Vaultwarden: eigene sichere Passwortverwaltung leicht gemacht - Sascha Brockel

Estimated reading time: 12 Minuten

🚀 Warum Vaultwarden die perfekte Lösung für Selbsthoster ist? Das kann ich dir sagen.

Du suchst eine sichere und gleichzeitig ressourcenschonende Passwortverwaltung? Dann ist Vaultwarden genau das Richtige für dich. Vaultwarden ist eine inoffizielle, schlanke Server-Implementierung von Bitwarden – ideal für deinen eigenen Server oder NAS. Du behältst die volle Datenkontrolle, brauchst wenig Hardwareleistung und kannst alle offiziellen Bitwarden-Apps und Browser-Extensions nutzen.

Für eine detaillierte Anleitung und Erklärung aller Konfigurationsmöglichkeiten empfehle ich das unten verlinkte YouTube-Video. In diesem Video wird ausführlich auf jede einzelne Einstellung eingegangen, sodass du eine umfassende Anleitung zur genauen Einrichtung erhältst. Eventuellen Code aus dem Video findest du in diesem Beitrag, so dass du ihn direkt nutzen kannst, ohne abtippen zu müssen.

Dieser Blogbeitrag inklusive Video ist Teil einer Serie, in der wir unseren eigenen Homeserver erstellen und einrichten. Wir fangen bei den Basics an, wie einer Ubuntu-VM-Installation mit Docker, und machen dann weiter mit der Konfiguration einer eigenen Domain, Sicherheitsvorkehrungen und vor allem mit jeder Menge coolen und nützlichen selbstgehosteten Diensten. Egal ob Medienserver wie Plex oder Jellyfin oder Dokumentenmanagement wie Paperless-NGX. Wir bauen gemeinsam das Setup auf, das ihr sehen möchtet. Selbst Themen wie Single Sign-On (SSO) gehen wir gemeinsam an.

Table of Contents

Was ist Bitwarden? — kurz & verständlich

Bitwarden ist ein weit verbreiteter Passwortmanager, der als Open-Source-Projekt funktioniert und Apps/Extensions für Browser, Desktop und Mobilgeräte anbietet. Er speichert deine Passwörter Ende-zu-Ende verschlüsselt (Zero-Knowledge) — das bedeutet: nur du kannst deine Daten im Klartext sehen. Bitwarden bietet sowohl eine gehostete Cloud-Variante als auch die Möglichkeit, selbst zu hosten.

Was ist Vaultwarden? — die schlanke Self-Host-Alternative

Vaultwarden ist eine inoffizielle, schlanke Server-Implementierung der Bitwarden-API, geschrieben in Rust. Ziel ist es, die gleiche Client-Kompatibilität wie Bitwarden bereitzustellen (also die offiziellen Bitwarden-Apps und Browser-Extensions), dabei aber deutlich ressourcenschonender zu laufen — perfekt für Raspberry Pi, NAS oder kleine VPS. Vaultwarden ist Open Source und sehr beliebt bei Selbsthostern.

Vaultwarden bringt alle Funktionen mit, die du von einem modernen Passwortmanager erwartest – und noch mehr. Du kannst Logins exakt an Domains koppeln, sodass Autofill nur auf den richtigen Webseiten aktiv wird und nicht willkürlich Felder ausfüllt. Passkeys (FIDO2/WebAuthn) werden unterstützt, sodass du dich auf kompatiblen Webseiten ganz ohne klassisches Passwort anmelden kannst – sicherer und zukunftssicher. Zusätzlich speichert Vaultwarden TOTP-Codes (2FA) direkt im Eintrag, sodass du keine separate Authenticator-App brauchst.

Neben Passwörtern lassen sich auch sichere Notizen, Kreditkartendaten und Identitätsinformationen (Name, Adresse, Telefonnummer, Formular-Autofill) hinterlegen und per Browser-Erweiterung automatisch ausfüllen. Du kannst Organisationen und geteilte Tresore für Familie oder Teams erstellen und Berechtigungen fein granular vergeben. Für Power-User gibt es Hotkeys, Offline-Zugriff über Browser-Caches und Desktop-App, sowie einen Notfallzugriff (Emergency Access), bei dem vertrauenswürdige Kontakte Zugriff beantragen können, falls du ausfällst.

Über die Bitwarden-CLI kannst du Vaultwarden sogar in Skripte, Deployment-Prozesse oder Secrets-Management für Entwickler integrieren. In Kombination mit Browser-Extensions, mobiler App, Desktop-Client und API eröffnet sich ein extrem flexibles Ökosystem – komplett selbstverwaltet, open source und unter deiner Kontrolle.

Was können Bitwarden und Vaultwarden?

Passwortverwaltung (Logins, sichere Notizen, Kreditkarten, Identities)
Passwortgenerator und Autofill im Browser
Organisatorische Tresore (Collections / Organisationen)
TOTP (2-Faktor-Codes) innerhalb des Vaults
CLI-Zugriff und Integration in Automatisierungen
Vollständige Kompatibilität zu Bitwarden-Clients (bei Vaultwarden)

🆚 Vaultwarden vs. Bitwarden – Wo liegt der Unterschied?

Feature	Bitwarden (offiziell)	Vaultwarden (selbstgehostet)
Ressourcenbedarf	Höher (C#/SQL Server)	Extrem gering (Rust/SQLite)
Installation	Komplexer	Schnell via Docker
Kosten	Cloud-Version kostenpflichtig	Komplett kostenlos bei Selfhosting
Apps & Extensions	Voll kompatibel	Voll kompatibel (Browser, Android, iOS, Desktop)
Kontrolle über Daten	Server steht bei Bitwarden	100 % Selbstkontrolle

Vaultwarden glänzt vor allem durch Effizienz: Selbst ein kleiner Raspberry Pi reicht für den Betrieb völlig aus.

Warum Self-Hosting (Vaultwarden) statt Cloud-Passwortmanager?

Kurzantwort: Kontrolle, Datenschutz, Kosten und Flexibilität.

Detaillierter:

Hohe Datenkontrolle: Bei Self-Hosting liegen die verschlüsselten Daten auf deinem Server — kein Drittanbieter hat physischen Zugriff auf die Backups oder die Infrastruktur.
Kosten: Vaultwarden ist gratis; nur Hosting-Kosten fallen an (z. B. Strom oder VPS).
Ressourcen: Vaultwarden läuft leichtgewichtig — auch auf schwächerer Hardware.
Unabhängigkeit: Du kannst Backups, Zugriffskontrollen und Updates selbst steuern — ideal für Privatpersonen mit Sicherheitsbewusstsein und kleine Teams.
Transparenz: Open-Source-Code heißt: Community-Audits sind möglich (auch wenn Self-Hosting nicht automatisch „sicherer“ bedeutet — du bist verantwortlich).

Wichtig: Self-Hosting bedeutet auch mehr Verantwortung — du musst Updates, Backups, HTTPS und Zugangsschutz selbst sicherstellen.

Intel NUC 13 PRO NUC13ANHi5 Arena Canyon, 16 GB RAM 512 GB SSD, Intel Core i5-1340P, Win 11 Pro Mini Desktop Computer, 8K/4K UHD, Gigabit Ethernet/WiFi-6/VESA für Business/Büro/Zuhause

Intel NUC 13 PRO NUC13ANHi5 Arena Canyon, 16 GB RAM 512 GB SSD, Intel Core i5-1340P, Win 11 Pro Mini Desktop Computer, 8K/4K UHD, Gigabit Ethernet/WiFi-6/VESA für Business/Büro/Zuhause*

von Intel Corporation

Preis: € 759,00 Jetzt auf Amazon kaufen* Preis inkl. MwSt., zzgl. Versandkosten

Amazon

ASUS NUC 15 Pro Tall Kit RNUC15CRHI300002 (Intel Core i3 Prozessor, Arc Grafik, WiFi 7, Bluetooth 5.4, ohne Betriebssystem, mit EU-Netzkabel)

ASUS NUC 15 Pro Tall Kit RNUC15CRHI300002 (Intel Core i3 Prozessor, Arc Grafik, WiFi 7, Bluetooth 5.4, ohne Betriebssystem, mit EU-Netzkabel)*

von Asus

Preis: € 295,58 Jetzt auf Amazon kaufen* Preis inkl. MwSt., zzgl. Versandkosten

Amazon

ASUS NUC 15 Pro Slim Kit RNUC15CRKU500002 (Intel Core i5 Ultra Prozessor, Arc Grafik, WiFi 7, Bluetooth 5.4, ohne Betriebssystem, mit EU-Netzkabel)

ASUS NUC 15 Pro Slim Kit RNUC15CRKU500002 (Intel Core i5 Ultra Prozessor, Arc Grafik, WiFi 7, Bluetooth 5.4, ohne Betriebssystem, mit EU-Netzkabel)*

von Asus

Preis: € 429,99 Jetzt auf Amazon kaufen* Preis inkl. MwSt., zzgl. Versandkosten

Amazon

Was der Unterschied zu Cloud-Diensten (z. B. LastPass, 1Password) praktisch bedeutet

Cloud-Anbieter bieten Komfort: automatische Backups, verwaltete Infrastruktur, Support. Der Nachteil ist die Konzentration von Risiko: Wenn ein großer Anbieter gehackt wird oder Fehler macht, können viele Nutzer betroffen sein. Selbst wenn die Daten verschlüsselt sind, entstehen zusätzliche Risiken durch gestohlene Backups, gestohlene Schlüssel oder andere Nebenkanäle — sowie Fragen zur Transparenz und zu Compliance. Self-Hosting verlagert einige dieser Risiken, bringt aber andere (z. B. Fehlkonfiguration) mit sich.

Der LastPass-Datenleck-Fall (kompakt)

LastPass hat in den Jahren 2022/2023 mehrere Sicherheitsvorfälle gemeldet, die zusammengeführt zu einem großen Vertrauensverlust geführt haben. In der Kern-Timeline:

August – Oktober 2022: Erste kompromittierende Aktivitäten — Angreifer erlangten über einen Mitarbeiter-Laptop Zugriff auf bestimmte Entwicklungsumgebungen und interne Daten.
Dezember 2022 – März 2023: LastPass meldete weitere Erkenntnisse: Angreifer hatten archivierte Backups in einem Dritt-Cloudspeicher erreicht und verschlüsselte Passwortdaten entnommen. LastPass veröffentlichte mehrere Updates mit empfohlenen Maßnahmen für Nutzer.

Kurz gesagt: Die Angreifer kombinierten gezielte Kompromittierung (z. B. eines Mitarbeitersystems) mit dem Diebstahl von Backups. LastPass betonte, dass viele Datensätze verschlüsselt waren, aber die Vorfälle zeigten die Gefährdung durch zentrale Speicherung sensibler Daten und die Risiken, wenn Angreifer Zugang zu bestimmten internen Ressourcen erlangen. Für eine ausführliche Timeline und Analyse empfiehlt sich auch ein unabhängiger Überblick aus Fachpressen (z. B. Cybersecurity Dive).

Was du daraus lernen solltest (praxisnah):

Nutze starke Master-Passwörter und MFA.
Exportiere und sichere deine Daten lokal (verschlüsselt).
Vertraue nicht blind einer zentralen Cloud – erwäge Self-Hosting, wenn du die Verantwortung übernehmen willst.

Sicherheit von Vaultwarden — wie sicher ist das wirklich?

Gute Nachrichten: Vaultwarden nutzt das gleiche Verschlüsselungsmodell wie Bitwarden-Clients — die Verschlüsselung erfolgt clientseitig. Das heißt, deine Klartextdaten verlassen niemals dein Gerät; auf dem Server liegen nur verschlüsselte Blobs. Trotzdem gilt:

Server-Sicherheit: Wenn dein Server falsch konfiguriert ist (kein HTTPS, offene Ports, veraltete Software), steigt das Risiko.
Backups: Sichere Backups automatisiert und verschlüsselt.
Updates: Halte Vaultwarden und das Hostsystem aktuell.
Zugriffssteuerung: Begrenze Admin-Zugänge und nutze starke SSH/MFA für Serverzugriffe.

Kurz: Vaultwarden ist ein solides Self-Hosting-Tool — deine Sicherheit hängt aber von deiner Infrastruktur-Hygiene ab.

Installation von Vaultwarden mit Docker — Schritt für Schritt

Hier eine ausführliche, praxistaugliche Anleitung, damit du sofort loslegen kannst. Weitere Hinweise, Features und Ideen findest du auf der offiziellen Vaultwarden-Wiki.

Voraussetzungen

Ein Server / VPS / NAS oder Raspberry Pi mit Linux (Debian/Ubuntu empfohlen)
Docker & Docker Compose installiert
Domain (empfohlen) oder zumindest statische IP
Grundlegende Shell-Kenntnisse

Docker Compose Datei (`docker-compose.yml`)

Speichere folgende Datei als docker-compose-vaultwarden.yml:

services:
    vaultwarden:
        image: vaultwarden/server
        container_name: vaultwarden
        environment:
            - SIGNUPS_ALLOWED=true
            - INVITATIONS_ALLOWED=true
            - ENABLE_WEBSOCKET=true
            - ADMIN_TOKEN=TODO
            - PUSH_ENABLED=false
            - PUSH_INSTALLATION_ID=
            - PUSH_INSTALLATION_KEY=
            - LOG_FILE=/data/access.log
            - LOG_LEVEL=warn
            - EXTENDED_LOGGING=true
            - TZ=Europe/Berlin
        ports:
            - 4743:80/tcp
        volumes:
            - /mnt/cache/appdata/vaultwarden:/data:rw
        networks:
            - sascha

networks:
    sascha:
        name: sascha
        external: true

networks:
  sascha:
    external: true

Admin Token generieren

Wer Vaultwarden nutzt, kommt um die Admin-Seite (/admin) kaum herum. Sie ist die Schaltzentrale, um Benutzer zu verwalten, Einladungen zu verschicken oder Systemeinstellungen im laufenden Betrieb anzupassen. Da dieser Bereich extrem kritisch ist, wird er durch den ADMIN_TOKEN geschützt. Früher reichte hier ein einfaches Passwort im Klartext, doch das ist heute ein Sicherheitsrisiko. Um Brute-Force-Angriffe zu verhindern und das Token sicher in Konfigurationsdateien zu hinterlegen, nutzt Vaultwarden mittlerweile das Argon2-Hashing. Mehr dazu gibt es direkt in der Dokumentation.

So erstellst du ein sicheres Token: Am einfachsten generierst du das Token direkt über dein Hostsystem, also direkt eine Konsole in Linux / Ubuntu oder was auch immer. Unten ist der Befehl, um sein eigenes Passwort zu hashen. Dieses Passwort musst du dir dringend wegspeichern. Der Befehl sorgt bereits dafür, dass Dollarzeichen ($) direkt mit noch einem Dollarzeichen versehen werden. Man muss es nur kopieren. Diesen Hash trägst du dann als Umgebungsvariable ADMIN_TOKEN in deiner Konfiguration ein. Wichtig für Docker-Compose-Nutzer: Falls du den Hash direkt in der docker-compose.yml speicherst, musst du jedes Dollarzeichen doppelt schreiben ($$), damit Docker es nicht als Variable missversteht. Einmal eingerichtet, bleibt dein Passwort geheim, während Vaultwarden nur den sicheren Hash kennt.

echo -n "deinSicheresPasswort" | argon2 "$(openssl rand -base64 32)" -e -id -k 65540 -t 3 -p 4 | sed 's#\$#\$\$#g'

Nun den Docker-Container starten: docker compose -f "docker-compose-vaultwarden.yml" up -d

Der Service läuft dann unter http://deine-ip:4743 (oder http://localhost:4743).

🌍 Erklärung der `environment:` Variablen

Variable	Funktion
TZ	Setzt die Zeitzone im Container – wichtig für Logs und Zeitstempel.
HOST_OS / HOST_HOSTNAME / HOST_CONTAINERNAME	Rein informativ für Unraid – wird für UI-Infos genutzt, hat keinen Einfluss auf Vaultwarden selbst.
SIGNUPS_ALLOWED (`true/false`)	Erlaubt oder blockiert neue Benutzerregistrierungen. Für private Nutzung → eher `false` setzen.
INVITATIONS_ALLOWED (`true/false`)	Steuert, ob bestehende Benutzer Einladungen an andere verschicken dürfen (z. B. für Team/Family-Accounts).
WEBSOCKET_ENABLED (`true/false`)	Aktiviert Live-Sync (z. B. wenn du auf einem Gerät speicherst und sofort auf anderen Geräten aktualisiert werden soll). Bei Nutzung mit Traefik oft auf true setzen + passenden Proxy-Eintrag.
ADMIN_TOKEN	Aktiviert das Admin-Interface (`/admin`) und schützt es mit diesem Token. Ohne Token ist das Interface deaktiviert.
PUSH_ENABLED (`true/false`)	Aktiviert Push-Benachrichtigungen über den offiziellen Bitwarden-Push-Server – nötig für sofortige Updates auf Mobile/Browser.
PUSH_INSTALLATION_ID & PUSH_INSTALLATION_KEY	Ein eindeutiges Geräte-/Server-Paar zur Authentifizierung bei den Bitwarden-Push-Diensten. Ohne diese Werte funktionieren Push-Nachrichten und Live-Sync auf Mobilgeräten nicht zuverlässig.
LOG_FILE	Pfad, wohin Vaultwarden seine Zugriffslogs schreibt – hier im Volume unter `/data/...`.
LOG_LEVEL (`warn/info/debug/error`)	Bestimmt die Detailtiefe der Log-Ausgaben. `warn` reduziert Log-Spam auf wichtige Meldungen.
EXTENDED_LOGGING (`true/false`)	Aktiviert erweiterte Log-Einträge (z. B. API-Zugriffe), hilfreich bei Debugging oder Monitoring.

HTTPS mit Reverse Proxy (Nginx/Traefik empfohlen)

Für produktiven Betrieb unbedingt HTTPS einrichten. Beliebt sind:

Traefik (automatische Let’s Encrypt Zertifikate)
Nginx + Certbot
Nginx Proxy Manager (UI für einfache Verwaltung)
Caddy

Wichtig: Leite / an Vaultwarden weiter, aktiviere HSTS, und schütze Admin-URL mit einem starken Token (ENV ADMIN_TOKEN).

Backups automatisieren

Ein einfaches Cronjob-Skript:

#!/bin/bash
tar -czf /backups/vw-$(date +%F).tgz ~/vaultwarden/vw-data
# Verschlüsselung mit gpg empfohlen

Idealerweise nutzt man einfach ein anderes Tool wie Vaultwarden Backup, das sich bereits um alles kümmert. Das kann man ebenfalls als Docker-Container laufen lassen.

Konfigurationsempfehlungen & Best Practices

SIGNUPS_ALLOWED=false: Nutzerregistrierung abschalten, wenn du nur dich oder dein Team betreuen willst.
ADMIN_TOKEN: sicherer, zufälliger Token für Admin-Interface.
WebSocket: aktivieren (ENABLE_WEBSOCKET) für bessere Sync-Performance.
Firewall: beschränke SSH und andere Verwaltungsdienste auf Admin-IPs.
Monitoring: Logs regelmäßig prüfen; Fail2ban/ufw einsetzen.

Welche Apps & Extensions funktionieren mit Vaultwarden?

Weil Vaultwarden die Bitwarden-API nachbildet, verwendest du die offiziellen Bitwarden-Clients:

Browser-Extensions: Chrome, Firefox, Edge, Safari, Brave, Vivaldi -> siehe Bitwarden Docs
Desktop: Windows, macOS, Linux (offizielle Bitwarden-Apps)
Mobile: Android (Play Store & F-Droid -> Keyguard), iOS/iPadOS (App Store -> Bitwarden)
CLI: bw (Bitwarden CLI) — nützlich für Skripte und CI/CD
Andere: Viele Passwortmanager/Tools unterstützen Bitwarden-Export/Import

So verbindest du die Clients: In der App unter Einstellungen → Serveradresse deine Vaultwarden-URL eintragen (z. B. https://vault.example.com).

Konkretes Praxis-Beispiel: Familie & kleines Team

Situation: Du willst mit deiner Familie Passwörter teilen, aber nicht in der Cloud.

Vorgehen:

Richte Vaultwarden privat auf einem kleinen VPS oder Raspberry Pi ein.
Lege für jedes Familienmitglied ein Konto an (oder lade sie per Einladung ein).
Erstelle eine Organisation/Collection für geteilte Passwörter (Streaming, Router, Banking) und setze Berechtigungen.
Aktiviere MFA für alle Konten und regelmäßige Backups.

Ergebnis: Gemeinsame Passwörter sind zentral verwaltet, du hast Kontrolle über Zugriffe — ohne monatliche Abo-Kosten.

Häufige Fragen (FAQ)

Ist Vaultwarden genauso sicher wie Bitwarden?
Vaultwarden verwendet dieselben Client-Verschlüsselungsprinzipien; Sicherheit hängt stark von deiner Server-Konfiguration und deinem Betrieb ab.

Kann ich Vaultwarden open-source prüfen?
Ja — der Code liegt auf GitHub (Repository von dani-garcia). Schau dir Releases und Discussions an.

Was passiert, wenn mein Server kompromittiert wird?
Angreifer sehen nur verschlüsselte Daten — trotzdem kann ein Angreifer z. B. Backups stehlen oder Admin-Tokens missbrauchen. Daher ist Systemhygiene entscheidend.

Umsetzung im YouTube-Video

Fazit – Vaultwarden ist die beste Self-Hosting-Lösung für deine Passwörter

Vaultwarden kombiniert maximale Datensouveränität, extreme Effizienz und volle Kompatibilität mit allen Bitwarden-Tools. Du installierst das System in wenigen Minuten via Docker, nutzt Apps auf all deinen Geräten und behältst die komplette Kontrolle – ohne Abo, ohne Fremdserver, ohne Kompromisse.

Vaultwarden ist eine exzellente Wahl, wenn du:

volle Kontrolle über deine verschlüsselten Daten willst,
begrenzte Hardwareressourcen besitzt (Raspberry Pi / NAS),
keine laufenden Abo-Kosten tragen willst, und
bereit bist, Verantwortung für Updates, Backups und HTTPS zu übernehmen.

Bitwarden (offiziell) bietet dagegen einen sehr komfortablen, unterstützten Cloud-Service mit professionellem Support — ideal für Unternehmen, die keine eigene Infrastruktur betreiben wollen. Beide Systeme nutzen starke End-to-End-Verschlüsselung; der Unterschied liegt hauptsächlich im Betrieb, der Verantwortung und dem Ressourcenbedarf.

Der LastPass-Fall hat gezeigt: Zentralisierung bringt Bequemlichkeit, aber auch Risiken. Selbst verschlüsselte Daten sind nicht automatisch sicher, wenn Angreifer Wege finden, Schlüssel, Backups oder Mitarbeitersysteme zu kompromittieren. Selbst-hosting verschiebt das Risiko in deine Hände — und wenn du diese Hände sicher führst, gewinnst du deutlich an Kontrolle und Privatsphäre.

🔗 Nützliche Links auf einen Blick

🐙 GitHub-Projekt: https://github.com/dani-garcia/vaultwarden
📦 Docker Hub Image: https://hub.docker.com/r/vaultwarden/server
🌐 Bitwarden Apps & Extensions: https://bitwarden.com/download
🔐 Reverse Proxy Empfehlung: https://nginxproxymanager.com
📱 Android App (Keyguard): https://play.google.com/store/apps/details?id=com.artemchep.keyguard&hl=de

Interesse, aber Zeit oder Kenntnisse fehlen?

Kein Problem. Kontaktieren Sie mich und wir besprechen Ihre Anforderungen. Egal, ob geschäftlich oder privat.

Die Anzeige der Produkte wurde mit dem WordPress-Plugin „Affiliate-Toolkit“ umgesetzt.

Kategorien: AppsDockerSelfhosted Server

Schlagwörter: DockerSelfhostedSicherheit

0 Kommentare

Schreibe einen Kommentar Antworten abbrechen

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahren Sie, wie Ihre Kommentardaten verarbeitet werden.