Passwort-Manager für KMUs: Bitwarden, 1Password, Proton Pass und NordPass im Vergleich

Passwörter im Team zu verwalten ist seit jeher eine Herausforderung für viele Unternehmen. Häufig werden Passwörter der Schnelligkeit halber über Chat-Tools geteilt, in geteilten Word- oder Excel-Dokumenten gespeichert oder nach einfachen Pattern wiederverwendet, damit die Suche nach dem richtigen Passwort beim nächsten Login nicht allzu lange dauert. Das Thema Onboarding (und Offboarding) von Mitarbeitenden fügt dem Ganzen noch eine weitere Komplexitätsdimension hinzu. Ganz zu schweigen von der Verwaltung von Codes für Zweifaktorauthentifizierungen im Team. Diese Komplexität ist Alltag in vielen KMUs, und solange nichts passiert, wird häufig auch kein Handlungsbedarf angenommen. Mit der Zeit kann der «manuelle Weg», Passwörter zu verwalten, zu einem ernsten Problem heranwachsen. Allein im zweiten Halbjahr 2025 erfasste das Bundesamt für Cybersicherheit (BACS) 29’006 freiwillige Meldungen und 145 meldepflichtige Cybervorfälle, wobei der Diebstahl von Zugangsdaten zu den häufigsten Angriffsarten zählte.

Diese Dynamik ist inzwischen ein häufiger Treiber, warum Schweizer KMUs irgendwann einen Passwort-Manager einführen. Es geht selten um den einzelnen schwachen Login, sondern um die fehlende Übersicht. Wer hat Zugriff worauf, wer hatte Zugriff vor dem Austritt, und wie schnell kannst du nach einer Datenpanne reagieren? Ein zentraler Tresor mit Admin-Panel löst dieses Problem strukturell und stützt gleichzeitig die «angemessenen technischen und organisatorischen Massnahmen», die das nDSG für die Bearbeitung von Personendaten verlangt.

Auf dem Schweizer und DACH-Markt für KMUs dominieren im Wesentlichen vier Anbieter: NordPass, 1Password, Bitwarden und Proton Pass. Dieser Vergleich zeigt, wo sie sich strukturell unterscheiden und welcher Manager zu welcher Art von Team passt.

Was alle vier Anbieter gemeinsam haben

Bevor wir auf die Unterschiede eingehen, lohnt es sich, die Gemeinsamkeiten festzuhalten. Alle vier Anbieter bauen ihre Tresore auf Zero-Knowledge-Architektur. Der Verschlüsselungsschlüssel wird aus deinem Master-Passwort auf dem Endgerät abgeleitet, und der Anbieter sieht den Klartextinhalt deines Tresors nicht. Das bedeutet, dass selbst bei einem erfolgreichen Servereinbruch oder einer richterlichen Anordnung nur verschlüsselte Datenblöcke herausgegeben werden können.

Alle vier unterstützen Passkeys, TOTP-Codes, Passwort-Sharing innerhalb von Tresoren, geräteübergreifende Synchronisation und Browser-Erweiterungen für die gängigen Browser. Alle vier bieten Geschäftskunden zudem einen Auftragsbearbeitungsvertrag an, der die Anforderungen aus Art. 9 nDSG abdeckt.

Die Unterschiede liegen in der Architektur, im Serverstandort, in der Tiefe der Admin-Funktionen und im Preisgefüge. Genau diese Aspekte schauen wir uns nun an.

Worauf KMUs in der Schweiz achten sollten

Wer einen Passwort-Manager für ein Team auswählt, sollte sich vorab über vier Punkte klar werden:

• Identity-Provider und SSO. Wenn dein Team bereits mit Microsoft Entra ID, Okta oder Google Workspace authentifiziert, willst du den Passwort-Manager über SAML-SSO anbinden, damit Eintritt und Austritt zentral gesteuert werden. Bei Teams ohne Identity-Provider ist das kein Thema.
• Serverstandort und Compliance. Für KMUs unter dem nDSG ist relevant, in welchem Land die verschlüsselten Tresordaten liegen und welcher Rechtsrahmen für den Anbieter gilt. Bei besonders sensiblen Branchen wie Treuhand, Anwaltskanzleien oder Gesundheitswesen kann der Serverstandort ein Ausschlusskriterium sein.
• Bedienbarkeit für nicht-technische Personen. Ein Passwort-Manager nützt nur, wenn ihn alle nutzen. Eine sperrige Oberfläche führt dazu, dass Logins doch wieder per E-Mail oder Chat geteilt werden.
• Budget und Abrechnungsmodalitäten. Die Preisspannen pro Nutzer sind moderat, aber das Bündel macht den Unterschied. Wer sowieso schon Microsoft 365 oder Google Workspace bezahlt, sollte den Passwort-Manager dazudenken, nicht isoliert betrachten. Banküberweisung in CHF statt Kreditkarte in USD ist für Schweizer Finanzabteilungen ein realer Vorteil.

Vor diesem Hintergrund schauen wir uns die vier Anbieter im Detail an.

NordPass Business

NordPass ist der Passwort-Manager von Nord Security, dem litauischen Unternehmen hinter NordVPN. Die Architektur basiert auf XChaCha20-Verschlüsselung mit Zero-Knowledge-Prinzip. Der Tresor wird lokal verschlüsselt, bevor er die Server erreicht. Die Browser-Erweiterung und die Desktop-Apps sind für Anwender mit wenig Tool-Vorerfahrung sehr zugänglich gestaltet, was den Rollout in nicht-technischen Teams erleichtert.

Für Geschäftskunden bietet NordPass die Stufen Teams, Business und Enterprise. Die Teams-Version enthält ein Single-Sign-on mit Google Workspace, vollwertiges SAML-SSO mit Entra ID, Microsoft ADFS und Okta sowie SCIM-Provisionierung gibt es erst im Enterprise-Plan. Aktivitätsprotokolle, Daten-Breach-Scanner und Passwort-Gesundheits-Dashboard sind ab der Business-Stufe enthalten. Für ein kleines Team ohne Identity-Provider reicht NordPass Teams, ein KMU mit Entra ID oder Okta sollte direkt mit dem Enterprise-Plan rechnen.

NordPass Business ist eine pragmatische Wahl für KMUs, die einen erprobten, einfach zu bedienenden Manager suchen und keine besonderen Anforderungen an Open Source, Self-Hosting oder einen Schweizer Serverstandort haben. Die Integration in das übrige Nord-Ökosystem (NordVPN, NordLayer, NordLocker) ist ein Plus für Teams, die ohnehin Tools von Nord Security einsetzen.

Was NordPass nicht leistet, ist Self-Hosting, quelloffene Clients oder ein nativer Travel Mode wie bei 1Password.

Aktuelle Preise und Pläne auf der NordPass-Business-Seite. Weitere Details im NordPass-Guide.

1Password Business

1Password wird von der kanadischen AgileBits entwickelt und ist seit 2005 am Markt. Der wesentliche Unterschied zur Konkurrenz liegt in der Dual-Key-Architektur. Der Tresor wird mit AES-256-GCM verschlüsselt, der Schlüssel aber aus zwei Komponenten abgeleitet: deinem Master-Passwort und einem zusätzlichen, lokal gespeicherten 128-Bit-Secret-Key. Selbst wer beim Anbieter die verschlüsselten Tresordaten erbeutet, kommt mit einem Brute-Force-Angriff auf das Master-Passwort allein nicht weiter, weil ihm der Secret Key fehlt.

Für Teams bietet 1Password Business SAML-SSO mit den gängigen Identity-Providern, SCIM-Provisionierung, Aktivitätsprotokolle, granulare Tresor-Berechtigungen und einen Travel Mode, der ausgewählte Tresore vorübergehend vom Gerät entfernt. Watchtower überwacht den Tresor auf wiederverwendete, schwache und in bekannten Datenpannen geleakte Zugangsdaten und prüft, bei welchen Diensten du noch keinen Passkey oder keine 2FA hinterlegt hast.

Die Stärken von 1Password liegen in der Tiefe der Admin-Funktionen, der polierten Oberfläche und in den Entwicklerfunktionen (SSH-Agent, CLI, API-Integration). Für Teams mit Engineering-Anteil ist das ein Argument, das die anderen drei Anbieter so nicht liefern.

Self-Hosting, quelloffene Clients und ein Schweizer Sitz fehlen. Die Preise pro Nutzer liegen über Bitwarden und meist auch über NordPass.

Aktuelle Preise und Pläne auf der 1Password-Business-Seite. Weitere Details im 1Password-Guide.

Bitwarden Teams und Enterprise

Bitwarden ist der einzige der vier Anbieter, dessen Server-Code und Clients quelloffen sind und der eine offizielle Self-Hosting-Variante anbietet. Das Unternehmen hat seinen Sitz in Santa Barbara, Kalifornien. Die Verschlüsselung läuft mit AES-256-CBC plus HMAC-SHA-256, die Schlüssel werden aus deinem Master-Passwort über PBKDF2 oder Argon2 abgeleitet.

Für Teams gibt es zwei Varianten. Bitwarden Teams enthält Tresor-Sharing, Admin-Panel und Passwort-Gesundheits-Reports. SAML-SSO und SCIM-Provisionierung sind erst im Enterprise-Plan enthalten. Wer also ein kleines Team ohne Identity-Provider betreibt, kommt mit Teams aus, sobald aber Entra ID oder Okta dazukommen, ist Enterprise das passende Niveau.

Die zentrale Stärke von Bitwarden liegt in der Kombination aus Open Source, niedrigem Preis und der Möglichkeit, den Server selbst zu betreiben. Für KMUs mit eigenem IT-Team, das einen Bitwarden-Server in der eigenen Infrastruktur (oder bei einem Schweizer Hoster) betreiben will, ist das ein Alleinstellungsmerkmal. Self-Hosting verschiebt zudem die nDSG-Frage, weil dann nicht mehr ein Drittanbieter Auftragsbearbeiter ist, sondern dein eigenes Unternehmen die Verarbeitung in eigener Verantwortung durchführt.

Wie Bitwarden mit Sicherheitsvorfällen umgeht, lässt sich am Supply-Chain-Angriff auf das CLI-Paket vom 22. April 2026 ablesen. Die manipulierte npm-Version war rund 90 Minuten online und zielte auf Entwicklerumgebungen ab, die in dieser Zeit eine Aktualisierung des Pakets vorgenommen haben. Tresordaten oder die Cloud-Infrastruktur waren nicht betroffen. Bitwarden veröffentlichte zeitnah eine offizielle Stellungnahme und eine bereinigte Version 2026.4.1.

Die Oberfläche ist funktional, aber weniger poliert als bei 1Password oder NordPass. Wer ein Team aus nicht-technischen Personen onboarden will, muss mit etwas mehr Reibung rechnen. Travel Mode fehlt, und die Hide-My-Email-Aliase aus Proton Pass haben keine vergleichbare Funktion in Bitwarden. Die Notfall-Zugriffs-Funktion ist auf persönliche (Premium- oder Family-) Konten beschränkt und nicht Teil der Geschäftspläne.

Proton Pass for Business

Proton Pass ist die jüngste der vier Optionen und stammt von der Proton AG mit Hauptsitz in Genf. Die Tresordaten liegen in Rechenzentren in Zürich und Frankfurt, beide direkt von Proton betrieben. Anders als bei den anderen drei Anbietern sind nicht nur die Passwörter selbst, sondern auch die Metadaten (zero-access-verschlüsselt) verschlüsselt. Tresornamen, Titel von Einträgen, Tags und die Freigabestruktur (zum Beispiel die Information, dass der Tresor «Finanzen» zwischen CFO und Buchhaltung mit Lesezugriff geteilt ist) bleiben für Proton unsichtbar.

Pass Professional bietet SAML-SSO mit Entra ID, Okta, Google Workspace und Cisco Duo, dazu SCIM-Provisionierung mit Entra ID und Okta, Aktivitätsprotokolle, ein CLI und SIEM-Integration. Hide My Email-Aliase über die SimpleLogin-Integration sind nativ enthalten, also etwa [email protected], nicht nur als externe Anbindung.

Die Proton Business Suite bündelt Pass mit Mail, Drive, Calendar und VPN unter einem Admin-Panel. Sobald ein Team mehr als nur Zugangsdaten von Proton bezieht, ist die Suite günstiger als die einzelnen Abos. Für KMUs in der Schweiz ist die Möglichkeit, per Banküberweisung in CHF zu zahlen, ein konkreter Vorteil im Beschaffungsprozess.

Es fehlen ein Travel Mode, eine verschachtelte Ordnerhierarchie innerhalb von Tresoren und eine native Anbindung an On-Prem-Active-Directory ohne vorgeschalteten Identity-Provider. Die Browser-Erweiterung kennt noch keine biometrische Entsperrung, und die Autofill-Funktion auf Android ist die häufigste Rückmeldung der Nutzenden im Alltag. Wer Android-lastig arbeitet, sollte die Mobile-App vor dem Rollout in einer kleinen Pilotgruppe testen.

Aktuelle Preise und Pläne auf der Proton Pass Business-Seite. Weitere Details im Proton Pass-Guide.

Direkter Vergleich

Welcher Passwort-Manager passt zu deinem KMU?

Die Frage, welcher Passwort-Manager «der beste» ist, führt selten weiter. Hilfreicher ist die Frage, welches Tool zu welchem Team passt.

Für kleine Teams mit 3 bis 15 Personen ohne Identity-Provider. NordPass Teams oder Business deckt das überzeugend ab. Der Rollout ist in wenigen Stunden erledigt, die Oberfläche ist auch für nicht-technische Personen direkt verständlich, und die Admin-Funktionen reichen für diese Grösse aus. Sobald du später Entra ID oder Okta einführst, ist der Sprung auf den NordPass-Enterprise-Plan nötig, weil dort SAML SSO und SCIM erst freigeschaltet sind.

Für Engineering- oder Developer-lastige Teams, die eine ausgereifte Integration benötigen. 1Password Business ist hier die erste Wahl. Der SSH-Agent, das CLI, die Browser-Erweiterung und Watchtower sind ausgereift, und die Dual-Key-Architektur ist ein zusätzliches Sicherheitsnetz für ein hochwertiges Tresor-Inventar. Travel Mode ist relevant für alle, die mit sensiblen Zugangsdaten regelmässig über Grenzen reisen.

Für Teams, die ihre eigene IT-Infrastruktur betreiben und die Tresordaten sicher in der Schweiz halten wollen. Bitwarden mit Self-Hosting auf einer Schweizer VM ist die Variante, bei der du selbst Verantwortlicher und Bearbeiter der Daten bist. Das nimmt eine ganze Compliance-Diskussion vom Tisch und passt zu Treuhandbüros, Anwaltskanzleien oder spezialisierten KMUs, deren eigene Compliance-Anforderungen über das übliche Mass hinausgehen. Erfordert dafür einen kleinen, aber realen Betriebsaufwand. Regelmässige Patches sowie das Anlegen und Testen von Backups sind dabei wichtige Aspekte.

Für Teams, die möglichst viel unter Schweizer Recht und aus einer Hand haben wollen. Die Proton Business Suite mit Pass, Mail, Drive, Calendar und VPN unter einem Admin-Panel ist die konsolidierteste Variante, wenngleich Proton Pass im Vergleich zu den anderen Anbietern noch recht neu am Markt ist. Die Zahlung per Banküberweisung in CHF und der Hauptsitz in Genf sind für die nDSG-Dokumentation ein Plus, das sich im Beschaffungsprozess auszahlen kann.

Was du vor der Einführung klären solltest

Unabhängig davon, für welchen Anbieter du dich entscheidest, lohnen sich ein paar Vorabklärungen:

1. Erstelle ein Inventar der heute genutzten Zugangsdaten. Wo liegen Passwörter aktuell, ob in Browsern, in Excel-Dokumenten, in geteilten Notizen oder in einem lokalen Passwort-Manager wie KeePass? Diese Liste ist die Grundlage für die Migration.
2. Plane die Tresorstruktur, bevor du den Wechsel durchführst. Pro Team oder pro Funktion ein Tresor (Marketing, Finanzen, Engineering und Admin), dazu ein persönlicher Tresor pro Nutzerin. Eine nachträgliche Umstrukturierung kostet deutlich mehr Zeit als die Vorabplanung.
3. Fordere den Auftragsbearbeitungsvertrag schriftlich an. Alle vier Anbieter stellen einen AVB bereit. Manche musst du im Admin-Panel aktiv akzeptieren, andere bekommst du auf Anfrage vom Vertrieb. Lege das Dokument in deinem Compliance-Ordner ab. Mehr Kontext zum Schweizer AVB findest du im Artikel zu Auftragsbearbeitungsverträgen in der Schweiz.
4. Erzwinge 2FA auf allen Konten. Ein Master-Passwort plus ein zweiter Faktor ist die Mindestanforderung. Für Admin-Konten sind Hardware-Keys (YubiKey oder Titan Key) empfehlenswert, nicht TOTP aus dem gleichen Passwort-Manager.
5. Definiere den Eintritts- und Austrittsprozess. Wer richtet neue Nutzerinnen ein, wer entzieht den Zugriff bei Austritt, und wie wird das dokumentiert? Ohne klaren Prozess landen Unternehmen in wenigen Monaten beim gleichen Übersichtsproblem wie vor der Einführung.
6. Pilotiere mit einer kleinen Gruppe. Lasse ein paar ausgewählte Personen aus unterschiedlichen Funktionen das neue Tool für ein paar Tage oder Wochen testen, bevor das ganze Team Zugriff erhält. Das hilft, Probleme mit Browser-Setups, Mobile-Apps oder spezifischen Web-Formularen frühzeitig anzugehen.
7. Überprüfe das Setup jährlich. Anbieter ändern Sub-Auftragsbearbeiter und Funktionen, dein Team wächst, Identity-Provider kommen dazu. Ein kurzer jährlicher Review hält das Setup aktuell und liefert die Dokumentation, die das nDSG im Streitfall erwartet.

Welche Rolle ein Passwort-Manager neben einem VPN und anderen Bausteinen im Schweizer Security-Stack einnimmt, beleuchten wir im Guide VPN und Passwort-Manager: Was lohnt sich?.

---

Für Links auf dieser Seite kann NeoGuard eine Provision vom Anbieter erhalten. Dies hat keinen Einfluss auf unsere redaktionellen Empfehlungen. Siehe unsere Datenschutzerklärung für Details.