Leistungen
Lösungen
Use Cases
Branchen
Tools
Preise
Erstgespräch buchen
Tool im Einsatz

Vaultwarden

Der Passwort-Manager auf eigenem Server. Ein einziger Container, kompatibel mit allen Bitwarden-Apps für iOS, Android, Browser und Desktop — eine konkrete Alternative zu 1Password Business und LastPass Enterprise für .

Projekt-Profil

Vaultwarden

Unofficial Bitwarden-compatible server in Rust

Stand: 1. Juni 2026

GitHub-Sterne

62k

Forks

2.9k

Offene Issues

43

Lizenz

AGPL-3.0

Aktuelle Version

v1.36.0

Sprache

Rust

Erstveröffentlichung
17. Februar 2018
Letzter Commit
17. Mai 2026
→ GitHub-Repository→ Offizielle Website→ Dokumentation

Drittquelle · Wikidata (CC0)

Wikidata-Profil

Bitwarden

Q56319818

Lizenz

AGPL-3.0

Initial Release

2016-08-10

→ Wikidata-Eintrag

Was ist Vaultwarden?

Vaultwarden ist eine inoffizielle Server-Reimplementierung von Bitwarden in Rust, geschrieben vom spanischen Entwickler Daniel García. Sie sprechen den gleichen API-Dialekt wie der offizielle Bitwarden-Server — alle offiziellen Bitwarden-Apps (iOS, Android, Browser-Extension, Desktop) verbinden sich gegen einen Vaultwarden-Server, ohne den Unterschied zu bemerken.

Der entscheidende Unterschied: Der offizielle Bitwarden-Server ist ein 11-Container-Stack mit Microsoft SQL Server, gedacht für Enterprise-Setups. Vaultwarden ist ein einziger Container, etwa 50 MB RAM, mit SQLite oder optional /MariaDB. Für ein mit 5–500 Nutzern ist Vaultwarden die pragmatische Wahl — gleiche Apps, ein Bruchteil des Aufwands.

Warum ein Architekturbüro Vaultwarden nutzt

Ein modernes Architekturbüro betreut 50–100 aktive Bauprojekte gleichzeitig. Pro Projekt: Bauverwaltungsportal der Gemeinde, Energieversorger-Login, Bauherren-Cloud-Ordner, GAEB-Submissionsportal, Schadstoff-Datenbank, GEG-Berechnungstool. Mal zwölf Mitarbeitende, mal achtzig Projekte — schnell sind 1.800+ Logins zu verwalten.

Ein SaaS-Tresor wie 1Password oder LastPass würde die Aufgabe lösen, aber bedeutet: Adressen, Aktenzeichen, Ansprechpartner der Bauherren liegen bei einem US-Anbieter. Vaultwarden bietet die gleiche UX bei voller Datenhoheit — alle Passwörter im eigenen Container, alle Apps weiterhin offiziell.

Mandantenfall

Architekturbüro Hartmann + Voß

Zwölf Mitarbeitende — zwei Partner, sechs Architekten, zwei Bauleiter, zwei Sekretariat. Achtzig aktive Bauprojekte, jeder Mitarbeitende hat im Schnitt 150 verschiedene Logins. Vor zwei Jahren von einer Excel-Liste mit Passwörtern (!) auf Vaultwarden migriert. Heute: Browser-Extension auf jedem Rechner, Bitwarden-App auf jedem Smartphone.

Datenhoheit über Bauherren-Logins

Bauherren-Cloud-Logins, GAEB-Portale, Versicherungs-Logins sind sensibel — sie verraten Ansprechpartner und laufende Projekte. Die Vault-Datenbank muss auf eigenem Server liegen, nicht bei einem SaaS-Anbieter im Drittland.

Geteilte Vault-Folders pro Projekt

Pro Bauprojekt gibt es einen Ordner mit allen relevanten Logins — Bauverwaltung, Energieversorger, Bauherren-Cloud. Alle am Projekt beteiligten Architekten sehen den Ordner, nicht-beteiligte nicht.

Smartphone-Sync für Baustellenbesuche

Bauleiter sind oft vor Ort beim Mandanten oder auf der Baustelle. Sie brauchen Logins zum Energieversorger-Portal oder zur Bauverwaltung am Smartphone — ohne separates VPN, mit Face-ID-Schutz.

Sichere Passwort-Weitergabe

Externer Tragwerksplaner braucht einmalig den GAEB-Portal-Zugang. Vaultwarden Send verschickt das Passwort mit einer Verfallszeit, automatischer Lösch-Funktion und optionalem Passwort-Schutz.

TOTP-Generator im gleichen Vault

Mehr und mehr Behörden-Portale verlangen 2FA. Den TOTP-Generator in der gleichen App zu haben, in der das Passwort liegt, spart das Hin und Her zwischen Authenticator-App und Browser.

Self-Hosted aus DSGVO-Gründen

Auch Architekten-Daten sind personenbezogen (Bauherren-Adressen, Anschluss-Konfigurationen, Energieausweise). Ein SaaS-Tresor wäre eine Verarbeitung im Drittland — ist die saubere Lösung.

Was die Mitarbeitenden konkret nutzen

Acht typische Nutzungsmuster aus dem Vaultwarden-Alltag des Büros. Jedes ersetzt entweder einen SaaS-Reflex oder eine schlechte Praktik (Excel-Liste, Notizzettel, geteiltes Master-Passwort).

Persönlicher Vault pro Mitarbeitende

Jeder Mitarbeitende hat einen eigenen Vault — eigene Logins, eigene sichere Notizen, eigene 2FA-Codes. Niemand außer der Person selbst sieht den Inhalt. Bei Austritt: Account löschen, persönliche Logins sind weg, geteilte bleiben.

Organisations-Vault (geteilt)

Behörden-Portale, gemeinsame Tools (GAEB-Software, Architekten-Versicherung, Steuerberater-Portal) liegen im Organisations-Vault. Alle Mitarbeitende mit der Rolle 'Architekt' sehen sie, Sekretariat nur die Sekretariat-relevanten.

Projekt-Folder mit Berechtigung

Pro Bauprojekt ein Folder: 'Projekt 2026-053 — Sanierung Schule Hannover'. Inhalt: Login Stadt Hannover Bauamt, Login Stadtwerke, Login Schul-Cloud, GAEB-Submissions-Login. Sichtbar nur für die drei Projekt-Architekten + Partner.

TOTP-Codes für 2FA

Bauverwaltungsportal-Login → Vaultwarden füllt Passwort + TOTP-Code automatisch. Keine separate Authenticator-App, keine SMS-TANs, keine USB-Token. Schnell, sicher, integriert.

Sichere Notizen

WLAN-Passwörter der Stadtverwaltungen, PIN-Codes für Schließsysteme, Konfigurations-Notizen für die GAEB-Software. Nicht jedes Geheimnis ist ein Login — sichere Notizen sind verschlüsselt und durchsuchbar.

SSH-Keys und API-Tokens

Die zwei IT-affinen Architekten haben SSH-Keys für den Bauphasen-Bilder-Server und API-Tokens für die Drohnenflug-Plattform im Vault. Suchbar, kopierbar, zentral. Keine Schlüssel mehr auf zwölf verschiedenen Notebooks.

Passwort-Sharing mit Vaultwarden Send

Externer Tragwerksplaner braucht das GAEB-Portal-Passwort für drei Tage. Vaultwarden Send erstellt einen Link mit Verfallsdatum, max. drei Aufrufen und optionalem Sub-Passwort. Nach drei Tagen ist der Link tot.

Browser-Extension + Mobile

Auf jedem Rechner: Bitwarden-Browser-Extension, eingerichtet gegen vault.architekturbuero.de. Auf jedem Smartphone: Bitwarden-App, gleicher Server. Auto-Fill, Face-ID, Offline-Modus — alles wie beim SaaS-Original.

Kern-Funktionen von Vaultwarden

Was Vaultwarden technisch leistet — und welche Funktionen im Architekturbüro-Setup tatsächlich tragen.

Bitwarden-kompatible API

Vaultwarden spricht die offizielle Bitwarden-Server-API. Alle offiziellen Bitwarden-Apps (iOS, Android, Chrome/Firefox/Safari-Extension, Desktop) verbinden sich gegen die eigene Server-URL und arbeiten identisch.

Persönliche + Organisations-Vaults

Pro Nutzer ein persönlicher Vault, daneben ein oder mehrere Organisations-Vaults mit eigener Mitglieder-Verwaltung und feingranularen Zugriffsrechten — Read, Edit, Manage. Ordner-Struktur frei wählbar.

TOTP-Generator integriert

2FA-Codes (Time-Based One-Time Passwords) sind Teil des Vault-Eintrags. Auto-Fill setzt Passwort + TOTP gleichzeitig — keine separate Authenticator-App nötig, keine Code-Wechsel zwischen Apps.

Self-Hosted in einem Rust-Container

Ein Container, ein Volume, ca. 50 MB RAM-Bedarf. SQLite-Datenbank reicht für mehrere hundert Nutzer; /MariaDB für größere Setups. Updates über compose pull, Backup über das Datenverzeichnis.

Vaultwarden Send

Sicherer File- und Text-Versand mit Verfallsdatum, Aufruf-Limit und optionalem Passwort-Schutz. Klassische Anwendung: einmalige Passwort-Übergabe an externe Dienstleister, sichere Vertragsdokumente an Mandanten.

AGPL-3.0 — echtes Open Source

AGPL-3.0: Quellcode öffentlich, Modifikationen für selbst gehostete Services müssen ebenfalls veröffentlicht werden. Für KMU-Eigennutzung ohne Modifikationen unbedenklich, garantiert langfristige Verfügbarkeit der Software.

Alternativen ehrlich verglichen

Wenn Vaultwarden nicht passt — was sonst?

Drei Alternativen — eine offizielle Self-Hosted-Variante, eine Datei-basierte Lösung und ein SaaS-Schwergewicht. Jede mit eigenem Profil.

Offiziell Self-Hosted

Bitwarden Self-Hosted

Bitwarden Inc., GPL-3.0

  • + Offizielle Server-Implementierung
  • + Identische Features wie SaaS
  • − 11 Container + Microsoft SQL Server
  • − Deutlich höhere RAM- und Wartungslast

Datei-basiert

KeePassXC + Sync

KeePassXC-Team, GPL-3.0

  • + Kein Server nötig, .kdbx-Datei
  • + Sehr leichtgewichtig, offline-fähig
  • − Sync manuell (Nextcloud, NAS)
  • − Konflikt-Behandlung bei parallelen Edits

SaaS

1Password Business

AgileBits, USA

  • + Exzellente UX, beste Mobile-Apps
  • + Travel-Mode, Watchtower-Audit
  • − US-Cloud, Datenabgabe-Pflicht
  • − Ab 8 €/Nutzer/Monat, kumulativ

Faustregel: Wer 5–500 Nutzer und einen Linux-Server hat, ist mit Vaultwarden in 30 Minuten produktiv. Wer 1.000+ Nutzer hat und Microsoft-Stack betreibt, kann den offiziellen Bitwarden-Server überlegen. Wer ganz ohne Server arbeiten will, nutzt KeePassXC + Sync via NAS. SaaS ist die schnellste Lösung, wenn Datenhoheit egal ist.

Pricing

AGPL-3.0. Echtes Open Source. Ein Container.

Lizenz

AGPL-3.0 — Strong-Copyleft OSI-Open-Source. Eigennutzung ohne Auflagen. Wer Vaultwarden modifiziert und als Dienst Dritten anbietet, muss seine Modifikationen ebenfalls unter AGPL veröffentlichen. Für KMU-Eigenbetrieb ohne Modifikation: völlig unproblematisch.

Laufende Kosten

Ein Container auf dem bestehenden Docker-Host. RAM-Bedarf ca. 50 MB, kann gemeinsam mit anderen Stacks mitlaufen. Keine Per-Nutzer-Lizenz, keine Cloud-Gebühren, keine versteckten Kosten.

Aufwand

Installation: 15 Minuten (Container starten, Admin-Token setzen, hinter Caddy hängen). Initial-Setup für ein 12-Personen-Architekturbüro inkl. Schulung, Browser-Extensions und Migration aus Excel/Lastpass: 1–2 Beratungstage.

Wichtig: Vaultwarden ist NICHT vom offiziellen Bitwarden-Team. Es ist eine unabhängige Rust-Reimplementierung von Daniel García, vom Bitwarden-Team aber wohlwollend toleriert. Die offiziellen Bitwarden-Apps funktionieren voll kompatibel. Für KMU-Setups die mit Abstand pragmatischste Wahl gegenüber dem offiziellen 11-Container-Bitwarden-Server.

Caddy-Reverse-Proxy für vault.firma.de

vault.architekturbuero.de {
  reverse_proxy vaultwarden:80 {
    header_up X-Real-IP {remote_host}
    header_up X-Forwarded-Proto {scheme}
  }

  header {
    Strict-Transport-Security "max-age=63072000; includeSubDomains; preload"
    X-Frame-Options DENY
    X-Content-Type-Options nosniff
    Referrer-Policy strict-origin-when-cross-origin
    Permissions-Policy "interest-cohort=()"
  }

  encode gzip zstd
}
HTTPS-Endpoint mit erzwungenen Security-Headers und WebSocket-Pass-through für Echtzeit-Sync der Mobile-Apps. Quelle: Eigene Praxis, Public Domain.

Vaultwarden-Setup als Docker-Container

services:
  vaultwarden:
    image: vaultwarden/server:1.36.0
    container_name: vaultwarden
    restart: always
    environment:
      - DOMAIN=https://vault.architekturbuero.de
      - SIGNUPS_ALLOWED=false
      - INVITATIONS_ALLOWED=true
      - WEB_VAULT_ENABLED=true
      - WEBSOCKET_ENABLED=true
      - SMTP_HOST=mail.architekturbuero.de
      - SMTP_FROM=vault@architekturbuero.de
      - SMTP_SECURITY=starttls
      - ADMIN_TOKEN=${VAULTWARDEN_ADMIN_TOKEN}
    volumes:
      - ./vw-data:/data
    networks:
      - frontend

networks:
  frontend:
    external: true
Ein Container, eine persistente SQLite-Datenbank, hinter Caddy-Reverse-Proxy. Mehr braucht es nicht für ein vollständiges KMU-Setup mit bis zu mehreren hundert Nutzern. Quelle: Eigene Praxis, AGPL-3.0.

Verwandte Themen

Vaultwarden ist die erste Self-Hosted App

Vaultwarden braucht als Plattform und Caddy als HTTPS-Ebene davor. Sie ist eine von mehreren Apps, die einen Cloud-Tresor ersetzen:

→ Docker (Container-Engine)→ Caddy (HTTPS-Layer für vault.firma.de)→ Cluster: Self-Hosted Apps

Bereit für den nächsten Schritt?

Kostenloses Erstgespräch. Unverbindlich. In 30 Minuten wissen Sie, ob und wie KI Ihrem Unternehmen helfen kann.

Erstgespräch buchenFörderfähigkeit prüfen
Erstgespräch buchenBAFA-Förderung