Kostenvergleich Apps Preise Blog Termin buchen
Uncategorized 09. April 2026 5 Min. Lesezeit

Vaultwarden: Bitwarden-kompatiblen Passwort-Manager selbst hosten

Vaultwarden: Bitwarden-kompatiblen Passwort-Manager selbst hosten

Passwörter sind der Schlüssel zu allem — und ein zentraler Angriffspunkt. Cloud-basierte Passwort-Manager wie 1Password oder LastPass sind bequem, aber Sie geben die Kontrolle über Ihre sensibelsten Daten an Dritte ab. Vaultwarden bietet eine Alternative: ein vollständig kompatibles Bitwarden-Backend, das Sie auf Ihrem eigenen Server betreiben. Ein einziger Docker-Container, alle Premium-Features kostenlos.

In diesem Artikel zeigen wir Setup, Absicherung und Backup-Strategie für Vaultwarden im Team-Einsatz. Für generelle Backup-Strategien empfehlen wir unseren Leitfaden für Docker-Backups.

Was ist Vaultwarden?

Vaultwarden (ehemals bitwarden_rs) ist eine inoffizielle, in Rust geschriebene Implementierung der Bitwarden-Server-API. Der entscheidende Unterschied zum offiziellen Bitwarden-Server:

Merkmal Vaultwarden Bitwarden (offiziell)
Architektur Ein Container Mehrere Microservices
RAM-Bedarf ~50–100 MB 2+ GB
Datenbank SQLite (Standard), PostgreSQL, MySQL MSSQL (!) oder MySQL/PostgreSQL
TOTP Authenticator Kostenlos Premium ($10/Jahr)
Send (Dateien teilen) Kostenlos Premium
Emergency Access Kostenlos Premium
Organisationen Kostenlos, unbegrenzte Nutzer Free: 2 Nutzer, Teams ab $4/User/Monat
Vault Health Reports Kostenlos Premium
File Attachments Kostenlos Premium
SSO (OpenID Connect) Ja (seit v1.35) Enterprise-Plan
Clients Alle offiziellen Bitwarden-Clients Alle offiziellen Clients

Kurz gesagt: Vaultwarden bietet alle Bitwarden-Premium-Features kostenlos, in einem Bruchteil der Ressourcen, und ist kompatibel mit allen offiziellen Bitwarden-Apps (Browser-Extension, Desktop, Mobile).

Aktuelle Version: v1.35.4 (Februar 2026), basierend auf Bitwarden Web Vault 2025.12.0.

Docker-Setup in 5 Minuten

services:
  vaultwarden:
    image: vaultwarden/server:latest
    container_name: vaultwarden
    environment:
      - DOMAIN=https://vault.example.com
      - SIGNUPS_ALLOWED=true  # Nach Ersteinrichtung auf false setzen!
      - ADMIN_TOKEN=$ADMIN_TOKEN  # Argon2id-Hash
      - LOG_FILE=/data/vaultwarden.log
      - LOG_LEVEL=warn
    volumes:
      - vw-data:/data
    ports:
      - "8080:80"
    restart: unless-stopped

volumes:
  vw-data:

Wichtig: Vaultwarden benötigt zwingend HTTPS. Bitwarden-Clients verweigern die Verbindung über unverschlüsseltes HTTP. Setzen Sie einen Reverse Proxy (Traefik, Caddy, Nginx) davor.

Admin-Token sicher generieren

Seit Version 1.28 löst ein Klartext-Token eine Sicherheitswarnung aus. Generieren Sie einen Argon2id-Hash:

docker run --rm vaultwarden/server /vaultwarden hash --preset owasp

Den ausgegebenen Hash als ADMIN_TOKEN in der Compose-Datei setzen. Zum Login im Admin-Panel (/admin) geben Sie das Klartext-Passwort ein — nicht den Hash.

Ersteinrichtung

  1. docker compose up -d — Container starten
  2. https://vault.example.com aufrufen — Account erstellen
  3. Bitwarden Browser-Extension installieren, Server-URL auf Ihre Domain setzen
  4. Registrierung deaktivieren: SIGNUPS_ALLOWED=false setzen und Container neu starten
  5. Weitere Nutzer nur noch über das Admin-Panel (/admin) einladen

Security Hardening

Ein Passwort-Manager ist ein Hochwertziel. Entsprechend sorgfältig muss die Absicherung sein:

1. Registrierung sofort deaktivieren

Nach dem Erstellen aller Benutzerkonten: SIGNUPS_ALLOWED=false. Neue Nutzer werden ausschließlich über das Admin-Panel eingeladen.

2. 2FA für alle Accounts erzwingen

Vaultwarden unterstützt TOTP und Backup-Codes. Erzwingen Sie 2FA für alle Nutzer — ein kompromittiertes Master-Passwort allein reicht dann nicht aus.

3. Fail2Ban einrichten

Vaultwarden protokolliert fehlgeschlagene Logins in /data/vaultwarden.log. Richten Sie Fail2Ban mit separaten Jails ein:

  • Login-Brute-Force: Fehlgeschlagene Anmeldeversuche
  • Admin-Token-Brute-Force: Fehlgeschlagene Admin-Panel-Zugriffe
  • Forceful Browsing: 403/404-Fehler auf Admin-Pfaden

4. Admin-Panel absichern

Das Admin-Panel unter /admin sollte zusätzlich geschützt werden — idealerweise nur über VPN erreichbar (siehe unseren WireGuard-Artikel).

5. HTTPS vor Admin-Aktivierung

Richten Sie HTTPS ein, bevor Sie das Admin-Panel aktivieren. Ohne TLS ist der Admin-Token im Netzwerk sichtbar.

Backup-Strategie

Bei einem Passwort-Manager sind Backups besonders kritisch — Datenverlust bedeutet, dass Ihr Team aus allen Diensten ausgesperrt ist.

SQLite-Backup (Standard)

# Sicheres Online-Backup (keine Korruption bei laufendem Server)
docker exec vaultwarden sqlite3 /data/db.sqlite3 ".backup /data/backup/db.sqlite3"

# Gesamtes Datenverzeichnis sichern
docker run --rm -v vw-data:/data -v /backup:/backup 
  alpine tar czf /backup/vaultwarden-$(date +%F).tar.gz /data

Wichtig: Kopieren Sie die SQLite-Datei nicht direkt — nutzen Sie die .backup-API, um Korruption bei gleichzeitigem Schreiben zu vermeiden.

Was sichern?

  • /data/db.sqlite3 — die Datenbank mit allen Vault-Einträgen
  • /data/attachments/ — hochgeladene Dateianhänge
  • /data/sends/ — temporäre Dateifreigaben
  • /data/config.json — Admin-Panel-Konfiguration
  • /data/rsa_key* — RSA-Schlüssel für Token-Signierung

Team-Features: Organisationen und Collections

Vaultwarden unterstützt Bitwarden-Organisationen vollständig:

  • Organisationen: Geteilte Vaults für Teams — z. B. “Agentur”, “Kunde A”, “DevOps”
  • Collections: Untergruppen innerhalb einer Organisation — z. B. “Hosting-Zugänge”, “Social Media”, “Datenbanken”
  • Benutzergruppen: Rollen mit unterschiedlichen Zugriffsrechten (Admin, Manager, User)
  • Emergency Access: Ein designierter Nutzer kann bei Notfällen auf den Vault zugreifen

Typisches Setup für eine Agentur: Eine Organisation pro Kunde, Collections für verschiedene Zugangskategorien. Neue Mitarbeiter werden zur Organisation eingeladen und sehen sofort die relevanten Passwörter.

DSGVO-Relevanz

Passwort-Manager speichern hochsensible Daten. Bei Cloud-Anbietern wie 1Password (Kanada), LastPass (USA) oder Bitwarden Cloud (USA) liegen diese Daten außerhalb der EU. Vaultwarden auf eigenem Server bietet:

  • Daten verlassen nie die eigene Infrastruktur
  • Volle Kontrolle über Aufbewahrung und Löschung
  • Kein Datentransfer in Drittländer
  • Verschlüsselung: AES-256 client-seitig — selbst bei Server-Kompromittierung sind Vault-Daten geschützt

Häufige Fragen

Funktionieren alle Bitwarden-Apps mit Vaultwarden?

Ja. Browser-Extensions (Chrome, Firefox, Safari, Edge), Desktop-Apps (Windows, macOS, Linux), Mobile-Apps (iOS, Android) und die CLI funktionieren ohne Einschränkung. Sie müssen lediglich die Server-URL auf Ihre Vaultwarden-Instanz ändern.

Ist Vaultwarden sicher genug für Unternehmen?

Die Verschlüsselung findet client-seitig statt (AES-256-CBC + HMAC-SHA256). Der Server speichert nur verschlüsselte Daten. Das Sicherheitsmodell ist identisch mit Bitwarden. Vaultwarden hat keine formalen Third-Party-Audits, wird aber aktiv von der Community reviewt.

Wie aufwändig sind Updates?

docker compose pull && docker compose up -d — ein Einzeiler. Die Datenbank-Migration läuft automatisch. Wir empfehlen, vor jedem Update ein Backup zu erstellen.

Managed Vaultwarden: Sicher ohne Eigenaufwand

Ein Passwort-Manager muss jederzeit verfügbar und sicher sein. Bei netzspitze.tech betreiben wir Vaultwarden als Teil Ihrer Managed-Infrastruktur:

  • Automatische tägliche Backups mit Integritätsprüfung
  • Fail2Ban und Monitoring inklusive
  • SSL via Traefik mit automatischer Zertifikatserneuerung
  • VPN-geschütztes Admin-Panel
  • Onboarding neuer Teammitglieder

Jetzt Beratungstermin buchen — wir sichern Ihre Passwörter professionell.

Bereit für eigene Infrastruktur?

15 Minuten Call – wir klären ob Self-Hosting für euch passt.

Termin buchen