Vaultwarden selbst hosten: Kostenloses Bitwarden für die Familie

Passwortmanager sind unverzichtbar geworden — dennoch zahlen die meisten Menschen entweder monatliche Abonnements für Cloud-Dienste wie 1Password oder LastPass oder, schlimmer noch, verwenden überall dasselbe schwache Passwort. Aber es gibt eine dritte Option: hoste deinen eigenen Passwortmanager selbst, der genauso gut ist wie die kostenpflichtigen Alternativen, völlig kostenlos und unter deiner vollständigen Kontrolle.

Willkommen bei Vaultwarden — einem leichten, Open-Source-Server, der mit allen offiziellen Bitwarden-Clients kompatibel ist. Er bietet dir das volle Bitwarden-Erlebnis (Browsererweiterungen, mobile Apps, Desktop-Apps, CLI), während deine verschlüsselten Passwörter auf deiner eigenen Hardware gespeichert werden. Keine Abonnements, keine Abhängigkeit von der Cloud, keine Vertrauensprobleme.

In diesem Leitfaden richten wir Vaultwarden von Grund auf mit Docker Compose ein. Am Ende hast du einen familienfreundlichen Passwortmanager, der nichts kostet und deine sensibelsten Daten genau dort aufbewahrt, wo sie hingehören — bei dir.

Warum Vaultwarden?

Bevor wir mit der Einrichtung beginnen, lass uns verstehen, warum Vaultwarden die erste Wahl für selbstgehostetes Passwortmanagement ist:

Die wichtigste Erkenntnis: Vaultwarden implementiert die gleiche API wie der offizielle Bitwarden-Server, sodass du die genau gleiche Client-Erfahrung erhältst — polierte Apps, nahtloses Autofill, sichere Freigabe — ohne für Cloud-Hosting zu bezahlen. Der offizielle Bitwarden-Server benötigt erhebliche Ressourcen (mehrere Container, SQL Server), während Vaultwarden problemlos auf einem Raspberry Pi läuft.

Was du benötigst

Die Anforderungen sind minimal:

• Ein Server — Jede Linux-Maschine, VPS, NAS oder sogar ein Raspberry Pi. Vaultwarden benötigt etwa 50 MB RAM.
• Docker und Docker Compose — die empfohlene Installationsmethode.
• Ein Domainname (empfohlen) — für HTTPS-Zugriff. Du kannst bei Bedarf eine kostenlose Subdomain von Diensten wie DuckDNS verwenden.
• Etwa 10 Minuten — ernsthaft, es ist so schnell.

Schritt 1: Docker installieren

Wenn Docker noch nicht installiert ist, richte es mit dem offiziellen Komfort-Skript ein:

# Docker installieren
curl -fsSL https://get.docker.com | sh

# Füge deinen Benutzer zur Docker-Gruppe hinzu
sudo usermod -aG docker clawdbot

# Melde dich ab und wieder an, dann überprüfe
docker --version
docker compose version

Schritt 2: Erstelle das Vaultwarden-Verzeichnis

Erstelle ein dediziertes Verzeichnis für deinen Passwortmanager:

# Verzeichnis erstellen und betreten
mkdir ~/vaultwarden
cd ~/vaultwarden

Schritt 3: Erstelle die Docker Compose-Datei

Erstelle eine docker-compose.yml-Datei:

# Erstelle die Compose-Datei
nano docker-compose.yml

Füge diese Konfiguration ein:

services:
  vaultwarden:
    image: vaultwarden/server:latest
    container_name: vaultwarden
    restart: unless-stopped
    environment:
      DOMAIN: "https://vault.yourdomain.com"
      SIGNUPS_ALLOWED: "true"
      ADMIN_TOKEN: "your-secure-admin-token-here"
      SMTP_HOST: "smtp.gmail.com"
      SMTP_FROM: "[email protected]"
      SMTP_PORT: "587"
      SMTP_SECURITY: "starttls"
      SMTP_USERNAME: "[email protected]"
      SMTP_PASSWORD: "your-app-password"
    volumes:
      - ./vw-data:/data
    ports:
      - "127.0.0.1:8080:80"

Hier sind die wichtigsten Einstellungen:

• DOMAIN: Deine vollständige URL mit HTTPS. Dies ist erforderlich, damit das Webvault ordnungsgemäß funktioniert.
• SIGNUPS_ALLOWED: Zunächst auf "true" setzen, um dein Konto zu erstellen, dann nach der Einrichtung auf "false" ändern.
• ADMIN_TOKEN: Ein sicherer Token für den Zugriff auf das Admin-Panel. Generiere einen mit: openssl rand -base64 48
• SMTP_*: E-Mail-Einstellungen für Passwortzurücksetzungen und Benachrichtigungen. Optional, aber empfohlen.
• Portbindung: Wir binden nur an 127.0.0.1 — ein Reverse-Proxy wird den externen Zugriff mit HTTPS übernehmen.

# Generiere einen sicheren Token
openssl rand -base64 48

# Beispielausgabe: kR9h2s8K...lange-zufällige-Zeichenfolge...
# Verwende dies als deinen ADMIN_TOKEN

Schritt 4: HTTPS mit Caddy einrichten (empfohlen)

Die Bitwarden-Clients benötigen HTTPS. Der einfachste Weg, dies einzurichten, ist mit Caddy, der SSL-Zertifikate automatisch verwaltet.

Füge Caddy zu deiner docker-compose.yml hinzu:

services:
  vaultwarden:
    image: vaultwarden/server:latest
    container_name: vaultwarden
    restart: unless-stopped
    environment:
      DOMAIN: "https://vault.yourdomain.com"
      SIGNUPS_ALLOWED: "true"
      ADMIN_TOKEN: "your-secure-admin-token-here"
    volumes:
      - ./vw-data:/data
    networks:
      - vaultwarden

  caddy:
    image: caddy:latest
    container_name: caddy
    restart: unless-stopped
    ports:
      - "80:80"
      - "443:443"
    volumes:
      - ./Caddyfile:/etc/caddy/Caddyfile:ro
      - ./caddy-data:/data
      - ./caddy-config:/config
    networks:
      - vaultwarden

networks:
  vaultwarden:
    driver: bridge

Erstelle die Caddyfile:

# Erstelle die Caddyfile
nano Caddyfile

Füge diese Konfiguration hinzu:

vault.yourdomain.com {
    reverse_proxy vaultwarden:80
}

Ersetze vault.yourdomain.com durch deine tatsächliche Domain. Caddy wird automatisch Let's Encrypt-Zertifikate abrufen und erneuern.

Schritt 5: Vaultwarden starten

Starte alles:

# Images abrufen und starten
docker compose up -d

# Überprüfe die Protokolle
docker compose logs -f

Gib Caddy eine Minute Zeit, um dein SSL-Zertifikat zu erhalten. Du solltest etwas sehen wie:

caddy  | erfolgreiches Zertifikat für vault.yourdomain.com erhalten

Schritt 6: Erstelle dein Konto

Gehe in deinem Browser zu https://vault.yourdomain.com. Du wirst die Bitwarden-Webvault-Oberfläche sehen. Klicke auf "Konto erstellen" und richte dein Master-Passwort ein.

Schritt 7: Öffentliche Anmeldungen deaktivieren

Sobald dein Konto erstellt ist, deaktiviere die öffentliche Registrierung:

# Bearbeite deine docker-compose.yml
nano docker-compose.yml

# Ändere:
SIGNUPS_ALLOWED: "false"

# Neustarten
docker compose up -d

Neue Benutzer können jetzt nur noch über das Admin-Panel eingeladen oder von bestehenden Benutzern mit Organisationsprivilegien erstellt werden.

Schritt 8: Richte die Bitwarden-Clients ein

Hier glänzt das Selbsthosting — du verwendest die offiziellen Bitwarden-Apps, die einfach auf deinen Server zeigen.

Browsererweiterungen

Installiere die Bitwarden-Erweiterung für deinen Browser (Chrome, Firefox, Safari).

1. Klicke auf das Erweiterungssymbol und wähle "Selbstgehostet"
2. Gib deine Server-URL ein: https://vault.yourdomain.com
3. Melde dich mit deinem Konto an

Mobile Apps

Installiere Bitwarden aus dem App Store oder Google Play.

1. Tippe auf den Regionsauswähler (zeigt standardmäßig "bitwarden.com" an)
2. Wähle "Selbstgehostet"
3. Gib deine Server-URL ein und melde dich an

Aktiviere die biometrische Entsperrung (Face ID, Fingerabdruck) für schnellen Zugriff, ohne jedes Mal dein Master-Passwort eingeben zu müssen.

Desktop-Apps

Lade sie von bitwarden.com/download herunter — verfügbar für Windows, macOS und Linux. Gleiche Einrichtung: Einstellungen → Selbstgehostet → gib deine URL ein.

Familienfreigabe einrichten

Eine der besten Funktionen von Vaultwarden ist unbegrenzte Organisationen — perfekt zum Teilen von Passwörtern mit Familienmitgliedern.

Erstelle eine Familienorganisation

1. Melde dich in deinem Webvault an
2. Klicke auf "Neue Organisation"
3. Benenne sie (z.B. "Familienpasswörter")
4. Wähle den "Kostenlosen" Plan (alle Funktionen sind verfügbar)

Lade Familienmitglieder ein

1. Gehe zu deiner Organisation → Mitglieder
2. Klicke auf "Benutzer einladen"
3. Gib ihre E-Mail-Adresse ein
4. Wähle ihre Rolle (Mitglied, Admin oder Eigentümer)

Wenn Anmeldungen deaktiviert sind, verwende das Admin-Panel (https://vault.yourdomain.com/admin), um Konten direkt zu erstellen.

Erstelle gemeinsame Sammlungen

Sammlungen sind wie Ordner, die mit bestimmten Mitgliedern geteilt werden können:

• Streaming-Dienste — Netflix, Disney+, etc. (mit allen teilen)
• WLAN-Passwörter — Heimnetzwerk, Häuser von Verwandten
• Gemeinsame Abonnements — Familienkonten, die jeder nutzt
• Notfallinformationen — Bankkonten, Versicherungen (auf vertrauenswürdige Mitglieder beschränken)

Wesentliche Sicherheitsverstärkungen

Dein Passwortvault ist ein hochgradiges Ziel. So kannst du es absichern:

Aktiviere die Zwei-Faktor-Authentifizierung

Melde dich in deinem Webvault an → Kontoeinstellungen → Zwei-Schritt-Anmeldung. Optionen sind:

• Authenticator-App (Google Authenticator, Authy, etc.) — empfohlen
• YubiKey — Hardware-Schlüssel für maximale Sicherheit
• E-Mail — sendet einen Code an deine E-Mail (erfordert SMTP-Einrichtung)

Richte Fail2Ban ein

Schütze dich vor Brute-Force-Angriffen, indem du IPs nach fehlgeschlagenen Anmeldeversuchen sperrst. Erstelle /etc/fail2ban/filter.d/vaultwarden.conf:

[Definition]
failregex = ^.*Benutzername oder Passwort ist falsch\. Bitte versuche es erneut\. IP: <ADDR>\. Benutzername:.*$
ignoreregex =

Und /etc/fail2ban/jail.d/vaultwarden.local:

[vaultwarden]
enabled = true
port = 80,443
filter = vaultwarden
logpath = /path/to/vw-data/vaultwarden.log
maxretry = 5
bantime = 1h
findtime = 15m

Regelmäßige Backups

Deine Vault-Daten befinden sich im Verzeichnis ./vw-data. Sichere sie regelmäßig:

# Einfaches Backup-Skript
#!/bin/bash
BACKUP_DIR="/backup/vaultwarden"
DATE=20260210

# Stoppe den Container für Konsistenz
docker compose -f ~/vaultwarden/docker-compose.yml stop

# Erstelle ein verschlüsseltes Backup
tar -czf - ~/vaultwarden/vw-data | gpg --symmetric --cipher-algo AES256 > "/vaultwarden-.tar.gz.gpg"

# Neustarten
docker compose -f ~/vaultwarden/docker-compose.yml up -d

Bewahre Backups außerhalb des Standorts auf — auf einem anderen Server, Cloud-Speicher mit clientseitiger Verschlüsselung oder sogar auf einem USB-Laufwerk in einem Safe.

Erweiterte Funktionen

Bitwarden Send

Send ermöglicht es dir, Text oder Dateien sicher mit jedem zu teilen — sogar mit Personen ohne ein Bitwarden-Konto. Perfekt zum Teilen von WLAN-Passwörtern mit Gästen oder zum Versenden sensibler Dokumente.

1. Gehe in einem beliebigen Bitwarden-Client zu Send
2. Erstelle ein neues Send (Text oder Datei)
3. Setze ein Ablaufdatum, maximale Zugriffszahl und optionales Passwort
4. Teile den generierten Link

Notfallzugang

Bestimme vertrauenswürdige Kontakte, die Zugriff auf deinen Vault anfordern können, wenn dir etwas zustößt:

1. Gehe zu Einstellungen → Notfallzugang
2. Füge vertrauenswürdige Kontakte hinzu (sie benötigen Vaultwarden-Konten)
3. Setze eine Wartezeit (z.B. 7 Tage)
4. Wenn sie Zugriff anfordern und du innerhalb der Wartezeit nicht ablehnst, erhalten sie schreibgeschützten Zugriff auf deinen Vault

Admin-Panel

Greife auf das Admin-Panel unter https://vault.yourdomain.com/admin mit deinem ADMIN_TOKEN zu. Hier kannst du:

• Alle Benutzer und Organisationen anzeigen
• Neue Benutzer einladen oder Konten löschen
• Serverkonfiguration und Diagnosen einsehen
• Datenbankwartung durchführen

Importieren vorhandener Passwörter

Wechselst du von einem anderen Passwortmanager? Bitwarden importiert aus nahezu allem:

Von Chrome/Firefox

1. Exportiere Passwörter aus deinem Browser (normalerweise im CSV-Format)
2. Im Bitwarden-Webvault: Werkzeuge → Daten importieren
3. Wähle deinen Browser als Quellformat aus
4. Lade die Datei hoch

Von 1Password, LastPass, Dashlane usw.

1. Exportiere aus deinem aktuellen Manager (überprüfe deren Dokumentation für Exportoptionen)
2. Im Bitwarden: Werkzeuge → Daten importieren
3. Wähle die Quellanwendung aus dem Dropdown-Menü aus
4. Lade deine Exportdatei hoch

Nach dem Importieren: Lösche die Exportdatei sicher — sie enthält alle deine Passwörter im Klartext!

Vaultwarden aktuell halten

Updates bringen Sicherheitsfixes und neue Funktionen. Aktualisiere regelmäßig:

# Navigiere zu deinem Vaultwarden-Verzeichnis
cd ~/vaultwarden

# Ziehe das neueste Image
docker compose pull

# Neustarten mit der neuen Version
docker compose up -d

# Alte Images bereinigen
docker image prune -f

Überprüfe die Vaultwarden-Release-Seite auf Änderungsprotokolle und breaking changes vor größeren Updates.

Fehlerbehebung

Kann nicht auf das Webvault zugreifen

• Überprüfe, ob deine DOMAIN-Umgebungsvariable genau mit deiner tatsächlichen URL übereinstimmt
• Überprüfe das SSL-Zertifikat: curl -I https://vault.yourdomain.com
• Überprüfe die Caddy-Protokolle: docker compose logs caddy

E-Mail-Benachrichtigungen funktionieren nicht

• Wenn du Gmail verwendest, benötigst du ein App-Passwort (nicht dein reguläres Passwort)
• Überprüfe die SMTP-Einstellungen im Admin-Panel → Diagnosen
• Versuche, eine Test-E-Mail aus dem Admin-Panel zu senden

Mobile App kann keine Verbindung herstellen

• Stelle sicher, dass du HTTPS verwendest (nicht HTTP)
• Überprüfe, ob das SSL-Zertifikat gültig ist (nicht selbstsigniert, es sei denn, du hast es auf deinem Gerät installiert)
• Versuche zuerst, die Webvault-URL in deinem Handy-Browser aufzurufen

FAQ

Ist Vaultwarden so sicher wie Bitwarden?

Ja. Vaultwarden implementiert dasselbe Verschlüsselungsschema (AES-256-CBC mit PBKDF2-SHA256 oder Argon2id). Dein Vault wird lokal mit deinem Master-Passwort verschlüsselt, bevor irgendwelche Daten den Server berühren. Selbst wenn jemand deinen Server kompromittiert, kann er deine Passwörter nicht lesen, ohne dein Master-Passwort.

Was passiert, wenn mein Server ausfällt?

Bitwarden-Clients speichern deinen Vault lokal im Cache. Du kannst Passwörter weiterhin offline abrufen und ausfüllen. Du kannst nur keine neuen Änderungen synchronisieren, bis der Server wieder online ist.

Kann ich das mit mehreren Geräten verwenden?

Absolut. Melde dich auf so vielen Geräten an, wie du möchtest — Handys, Tablets, Computer, Browser. Änderungen synchronisieren sich automatisch.

Gibt es eine Begrenzung für Passwörter oder Benutzer?

Keine künstlichen Begrenzungen. Speichere so viele Passwörter, wie du möchtest, erstelle so viele Benutzerkonten und Organisationen, wie du benötigst. Die einzige Begrenzung ist der Speicherplatz deines Servers.

Kann ich später wieder zur Bitwarden-Cloud migrieren?

Ja. Exportiere deinen Vault aus Vaultwarden (Werkzeuge → Vault exportieren), und importiere ihn dann in ein Bitwarden-Cloud-Konto. Deine Daten sind portabel.

Was kommt als Nächstes?

Du hast jetzt einen professionellen Passwortmanager, der auf deiner eigenen Infrastruktur läuft. So kannst du das Beste daraus machen:

• Importiere alle deine Passwörter aus Browsern und anderen Managern
• Installiere die Browsererweiterung auf jedem Gerät — Autofill ist ein echter Game-Changer
• Richte die Familienfreigabe für gemeinsame Abonnements und Konten ein
• Aktiviere 2FA überall — Vaultwarden kann auch deine TOTP-Codes speichern
• Entdecke weitere selbstgehostete Apps im Hostly-Verzeichnis — vielleicht eine Foto-Backup-Lösung als Nächstes?

Passwortsicherheit ist nicht mehr optional — sie ist essenziell. Mit Vaultwarden erhältst du das Beste aus beiden Welten: die polierte Erfahrung kommerzieller Passwortmanager, mit der Privatsphäre und Kontrolle des Selbsthostings. Deine Passwörter bleiben deine, verschlüsselt auf deiner Hardware, zugänglich nur mit deinem Master-Passwort.

Keine monatlichen Gebühren. Keine Datenauswertung. Kein Vertrauen erforderlich. Nur sicheres, privates Passwortmanagement für dich und deine Familie.