Im März 2025 verbanden Bundesstaatsanwälte eine Kryptobeschlagnahme mit einem Diebstahl, der mit dem LastPass-Hack begann. Opfer hatten Seed-Phrasen in sicheren Notizen gespeichert, Angreifer hatten 2022 verschlüsselte Tresordaten gestohlen, und schwache Master-Passwörter wurden später offline geknackt. Lesen Sie die Berichterstattung zu diesem Fall.
Diese Geschichte hat die Kategorie der selbst gehosteten Passwort-Manager nicht erschaffen, aber sie hat mehr Menschen in diese Richtung gedrängt.
Dieser Artikel überspringt die übliche Funktionsliste. Er gibt Ihnen die Wahl für den Einzelgebrauch, kleine Teams und Organisationen mit Prüfungsanforderungen. Er deckt auch die zwei Teile ab, die die meisten Anleitungen weglassen: Backups und Migration.
Die direkte Antwort
- Einzelnutzer, Familie oder Homelab: Vaultwarden auf einem kleinen VPS. Es nutzt die offiziellen Bitwarden-Clients, bleibt schlank und hält das Setup einfach.
- Kleines Team oder geteilter Anmeldedaten-Workflow: Vaultwarden Organisationen für mobile-intensive Teams oder Passbolt wenn die gemeinsame Nutzung von Anmeldedaten der eigentliche Grund für das Self-Hosting ist.
- Organisation mit Audit- oder Compliance-Anforderungen: Bitwardens offizieller selbst gehosteter Server. Es ist schwerer, aber es hat den Audit-Trail und den Anbieter-Support, den die meisten Organisationen benötigen.
- Egal, welches Sie wählen: Ein Backup, das Sie noch nie wiederhergestellt haben, ist kein Backup. Testen Sie eine vollständige Wiederherstellung auf einer leeren Maschine.
Was Self-Hosting bedeutet
Das Verschlüsselungsmodell ändert sich nicht. Die Verschlüsselung findet weiterhin auf dem Client statt. Der Server speichert Chiffretext, den er nicht lesen kann. Der Unterschied liegt darin, wer den Server betreibt. Bei Cloud-Bitwarden betreibt Bitwarden ihn. Bei Vaultwarden oder Bitwarden selbst gehostet sind Sie es.
Das ist nicht dasselbe wie ein Secrets-Manager wie HashiCorp Vault, Doppler oder AWS Secrets Manager. Diese Tools dienen Apps. Passwort-Manager dienen Menschen.
Was hier im Fokus steht: Vaultwarden, Bitwarden selbst gehostet, Passbolt CE, Psono und KeePassXC mit Syncthing als serverlose Option.
Die fünf Tools auf einen Blick
| Werkzeug | Stapel | Typischer Ressourcenbedarf | Prüfstatus | Am besten geeignet für |
|---|---|---|---|---|
| Vaultwarden | Rust, einzelner Docker-Container | ~50 MB im Leerlauf | Kein formelles Drittanbieter-Audit | Einzelpersonen, Familien, kleine Teams |
| Bitwarden selbst gehostet | .NET, Multi-Container-Stack | ~2 GB im Leerlauf | Veröffentlichte Drittanbieter-Audits | Organisationen, die einen Audit-Verlauf benötigen |
| Passbolt CE | PHP / MariaDB / NGINX | ~512 MB Arbeitsspeicher | Von Dritten geprüft | Team-zentriertes Teilen von Anmeldedaten |
| Psono | Python / PostgreSQL, Multi-Container | ~512 MB+ | Teilweiser Audit-Verlauf | Teams, die ein unternehmensähnliches Freigabemodell wünschen |
| KeePassXC + Syncthing | Lokale DB + Peer-Synchronisation | Kein Server | Unabhängige Bewertungen veröffentlicht | Einzelnutzer, die überhaupt keinen Server wollen |
Vaultwarden
Vaultwarden ist eine Rust-Neuimplementierung des Bitwarden-Servers. Es verwendet die offiziellen Bitwarden-Clients, sodass sich die tägliche Nutzung genauso anfühlt wie bei Cloud-Bitwarden. Es läuft in einem einzigen Docker-Container und hält den Ressourcenverbrauch niedrig.
Der Kompromiss ist einfach. Vaultwarden hat kein formelles Sicherheitsaudit durch Dritte. Das macht es nicht schlecht. Es bedeutet nur, dass das Vertrauensmodell anders ist.
Für Einzelnutzer, Paare und Familien ist dieser Kompromiss in der Regel in Ordnung. Für stark mobile Teams ist es immer noch eine solide Wahl, wenn sie hauptsächlich persönliche Tresore mit einigen gemeinsamen Sammlungen nutzen.
Ein kleiner VPS reicht für die meisten Vaultwarden-Setups aus. Rund 1 GB ist der Sweetspot für einen persönlichen Tresor. Für einen kleinen Haushalt oder ein Team mit etwas mehr Aktivität geben 2 GB mehr Spielraum.
Halten Sie es aktuell. Änderungen an Bitwarden-Clients können ältere Vaultwarden-Builds vorübergehend beeinträchtigen, also lassen Sie den Server nicht monatelang veralten.
Wählen: Vaultwarden für die meisten persönlichen Anwendungsfälle.
Bitwarden Selbst Gehostet
Bitwarden selbst gehostet ist der vollständige Anbieter-Stack. Er ist schwerer als Vaultwarden, aber das ist der Preis für das genaue Bitwarden-Servermodell, veröffentlichte Audit-Arbeit und einen Support-Pfad, der sich leichter gegenüber der Beschaffung oder Sicherheitsbeauftragten vertreten lässt.
Bitwarden veröffentlicht Drittanbieter-Bewertungsarbeiten zu all seinen Produkten.
Dies ist die richtige Wahl für Organisationen, die Fragen mit Daten und Berichten beantworten müssen, nicht mit Ausflüchten. Es benötigt auch mehr Ressourcen. Eine kleine Organisation sollte einen 4-GB-VPS als Ausgangspunkt einplanen, mit mehr Spielraum für größere Teams oder umfangreichere Backup-Jobs.
Wahl: Bitwarden selbst gehostet wenn der Audit-Verlauf wichtiger ist als ein schlanker Stack.
Passbolt CE
Passbolt wurde von Anfang an für Teams entwickelt. Sein Freigabemodell ist granularer als das, was die meisten persönlichen Passwort-Manager-Setups bieten, und genau das ist der Punkt. Es funktioniert am besten, wenn gemeinsame Anmeldedaten die Hauptaufgabe sind, kein Nachgedanke.
Der Nachteil liegt beim Mobilgerät. Passbolt ist in der Praxis immer noch Desktop-first. Ein Offline-Notfallzugriffsmodus ist auf der Roadmap, aber das ist nicht dasselbe wie eine ausgereifte Offline-Erfahrung heute.
Passbolt benötigt auch mehr Ressourcen als Vaultwarden. Ein 2-GB-VPS ist das Minimum, und 4 GB ist ein sicherer Ausgangspunkt für einen echten Team-Stack.
Wahl: Passbolt CE wenn der gemeinsame Anmeldedaten-Workflow der einzige Grund für das Self-Hosting ist.
Psono
Psono liegt in der Mitte. Es hat ein unternehmensähnliches Freigabemodell, separate Admin- und Benutzerportale und eine Struktur, die die Verwaltung des Gruppenzugangs einfacher macht als bei einem einfachen persönlichen Passwort-Tresor.
Es ist weniger verbreitet als Vaultwarden, Bitwarden oder Passbolt, daher ist die Community kleiner.
Psono ist sinnvoll für Teams, die etwas Strukturierteres als Vaultwarden Organizations wollen, aber nicht die mobilen Kompromisse von Passbolt in Kauf nehmen möchten.
Wahl: Psono für Teams, die ein unternehmensähnlicheres Freigabemodell wünschen, ohne direkt zu Bitwarden selbst gehostet zu wechseln.
KeePassXC + Syncthing
Das ist der serverlose Weg. KeePassXC speichert Anmeldedaten in einem lokal verschlüsselten .kdbx Datei. Syncthing kopiert diese Datei auf alle Ihre Geräte. Kein Server. Keine API. Kein Docker. Keine monatliche Rechnung.
Die Kompromisse sind real. Es gibt keine richtige Team-Freigabe. Die Konfliktverwaltung wird unübersichtlich, wenn zwei Geräte gleichzeitig schreiben. Es gibt kein Web-Vault, also ist der Zugriff von einem ausgeliehenen Gerät nicht möglich.
Das ist die richtige Antwort für einen einzelnen Nutzer mit zwei oder drei Geräten, der keine Infrastruktur betreiben möchte.
Wählen: KeePassXC + Syncthing für die serverlose Zielgruppe.
Backup-Regeln, die zählen
Ein selbst gehosteter Passwort-Manager ist nur so gut wie der Wiederherstellungsprozess dahinter.
Der sicherste Ansatz ist einfach:
- drei Kopien der Daten aufbewahren
- sie auf zwei verschiedenen Arten von Medien speichern
- eine Kopie außerhalb des Standorts aufbewahren
Ein einfaches Setup funktioniert gut. Machen Sie nächtlich ein Datenbank-Dump, kopieren Sie es in S3-kompatiblen Speicher und halten Sie eine zweite Kopie auf Wechselmedien, die irgendwo anders aufbewahrt wird.
Dann erledige den Teil, den die meisten überspringen. Stelle ein Backup auf einer leeren VM wieder her und melde dich an. Wenn das klappt, hast du ein Backup. Wenn nicht, hast du eine Datei, von der du hoffst, dass sie funktioniert.
Migration von LastPass, 1Password oder Bitwarden Cloud
Der einfachste Schritt in dieser Liste ist der Wechsel von Bitwarden Cloud zu Vaultwarden. Ändere die Server-URL im Client, melde dich an und synchronisiere.
Die Migration von LastPass zu Vaultwarden erfordert mehr Aufwand. Exportiere den LastPass-Tresor als CSV, importiere ihn über den Bitwarden-Client und zeige denselben Client auf deinen selbst gehosteten Server.
Drei Dinge brauchen Aufmerksamkeit:
- Anhänge werden getrennt vom CSV exportiert. Lade sie manuell erneut hoch.
- Die Ordnerstruktur kann sich verschieben. Mach einen schnellen Durchlauf, bevor du dem neuen Layout vertraust.
- TOTP-Seeds müssen überprüft werden. Melde dich bei einigen Konten an, bevor du den alten Tresor löschst.
Die universelle Regel ist einfach: Lösche den Quell-Tresor nicht vor 30 Tagen.
Welche Option passt zu welchem Leser
Wenn du den reibungslosesten Weg für den persönlichen Gebrauch willst, wähle Vaultwarden.
Wenn dein Team gemeinsame Zugangsdaten braucht und hauptsächlich auf dem Desktop arbeitet, ist Passbolt die klarste Wahl.
Wenn Audit-Verlauf und Herstellersupport an erster Stelle stehen, ist Bitwarden self-hosted die sicherere Wahl.
Wer komplett auf einen Server verzichten möchte, findet in KeePassXC plus Syncthing den saubersten Ausweg.
Fazit
Wählen Sie die Einrichtung, die zu Ihrem Anwendungsfall passt, stellen Sie das passende Tool bereit und legen Sie los.
Der nächste Schritt ist der Cold-Restore-Test. Starten Sie eine leere VM, stellen Sie Ihr letztes Backup wieder her und melden Sie sich an.
