Wer hat das Passwort? Zugangsdaten im kleinen Betrieb sicher verwalten

Die Domain läuft beim einen Anbieter, das Hosting beim nächsten, das WordPress-Login hat noch die Agentur von damals, das Passwort fürs Google-Unternehmensprofil kennt nur die Kollegin in Elternzeit — und das Zugangswort fürs Buchungssystem steht auf einem Zettel unter der Tastatur. Kommt Ihnen bekannt vor? In fast jedem kleinen Betrieb, den wir betreuen, sieht die Verwaltung der digitalen Zugänge zu Beginn ungefähr so aus. Das funktioniert genau so lange, bis es das erste Mal nicht funktioniert.

In diesem Beitrag zeigen wir, wie Sie die Zugangsdaten rund um Ihre Website mit überschaubarem Aufwand in den Griff bekommen — ohne IT-Abteilung, mit einem Werkzeug, das auch ein Ein-Personen-Betrieb bedienen kann.

Das Problem: zu viele Zugänge, zu wenig Übersicht

Eine Website ist heute selten nur eine Website. Hinter dem fertigen Auftritt einer Praxis oder eines Handwerksbetriebs stecken oft ein Dutzend einzelner Konten: Domain-Registrar, Hosting-Verwaltung, WordPress- oder CMS-Login, E-Mail-Postfach, Google-Unternehmensprofil, ein oder zwei Social-Media-Kanäle, das Online-Terminbuchungs-Tool, vielleicht ein Zahlungsdienstleister und ein Newsletter-Dienst.

Jedes dieser Konten hat eigene Zugangsdaten. Werden die in einem Notizbuch, in einer Excel-Tabelle oder — schlimmer — als immer gleiches Passwort über alle Dienste hinweg verwaltet, entstehen zwei Risiken zugleich: Sie verlieren die Übersicht, und Sie machen sich angreifbar. Wird ein einziger Dienst kompromittiert und Sie haben dasselbe Passwort mehrfach verwendet, stehen alle anderen Türen ebenfalls offen.

Was passiert, wenn jemand das Team verlässt?

Der Moment, in dem aus Unordnung ein echtes Problem wird, ist fast immer ein Personalwechsel — oder das Ende einer Zusammenarbeit. Die Aushilfe, die den Instagram-Kanal gepflegt hat, ist weg, und mit ihr das Passwort. Die Agentur, die vor drei Jahren die Seite gebaut hat, meldet sich nicht mehr, und niemand kommt an das Hosting. Wir haben mehr als einen Betrieb erlebt, der seine eigene Domain neu kaufen oder den Zugang zum Google-Profil über ein langwieriges Wiederherstellungsverfahren zurückholen musste, weil schlicht niemand mehr die Zugangsdaten hatte.

Ein gemeinsamer, zentral verwalteter Passwort-Speicher löst genau das. Scheidet jemand aus, entziehen Sie den Zugriff — die Passwörter bleiben im Betrieb. Wer neu dazukommt, bekommt genau die Zugänge, die er braucht, und keine, die ihn nichts angehen. Das ist kein Misstrauen, sondern saubere Organisation.

Welcher Passwort-Manager passt zu kleinen Betrieben?

Ein Passwort-Manager ist ein Programm, das alle Zugangsdaten verschlüsselt an einem Ort ablegt. Sie merken sich nur noch ein einziges Master-Passwort; den Rest füllt das Werkzeug automatisch aus. Drei Optionen haben sich in der Praxis bewährt:

• Bitwarden — quelloffen, mit einem kostenlosen Tarif für Einzelpersonen und einem günstigen Team-Tarif für mehrere Personen. Läuft im Browser, auf dem Handy und am Rechner. Für die meisten kleinen Betriebe die naheliegende Wahl.
• 1Password — kommerziell, sehr ausgereift in der Bedienung, mit durchdachten Funktionen zum Teilen von Zugängen im Team. Kostet pro Person, dafür müssen Sie nichts selbst betreiben.
• KeePassXC — komplett kostenlos und lokal: Die Passwort-Datei liegt bei Ihnen, nicht in einer fremden Cloud. Maximale Datenhoheit, dafür etwas mehr Handarbeit beim Synchronisieren zwischen Geräten.

Welches Werkzeug es am Ende wird, ist weniger entscheidend als die Tatsache, dass Sie überhaupt eines nutzen. Wenn Sie Wert darauf legen, dass Ihre Daten im eigenen Haus bleiben, lohnt der Blick auf die quelloffenen Varianten — wir haben an anderer Stelle beschrieben, warum Datenhoheit bei der Tool-Auswahl heute eine der wichtigsten Fragen ist.

Zwei-Faktor: der wichtigste Schritt nach dem Passwort-Manager

Ein gutes Passwort allein reicht 2026 nicht mehr für die kritischen Konten. Aktivieren Sie überall dort, wo es angeboten wird, die Zwei-Faktor-Anmeldung: Nach dem Passwort wird zusätzlich ein kurzlebiger Code abgefragt, meist aus einer App auf dem Handy. Selbst wenn ein Passwort einmal in falsche Hände gerät, bleibt das Konto ohne den zweiten Faktor verschlossen.

Besonders wichtig ist das bei den Zugängen, die im Ernstfall am meisten Schaden anrichten: dem E-Mail-Postfach (über das sich fast alle anderen Passwörter zurücksetzen lassen), dem Domain- und Hosting-Konto sowie dem WordPress- oder CMS-Login. Gerade beim CMS hängt viel davon ab — wie schnell aus einer offenen Tür ein echtes Problem wird, zeigt sich regelmäßig bei Sicherheitslücken in WordPress-Plugins.

So fangen Sie an: in einer Stunde aufgeräumt

Sie müssen nicht alles auf einmal umstellen. Ein realistischer Einstieg in einer ruhigen Stunde sieht so aus:

1. Die Konto-Liste von oben anlegen — welche Zugänge gehören zur Website?
2. Einen Passwort-Manager auswählen und einrichten, mit einem starken, einmaligen Master-Passwort.
3. Die wichtigsten fünf Konten zuerst übertragen: E-Mail, Domain, Hosting, CMS, Google-Profil.
4. Bei diesen fünf gleich neue, lange Passwörter vergeben und — wo möglich — die Zwei-Faktor-Anmeldung aktivieren.
5. Den Rest nach und nach ergänzen, immer dann, wenn Sie ein Konto ohnehin gerade öffnen.

Nach diesem ersten Durchgang wissen Sie zum ersten Mal verlässlich, welche digitalen Türen zu Ihrem Betrieb gehören und wer den Schlüssel hat. Das ist keine Aufgabe für eine IT-Abteilung — es ist eine Stunde Aufräumen, die Sie im Ernstfall vor viel Ärger bewahrt. Wenn Sie ohnehin gerade Ihr Hosting sortieren, lohnt es sich, beides zusammen zu erledigen: Worauf es beim Hosting für kleine Betriebe ankommt, haben wir separat zusammengetragen.

Brauchen Sie Hilfe dabei, Ihre Zugänge zu ordnen, oder ist der Zugriff auf die eigene Website verloren gegangen? Wir entwirren solche Situationen regelmäßig — sprechen Sie uns an.