Passwort-Manager selbst hosten

Alle Passwörter an einem Ort, synchronisiert auf allen Geräten, geschützt durch Ende-zu-Ende-Verschlüsselung. Ein selbst gehosteter Passwort-Manager speichert Ihren verschlüsselten Vault auf Ihrem eigenen Server. Das Master-Passwort verlässt nie Ihr Gerät. Sie entscheiden, wo Ihre Daten liegen, wer Zugriff hat und welche Software auf dem Server läuft.

100% Made in GermanyDSGVO-konformStündliche AbrechnungKeine Mindestlaufzeit
Ihr Schlüsselbund·vault.example.de 247Einträge
CDCloud DashboardLogin
admin@firma.de
••••••••••kopiert
FKFirmenkreditkarteKarte
VISA • gültig bis 12 / 27
•••• 4821kopiert
Master · Ihr Schlüssel№ 001
Master-Passwort••••••••••••
entsperrt247 Einträge · 5 Geräte
VerschlüsselungAES-256 · Argon2id
Ihr Server
01

Wofür ein eigener Passwort-Manager?

Familienpasswörter zentral verwalten

Die ganze Familie nutzt Streaming-Dienste, den WLAN-Zugang der Ferienwohnung und dutzende weitere Konten. Mit einem geteilten Tresor sehen alle aktuelle Zugangsdaten auf ihren Geräten. Die erwachsenen Kinder erhalten Notfallzugriff auf die Konten der Eltern, falls etwas passiert.

Neue Teammitglieder ab Tag eins arbeitsfähig machen

Ein neuer Kollege startet. Statt Passwörter per Slack oder E-Mail zu verschicken, wird die Person einer Gruppe zugewiesen und hat sofort Zugriff auf Staging-Server, Cloud-Konsolen und API-Keys. Kein Klartext-Passwort wird jemals versendet. Beim Offboarding wird der Zugang mit einem Klick entzogen.

Kundenzugänge mit Ablaufdatum teilen

Eine Agentur braucht temporären Zugang zum CMS eines Kunden. Über die Send-Funktion erstellen Sie einen verschlüsselten Link mit Ablaufdatum und optionalem Passwort. Nach Projektende erlischt der Zugang automatisch, ohne manuelles Aufräumen.

Secrets in der CI/CD-Pipeline verwalten

Datenbank-Credentials, API-Tokens und Signing-Keys liegen im Vault und werden per Bitwarden-CLI direkt in die CI/CD-Pipeline gezogen. Keine .env-Dateien im Repository, keine hartcodierten Secrets in Dockerfiles. Zugriffsrechte pro Projekt und Umgebung steuerbar.

Compliance-Anforderungen ohne Enterprise-Kosten erfüllen

Eine kleine Kanzlei oder Praxis muss nachweisen, dass Zugangsdaten zu Mandanten- und Patientensystemen geschützt sind. Vaultwarden auf eigener Infrastruktur liefert Audit-Logs, Zwei-Faktor-Authentifizierung und volle Datenhoheit in Deutschland, ohne fünfstellige Jahreslizenzen.

02

Das spricht für einen eigenen Passwort-Manager

Zero-Knowledge-Verschlüsselung

Alle Passwörter werden auf Ihrem Gerät verschlüsselt, bevor sie den Server erreichen. Der Server speichert nur Chiffrat. Selbst bei einem Zugriff auf den Server sind die Daten ohne Ihr Master-Passwort nicht lesbar. Dieses Prinzip gilt unabhängig davon, ob der Server bei einem Cloud-Anbieter oder auf Ihrer eigenen Infrastruktur steht.

Clients für alle Plattformen

Browser-Extensions für Chrome, Firefox, Safari und Edge. Desktop-Apps für Windows, macOS und Linux. Mobile-Apps für iOS und Android mit Autofill-Unterstützung. Kommandozeilen-Tool (CLI) für Automatisierung. Die Clients synchronisieren verschlüsselt über Ihren Server.

Zwei-Faktor-Authentifizierung

Sichern Sie Ihren Vault zusätzlich ab: Authenticator-Apps (TOTP), FIDO2 WebAuthn (z.B. YubiKey), E-Mail-Codes oder Duo Security. Mehrere Methoden lassen sich parallel aktivieren.

Daten bleiben in Deutschland

Ihr Server steht in Deutschland, in zertifizierten Rechenzentren. Deutsches Datenschutzrecht und DSGVO gelten. Kein US CLOUD Act, keine Datenübermittlung an Drittstaaten.

Alle Premium-Funktionen inklusive

Zeitbasierte Einmalpasswörter (TOTP), Dateianhänge, verschlüsseltes Senden (Send), Notfallzugriff und geteilte Tresore. Funktionen, die bei Cloud-Diensten kostenpflichtig sind, stehen bei Open-Source-Lösungen ohne Einschränkung zur Verfügung.

Quelloffen und auditierbar

Der Server-Quellcode ist vollständig einsehbar. Sie können die Software selbst prüfen, modifizieren oder von Dritten auditieren lassen. Keine Black Box, keine proprietären Verschlüsselungsverfahren.

03

Welche Software läuft auf dem Server?

Für Self-Hosted Passwort-Manager gibt es verschiedene Open-Source-Projekte: Bitwarden, Passbolt, Psono oder dateibasierte Lösungen wie KeePass. Das mit Abstand größte Ökosystem hat Bitwarden. Bitwarden bietet Clients für alle Plattformen (Browser, Desktop, Smartphone, CLI), die lokal verschlüsseln und den Vault über einen Server synchronisieren. Der offizielle Bitwarden-Server benötigt allerdings bis zu 11 Docker-Container, eine Microsoft-SQL-Server-Datenbank und mindestens 2 GB RAM. Für Einzelpersonen und kleine Teams ist das oft überdimensioniert. Deshalb hat die Community Vaultwarden entwickelt: eine schlanke Neuimplementierung der Bitwarden-Server-API in Rust, die in einem einzigen Container mit 30 bis 50 MB RAM läuft. Beide Server bedienen dieselbe API. Die Bitwarden-Clients funktionieren mit beiden identisch.

Vaultwarden 60.800+ GitHub Stars, AGPL-3.0-Lizenz, aktive Entwicklung (v1.36.0, Mai 2026)

Community-Projekt, das die Bitwarden-Server-API in Rust neu implementiert hat. Kein Fork, sondern eigenständiger Code. Ein einzelner Docker-Container, SQLite als Datenbank (eine Datei, kein separater Container). Alle Premium-Funktionen (TOTP, Send, Notfallzugriff, Organisationen) sind freigeschaltet. Vollständig quelloffen unter der AGPL-3.0-Lizenz. Die Installation erfolgt über Coolify oder Docker Compose.

Eignet sich für: Privatpersonen, Familien, kleine Teams, KMUs, Datenschutz-bewusste Organisationen.

Bitwarden (offizieller Server) 18.600+ GitHub Stars (Server), regelmäßige Sicherheitsaudits (SOC 2, Cure53)

Der offizielle Server von Bitwarden Inc., geschrieben in C#/.NET. Standardinstallation mit bis zu 11 Docker-Containern und Microsoft SQL Server (eine Lite-Variante mit einem Container ist verfügbar). Enterprise-Funktionen wie SCIM-Provisioning, Directory Sync und Richtlinien-Management erfordern eine kommerzielle Lizenz. Der Core-Server steht unter der AGPL-3.0-Lizenz, Enterprise-Module unter einer proprietären Source-Available-Lizenz (Bitwarden License).

Eignet sich für: Enterprise-Umgebungen, Compliance-pflichtige Organisationen (SOC 2, HIPAA), Teams mit professionellem Support-Bedarf.

04

Welcher Passwort-Manager-Server?

Vaultwarden

Beste Wahl für Einzelpersonen, Familien und kleine Teams.

  • Ein Docker-Container, 30 bis 50 MB RAM
  • SQLite als Datenbank (eine Datei, kein separater Container)
  • Alle Premium-Funktionen ohne Kosten freigeschaltet
  • Vollständig quelloffen (AGPL-3.0)
  • SSO über OpenID Connect (seit v1.35)
  • 60.800+ GitHub Stars, aktive Community
  • Keine offiziellen Sicherheitsaudits (Community-Projekt)
  • Kein Enterprise-Support
  • Kein SCIM-Provisioning oder Directory Sync

Bitwarden (offizieller Server)

Beste Wahl für Enterprise und Compliance-pflichtige Umgebungen.

  • Professionelle Sicherheitsaudits (SOC 2, Cure53, HackerOne)
  • Enterprise-Support und SLAs verfügbar
  • SCIM-Provisioning und Directory Sync
  • Compliance-Zertifizierungen (SOC 2, HIPAA)
  • Standardinstallation: bis zu 11 Container, 2 GB+ RAM
  • Premium-Funktionen erfordern kostenpflichtige Lizenz
  • Enterprise-Module proprietär (Source-Available, nicht AGPL-3.0)
  • Lite-Variante verfügbar (1 Container), aber weniger getestet
Beide Server bedienen dieselbe Bitwarden-API. Die Clients sind identisch: Sie installieren die offizielle Bitwarden-App und tragen Ihre Server-URL ein. Der Unterschied liegt in Ressourcenbedarf, Lizenzierung und Zielgruppe. Vaultwarden eignet sich für Einzelpersonen und kleine Teams, die einen schlanken Server mit allen Funktionen betreiben möchten. Der offizielle Bitwarden-Server ist die Wahl für Organisationen, die Enterprise-Funktionen und professionelle Sicherheitsaudits benötigen.
05

In wenigen Schritten zum eigenen Passwort-Manager

01Schritt 01

Seed erstellen

Wählen Sie ein Modell mit mindestens 1 CPU und 2 GB RAM. Vaultwarden ist extrem ressourcenschonend und läuft bereits auf dem kleinsten Modell flüssig. Für Teams mit mehr als 20 Nutzern empfiehlt sich ein Modell mit 2 CPU und 4 GB RAM.

02Schritt 02

Passwort-Manager installieren

Vaultwarden lässt sich über Coolify mit einem Klick oder per Docker Compose in wenigen Minuten einrichten. Domain und SSL-Zertifikat werden automatisch konfiguriert. Eine detaillierte Anleitung finden Sie in unserem Guide.

03Schritt 03

Clients verbinden

Installieren Sie die Bitwarden-App auf Ihren Geräten (Browser-Extension, Mobile, Desktop). Unter den Einstellungen tragen Sie Ihre eigene Server-URL ein. Alle Passwörter werden verschlüsselt über Ihren Server synchronisiert.

06

Schritt für Schritt einrichten

Detaillierte Tutorials von unseren Engineers, getestet auf einem aktuellen dataforest Seed. Direkt aufrufbar, ohne Account.

Sicherheit · ca. 25 MinAnfänger

Vaultwarden als Passwort-Manager einrichten

Schritt-für-Schritt-Anleitung, um Vaultwarden auf einem dataforest Seed einzurichten. Zwei Wege, Coolify oder Docker Compose mit Caddy.

VaultwardenPasswort-ManagerDockerCoolifySicherheit
Anleitung öffnen

Alle Anleitungen ansehen →

07

Seed konfigurieren

Stündlich abgerechnet, keine Mindestlaufzeit, keine Einrichtungsgebühr. Ein Server für Ihren Passwort-Manager, Ihre Backups und alle zugehörigen Dienste.

Entry

Einsteiger

CPU-Zuweisung nach Verfügbarkeit
Mindestens Intel Xeon Gold
NVMe-SSD-Speicher
3-fache Replikation via Ceph
DDR4-ECC-RAM
Ausgewogene Disk-Performance
3,65 €
/ Monat
ab
0,005848 €
/ Stunde

Standard

Allrounder

AMD EPYC Turin
Mindestens 2.6 GHz
Bis zu 4.5 GHz
NVMe-SSD-Speicher
3-fache Replikation via Ceph
DDR5-ECC-RAM
Erhöhte Disk-Performance
9,01 €
/ Monat
ab
0,014439 €
/ Stunde

Performance

CPU-optimiert

AMD EPYC Turin (High Frequency)
Mindestens 3.3 GHz
Bis zu 5 GHz
NVMe-SSD-Speicher
3-fache Replikation via Ceph
DDR5-ECC-RAM
Maximale Disk-Performance, IOPS-optimiert
12,26 €
/ Monat
ab
0,019639 €
/ Stunde

Alle Preise inkl. 19% MwSt.

08

Warum dataforest cloud?

Datensouveränität

Ihre Daten bleiben in Deutschland. Alle Seeds laufen in zertifizierten Rechenzentren in Frankfurt am Main. Keine Datenübermittlung in Drittstaaten, volle DSGVO-Konformität.

Bereitstellung in Sekunden

Seeds werden automatisiert bereitgestellt. Von der Konfiguration bis zum laufenden Server vergehen nur wenige Sekunden. Keine Wartezeiten, keine Tickets.

Stündliche Abrechnung

Sie zahlen nur, was Sie nutzen. Keine Mindestlaufzeiten, keine Einrichtungsgebühren. Seeds lassen sich jederzeit erstellen und wieder löschen.

Volle Kontrolle

Root-Zugriff, Public API und volle Transparenz. Sie entscheiden, was auf Ihrem Seed läuft. Kein Vendor-Lock-in, keine versteckten Einschränkungen.

09

Bevor Sie loslegen.

Was ist Vaultwarden?
Vaultwarden ist eine alternative Server-Implementierung der Bitwarden-API, geschrieben in Rust. Es ist kein Fork, sondern eine eigenständige Neuimplementierung, die dieselbe Schnittstelle bedient. Alle offiziellen Bitwarden-Clients (Browser-Extension, Mobile-App, Desktop-App, CLI) funktionieren unverändert mit Vaultwarden. Der Quellcode ist vollständig offen unter der AGPL-3.0-Lizenz.
Was ist der Unterschied zwischen Vaultwarden und Bitwarden?
Bitwarden ist sowohl ein Unternehmen als auch ein Produkt. Der offizielle Bitwarden-Server ist in C#/.NET geschrieben und benötigt bis zu 11 Docker-Container und über 2 GB RAM. Vaultwarden implementiert dieselbe API in Rust, läuft in einem einzelnen Container mit 30 bis 50 MB RAM und schaltet alle Premium-Funktionen frei. Die Clients sind identisch: Sie installieren die offizielle Bitwarden-App und tragen Ihre eigene Server-URL ein. Der offizielle Server bietet professionelle Sicherheitsaudits und Enterprise-Support, Vaultwarden punktet mit minimalem Ressourcenbedarf und einer vollständig offenen Lizenz.
Sind meine Passwörter sicher, wenn der Server kompromittiert wird?
Solange Ihr Master-Passwort stark ist, ja. Alle Passwörter werden auf Ihrem Gerät verschlüsselt, bevor sie den Server erreichen (Zero-Knowledge-Architektur). Der Server speichert nur verschlüsselte Daten. Ohne das Master-Passwort können Angreifer die Daten nicht entschlüsseln. Das gilt für beide Server-Implementierungen und auch für Cloud-Passwort-Manager. Verwenden Sie ein langes, einzigartiges Master-Passwort und aktivieren Sie Zwei-Faktor-Authentifizierung.
Kann ich von einem bestehenden Passwort-Manager umziehen?
Ja. Die meisten Passwort-Manager bieten eine Export-Funktion (JSON oder CSV). In Vaultwarden importieren Sie den Export über die Web-Oberfläche unter Werkzeuge > Daten importieren. Unterstützt werden zahlreiche Formate, darunter Exports von allen gängigen Passwort-Managern und Browsern.
Welche Lizenz hat Vaultwarden?
Vaultwarden steht unter der AGPL-3.0-Lizenz (GNU Affero General Public License). Das ist eine Copyleft-Lizenz: Der Quellcode ist frei einsehbar, nutzbar und modifizierbar. Wer eine modifizierte Version als Netzwerkdienst betreibt, muss den geänderten Quellcode veröffentlichen. Für Endnutzer, die Vaultwarden unverändert deployen, hat die Lizenz keine praktischen Einschränkungen. Der offizielle Bitwarden-Server nutzt AGPL-3.0 für den Core und eine proprietäre Source-Available-Lizenz für Enterprise-Module.
Welche Verantwortung übernehme ich beim Self-Hosting?
Wer einen eigenen Passwort-Manager betreibt, übernimmt die Verantwortung für dessen Sicherheit. Das bedeutet: Betriebssystem und Docker-Images aktuell halten, Sicherheitsupdates zeitnah einspielen, regelmäßige Backups einrichten und den Zugang zum Server absichern. Bei einem Passwort-Manager ist das besonders wichtig, da alle Zugangsdaten auf diesem Server liegen. Unsere Schritt-für-Schritt-Anleitung deckt die Einrichtung und Härtung ab. Wer diesen Aufwand nicht investieren möchte, ist mit einem Cloud-Passwort-Manager besser beraten, der Wartung, Updates und Sicherheitsaudits übernimmt.
Brauche ich technische Vorkenntnisse?
Grundlegende Linux-Kenntnisse sind erforderlich: per SSH auf einen Server verbinden und Befehle im Terminal ausführen. Docker-Erfahrung ist hilfreich, aber nicht zwingend. Über eine Deployment-Plattform lässt sich Vaultwarden ohne manuelle Docker-Konfiguration installieren. Unsere Schritt-für-Schritt-Anleitung erklärt jeden Befehl.
Wie viele Nutzer kann Vaultwarden verwalten?
Das hängt von der Server-Ausstattung ab. Ein Seed mit 1 CPU und 2 GB RAM eignet sich für bis zu 50 Nutzer. Vaultwarden setzt keine künstliche Obergrenze. Da die Clients die Passwörter lokal zwischenspeichern, ist die Server-Last auch bei vielen Nutzern gering.
Funktionieren die offiziellen Bitwarden-Apps?
Ja. Sowohl Vaultwarden als auch der offizielle Bitwarden-Server implementieren dieselbe API. Alle offiziellen Clients funktionieren mit beiden Servern unverändert: Browser-Extensions (Chrome, Firefox, Safari, Edge), Desktop-Apps (Windows, macOS, Linux), Mobile-Apps (iOS, Android) und das CLI-Tool. In der App tragen Sie unter Einstellungen Ihre eigene Server-URL ein.
Wie sichere ich meine Daten?
Vaultwarden speichert alle Daten in einer SQLite-Datenbank und einem data-Verzeichnis. Empfohlen wird ein tägliches Backup dieser beiden Komponenten. Die dataforest Cloud bietet automatische tägliche Offsite-Backups als zubuchbare Zusatzoption. Zusätzlich empfehlen wir, die Datenbank eigenständig auf externe Systeme zu sichern.
Was passiert, wenn mein Server ausfällt?
Die Bitwarden-Clients speichern alle Passwörter lokal in einem verschlüsselten Cache. Sie haben auch offline Zugriff auf Ihre Passwörter. Sobald der Server wieder erreichbar ist, synchronisieren sich die Clients automatisch. Docker startet Vaultwarden bei einem Serverneustart automatisch neu.
Unterstützt Vaultwarden Zwei-Faktor-Authentifizierung?
Ja. Unterstützt werden Authenticator-Apps (TOTP), FIDO2 WebAuthn (z.B. YubiKey), E-Mail-Codes und Duo Security. Mehrere Methoden lassen sich parallel aktivieren. Für maximale Sicherheit empfiehlt sich ein Hardware-Schlüssel (FIDO2) in Kombination mit einer Authenticator-App als Backup.

Noch Fragen?

Dann stehen Ihnen unsere Experten gerne zur Verfügung. Sie werden überrascht sein, wie schnell wir sind.

Kontakt zu einem ExpertenZu den FAQs
Hintergrundbild