Sicherheitguide

Vaultwarden – selbstgehosteter Passwort-Manager 2025

Bitwarden-kompatibel, kostenlos und vollständig selbst kontrolliert

S
SeeColors IT11. Juni 20264 Min. Lesezeit109 Aufrufe

Warum selbst hosten?

Vaultwarden vs. Bitwarden Cloud vs. LastPass:

Vaultwarden (self-hosted):
✅ Vollständige Datenkontrolle (DSGVO)
✅ Kostenlos (nur Server-Kosten)
✅ Bitwarden-kompatibel (alle Clients)
✅ Enterprise-Features kostenlos (2FA, Org)

Bitwarden Cloud:
✅ Kein eigener Server nötig
✅ Managed Service
❌ Daten bei US-Unternehmen

Vaultwarden mit Docker

# Docker Compose
mkdir -p /opt/vaultwarden
cat > /opt/vaultwarden/docker-compose.yml << 'EOF'
services:
  vaultwarden:
    image: vaultwarden/server:latest
    container_name: vaultwarden
    volumes:
      - ./data:/data
    ports:
      - "127.0.0.1:8080:80"
    environment:
      DOMAIN: "https://vault.firma.de"
      SIGNUPS_ALLOWED: "false"     # Keine öffentlichen Registrierungen!
      ADMIN_TOKEN: "SICHERES_RANDOM_TOKEN"  # Admin-Panel
      EMERGENCY_ACCESS_ALLOWED: "true"
      SMTP_HOST: "mail.firma.de"
      SMTP_PORT: "587"
      SMTP_FROM: "[email protected]"
    restart: unless-stopped
EOF

cd /opt/vaultwarden && docker compose up -d

Nginx Reverse Proxy

# /etc/nginx/sites-available/vaultwarden
server {
    listen 443 ssl http2;
    server_name vault.firma.de;

    ssl_certificate     /etc/letsencrypt/live/vault.firma.de/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/vault.firma.de/privkey.pem;

    # Vaultwarden braucht diese Header
    add_header Strict-Transport-Security "max-age=63072000; includeSubDomains" always;
    add_header X-Frame-Options "SAMEORIGIN" always;
    add_header X-Content-Type-Options "nosniff" always;

    location / {
        proxy_pass http://127.0.0.1:8080;
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;
        client_max_body_size 128M;
    }

    # WebSocket für Live-Sync
    location /notifications/hub {
        proxy_pass http://127.0.0.1:3012;
        proxy_set_header Upgrade $http_upgrade;
        proxy_set_header Connection "upgrade";
    }
}

Benutzer verwalten

Admin-Panel: https://vault.firma.de/admin
(SIGNUPS_ALLOWED: false → Einladung per Admin nötig)

1. Admin-Panel öffnen
2. Users → Invite User
3. E-Mail-Einladung wird gesendet
4. Benutzer registriert sich über den Link

Organisation erstellen für Team-Sharing:
- Organisation = geteilter Passwort-Tresor
- Rollen: Owner, Admin, Manager, User

Backup

# Vaultwarden-Daten sichern
# SQLite-DB und Attachments

cat > /opt/scripts/backup-vault.sh << 'EOF'
#!/bin/bash
DATE=$(date +%Y%m%d_%H%M)
BACKUP="/backup/vaultwarden-$DATE.tar.gz"

# Container stoppen für konsistentes Backup
docker stop vaultwarden

# Backup erstellen
tar -czf $BACKUP /opt/vaultwarden/data/

# Container wieder starten
docker start vaultwarden

echo "Backup: $BACKUP"
EOF

chmod +x /opt/scripts/backup-vault.sh

FAQ

Ist Vaultwarden Ende-zu-Ende verschlüsselt?
Ja. Alle Passwörter werden Client-seitig verschlüsselt (AES-256). Selbst der Server-Admin kann keine Passwörter lesen – nur der Benutzer mit seinem Master-Passwort.

Fazit

Vaultwarden bietet DSGVO-konforme Passwortverwaltung für Teams mit allen Bitwarden-Features – kostenlos und vollständig unter eigener Kontrolle.

Self-hosted Passwort-Manager für KMU in Heidelberg, Mannheim und der Rhein-Neckar-Region. Anfragen.

Artikel teilen

LinkedIn X / Twitter Facebook WhatsApp

War dieser Artikel hilfreich?

Dein Feedback hilft uns, bessere Inhalte zu erstellen.

Kommentar hinterlassen

#Passwort Manager#Bitwarden#DSGVO#Vaultwarden

Verwandte Artikel

Backup-Verschluesselung – DSGVO-konform sichern 2025

4 Min.

Paperless-ngx – digitales Dokumenten-Management 2025

4 Min.

Passwortmanager-Vergleich – Bitwarden, 1Password, KeePass 2025

4 Min.