Zurück zum Blog
Vaultwarden – für mich der beste Passwortmanager
Grafik: SFWD
5 min lesen

Vaultwarden – für mich der beste Passwortmanager

Warum ich auf das selbstgehostete, kostenlose Bitwarden-Pendant setze – und wie mein abgesichertes Setup mit Docker, eigener VM und DMZ aussieht.

Sicherheit Self-Hosting Docker Passwortmanager

Ein gutes Passwort ist das Fundament digitaler Sicherheit – und ein guter Passwortmanager der Schlüssel dazu. Nach einigen Stationen bin ich bei Vaultwarden gelandet und nutze es seitdem täglich. Für mich ist es die beste Kombination aus Komfort, Funktionsumfang, Datenhoheit und Sicherheit. Und das Beste: Es ist kostenlos.

Was Vaultwarden ist

Vaultwarden (früher bitwarden_rs) ist eine schlanke, in Rust geschriebene Reimplementierung des Bitwarden-Servers – quasi ein kostenloser, ressourcenschonender Fork des Bitwarden-Backends. Der Clou: Es ist vollständig kompatibel mit den offiziellen Bitwarden-Clients. Ich nutze also die gewohnten, ausgereiften Apps und Browser-Erweiterungen – nur dass der Server bei mir zu Hause läuft und nicht in einer fremden Cloud.

Weil man selbst hostet, stehen Funktionen, die bei der offiziellen gehosteten Variante hinter einer Premium-Schranke liegen (etwa der integrierte TOTP-Generator oder Dateianhänge), ohne laufende Kosten zur Verfügung.

Funktionen im Alltag

  • Verschlüsselter Tresor für Logins, Passwörter, sichere Notizen, Kreditkarten und Identitäten.
  • Starker Passwortgenerator für einzigartige Passwörter pro Dienst.
  • Autofill in Browser, Desktop und auf dem Smartphone.
  • 2FA-Codes (TOTP) direkt im Tresor – ein Ort für Passwort und zweiten Faktor.
  • Passkeys für die passwortlose Anmeldung.
  • Sicheres Teilen über Organisationen und Collections sowie verschlüsselte „Sends”.
  • Geräteübergreifende Synchronisation in Echtzeit.

Ende-zu-Ende-Verschlüsselung (Zero Knowledge)

Der wichtigste Punkt vorweg: Der Tresor wird clientseitig ver- und entschlüsselt. Aus dem Master-Passwort wird auf dem Gerät ein Schlüssel abgeleitet (AES-256, Schlüsselableitung über PBKDF2 bzw. Argon2); der Server bekommt nur fertig verschlüsselte Daten zu sehen.

Das bedeutet: Selbst wenn jemand den Server vollständig kompromittiert, findet er dort nur Chiffrat. Ohne mein Master-Passwort ist das nutzlos – und dieses verlässt mein Gerät nie. Diese „Zero-Knowledge”-Architektur ist der Grund, warum Self-Hosting hier kein Sicherheitsrisiko, sondern ein Gewinn an Kontrolle ist.

Mein Setup

  • Docker in einer eigenen, abgeschotteten VM: Vaultwarden läuft als Container in einer virtuellen Maschine, die ausschließlich diesen einen Zweck erfüllt. Keine Mitbewohner, minimale Angriffsfläche, saubere Snapshots vor jedem Update.
  • Netzwerkseitig in einer DMZ: Die VM liegt in einer demilitarisierten Zone, getrennt vom internen LAN. Sollte der Dienst doch einmal kompromittiert werden, bleibt mein internes Netz davon unberührt.
  • Erreichbar lokal und über einen Reverse Proxy: Im Heimnetz greife ich direkt zu, von außen ausschließlich über einen vorgelagerten Reverse Proxy.

Sicherheitsaspekte im Detail

Gerade bei einem Passwortmanager zählt jede Schicht. Diese Punkte sind mir wichtig:

  • VM-Isolation: Eine dedizierte VM nur für Vaultwarden hält die Angriffsfläche klein und erlaubt mit Snapshots ein schnelles Zurückrollen, falls ein Update schiefgeht.
  • Netzsegmentierung per DMZ: Firewallregeln lassen nur das Nötigste durch. Ein Zugriff aus der DMZ ins interne Netz ist nicht möglich.
  • Reverse Proxy mit TLS: Der Proxy übernimmt die HTTPS-Verschlüsselung (gültiges Zertifikat), nach außen ist nur Port 443 offen. Der Container selbst ist nie direkt aus dem Internet erreichbar. Dazu kommen Security-Header, Rate-Limiting und ein Schutz gegen Brute-Force-Versuche.
  • Registrierung deaktiviert: Nachdem die Konten angelegt sind, ist die Selbstregistrierung abgeschaltet – niemand kann sich ungefragt ein Konto erstellen. Die Admin-Oberfläche ist ebenfalls abgesichert.
  • 2FA für den Tresor-Zugang: Selbst ein erratenes Master-Passwort allein reicht nicht aus.
  • Verschlüsselte Offsite-Backups: Der Datenbestand wird regelmäßig gesichert und ausgelagert – als Schutz vor Hardwaredefekt und Ransomware.
  • Starkes, einzigartiges Master-Passwort: Der eine Schlüssel, den man wirklich auswendig können muss – entsprechend lang und einmalig.

Fazit

Vaultwarden vereint für mich alles, was ein Passwortmanager können sollte: bewährte Clients, vollen Funktionsumfang, vollständige Datenhoheit – und das kostenlos. In Kombination mit einem durchdachten, mehrschichtig abgesicherten Setup aus eigener VM, DMZ und Reverse Proxy bekomme ich genau das, was ich von einem Passworttresor erwarte: maximale Sicherheit bei minimalem Kompromiss im Komfort.