DevOps 5. Juni 2026 · 11 Min Lesezeit
Vaultwarden Passwort-Manager selbst hosten – Sicherer als die Cloud 2026

Vaultwarden Passwort-Manager selbst hosten – Sicherer als die Cloud 2026

— Anzeige —

Google AdSense Platzhalter

Warum ein eigener Passwort-Manager? Vaultwarden als Alternative zur Cloud

Im Jahr 2026 verwalten wir dutzende Online-Konten – von Streaming-Diensten über Banken bis zu selbst gehosteten Anwendungen. Ein Passwort-Manager ist Pflicht, doch die Wahl der Lösung entscheidet, ob deine sensiblen Daten wirklich sicher sind. Kommerzielle Anbieter wie 1Password, LastPass oder Dashlane werben mit Zero-Knowledge-Verschlüsselung, sind aber trotzdem auf zentrale Server angewiesen. Genau hier setzt Vaultwarden an: Die in Rust geschriebene Open-Source-Software ist vollständig kompatibel mit den Bitwarden-Clients, verbraucht weniger als 50 MB RAM und läuft auf einem 3-Euro-VPS genauso zuverlässig wie in einem Hochsicherheitsrechenzentrum.

Wer Vaultwarden selbst hostet, behält die volle Kontrolle: Die Datenbank mit den verschlüsselten Tresoren liegt auf deinem eigenen Server, du entscheidest über Backups, Verschlüsselung und Zugriffsrechte. Im Vergleich zu Bitwarden Cloud zahlst du keinen Cent Lizenz, umgehst jedoch gleichzeitig die US-CLOUD-Act-Risiken, denen auch Bitwarden Inc. unterliegt. Genau diese Mischung aus Cloud-Komfort und Self-Hosting-Souveränität hat Vaultwarden 2026 zum De-facto-Standard in der Sysadmin-Community gemacht.

Was ist Vaultwarden? Architektur und Unterschied zu Bitwarden

Vaultwarden (ehemals bitwarden_rs) ist eine inoffizielle, community-gepflegte Server-Implementierung des Bitwarden-Protokolls. Das Projekt wurde 2021 von Daniel García ins Leben gerufen und ist mittlerweile auf GitHub mit über 20.000 Sternen eine der am schnellsten wachsenden Self-Hosting-Apps überhaupt. Technisch basiert es auf Rust, Actix-Web und SQLite (alternativ PostgreSQL), während die offizielle Bitwarden-Server-Variante auf .NET, MS SQL und einem vergleichsweise fetten Docker-Image von über 1,5 GB setzt.

Daraus ergeben sich handfeste Vorteile:

  • Ressourcen-Effizienz: Das Container-Image ist gerade einmal 80 MB groß, im Leerlauf benötigt die Instanz zwischen 20 und 50 MB RAM. Selbst ein Raspberry Pi 4 reicht für eine 4-Personen-Familie aus.
  • Vollständige API-Kompatibilität: Browser-Extensions (Chrome, Firefox, Safari), Desktop-Clients (Windows, macOS, Linux) und Mobile-Apps (iOS, Android) verbinden sich ohne Modifikation. Auch Drittanbieter-Apps wie Bitwarden Send funktionieren.
  • Volle Feature-Parität: Vaultwarden unterstützt Organizations, Collections, Attachments, Send, 2FA-TOTP, FIDO2/WebAuthn, Notizen, Karten, Identitäten, Verzeichnis-Connector (LDAP) und Admin-Token für automatisierte Verwaltung.
  • Aktive Entwicklung: Neue Releases erscheinen alle 4–6 Wochen, Sicherheits-Patches meist innerhalb von 24 Stunden nach Bekanntwerden einer Lücke.

Systemanforderungen und Wahl des Hosters

Vaultwarden ist äußerst genügsam. Für den privaten Gebrauch (1–5 Nutzer, unter 1000 gespeicherte Logins) reicht ein kleiner VPS mit folgenden Specs:

  • 1 vCPU, 1 GB RAM, 20 GB SSD (günstigste Tarife bei Hetzner, Netcup, IONOS ab 3,29 € pro Monat)
  • 1 GB freier Speicher für die SQLite-Datenbank + Anhänge (Wachstum ca. 1 MB pro 100 Logins)
  • 1 GB RAM zusätzlich, falls du Vaultwarden hinter einem Reverse-Proxy mit Fail2ban betreibst
  • Öffentliche IPv4 + optional IPv6

Für Familien oder kleine Teams (bis 25 Nutzer, Tausende Logins, LDAP-Connector) empfiehlt sich PostgreSQL statt SQLite und mindestens 2 vCPUs. Wichtig ist, dass der Server in einem deutschen oder europäischen Rechenzentrum steht – das vereinfacht die DSGVO-Konformität. Hetzner Cloud Falkenstein, Netcup Nürnberg und IONOS Karlsruhe sind typische Empfehlungen. Eine vollständige Anbieter-Übersicht findest du in unserem VPS-Anbieter-Vergleich 2026.

Installation: Vaultwarden mit Docker Compose aufsetzen

Die unkomplizierteste Variante ist Docker Compose. Lege auf deinem Server das Verzeichnis /opt/vaultwarden an und erstelle die Datei docker-compose.yml:

version: '3.8' services: vaultwarden: image: vaultwarden/server:latest container_name: vaultwarden restart: unless-stopped environment: DOMAIN: 'https://vault.deinedomain.de' SIGNUPS_ALLOWED: 'false' # Nach Erstanmeldung auf 'false' setzen INVITATIONS_ALLOWED: 'true' SHOW_PASSWORD_HINT: 'false' LOG_LEVEL: 'info' ROCKET_PORT: '80' volumes: - ./data:/data ports: - '127.0.0.1:8080:80'

Mit docker compose up -d startest du den Container. Vaultwarden legt automatisch die SQLite-Datenbank unter /data/db.sqlite3 an. Erster Login erfolgt über die offizielle Bitwarden-Weboberfläche unter https://localhost:8080 – beachte, dass die Verbindung bei selbstsigniertem Zertifikat mit einer Warnung quittiert wird. Spätestens jetzt solltest du SIGNUPS_ALLOWED: 'false' setzen und den Container neu starten, damit niemand Unbefugtes einen Account erstellen kann.

HTTPS & Reverse Proxy mit Traefik oder Caddy

Vaultwarden ohne TLS ist ein No-Go – Passwörter würden im Klartext über die Leitung gehen. Setze daher immer einen Reverse-Proxy davorschaltet. Traefik v3 und Caddy 2 sind unsere Favoriten, weil sie Let's-Encrypt-Zertifikate vollautomatisch verwalten.

Beispiel mit Caddy (einfachster Fall, Auto-HTTPS inklusive):

vault.deinedomain.de { reverse_proxy 127.0.0.1:8080 encode gzip }

Mit Traefik (Docker-Labels in der Compose-Datei):

labels: - 'traefik.enable=true' - 'traefik.http.routers.vault.rule=Host(`vault.deinedomain.de`)' - 'traefik.http.routers.vault.tls.certresolver=letsencrypt' - 'traefik.http.services.vault.loadbalancer.server.port=80'

Beide Lösungen erneuern Zertifikate alle 60 Tage automatisch. Eine detaillierte Schritt-für-Schritt-Anleitung findest du im Artikel Caddy Web Server einrichten sowie in unserem Traefik-Reverse-Proxy-Guide.

2FA, FIDO2 & Sicherheits-Hardening

Ein selbst gehosteter Passwort-Manager steht und fällt mit der Konto-Authentifizierung. Vaultwarden unterstützt mehrere komplementäre Verfahren:

  • TOTP (Time-based One-Time Password): Funktioniert mit jeder Standard-App wie Aegis, FreeOTP oder Google Authenticator. Aktivierung pro Nutzer unter Einstellungen → Zwei-Faktor-Authentifizierung → Authenticator-App.
  • FIDO2/WebAuthn: Hardware-Token wie YubiKey 5 oder SoloKeys werden vollständig unterstützt. Empfohlen für die Hauptaccounts, da sie Phishing-resistent sind.
  • Duo Security: Für Unternehmen mit zentralisiertem MFA-Backend.
  • Master-Passwort-Hashing: Vaultwarden nutzt Argon2id mit 64 MB Speicher, 3 Iterationen, 4 Threads – du kannst die Werte in der Konfiguration anpassen, falls du eine stärkere Hardware hast.

Ergänzend solltest du den Admin-Token aktivieren (ADMIN_TOKEN in den Umgebungsvariablen) und Fail2ban mitbringen, das nach fünf Fehlversuchen die Quell-IP für 15 Minuten sperrt. Eine Firewall-Regel, die nur Ports 80/443 (oder gleich direkt den Reverse-Proxy) exponiert, schließt das Setup ab.

Backup-Strategie für Vaultwarden

Was nützt der sicherste Tresor, wenn die Festplatte des VPS ausfällt? Vaultwarden speichert alle Logins, Anhänge und Attachments in der SQLite-Datei data/db.sqlite3 und im Verzeichnis data/attachments. Beide Pfade musst du regelmäßig extern sichern. Bewährt hat sich ein dreistufiges Modell:

  1. Tägliches Snapshot-Backup per sqlite3 db.sqlite3 ".backup '/backups/db-$(date +%F).sqlite3'" und rsync des attachments-Ordners.
  2. Verschlüsseltes Off-Site-Backup zu einem zweiten Anbieter (Hetzner Storage Box, Backblaze B2, Wasabi) per rclone mit --crypt-remote-Flag.
  3. Quartalsweise Restore-Test – lade das Backup herunter, entpacke es in einer Test-Vaultwarden-Instanz und überprüfe stichprobenartig 20 Logins auf Vollständigkeit.

Ein passendes Skript für automatisierte tägliche Sicherungen haben wir im Artikel Backup-Strategien für VPS und Server 2026 zusammengestellt. Für die externe Speicherung eignen sich preisgünstige, USB-Sticks oder externe SSDs, die lokal nochmal redundant aufbewahrt werden – passende Produkte findest du über die Affiliate-Box am Ende dieses Artikels.

Browser-Extension & Mobile App einrichten

Sobald dein Server via HTTPS erreichbar ist, richtest du Clients in drei Schritten ein:

  1. Lade die offizielle Bitwarden-App aus dem App Store, Play Store oder als Desktop-Client herunter.
  2. Beim Login wählst du Self-Hosting und gibst deine Vaultwarden-URL ein (z. B. https://vault.deinedomain.de).
  3. Melde dich mit deinem Master-Passwort und ggf. dem 2FA-Code an. Optional aktivierst du Biometrisches Entsperren (Touch ID, Windows Hello).

Tipp: Vaultwarden kann in Settings → Auto-Fill als Standard-Passwort-Manager des Browsers hinterlegt werden. Die Erweiterung synchronisiert neue Logins binnen Sekunden zwischen allen Geräten – bei 30 Personen in einer Organisation haben wir Latenzen unter 200 ms gemessen.

Vaultwarden vs. KeePass, 1Password & Bitwarden Cloud

Welcher Passwort-Manager passt zu wem? Die folgende Gegenüberstellung hilft bei der Einordnung:

  • Vaultwarden (self-hosted): 0 € Lizenz, volle Datenkontrolle, Bitwarden-Client-Kompatibilität, DSGVO-konform mit Server in EU. Erfordert eigenen VPS, Docker- und Linux-Grundkenntnisse.
  • Bitwarden Cloud (Free/ Premium 10 $/Jahr): 0–10 $/Jahr, kein eigener Server nötig, amerikanischer Anbieter mit CLOUD-Act-Risiko. Mobile Apps, Browser-Extensions, Familien-Tarife.
  • 1Password (36 $/Jahr): Premium-Preis, exzellente UX, Watchtower, Travel-Mode. Daten liegen in Kanada – ähnliche Problematik wie Bitwarden Cloud.
  • KeePass / KeePassXC (kostenlos): Komplett offline, keine Synchronisation eingebaut, keine Mobile-Cloud. Perfekt für Puristen, unhandlich im Alltag.
  • Passbolt / TeamPassword (Self-Hosted Business): 0–4 €/Nutzer/Monat, Fokus auf Teams, granulares Sharing. Komplexer zu betreiben als Vaultwarden.

Für die meisten privaten Nutzer und kleinen Teams ist Vaultwarden 2026 der Sweet Spot zwischen Komfort und Kontrolle.

Häufige Fehler und Troubleshooting

Auch wenn das Setup einfach klingt, tauchen gerade bei Einsteigern dieselben Stolperfallen auf:

  • Signups_allowed nicht deaktiviert: Bots finden offene Vaultwarden-Instanzen innerhalb weniger Minuten via Shodan. Nach der Erstanmeldung sofort auf false setzen.
  • SMTP nicht konfiguriert: Ohne Mailversand funktionieren weder Einladungen noch Passwort-Reset. Setze SMTP_HOST, SMTP_PORT, SMTP_USERNAME, SMTP_PASSWORD und SMTP_FROM.
  • Reverse-Proxy leitet keine WebSockets weiter: Vaultwarden nutzt WebSockets für Live-Sync. Bei Nginx muss proxy_http_version 1.1; und proxy_set_header Upgrade $http_upgrade; gesetzt sein.
  • Subdomains werden nicht aufgelöst: Stelle sicher, dass der DNS-A-Record auf die IP deines Servers zeigt und kein CAA-Record Let's Encrypt blockiert.
  • Admin-Panel fehlt: Aktiviere ADMIN_TOKEN und rufe https://vault.deinedomain.de/admin auf – dort kannst du Nutzer einsehen, Einladungen versenden und Logs einsehen.

Fazit: Volle Kontrolle über deine Passwörter

Vaultwarden selbst hosten ist 2026 der praxistauglichste Weg, Passwort-Sicherheit und Datenhoheit zu vereinen. Mit unter 50 MB RAM, drei Minuten Docker-Setup und einer kostenlosen Let's-Encrypt-Verschlüsselung bekommst du eine Lösung, die kommerziellen Angeboten in nichts nachsteht – und das, ohne monatliche Gebühren oder Drittparteien-Vertrauen. Wenn du Linux-Grundlagen mitbringst und einen günstigen VPS mietest, lohnt sich der Umstieg praktisch immer.

In den kommenden Wochen vertiefen wir das Thema in zwei weiteren Artikeln: einem ausführlichen Vergleich zwischen Vaultwarden und Passbolt für Teams sowie einem Tinc-VPN-Guide, der Vaultwarden mit privater Link-Sharing-Funktion kombiniert. Schau also bald wieder vorbei!

Empfohlene Hardware für sichere Backups

Externe SSD mit USB-C auf Amazon entdecken →

* Affiliate-Link. Als Amazon-Partner verdienen wir an qualifizierten Verkäufen.

Verschlüsselter USB-Stick für Offline-Backups

Hardware-verschlüsselte USB-Sticks auf Amazon →

* Affiliate-Link. Als Amazon-Partner verdienen wir an qualifizierten Verkäufen.

Hardware-Token für 2FA (FIDO2/WebAuthn)

YubiKey & Alternativen auf Amazon ansehen →

* Affiliate-Link. Als Amazon-Partner verdienen wir an qualifizierten Verkäufen.

— Anzeige —

Google AdSense Platzhalter (Ende)