Vaultwarden ist für mich eine der saubersten Self-Hosting-Lösungen überhaupt: Du kannst die Bitwarden-Clients weiterverwenden, hältst Daten, Backups und Betrieb aber vollständig in der eigenen Hand. In diesem Entwurf zeige ich dir die Vorteile und Nachteile, warum Vaultwarden so elegant ist und an welchen Stellen die Verantwortung wirklich bei dir liegt.
- Was ist Vaultwarden?
- Warum Vaultwarden so sinnvoll und elegant ist
- Sicherheit: warum das keine Marketing-Phrase ist
- Vorteile
- Nachteile (ehrlich)
- Typische Stolpersteine (und schnelle Fixes)
- Minimal-Setup (Docker + Reverse Proxy + Backup)
- Vergleich: Vaultwarden vs Bitwarden (Kurz)
- Fazit
Was ist Vaultwarden?
Vaultwarden ist ein inoffizieller, Bitwarden-kompatibler Server in Rust. Du hostest ihn selbst und bekommst damit die gewohnte Bitwarden-Erfahrung, ohne den deutlich schwergewichtigeren offiziellen Bitwarden-Stack betreiben zu müssen.
Warum Vaultwarden so sinnvoll und elegant ist
Vaultwarden wirkt deshalb so rund, weil es das Beste aus zwei Welten kombiniert:
- Ressourcenschonend: läuft stabil auf kleinen Servern und Raspberry Pi.
- Breite Client-Kompatibilität: Desktop, Mobile und Browser-Extensions funktionieren im Alltag wie gewohnt.
- Datenhoheit: Du entscheidest, wo die Tresore liegen und wie Backups aussehen.
- Moderne Auth-Features: TOTP und FIDO2/WebAuthn sind da; neue Komfortfunktionen des offiziellen Servers landen aber nicht immer gleichzeitig in Vaultwarden.
- Flexibel erweiterbar: Reverse Proxy, Monitoring, lokale Backups, alles unter deiner Kontrolle.
Sicherheit: warum das keine Marketing-Phrase ist
Vaultwarden gibt dir die volle Kontrolle - und genau das ist der Sicherheitsvorteil. Du kannst TLS sauber konfigurieren, den Zugriff hart absichern und Backups nach eigenen Regeln fahren. Die Kehrseite: Fehler in der eigenen Konfiguration sind das größte Risiko.
Vorteile
- Sehr wenig Ressourcen für einen kompletten Passwortmanager-Server
- Keine Abhängigkeit vom SaaS-Anbieter
- Bitwarden-Clients bleiben nutzbar (kein Umlernen)
- Geeignet für Homelab und kleine Teams
- Backups und Updates liegen komplett in deiner Hand
Nachteile (ehrlich)
- Kein offizieller Hersteller-Support: Probleme meldest du an die Vaultwarden-Community, nicht an Bitwarden.
- Updates, Migrationen und Backups sind deine Aufgabe
- Neue Bitwarden-Features wie Passkey-Login sowie manche Enterprise-Funktionen kommen teils später, nur eingeschränkt oder gar nicht
- Security-Hardening (TLS, Rate-Limits, Fail2ban) musst du selbst umsetzen
- Compliance- und Nachweispflichten bleiben im Business-Kontext bei dir
Typische Stolpersteine (und schnelle Fixes)
- HTTPS fehlt: Nur über HTTPS veröffentlichen; ohne sicheren Kontext funktionieren Web-Vault und einige Client-Funktionen nicht sauber.
- Backups vergessen: Automatisierte Backups für Datenbank und Attachments einplanen, sonst ist der Tresor ein Single Point of Failure.
- Updates verschoben: Regelmäßig updaten, damit Sicherheitsfixes und Client-Funktionen nicht auseinanderlaufen.
Minimal-Setup (Docker + Reverse Proxy + Backup)
Wenn du es schlank halten willst, reicht in der Praxis ein kleiner Docker-Stack:
- Vaultwarden-Container mit persistentem Volume für Daten und Attachments.
- Reverse Proxy (z. B. Nginx oder Caddy) mit sauberem TLS und funktionierenden WebSockets.
- Backup-Job (z. B. täglich), der das Datenverzeichnis versioniert sichert.
Optional, aber sinnvoll:
- Fail2ban oder Rate-Limits am Proxy.
- Monitoring/Healthchecks (Uptime Kuma, Prometheus, o. ä.).
- WebAuthn/FIDO2 oder SSO erst aktivieren, wenn TLS, DOMAIN und Proxy-Konfiguration sauber sitzen.
Vergleich: Vaultwarden vs Bitwarden (Kurz)
| Kriterium | Vaultwarden | Bitwarden (offiziell) |
|---|---|---|
| Hosting | Self-Hosting | Cloud oder Self-Hosting (offiziell) |
| Ressourcen | Sehr gering | Höherer Footprint |
| Support | Community | Offizieller Support |
| Organisationen/Teams | Ja, mit Einschränkungen | Voller Funktionsumfang |
| SSO/Policies | Teilweise, nicht vollständig deckungsgleich | Vollständig (Enterprise) |
| Compliance/Nachweise | Betrieb und Nachweise liegen bei dir | Bessere Enterprise-Werkzeuge, Self-Hosting bleibt aber deine Aufgabe |
| Verantwortung | Betrieb komplett bei dir | Je nach Modell: Anbieter oder du |
Fazit
Vaultwarden ist eine der elegantesten Self-Hosting-Lösungen für Passwortmanager, solange du bereit bist, Updates, Backups und Sicherheit sauber zu managen. Wenn du möglichst wenig Betriebsaufwand willst oder formale Enterprise- und Compliance-Anforderungen hast, ist die offizielle Bitwarden-Produktlinie meist der bessere Weg.