001 | Ja | Ja | In Arbeit | Ja (Proton AG) | Ja |
| FedRAMP | Nein | Nein | Nein | Nein | Ja |
| FIPS 140-2 | Nein | Nein | Nein | Nein | Ja |
| HIPAA BAA | Ja | Ja | Ja | Auf Anfrage | Ja |
| Unabhängiges Audit | Cure53 2022 + IR 2023 | Cure53 2024 | Cure53 2024 | Cure53 2024 | Intern |
| Families-Plan inklusive | Nein | Nein | Ja | Nein | Nein |
| CLI / API | Vollständig (bw-CLI) | Begrenzt | Vollständig (op-CLI) | Begrenzt | Vollständig |
09 — Welcher Business-Passwort-Manager nach Unternehmensgröße
Startups und kleine Unternehmen (5–50 Mitarbeiter)
Empfohlen: Bitwarden Business Teams (5 $/Nutzer/Monat) oder NordPass Business (3,69 $/Nutzer/Monat).
In dieser Größe sind die Prioritäten: niedrige Kosten, schnelle Einrichtung (unter einem IT-Tag), verpflichtende MFA und SCIM, falls du bereits Google Workspace oder Microsoft 365 hast.
Typischer Stack:
- Bitwarden Teams zu 5 $/Nutzer/Monat oder NordPass Business zu 3,69 $/Nutzer/Monat
- SCIM-Provisionierung über Google Workspace oder Microsoft 365 (auf IdP-Seite kostenlos)
- Verpflichtende WebAuthn-MFA für alle Teammitglieder
- Sammlungen nach Rolle segmentiert: Engineering, Finanzen, Operations, Marketing
- 90-tägige Audit-Log-Aufbewahrung
Jahresbudget (25 Mitarbeiter): Bitwarden = 1.500 $/Jahr | NordPass = 1.107 $/Jahr
Mittelständler (50–500 Mitarbeiter)
Empfohlen: Bitwarden Enterprise (7 $/Nutzer/Monat) für SSO + SCIM, oder 1Password Business (7,99 $/Nutzer/Monat) für Premium-UX.
In dieser Größenordnung wird SSO SAML 2.0 operativ kritisch – manuelles Onboarding skaliert nicht. SCIM ist Pflicht, um Geisterkonten zu verhindern. Der SIEM-Export von Audit-Logs wird als Nachweis für SOC-2- oder ISO-27001-Audits erforderlich.
Typischer Stack:
- Bitwarden Enterprise (7 $/Nutzer/Monat) oder 1Password Business (7,99 $/Nutzer/Monat)
- SSO SAML 2.0 über Okta, Azure AD oder Google Workspace
- Automatisierte SCIM-Provisionierung (Joiner-Leaver-Mover)
- Verpflichtende WebAuthn-MFA für alle Mitarbeiter (nicht nur Admins)
- Master-Passwort-Richtlinie: mindestens 14 Zeichen, jährliche Rotation
- Sammlungen verschachtelt nach BU und Abteilung
- Event-Logs alle 24 Stunden ins SIEM exportiert (Splunk, Datadog)
- Mitarbeiter-Onboarding: 30-minütige Passwort-Manager-Session im IT-Onboarding enthalten
Jahresbudget (200 Mitarbeiter): Bitwarden Enterprise = 16.800 $/Jahr | 1Password = 19.176 $/Jahr
Großunternehmen (500+ Mitarbeiter)
Empfohlen: Bitwarden Enterprise hybrid oder 1Password Business mit SCIM-Bridge, oder Keeper Enterprise für regulierte US-Branchen.
In Großunternehmensgröße: 18–24 Monate Audit-Log-Aufbewahrung, verpflichtende Hardware-WebAuthn-MFA, Echtzeit-SIEM-Export, jährlicher externer Penetrationstest, Erwägung von integriertem PAM.
Für US-Regierung und -Verteidigung: Keeper Enterprise ist angesichts FedRAMP + FIPS 140-2 die einzige tragfähige Option.
Für EU-ansässige Großunternehmen: Bitwarden Enterprise mit EU-Cloud Frankfurt oder Proton Pass Business für maximale Datenhoheit.
10 — Checkliste zur Bereitstellung eines Business-Passwort-Managers
Bevor du einen Vertrag unterschreibst, nutze diese Checkliste zur Bewertung jedes Business-Passwort-Managers:
Sicherheit
- Zero-Knowledge-Verschlüsselungsarchitektur bestätigt (Anbieter kann Tresore nicht entschlüsseln)
- Unabhängiges Sicherheitsaudit innerhalb der letzten 24 Monate veröffentlicht (Cure53, Bishop Fox oder gleichwertig)
- Aktives Bug-Bounty-Programm (HackerOne, Bugcrowd)
- Kein öffentlicher serverseitiger Vorfall in den letzten 5 Jahren
Compliance
- SOC-2-Type-2-Bericht zur Einsicht verfügbar (nicht nur ein Abzeichen – fordere den eigentlichen Bericht an)
- DSGVO-konformer AVV direkt unterzeichenbar (kritisch für EU-Organisationen)
- Datenresidenz-Region schriftlich bestätigt
- ISO 27001, falls von deiner Branche oder deinen Verträgen verlangt
Identitätsintegration
- SCIM-2.0-Endpunkt kompatibel mit deinem IdP (Okta, Azure AD, Google Workspace, JumpCloud)
- SSO SAML 2.0, falls du 100+ Mitarbeiter hast
- Durchsetzung der MFA-Richtlinie auf Admin-Ebene verfügbar
- Gruppensynchronisierung vom IdP bestätigt
Betrieb
- Admin-Konsole entspricht dem täglichen Workflow deines Teams
- Audit-Logs ins SIEM exportierbar
- Notfall-Wiederherstellungsverfahren für Mitarbeiter dokumentiert
- Support-SLA passt zur Geschäftskritikalität (24/7 für Enterprise, 8/5 für KMU)
11 — Das Offboarding-Risiko, das jedes Unternehmen ignoriert
Der häufigste Ausfallmodus bei Business-Passwort-Managern ist Offboarding ohne SCIM. So läuft es typischerweise ab:
- Mitarbeiter kündigt an einem Freitagnachmittag seinen Austritt an
- Die IT erstellt ein Jira-Ticket, um seinen Zugriff zu entziehen
- Das Ticket bleibt übers Wochenende liegen
- Die zweiwöchige Kündigungsfrist des Mitarbeiters verstreicht
- Das IT-Ticket wird geschlossen – aber der Passwort-Manager-Zugriff wurde nie ausdrücklich entzogen
- Drei Monate später hat der ehemalige Mitarbeiter noch Lesezugriff auf geteilte Engineering- und Finanz-Sammlungen
Mit SCIM: Der IdP deaktiviert die Identität des Mitarbeiters → SCIM verbreitet den Entzug in unter 30 Sekunden an den Passwort-Manager → der gesamte Zugriff auf geteilte Sammlungen wird automatisch entzogen.
Das ist nicht theoretisch. Der LastPass-Vorfall 2022 wurde teilweise durch die kompromittierten Zugangsdaten eines DevOps-Ingenieurs verstärkt, die Monate früher hätten rotiert werden sollen. Siehe unseren Überblick zum besten Passwort-Manager für mehr Kontext zu Praktiken der Zugangsdaten-Hygiene.
12 — Urteil: welchen Business-Passwort-Manager solltest du wählen?
Für die meisten Unternehmen (10–500 Mitarbeiter): Bitwarden Business zu 5 $/Nutzer/Monat gewinnt 2026 das Verhältnis aus Sicherheit, Preis und Souveränität. Open Source, gehostetes SCIM, EU-Cloud, SOC 2 Type 2 + ISO 27001 und die stärkste Sicherheitsbilanz am Markt.
Für budget-orientierte Teams: NordPass Business zu 3,69 $/Nutzer/Monat liefert SSO + SCIM + SOC 2 zu den niedrigsten Kosten pro Nutzer. Der Rabatt von 32 % gegenüber Bitwarden ist real, und der Funktionsumfang deckt die große Mehrheit der KMU-Bedürfnisse ab.
Für Premium-UX und Mitarbeiterakzeptanz: 1Password Business zu 7,99 $/Nutzer/Monat rechtfertigt seinen Aufpreis für Mittelständler, bei denen geringe IT-Reibung mehr zählt als Kosteneinsparungen. Der inkludierte Families-Plan und das Watchtower-Admin-Dashboard sind echte Unterscheidungsmerkmale.
Für EU-DSGVO-sensible Organisationen: Proton Pass Business zu 7,99 $/Nutzer/Monat mit Schweizer Jurisdiktion ist die einzige Wahl, wenn du gleichzeitig vollständige Metadaten-Verschlüsselung und eine Nicht-US-/Nicht-EU-Jurisdiktion brauchst.
Für regulierte US-Branchen: Keeper Enterprise ist der Standard für FedRAMP- und FIPS-140-2-Anforderungen. Kein anderer großer Anbieter erfüllt diese Latte.
Quellen
- Offizielle Preise Bitwarden Business
- Offizielle Preise NordPass Business
- Offizielle Preise 1Password Business
- Proton Pass Business offiziell
- Keeper Business offiziell
- Unser Vergleich Bitwarden vs 1Password 2026
- Unser Leitfaden zur SCIM-Provisionierung mit Bitwarden Business
- Unser Überblick zum besten Passwort-Manager 2026
- Unser Vergleich Proton Pass vs Bitwarden
