Was ist der beste Unternehmens-Passwort-Manager im Jahr 2026?

**Bitwarden Business** ist unsere B2B-Empfehlung #1 2026 für die meisten Organisationen mit 10 bis 500 Mitarbeitenden: 5 USD/Nutzer/Monat (das günstigste im B2B), gehosteter SCIM-2.0-Endpunkt für Okta/Azure AD/Google Workspace, SOC 2 Type 2 + ISO 27001 veröffentlicht, Open Source auditierbar, Vaultwarden-Self-Host-Option für volle Souveränität. **1Password Business** (7,99 USD/Nutzer/Monat) bleibt vorzuziehen für Organisationen, die Premium-UX und eine selbst gehostete SCIM Bridge wollen. **NordPass Business** (3,69 USD/Nutzer/Monat) ist die beste Option, wenn du den aggressivsten B2B-Preis mit einem kohärenten Nord-Security-Ökosystem (NordVPN, NordLayer) willst. Siehe unseren [Vergleich Bitwarden vs. 1Password 2026](/en/blog/bitwarden-vs-1password-2026) für die vollständige Aufschlüsselung.

Reicht SSO oder MFA für ein Unternehmen mit unter 100 Mitarbeitenden?

**Verpflichtende MFA (mindestens TOTP, idealerweise WebAuthn / Passkeys) reicht für Organisationen mit unter 100 Mitarbeitenden ohne starke Compliance-Auflagen**. SSO SAML 2.0 wird ab 100-150 Mitarbeitenden relevant, oder früher, wenn du bereits einen IdP (Okta, Azure AD, Google Workspace) hast, der SCIM/SAML standardmäßig pusht. Bitwarden SSO SAML ist im Enterprise-Plan (7 USD/Nutzer/Monat) enthalten, und 1Password SSO ist in Business enthalten. **Entscheidungsregel**: automatisches SCIM-Provisioning > SSO in der Priorität, denn SCIM beseitigt das Risiko #1 (Geisterkonto eines ausgeschiedenen Mitarbeiters). Siehe unseren [Leitfaden Bitwarden Business SCIM Provisioning 2026](/en/blog/bitwarden-business-scim-provisioning-2026).

Welcher Unternehmens-Passwort-Manager ist DSGVO-konform mit EU-Datenresidenz?

**Proton Pass Business** ist unsere DSGVO-by-Design-Empfehlung #1: Schweizer Rechtsordnung, garantierte EU-Datenresidenz, veröffentlichte Open-Source-Audits, 100 % Proton-Infrastruktur. **NordPass Business** bietet optionale EU-Datenresidenz (Litauen / Deutschland) und ist SOC 2 Type 2 zertifiziert. **Bitwarden Business** bietet seit 2024 ein EU-Cloud-Deployment (Frankfurt) mit vollständiger EU-Datenresidenz. **1Password** bietet Datenresidenz in US/EU/CA zum Zeitpunkt des Organisations-Provisionings. **Die einzige Möglichkeit für volle Kontrolle ist Vaultwarden Self-Host** auf deiner eigenen Infrastruktur oder einer souveränen EU-Cloud (OVH, Scaleway, Hetzner) — siehe unser [Vaultwarden-Self-Host-Tutorial](/en/blog/self-host-vaultwarden-tutoriel).

Wie viel kostet ein Unternehmens-Passwort-Manager für 100 Mitarbeitende über 3 Jahre?

**Reale 3-Jahres-Berechnung für 100 Mitarbeitende**: Bitwarden Business = 100 × 5 × 36 = **18.000 USD**, NordPass Business = 100 × 3,69 × 36 = **13.284 USD** (am günstigsten), 1Password Business = 100 × 7,99 × 36 = **28.764 USD**, Dashlane Business = 100 × 8 × 36 = **28.800 USD**, Keeper Enterprise = 100 × 6,67 × 36 = **24.012 USD**, Proton Pass Business = 100 × 7,99 × 36 = **28.764 USD**. **Reale TCO umfasst außerdem**: SSO/SCIM-Einrichtung (8-40 h IT), Mitarbeiterschulung (2-5 h × 100 = 200-500 h), Audit-Logs und Compliance (~2 Auditor-Tage pro Jahr dank Audit-Trails eingespart = ~2.400 EUR/Jahr vermieden).

Sollte man self-hosten (Vaultwarden) oder SaaS für ein Unternehmen nutzen?

**SaaS (Bitwarden Cloud, 1Password Cloud, NordPass usw.) deckt die überwiegende Mehrheit der KMU- und Mid-Market-Fälle ab**: null Wartung, vertragliches SLA, veröffentlichte SOC-2-Type-2-Audits, 24/7-Support. **Self-Host (Vaultwarden, Bitwarden Self-Host Enterprise, Passbolt) ist nur gerechtfertigt, wenn**: (1) du ein internes SOC-Team hast, das Day-0 patchen kann, (2) du eine strikte regulatorische Pflicht hast (Gesundheit, Verteidigung, sensibles Banking), die Multi-Tenant-Cloud verbietet, (3) du starke EU-Souveränitätskontrolle willst (Vaultwarden auf OVH/Scaleway/Hetzner). **Sonst gewinnt SaaS**: Du bist nicht sicherer beim Self-Hosting, wenn du Postgres nicht patchen oder einen Docker-Container nicht überwachen kannst. Siehe unser [Vaultwarden-Self-Host-Tutorial](/en/blog/self-host-vaultwarden-tutoriel).

Wie handhabt man das Off-Boarding von Mitarbeitenden mit einem Unternehmens-Passwort-Manager?

**Standard-Off-Boarding-Verfahren 2026**: (1) Der IdP deaktiviert das Mitarbeiterkonto → SCIM propagiert den Widerruf in unter 30 Sekunden an den Passwort-Manager; (2) der Admin des Passwort-Managers erzwingt die Rotation der geteilten Passwörter, auf die der Mitarbeiter Zugriff hatte (Bitwarden Business per Export → manuelle Rotation, 1Password Business per Travel Mode + Rotation, NordPass per Activity Log + erzwungene Rotation); (3) das Audit-Log archiviert den Zugriffsverlauf des Mitarbeiters für 12-24 Monate Nachvollziehbarkeit; (4) falls der Mitarbeiter einen persönlichen Tresor im bereitgestellten kostenlosen Families-Plan hatte, kann der Admin ihn je nach Richtlinie erhalten oder löschen. **SCIM beseitigt den Großteil dieses Risikos**: ohne SCIM bleibt ein Geisterkonto eines ausgeschiedenen Mitarbeiters wochen- oder monatelang aktiv. Es ist das Risiko #1 im B2B-Passwort-Management.

Welche Zertifizierungen sollte man 2026 mindestens verlangen?

**Mindest-Stack, den man 2026 von einem Unternehmens-Passwort-Manager verlangen sollte**: (1) **SOC 2 Type 2** veröffentlicht und jährlich erneuert (Bitwarden, 1Password, NordPass, Dashlane, Keeper, Proton Pass haben alle); (2) **ISO 27001** (Bitwarden, NordPass, Keeper, Dashlane haben sie, 1Password in Arbeit); (3) **Unabhängiges Cure53-/Insight-Risk-Audit** veröffentlicht innerhalb der letzten 24 Monate; (4) **DSGVO-konformer AVV** direkt unterzeichenbar; (5) **Pentest-Bericht** unter NDA verfügbar. Zusätzlich je nach Branche zu prüfen: **HIPAA BAA** (US-Gesundheit), **FedRAMP / FIPS 140-2** (US-Behörden), **PCI DSS** (Zahlungen), **C5** (Cloud-Sicherheit Deutschland).

Wie handhabt man eine Breach-Response mit einem Unternehmens-Passwort-Manager?

**Standard-Incident-Response-Plan, falls ein Breach bei einem Passwort-Manager-Anbieter entdeckt wird**: (1) Sofort verpflichtende Hardware-2FA für alle Admins aktivieren (WebAuthn / YubiKey), falls noch nicht aktiv; (2) Master-Passwort-Rotation für alle Mitarbeitenden per Admin-Richtlinie erzwingen (Bitwarden Enterprise Master-Passwort-Richtlinien, 1Password Recovery, NordPass erzwungene Rotation); (3) Event-Logs über 90 Tage auditieren, um abnormale Zugriffe zu identifizieren; (4) alle sensiblen geteilten Passwörter rotieren (System-Admins, Produktions-API-Schlüssel, Prod-Datenbank-Zugangsdaten); (5) internes Breach-Response-Verfahren aktivieren (DSB informiert, Datenschutzbehörde binnen 72 Stunden informiert, wenn personenbezogene Daten betroffen sind — DSGVO Artikel 33). **Lerne aus dem LastPass-Breach 2022**: Niemals unverschlüsselte Elemente außerhalb des Tresors speichern (URLs, Textnotizen), wenn der Anbieter es zulässt.

Ab welcher Unternehmensgröße rechtfertigt sich ein dedizierter Passwort-Manager gegenüber informellem Teilen?

**Ab 5 Mitarbeitenden und 10 geteilten SaaS-Diensten** ist ein Unternehmens-Passwort-Manager wirtschaftlich gerechtfertigt. Ab rund **20 Mitarbeitenden** wird das Risiko eines internen Breachs (ausgeschiedener Mitarbeiter mit Zugriff, Teilen von Zugangsdaten per Slack/E-Mail, Passwörter auf Post-its) schwer zu ignorieren. Breaches sind teuer — der IBM Cost of a Data Breach 2024 beziffert den **globalen Durchschnitt auf 4,88 Mio. USD**. Zum Vergleich: Die 3-Jahres-B2B-Passwort-Manager-Kosten für 20 Mitarbeitende = 3.600 USD (Bitwarden) bis 5.760 USD (1Password). **Der ROI ist ab 10 Mitarbeitenden unbestreitbar**, wenn du Kundendaten, kritisches IP oder Finanzkonten verwaltest.

Bitwarden Business oder Vaultwarden Self-Host für ein KMU mit 50 Mitarbeitenden?

**Bitwarden Business für 5 USD/Nutzer/Monat = 250 USD/Monat (3.000 USD/Jahr)**. **Vaultwarden Self-Host auf Hetzner CX22 = 4,90 EUR/Monat (60 EUR/Jahr) + ~4 h Ersteinrichtung + 2 h Wartung/Monat × 50 EUR/h interne IT = 1.260 EUR/Jahr versteckte Kosten**. **Fazit**: Vaultwarden Self-Host spart ~1.700 EUR/Jahr, ABER du trägst die Verantwortung für Patching, Monitoring und Restore. **Pragmatisches Urteil**: Wenn deine IT bereits solide ist (Linux, Docker, Monitoring), lohnt sich Vaultwarden. Wenn deine IT ausgelagert oder dünn besetzt ist, zahle für Bitwarden Business — du überträgst das operative Risiko an Bitwarden und behältst die Enterprise-Audit-Logs. Details in unserem [Vaultwarden-Self-Host-Tutorial](/en/blog/self-host-vaultwarden-tutoriel).

Passwort-Manager für Unternehmen 2026: 6 B2B-Lösungen im Vergleich (KMU, Mid-Market, Enterprise)

Wenn du die Sicherheit eines Unternehmens mit 10 bis 5.000 Mitarbeitenden verantwortest, ist die Wahl eines B2B-Passwort-Managers eine der 3 strukturierendsten Sicherheitsinvestitionen (neben MFA und MDM). Diese Analyse deckt 6 Unternehmenslösungen für Deployments von ~25 bis ~350 Nutzern ab: hier ein ehrlicher Vergleich, basierend auf überprüfbaren Unternehmenskriterien (SSO, SCIM, Audit-Logs, RBAC, Compliance, realer 3-Jahres-Preis).

Bitwarden Business gewinnt 2026 das Verhältnis Einfachheit/Preis für die meisten KMU und den Mid-Market. NordPass Business ist die günstigste Option (3,69 USD/Nutzer/Monat). 1Password Business bleibt die Premium-UX-Wahl, wenn das Budget es zulässt.

01 — Das Unternehmens-Ranking 2026

Rang	Lösung	Preis /Nutzer/Mo.	SCIM	SSO SAML	EU Cloud	Fazit
🥇 1	Bitwarden Business	5 USD	Gehostet	Enterprise (7 USD)	Ja	Beste KMU / Mid-Market
🥈 2	NordPass Business	3,69 USD	Ja	Ja	Ja	Günstigste, Nord-Ökosystem
🥉 3	1Password Business	7,99 USD	Bridge	Enthalten	Ja	Premium-UX, größere Budgets
4	Proton Pass Business	7,99 USD	Ja	Ja	Schweiz	DSGVO-by-Design
5	Keeper Enterprise	6,67 USD	Ja	Ja	Ja	Starke Compliance, mittelmäßige UX
6	Dashlane Business	8 USD	Ja	Ja	Ja	VPN enthalten, aber teuer, veraltete UX

Methodik: ein redaktioneller Vergleich von 6 Lösungen, bewertet anhand von 14 Unternehmenskriterien mit 3-Jahres-TCO — basierend auf Anbieterdokumentation, veröffentlichten Sicherheits-/Compliance-Zertifizierungen und dem Konsens öffentlicher Bewertungen.

02 — B2B-Bewertungskriterien

Für ein Unternehmen werden B2C-Kriterien (UX, Einzelpreise) nebensächlich. Hier sind die 14 Unternehmenskriterien, die zählen:

Technische Kriterien (Gewicht 50 %)

SSO SAML 2.0 (Okta, Azure AD, Google Workspace, OneLogin, JumpCloud)
SCIM-2.0-Provisioning (automatisiertes Joiner-Leaver-Mover)
RBAC (Owner, Admin, Manager, User, benutzerdefinierte Rollen)
Gruppenverwaltung (Sync von IdP-Gruppen, verschachtelte Gruppen, geteilte Collections)
Audit-Logs / Event-Logs (Aufbewahrung, SIEM-Export, Alerting)
Dokumentierte öffentliche REST-API (Bitwarden CLI, 1Password CLI, NordPass API)
Self-Host möglich (EU-Souveränität, Branchen-Compliance)

Compliance-Kriterien (Gewicht 30 %)

SOC 2 Type 2 veröffentlicht und aktuell
ISO 27001 zertifiziert
EU-Datenresidenz garantiert
DSGVO-konformer AVV, HIPAA BAA bei US-Gesundheit
Pentest-Bericht + aktives Bug-Bounty

Operative Kriterien (Gewicht 20 %)

Support-SLA (24/7 für Enterprise, 8/5 für Business)
Onboarding-Playbook + Change Management (Schulung, interne Kommunikation)

03 — Bitwarden Business — Beste KMU / Mid-Market

Preis: 5 USD/Nutzer/Monat (Teams) oder 7 USD/Nutzer/Monat (Enterprise).

Stärken:

Günstigste der vier großen B2B-Anbieter (5 USD vs. 7,99 USD 1Password vs. 8 USD Dashlane)
Gehosteter SCIM-2.0-Endpunkt (keine Bridge zu deployen, anders als 1Password) — Okta, Azure AD, OneLogin, JumpCloud, Google Workspace nativ unterstützt
Open Source GPL v3 — Code öffentlich auditierbar auf github.com/bitwarden
SOC 2 Type 2 + ISO 27001 veröffentlicht
EU Cloud Frankfurt seit 2024 (EU-Datenresidenz)
Vaultwarden Self-Host möglich für volle Souveränität
Cure53 2022 + Insight Risk 2023 Audits öffentlich
Keine Server-Kompromittierung in 8 Jahren

Einschränkungen:

Desktop-UX wirkt visuell veraltet gegenüber 1Password / NordPass
SSO SAML dem Enterprise-Plan vorbehalten (7 USD)
Admin-Onboarding erfordert ~3-5 h Bitwarden-Doku beim ersten Deployment

Empfohlen für: KMU 10-50 Mitarbeitende (Teams Starter oder Teams-Plan), Mid-Market 50-500 Mitarbeitende (Teams oder Enterprise je nach SSO-Bedarf), Tech-Teams, die self-hosten wollen.

Siehe unseren Vergleich Bitwarden vs. 1Password 2026 und den Bitwarden Business SCIM Provisioning Leitfaden.

Bitwarden Business testen →5 USD/Nutzer/Mo. · Gehostetes SCIM · SOC 2 Type 2 · EU Cloud→

04 — NordPass Business — Der aggressivste Preis

Preis: 3,69 USD/Nutzer/Monat (Teams Jahresplan) oder 5,39 USD/Nutzer/Monat (Business).

Stärken:

Günstigste der ernstzunehmenden B2B-Lösungen (3,69 USD/Nutzer/Monat)
XChaCha20 + Argon2id Verschlüsselung (modernere Algorithmen als AES-256/PBKDF2)
SCIM-Provisioning Okta, Azure AD, Google Workspace, JumpCloud
SSO SAML 2.0 im Business-Plan enthalten (nicht nur Enterprise)
SOC 2 Type 2 + ISO 27001 + Cure53 veröffentlicht
Nord-Security-Ökosystem: mögliches Bundle mit NordVPN (NordLayer für B2B), NordLocker
EU-Datenresidenz optional (Litauen, Deutschland)
Moderne UX (4,7/5 App Store)

Einschränkungen:

Proprietärer Code (nicht Open Source)
Kein Self-Host möglich
B2B-Tech-Community kleiner als Bitwarden / 1Password

Empfohlen für: budgetsensitive KMU 10-200 Mitarbeitende, Unternehmen, die ein kohärentes Nord-Ökosystem wollen (B2B-VPN + B2B-Passwort-Manager).

Siehe unseren NordPass-Test 2026.

05 — 1Password Business — Premium-UX, größere Budgets

Preis: 7,99 USD/Nutzer/Monat (Business) oder Angebot erforderlich für Enterprise.

Stärken:

Unter den ausgefeiltesten Desktop- und Mobile-UX am Markt
B2B-Watchtower: proaktive Breach-Warnungen direkt im Admin-Dashboard
Selbst gehostete SCIM Bridge (Docker-Container kundenseitig) für Okta, Azure AD, Rippling — komplexer, aber volle Netzwerkkontrolle
SSO SAML 2.0 enthalten in Business (nicht Enterprise vorbehalten wie bei Bitwarden)
Cure53-Audits regelmäßig und öffentlich
128-Bit-Secret-Key zusätzlich zum Master-Passwort (Anti-Brute-Force-Puffer)
SOC 2 Type 2 veröffentlicht
Premium-B2B-Support (4 h SLA-Reaktion für Enterprise)

Einschränkungen:

Geschlossener proprietärer Code (vs. Bitwarden Open Source)
Hoher Preis (60 % teurer als Bitwarden, 116 % mehr als NordPass)
Kein Self-Host möglich
SCIM Bridge erhöht die operative Komplexität gegenüber dem gehosteten Endpunkt

Empfohlen für: Mid-Market 100-500 Mitarbeitende mit höheren Budgets, Kreativ-/Journalismus-Organisationen (Travel Mode), Mitarbeiter-Families (enthaltener Families-Plan).

Siehe unseren Vergleich Bitwarden vs. 1Password 2026.

06 — Proton Pass Business — DSGVO-by-Design

Preis: 7,99 USD/Nutzer/Monat (Business).

Stärken:

Schweizer Rechtsordnung: starker rechtlicher Schutz außerhalb der EU und der USA
Open Source (öffentliche Anwendungs-Clients)
Integriert in das Proton-Business-Ökosystem (Mail, VPN, Drive, Kalender) — attraktives Bundle für KMU
Integriertes TOTP-2FA im Tresor
Ende-zu-Ende-Verschlüsselung by Design, Zero-Knowledge-Architektur
SCIM + SSO SAML seit Ende 2024

Einschränkungen:

B2B-Produkt noch jung (Ende 2023 gestartet, 2025 gereift)
Kleinere B2B-Admin-Community als Bitwarden / 1Password
Tresorsuche langsamer als Bitwarden / NordPass
Kein Self-Host für den Passwort-Manager (vs. Proton Mail Bridge)

Empfohlen für: DSGVO-sensible Unternehmen, EU-Behörden, Medien / NGO / Journalismus, Teams, die US-Rechtsordnung meiden.

Siehe unseren Vergleich Proton Pass vs. Bitwarden 2026.

07 — Keeper Enterprise — Starke Compliance, mittelmäßige UX

Preis: 6,67 USD/Nutzer/Monat (Business) oder Angebot erforderlich für Enterprise.

Stärken:

FedRAMP authorized und FIPS 140-2 validated — Standardwahl für US-Behörden und Verteidigung
SCIM + SSO SAML + dedizierte Active-Directory-Bridge
SOC 2 Type 2 + ISO 27001 + ISO 27017 + ISO 27018 (eine der umfassendsten am Markt)
BreachWatch integriert (Warnungen bei kompromittierten Zugangsdaten)
KeeperPAM-Modul (Privileged Access Management) als Option

Einschränkungen:

Weniger ausgefeilte Desktop- und Mobile-UX als NordPass / 1Password
Intransparente Preise über 50 Nutzern (Angebot erforderlich)
Geschlossener proprietärer Code
Kein Self-Host

Empfohlen für: US-Behörden, Verteidigungssektor, US-Gesundheit (HIPAA), Unternehmen mit integriertem PAM-Bedarf.

08 — Dashlane Business — VPN enthalten, aber teuer

Preis: 8 USD/Nutzer/Monat (Business).

Stärken:

Integriertes VPN (Hotspot Shield per Partnerschaft) — Argument für Unternehmen ohne bestehendes B2B-VPN
Aggregierter Password Health Score für den CISO
SCIM + SSO SAML + Active-Directory-Sync
SOC 2 Type 2 veröffentlicht
Geführtes Admin-Onboarding einfacher als Bitwarden

Einschränkungen:

Höchster Preis im Benchmark (8 USD = 60 % mehr als Bitwarden, 117 % mehr als NordPass)
Partner-VPN (Hotspot Shield) weniger performant als dediziertes NordVPN / Proton VPN
Desktop-UX weniger ausgefeilt als 2020 (das Produkt hat seinen Vorsprung verloren)
Geschlossener proprietärer Code

Empfohlen für: Unternehmen, die ein Passwort-Manager-+-VPN-Bundle in einer einzigen Rechnung wollen, US-Legacy-Teams bereits auf Dashlane.

09 — Vollständige Vergleichstabelle

Kriterium	Bitwarden Business	NordPass Business	1Password Business	Proton Pass Business	Keeper Enterprise	Dashlane Business
Preis /Nutzer/Mo.	5 USD	3,69 USD	7,99 USD	7,99 USD	6,67 USD	8 USD
3-Jahres-TCO 100 Nutzer	18.000 USD	13.284 USD	28.764 USD	28.764 USD	24.012 USD	28.800 USD
SSO SAML	Enterprise (7 USD)	Enthalten	Enthalten	Enthalten	Enthalten	Enthalten
SCIM 2.0	Gehostet	Gehostet	Bridge	Gehostet	Gehostet	Gehostet
Open Source	Ja (GPL v3)	Nein	Nein	Teilweise	Nein	Nein
Self-Host	Ja (Vaultwarden)	Nein	Nein	Nein	Nein	Nein
EU-Datenresidenz	Ja (Frankfurt)	Ja (LT / DE)	Ja	Schweiz	Ja	Ja
SOC 2 Type 2	Ja	Ja	Ja	Ja	Ja	Ja
ISO 27001	Ja	Ja	In Arbeit	Ja	Ja	Ja
HIPAA BAA	Ja	Ja	Ja	Auf Anfrage	Ja	Ja
FedRAMP	Nein	Nein	Nein	Nein	Ja	Nein
Aktuelles Cure53-Audit	2022	2024	2024	2024	Intern	Intern
REST-API	Dokumentiert	Dokumentiert	Dokumentiert	Dokumentiert	Dokumentiert	Dokumentiert
Aktives Bug-Bounty	Ja (HackerOne)	Ja (HackerOne)	Ja (Bugcrowd)	Ja (intern)	Ja (Bugcrowd)	Ja (HackerOne)

10 — Anwendungsfälle nach Unternehmensgröße

KMU 10-50 Mitarbeitende

Empfehlung: Bitwarden Business Teams-Plan (5 USD/Nutzer/Monat) oder NordPass Business (3,69 USD/Nutzer/Monat).

In dieser Größe willst du: niedrigen Preis, schnelle Einrichtung (unter 1 IT-Tag), verpflichtende WebAuthn-MFA, SCIM, wenn du bereits einen IdP hast (Google Workspace, Microsoft 365), Mitarbeiterschulung unter 2 h.

Typischer Stack:

Bitwarden Business Teams-Plan für 5 USD/Nutzer/Monat
SCIM über Google Workspace oder Microsoft 365 (kostenlos auf IdP-Seite)
Verpflichtende WebAuthn-MFA für alle Admins
Collections pro Abteilung (IT, Marketing, Finanzen, Vertrieb)
90-Tage-Audit-Logs (Standard-Aufbewahrung)

Jahresbudget: 25 Mitarbeitende × 5 USD × 12 = 1.500 USD/Jahr (~1.350 EUR).

Mid-Market 50-500 Mitarbeitende

Empfehlung: Bitwarden Enterprise (7 USD/Nutzer/Monat) oder 1Password Business (7,99 USD/Nutzer/Monat).

In dieser Größe wird SSO SAML 2.0 kritisch für Onboarding-as-Code. SCIM ist verpflichtend, um Geisterkonten zu vermeiden. Audit-Logs SIEM-Export (Splunk, Datadog, Sumo Logic) ist für interne SOC-2-/ISO-27001-Compliance nötig.

Typischer Stack:

Bitwarden Enterprise-Plan für 7 USD/Nutzer/Monat
SSO SAML 2.0 über Okta / Azure AD / Google Workspace
Automatisches SCIM-Provisioning (Joiner-Leaver-Mover)
Verpflichtende WebAuthn-MFA für ALLE Mitarbeitenden (nicht nur Admins)
Master-Passwort-Richtlinien (Mindestlänge 14, Rotation alle 12 Monate)
Verschachtelte Collections pro BU + Abteilung
Event-Logs-Export ins SIEM alle 24 h
Mitarbeiter-Onboarding ins IT-Onboarding integriert (30 min Schulung)

Jahresbudget: 200 Mitarbeitende × 7 USD × 12 = 16.800 USD/Jahr (~15.100 EUR).

Enterprise 500+ Mitarbeitende

Empfehlung: Bitwarden Enterprise Hybrid-Self-Host oder 1Password Business mit SCIM Bridge oder Keeper Enterprise (bei Behörden / Verteidigung).

In dieser Größe willst du: Audit-Logs mit 18-24 Monaten Aufbewahrung, SSO mit verpflichtender Hardware-MFA (WebAuthn / YubiKey), integriertes PAM (Keeper) oder gekoppelt (CyberArk + Bitwarden), aktives Bug-Bounty, jährlichen Pentest, dediziertes Vendor-Management-Team.

Typischer Stack:

Angebotsbasierter Enterprise-Plan (~10-15 USD/Nutzer/Monat individuell)
SSO über zentralen IdP (Okta Workforce Identity Cloud, Azure AD Premium P2)
SCIM-Provisioning + Active-Directory-Bridge
Verpflichtende Hardware-WebAuthn-MFA (YubiKey oder Titan)
RBAC mit benutzerdefinierten Rollen (PCI-Scope, DSGVO-Scope, HIPAA-Scope)
Event-Logs-Export ins SIEM in Echtzeit
Anbieterunabhängiges verschlüsseltes Backup (Bitwarden täglicher verschlüsselter GPG-Export)
Jährliches externes Audit (Cure53 oder gleichwertig) des Stacks

Jahresbudget: 1.000 Mitarbeitende × 10 USD × 12 = 120.000 USD/Jahr (~108.000 EUR).

11 — Self-Host (Vaultwarden) vs. SaaS

Vaultwarden ist die beliebte Open-Source-Drittimplementierung, kompatibel mit den offiziellen Bitwarden-Clients. Es ist die beliebteste Self-Host-Option 2026 (über 50.000 deployte Instanzen laut GitHub).

Wann Vaultwarden Self-Host wählen

Du hast ein internes SOC-Team, das Day-0 patchen und 24/7 überwachen kann
Du hast eine strikte regulatorische Pflicht, die Multi-Tenant-Cloud verbietet (Gesundheit, Verteidigung, sensibles Banking)
Du willst EU-Souveränitätskontrolle (Vaultwarden auf OVH, Scaleway, Hetzner Deutschland)
Du hast unter 500 Mitarbeitende UND eine solide IT, die 2-4 h/Monat Wartung absorbieren kann
Du willst 60-80 % gegenüber SaaS sparen über 3 Jahre

Typische Vaultwarden-Self-Host-Kosten:

Hetzner CX22 Server (2 vCPU, 4 GB RAM, 40 GB SSD): 4,90 EUR/Monat
Verschlüsseltes S3-Backup (Hetzner Storage Box): 3,50 EUR/Monat
Domain + TLS (Let's Encrypt): 0 EUR/Monat
Monitoring (Uptime Kuma Self-Host): 0 EUR/Monat
Infra gesamt: ~100 EUR/Jahr
Versteckte IT-Kosten: 4 h Einrichtung + 2 h Wartung × 12 Monate × 50 EUR/h = 1.300 EUR/Jahr
Gesamt Vaultwarden 50 Nutzer 3-Jahres-TCO = ~4.200 EUR vs. SaaS Bitwarden Business = ~7.500 EUR

Wann bei SaaS bleiben

Du hast kein internes SOC-Team, das Day-0 patchen kann
Du willst vertragliche SLAs (Bitwarden Cloud SLA 99,9 %, 1Password SLA 99,95 %)
Du brauchst 24/7-Premium-Support
Du willst das operative Risiko an den Anbieter übertragen (im Breach-Fall einen erreichbaren C-Level haben)
Du hast nicht über 4 h/Monat IT, die du der Wartung eines kritischen Dienstes widmen kannst

Siehe unser vollständiges Vaultwarden-Self-Host-Tutorial mit Docker-Setup, verschlüsseltem Backup, Monitoring und Patching.

12 — Enterprise-Rollout-Playbook

Hier ein empfohlenes Playbook für Mid-Market-Rollouts (100-500 Nutzer) auf einem 6-Wochen-Plan:

Woche 1 — Discovery + 10-Nutzer-Pilot

Bestandsaufnahme: Wie viele Mitarbeitende verwenden Passwörter wieder? (Have I Been Pwned API + Interviews)
Anbieterauswahl finalisiert (siehe Kriterien in Abschnitt 02)
Kostenlose Testphase 14-30 Tage aktiviert (Bitwarden, NordPass, 1Password bieten alle Testphasen)
10-Tech-Nutzer-Pilot: IT, Sicherheit, DSB
Interne Dokumentation: Admin-Runbook + Benutzerhandbuch unter 10 Seiten

Woche 2 — SSO + SCIM-Provisioning

SSO-SAML-2.0-Aktivierung auf IdP-Seite (Okta, Azure AD, Google Workspace)
SCIM-Konfiguration (Token, Endpunkt, Attribut-Mapping)
SCIM-Test an 5 Pilot-Nutzern (Joiner-Leaver-Mover)
Validierung des Audit-Logs-Exports ins SIEM

Woche 3 — Durchsetzung der Hardware-MFA

Verteilung von YubiKey 5 Series an alle Admins (~50 EUR/Schlüssel)
Verpflichtende WebAuthn-MFA-Richtlinie für Admins
TOTP-MFA-Mindestrichtlinie für Nutzer (Eskalation zu WebAuthn in Woche 6)
Master-Passwort-Richtlinie: mindestens 14 Zeichen, Rotation alle 12 Monate

Woche 4 — Abteilungs-Pilot-Rollout

1 Abteilung auswählen (typischerweise Marketing oder Vertrieb — nicht IT, nicht Finanzen)
30-min-Live-Schulung pro Mitarbeiter (nicht nur On-Demand-Video)
Import des persönlichen Tresors aus Chrome / LastPass / usw.
Dedizierter Support Slack-Kanal #password-manager-rollout

Woche 5 — Vollständiger Enterprise-Rollout

Offizielle Kommunikation CISO + HR (E-Mail + Town Hall)
Verpflichtendes Onboarding im IT-Onboarding für Neueinstellungen
30-Tage-Frist für die vollständige Migration
Wöchentliches Reporting: % aktive Mitarbeitende, % migrierte Tresore

Woche 6 — Härtung

Watchtower-/BreachWatch-Audit: Wie viele Mitarbeitende haben kompromittierte Passwörter?
Erzwungene Rotation sensibler geteilter Passwörter (System-Admins, Prod-API-Schlüssel)
Verpflichtende WebAuthn-Eskalation für 100 % der Mitarbeitenden
Export-Deaktivierungs-Richtlinie (verhindern, dass Mitarbeitende ihren Tresor im Klartext exportieren)

13 — Change Management: die 5 klassischen Fehler vermeiden

Es gibt 5 wiederkehrende Fehler bei B2B-Passwort-Manager-Rollouts, die Projekte häufig entgleisen lassen:

Kein Pilot: Big-Bang-Deployment ohne 10-20-Nutzer-Pilot → massiver Widerstand
Kein SSO: MFA allein ohne SSO erzeugt ein schwerfälliges Onboarding (Mitarbeiter muss Konto erstellen + MFA aktivieren + Tresor importieren)
Kein SCIM: Geisterkonten ausgeschiedener Mitarbeiter bleiben monatelang aktiv (Risiko #1 Breach)
Keine Live-Schulung: nur ein On-Demand-Video → ein großer Teil der Mitarbeitenden meldet sich nie an
Keine Export-Deaktivierungs-Richtlinie: Ein kündigender Mitarbeiter kann alle geteilten Passwörter als unverschlüsselte CSV exportieren

Siehe auch unseren Migrationsleitfaden LastPass zu Bitwarden für Organisationen, die nach dem Breach 2022 migrieren.

14 — Fazit 2026

Für die Mehrheit der Unternehmen mit 10-500 Mitarbeitenden ist Bitwarden Business für 5 USD/Nutzer/Monat das beste Verhältnis aus Einfachheit / Preis / Souveränität. Es ist unsere B2B-Empfehlung #1 2026.

Für budgetsensitive Unternehmen oder solche, die bereits NordVPN B2B nutzen, ist NordPass Business für 3,69 USD/Nutzer/Monat die günstigste Option ohne größeren Sicherheitskompromiss.

Für Premium-Budget-Unternehmen, die die beste UX und eine selbst gehostete SCIM Bridge wollen, bleibt 1Password Business für 7,99 USD/Nutzer/Monat relevant.

Für DSGVO-sensible Organisationen oder solche, die US-Rechtsordnung meiden, ist Proton Pass Business für 7,99 USD/Nutzer/Monat mit Schweizer Rechtsordnung einzigartig.

Für US-Behörden, Verteidigung, US-Gesundheit bleibt Keeper Enterprise dank FedRAMP + FIPS 140-2 die Standardwahl.

Kostenlose Bitwarden-Business-Testphase starten →14-Tage-Test · 5 USD/Nutzer/Mo. · Gehostetes SCIM · SOC 2 Type 2 · EU Cloud Frankfurt→

Quellen und nützliche Links

Passwort-Manager für dein Team → BitwardenOpen Source · selbst hostbar · Admin- & SSO-Steuerung→

Passwort-Manager für Unternehmen 2026: 6 B2B-Lösungen im Vergleich (KMU, Mid-Market, Enterprise)

01 — Das Unternehmens-Ranking 2026

02 — B2B-Bewertungskriterien

Technische Kriterien (Gewicht 50 %)

Compliance-Kriterien (Gewicht 30 %)

Operative Kriterien (Gewicht 20 %)

03 — Bitwarden Business — Beste KMU / Mid-Market

04 — NordPass Business — Der aggressivste Preis

05 — 1Password Business — Premium-UX, größere Budgets

06 — Proton Pass Business — DSGVO-by-Design

07 — Keeper Enterprise — Starke Compliance, mittelmäßige UX

08 — Dashlane Business — VPN enthalten, aber teuer

09 — Vollständige Vergleichstabelle

10 — Anwendungsfälle nach Unternehmensgröße

KMU 10-50 Mitarbeitende

Mid-Market 50-500 Mitarbeitende

Enterprise 500+ Mitarbeitende

11 — Self-Host (Vaultwarden) vs. SaaS

Wann Vaultwarden Self-Host wählen

Wann bei SaaS bleiben

12 — Enterprise-Rollout-Playbook

Woche 1 — Discovery + 10-Nutzer-Pilot

Woche 2 — SSO + SCIM-Provisioning

Woche 3 — Durchsetzung der Hardware-MFA

Woche 4 — Abteilungs-Pilot-Rollout

Woche 5 — Vollständiger Enterprise-Rollout

Woche 6 — Härtung

13 — Change Management: die 5 klassischen Fehler vermeiden

14 — Fazit 2026

Quellen und nützliche Links

Weiterlesen

Bester Passwort-Manager für Unternehmen 2026: 5 Lösungen für Teams & Firmen getestet