Die Arbeitsweise kleiner und mittlerer Unternehmen hat sich dauerhaft verändert — aber auch die Art, wie sie angegriffen werden. Teams sind verteilt, SaaS-Tools übernehmen alles von der Lohnabrechnung bis zum Projektmanagement, und externe Dienstleister und Anbieter bekommen regelmäßig Zugriff auf Systeme und verlieren ihn wieder. Mit jedem neuen Tool oder Mitarbeiter mit Zugriff steigt die Zahl potenzieller Einstiegspunkte.
Diese wachsende Angriffsfläche ist deshalb wichtig, weil Angriffe auf Basis von Anmeldedaten — darunter Phishing, Kontoübernahmen und Passwortdiebstahl — zu den häufigsten Wegen geworden sind, über die Unternehmen kompromittiert werden. Sie funktionieren genau deshalb, weil sich Zugriffe ausgebreitet haben und dadurch schwer nachzuverfolgen sind. Angreifer müssen heute nur noch einen einzigen gültigen Satz Anmeldedaten finden, um die Sicherheitsmaßnahmen deines Unternehmens zu umgehen.
In diesem Kontext sollte es ermutigend sein, dass mittlerweile mehr als die Hälfte kleiner Unternehmen einen Passwort-Manager für Unternehmen nutzt. Doch Protons SMB Cybersecurity Report 2026 — eine globale Studie unter 3.000 Entscheidungsträgern aus KMU — ergab, dass jedes vierte Unternehmen im vergangenen Jahr trotzdem von einem Datenleck betroffen war.a0
All das weist auf eine Lücke zwischen der Einführung von Tools und ihrer tatsächlichen Nutzung hin.
Wie KMU heute Passwort-Manager nutzen
Die meisten Passwort-Manager sind dafür gemacht, eine Sache gut zu können: dir dabei zu helfen, dich an deine Passwörter zu erinnern. In der Praxis bedeutet das, komplexe und einzigartige Passwörter zu erstellen und sie in einem verschlüsselten Tresor zu verwalten. Das ist deutlich besser als der übliche Ansatz, dieselben Anmeldedaten über Konten und Plattformen hinweg wiederzuverwenden.
Da Passwörter für Angreifer der einfachste Einstiegspunkt sind, brauchen KMU von Passwort-Managern weit mehr, als nur Gedächtnis- und Komfortprobleme zu lösen. Sie brauchen sie, um Zugriffe abzusichern.
Zugriff ist ein viel umfassenderes Thema. Haben die richtigen Personen die richtigen Anmeldedaten — und wüsstest du, was sie freischalten oder ob sie in die falschen Hände geraten sind? Und wenn Teams wachsen, Abonnements sich stapeln und Externe ständig kommen und gehen, muss sich der Fokus deiner Organisation von der bloßen Stärkung von Passwörtern auf die Berücksichtigung realer Sicherheitsrisiken verlagern.
Diesen Wandel vollziehen die meisten Unternehmen erst, wenn etwas schiefläuft.
Wo der Einsatz von Passwort-Managern schiefläuft
Die wichtigste Erkenntnis unseres Berichts war, dass Unternehmen, die Passwort-Manager einführen, sie nicht konsequent nutzen.
Unsicheres Teilen von Anmeldedaten ist immer noch überraschend weit verbreitet:
- 33 % teilen sie in gemeinsam genutzten Dokumenten oder Tabellen
- 30 % teilen Anmeldedaten per E-Mail
- 27 % teilen sie über Messaging-Apps
- 25 % schreiben sie auf
- 24 % teilen sie mündlich
Das zeigt, wie vielbeschäftigte Menschen in dem Moment den schnellsten verfügbaren Weg wählen. Statt in die Passwort-Manager-App zu wechseln und neue Anmeldedaten im vorgesehenen Tresor zu teilen, fügen sie sie vielleicht in Slack oder eine E-Mail ein.
Solche Workarounds wirken für sich genommen harmlos. Aber mit der Zeit landen Anmeldedaten verstreut in Posteingängen, Chatverläufen und gemeinsam genutzten Dokumenten — auf eine Weise, die sich nur schwer wieder entwirren lässt. Wenn ein Mitarbeiter das Unternehmen verlässt, kannst du den Zugriff später nicht einfach widerrufen. Und Passwörter nach einem Datenleck kurzfristig zu aktualisieren, wird unmöglich, wenn sie nicht an einem zentralen sicheren Ort gespeichert sind.
Schulungen zur Durchsetzung von Sicherheitsrichtlinien können helfen, aber unsere Untersuchung hat gezeigt, dass selbst das nicht ganz ausreicht…
Warum Security-Awareness-Trainings nicht ausreichen
Unser Bericht ergab, dass 39 % der KMU einen Sicherheitsvorfall durch menschliche Fehler erlebt haben. Diese Statistik lässt sich leicht falsch interpretieren; naheliegend ist die Annahme, dass vorsichtigere Mitarbeiter zu weniger Vorfällen führen.
Aber diese Sichtweise übersieht etwas Wichtiges: Sicherheitssysteme, die unter dem alltäglichen Druck perfektes Verhalten voraussetzen, werden immer an der Realität scheitern. Fehler passieren nicht, weil es den Menschen egal ist — sie passieren, weil die sichere Option oft mehr Aufwand und Zeit verlangt, als sich ein typisches KMU leisten kann. Selbst Teams mit den besten Absichten finden Workarounds, wenn ihre Ressourcen knapp sind.
Mehr Schulungen sind nicht die dauerhafte Lösung. Es geht darum, Systeme so zu gestalten, dass die sichere Option auch die einfache ist.
Wenn es nicht mehr Aufwand macht, Zugriff sicher zu teilen, als ein Passwort in eine Chat-Nachricht einzufügen, werden Menschen diese Möglichkeit nutzen.a0
Wenn das Zugriffsproblem außer Kontrolle gerät
Das Problem mit Anmeldedaten verschärft sich, je größer Teams werden.
86 % der KMU verlassen sich heute im Tagesgeschäft auf cloudbasierte Dienste. Das bedeutet in der Regel, dass sich Anmeldedaten über Projektmanagement-Tools, Finanzplattformen, Marketingsoftware, Dateispeicher und Kundensysteme verteilen — jeweils mit eigenen Berechtigungen und eigener Zugriffshistorie.
Zugriff verteilt sich nicht nur auf Systeme; er breitet sich auch in der ganzen Organisation aus und fließt zwischen Teams, externen Partnern, Auftragnehmern und ehemaligen Mitarbeitern, die vielleicht immer noch einen Weg hinein haben.
Das bedeutet, dass sich Anmeldedaten in der Praxis ansammeln, alte Zugriffe bestehen bleiben und die Zahl der Menschen, die die Schlüssel zu deinen sensibelsten Systemen haben — oder hatten —, so groß wird, dass sie sich nicht mehr leicht nachverfolgen lässt.
Tools zu haben heißt nicht, geschützt zu sein
Die KMU, die im vergangenen Jahr von Datenlecks betroffen waren, haben nicht an der falschen Stelle gespart: 92 % investierten aktiv in Sicherheitstools. Sie hatten Passwort-Manager, verschlüsselte E-Mails, Schulungsprogramme und schriftliche Richtlinien im Einsatz. Mit anderen Worten: Auf dem Papier sah ihre Einrichtung solide aus.
Was vielen fehlte, war die konsequente Durchsetzung. Multi-Faktor-Authentifizierung (MFA) war aktiviert, aber nicht vorgeschrieben, Passwort-Manager wurden bereitgestellt, aber nicht in die täglichen Gewohnheiten eingebettet, und Onboarding- und Offboarding-Prozesse wurden informell statt systematisch gehandhabt. Angesichts der Beliebtheit von Browser-Passwort-Managern vermuten wir sogar, dass viele gar keine zentrale Team-Plattform nutzten —a0stattdessen verließen sie sich auf einen Flickenteppich weniger sicherer Einzellösungen.
Jede dieser Lücken ist klein — und bleibt unsichtbar, bis sie es nicht mehr ist.
Der wahre Maßstab für eine Sicherheitseinrichtung ist nicht, welche Tools auf der Liste stehen, sondern ob diese Tools dem alltäglichen Druck standhalten, unter dem Menschen tatsächlich arbeiten.
Hier sind einige Maßnahmen, mit denen du diese Realität für dein Unternehmen ein Stück näher bringen kannst:
- Verwende einen Passwort-Manager, der für Teams entwickelt wurde. Browser-Passwort-Manager sind nicht nur weniger sicher, sie bieten auch nicht die Administrator-Tools, die Administratoren brauchen, um die volle Kontrolle über deine Konten zu behalten. Wenn du keinen Unternehmens-Passwort-Manager hast, der einfach zu bedienen ist, reicht das nicht aus.
- Prüfe, wer derzeit worauf Zugriff hat. Sieh dir die Benutzerlisten deiner sensibelsten Tools an und prüfe, ob dich darauf irgendwelche Namen überraschen.
- Ersetze gemeinsam genutzte Anmeldungen durch individuelle Konten. Auch wenn es einfach ist, Anmeldungen in einem Passwort-Manager zu teilen, ist das keine Best Practice: Gemeinsam genutzte Anmeldungen verringern die Transparenz auf Kontoebene und machen es schwerer, ein Datenleck zu erkennen und darauf zu reagieren.
- Mach Multi-Faktor-Authentifizierung zur Pflicht. MFA ist eine der wirksamsten verfügbaren Schutzmaßnahmen — aber nur, wenn sie standardmäßig durchgesetzt wird, statt als optionale Einstellung offenzubleiben.
- Mach Offboarding systematisch. Jedes Ausscheiden — ob von Mitarbeitern, Auftragnehmern oder Anbietern — sollte sofort eine Überprüfung der Zugriffsrechte auslösen, statt erst im Nachhinein berücksichtigt zu werden.
Möchtest du wissen, was du noch aus unserer Umfrage unter 3.000 Führungskräften in sechs wichtigen Märkten lernen kannst? Lies mehr in unserem SMB Cybersecurity Report 2026. Du erfährst, was Datenlecks verursacht und was sie tatsächlich kosten, wo menschliche Fehler am häufigsten vorkommen und wie die Einführung von Cloud und KI neue blinde Flecken schafft. Außerdem enthält er praktische Schritte, mit denen du den Schutz verbessern kannst und die sich unter realen Bedingungen bewähren.
