Passwörter per Slack oder E-Mail teilen: Das versteckte Risiko

Wie es in der Realität läuft

Ein neuer Mitarbeiter braucht Zugriff auf das Marketing-Dashboard. Der Kollege schickt das Passwort schnell per Slack-DM. Drei Wochen später: nochmal jemand, gleiche Prozedur. Sechs Monate später kennt das Passwort niemand mehr genau – aber zehn Leute haben es irgendwo im Chatverlauf stehen. Nach einem Jahr verlässt einer von ihnen das Unternehmen. Niemand denkt daran, das Passwort zu rotieren.

Das ist kein erfundenes Szenario, das ist der Alltag in den meisten Teams unter 100 Mitarbeitenden. Und genau hier liegt das eigentliche Problem: Es fällt niemandem auf, dass etwas schiefläuft, weil scheinbar nichts passiert.

Die 4 versteckten Risiken

1. Durchsuchbare Verläufe

Slack speichert Nachrichten standardmäßig dauerhaft. Eine Suche nach password oder : in einem Workspace fördert oft erschreckend viele Klartext-Logins zutage. Jeder Workspace-Admin – und in vielen Plänen jeder Nutzer – kann diese Suche ausführen.

2. Automatische Backups

E-Mails und Chat-Nachrichten werden in der Regel mehrfach gesichert: auf Mail-Servern, in Backups, in lokalen Mail-Clients, in Geräte-Backups in der iCloud oder bei Google. Ein Passwort, das einmal per E-Mail verschickt wurde, existiert wahrscheinlich an einem Dutzend Orten – die meisten davon außerhalb Ihrer Kontrolle.

3. Falsche Empfänger und Weiterleitungen

Der Klassiker: „Max" als Empfänger angetippt, Outlook ergänzt zu „Max.Schmidt@externe-firma.de". Bei normalem Smalltalk ärgerlich, bei einem Klartext-Passwort ein Sicherheitsvorfall. Forwarding-Regeln, geteilte Postfächer und CC-Verteiler verschärfen das Problem.

4. Fehlender Audit-Trail

Wer hat das Passwort wann verwendet? Wer hat es weitergegeben? Wer hatte überhaupt Zugriff? Diese Fragen sind nach einem Vorfall nicht beantwortbar, wenn die „Verteilung" über Chat und Mail lief. Genau das ist aber das Erste, was Auditoren, Versicherer und Behörden wissen wollen.

Die DSGVO-Perspektive

Artikel 32 DSGVO verlangt geeignete technische und organisatorische Maßnahmen für die Sicherheit personenbezogener Daten. Bei einem Login zu einem CRM, einem Mail-Dienst oder einer HR-Software handelt es sich um einen Zugang zu personenbezogenen Daten – das Passwort selbst muss geschützt sein.

Klartext-Speicherung in einem System, das nicht zur Passwortverwaltung gedacht ist (Slack, Mail, Wiki), wird im Streitfall kaum als „Stand der Technik" durchgehen. Kommt es zu einem Vorfall – etwa weil ein Slack-Workspace übernommen wird – kann die Aufsichtsbehörde davon ausgehen, dass nicht ausreichend geschützt wurde. Bußgelder und Meldepflichten folgen.

Die unbequeme Wahrheit: „Wir teilen Passwörter nur intern" ist kein Schutz, wenn das „interne" Tool nicht für Passwörter gemacht ist.

Was die Alternative ist

Ein dedizierter Team-Passwort-Tresor löst das Problem strukturell, nicht durch Verbote:

• Geteilte Tresore ersetzen den Slack-DM: einmal hinterlegen, definierte Personen sehen es.
• Rollenbasierte Berechtigungen beantworten die „Wer hat Zugriff?"-Frage automatisch.
• Audit-Log protokolliert jeden Zugriff – relevant für Compliance und im Verdachtsfall.
• Ein-Klick-Offboarding entzieht alle Zugriffe gleichzeitig, wenn jemand das Team verlässt.

Wichtig: Damit das im Alltag funktioniert, muss das Tool reibungslos sein. Eine Browser-Extension, die das Passwort beim richtigen Login automatisch füllt, ist bequemer als ein Copy-Paste aus Slack. Genau dann setzt es sich durch.