Zwei quelloffene Passwort-Manager dominieren 2026 die Empfehlungslisten von Sicherheitsexperten in Österreich: KeePassXC und Bitwarden. Beide sind Open Source, beide setzen auf AES-256, beide kosten in der Grundnutzung null Euro. Trotzdem könnten ihre Philosophien kaum unterschiedlicher sein. KeePassXC speichert Ihre Passwörter in einer einzigen verschlüsselten Datei auf Ihrer Festplatte, ohne Cloud, ohne Konto, ohne Server. Bitwarden synchronisiert Ihren Tresor über die Cloud auf jedes Gerät und bietet ein Premium-Abo für 19,80 US-Dollar im Jahr.
Dieser Vergleich prüft beide Programme anhand harter Daten: Verschlüsselungsalgorithmen, Iterationszahlen der Schlüsselableitung, unabhängige Sicherheitsaudits, Performance-Messungen, Plattform-Abdeckung und Preisstrukturen. Am Ende steht ein klares Urteil, welcher Passwort-Manager für welchen Anwendertyp die richtige Wahl ist. Wer die Einrichtung gleich angehen will, findet in unserer KeePassXC-Anleitung in 12 Schritten eine praktische Ergänzung.
KeePassXC vs. Bitwarden: Das Wichtigste in Kürze
Beide Tools lösen dasselbe Problem auf gegensätzliche Weise. KeePassXC ist ein reiner Offline-Tresor: Die Datenbank (eine KDBX-Datei) liegt lokal, Sie kontrollieren jede Kopie selbst. Bitwarden ist ein Cloud-Dienst mit optionaler Selbst-Hosting-Variante: Der verschlüsselte Tresor synchronisiert automatisch zwischen Desktop, Smartphone und Browser. Wer maximale Datenhoheit ohne fremde Server will, greift zu KeePassXC. Wer nahtlose Synchronisierung über viele Geräte und einfache Familienfreigabe braucht, ist mit Bitwarden besser bedient.
Die Kurzfassung des Urteils: KeePassXC gewinnt bei Datenschutz-Puristen, Bitwarden gewinnt bei Komfort und Teamnutzung. Beide bestehen aus kryptografischer Sicht. Der Unterschied liegt nicht in der Stärke der Verschlüsselung, sondern im Vertrauensmodell. Bei KeePassXC vertrauen Sie nur sich selbst und Ihrer eigenen Backup-Disziplin. Bei Bitwarden vertrauen Sie zusätzlich einem geprüften Cloud-Anbieter, der den Tresor ausschließlich Ende-zu-Ende-verschlüsselt speichert.
| Kriterium | KeePassXC | Bitwarden |
|---|---|---|
| Modell | Lokal/Offline | Cloud + Self-Hosting |
| Preis Basis | 0 € (komplett gratis) | 0 € (Free-Tarif) |
| Premium | nicht nötig | 19,80 $/Jahr |
| Synchronisierung | manuell/eigene Cloud | automatisch |
| Open Source | Ja (GPLv3) | Ja (GPLv3, Client) |
| Bester Einsatz | Einzelnutzer, Datenschutz | Multi-Device, Familien |
Was ist KeePassXC?
KeePassXC ist ein quelloffener Passwort-Manager, der unter der GPLv3-Lizenz steht und vollständig kostenlos bleibt. Das Projekt entstand 2017 als Community-Fork von KeePassX, der seinerseits auf das ursprüngliche Windows-Programm KeePass zurückgeht. Das Kürzel “XC” steht für “Cross-Platform”: KeePassXC läuft nativ auf Windows, macOS und Linux aus einer gemeinsamen Codebasis. Die aktuelle stabile Version ist 2.7.12, veröffentlicht am 10. März 2026.
Das Kernprinzip von KeePassXC ist radikale Datenhoheit. Alle Passwörter, Notizen, TOTP-Codes und Dateianhänge landen in einer einzigen verschlüsselten Datei im KDBX-Format. Diese Datei verlässt Ihren Rechner nur, wenn Sie sie selbst kopieren. Es gibt keinen Server von KeePassXC, kein Benutzerkonto, keine Telemetrie und keine Cloud-Pflicht. Wer mehrere Geräte synchronisieren will, legt die KDBX-Datei in einen Ordner, den ein Dienst wie Nextcloud, Syncthing oder ein USB-Stick spiegelt.
Funktional ist KeePassXC erstaunlich vollständig. Es beherrscht einen integrierten Passwortgenerator, TOTP-Generierung für die Zwei-Faktor-Authentifizierung, einen Passwort-Gesundheitsbericht über die HIBP-Schnittstelle, sowie SSH-Agent-Integration für Entwickler. Die Browser-Integration läuft über die offizielle Erweiterung KeePassXC-Browser, die per Native-Messaging-Protokoll mit der Desktop-App kommuniziert. Anmeldedaten werden also nie über das Internet übertragen, sondern lokal zwischen Browser und App ausgetauscht.
Ein Alleinstellungsmerkmal ist die Auto-Type-Funktion. Statt eine Browser-Erweiterung zu benötigen, simuliert KeePassXC Tastatureingaben und füllt so Anmeldefelder in praktisch jeder Anwendung aus, auch in Desktop-Programmen und Remote-Sitzungen. Version 2.7.12 erweiterte diese Funktion um den Platzhalter {TIMEOTP}, der zeitbasierte Einmalcodes direkt per Auto-Type einsetzt. Damit deckt KeePassXC Szenarien ab, an denen reine Cloud-Manager scheitern.
Was ist Bitwarden?
Bitwarden ist ein quelloffener Cloud-Passwort-Manager, gegründet 2016 mit Hauptsitz in den USA. Die Client-Anwendungen stehen unter der GPLv3-Lizenz, der Server-Code ist ebenfalls offen einsehbar. Bitwarden hat sich in den vergangenen Jahren zum De-facto-Standard unter den datenschutzfreundlichen Passwort-Managern entwickelt, vor allem weil es einen außergewöhnlich großzügigen Gratis-Tarif mit einem geprüften Geschäftsmodell verbindet.
Anders als KeePassXC synchronisiert Bitwarden Ihren Tresor automatisch über die Cloud. Sie melden sich mit E-Mail und Master-Passwort an, und der Tresor erscheint identisch auf jedem Gerät. Entscheidend dabei: Die Ver- und Entschlüsselung passiert ausschließlich lokal auf Ihrem Gerät. Bitwarden bezeichnet das als Zero-Knowledge-Architektur. Der Server sieht nur einen verschlüsselten Datenblock, niemals Ihr Master-Passwort oder Klartext-Passwörter.
Der Gratis-Tarif von Bitwarden umfasst unbegrenzt viele Passwörter auf unbegrenzt vielen Geräten für eine Person. Diese Kombination ist selten: Die meisten kommerziellen Konkurrenten begrenzen entweder die Gerätezahl oder die Eintragsmenge. Premium für 19,80 US-Dollar im Jahr ergänzt verschlüsselten Dateianhang, erweiterte Zwei-Faktor-Optionen wie YubiKey, den Passwort-Gesundheitsbericht und seit den jüngsten Updates Vault-Health-Warnungen sowie Passwort-Coaching.
Für Technikaffine bietet Bitwarden eine Selbst-Hosting-Option. Per Docker oder über die schlankere “Unified”-Variante betreiben Sie eine eigene Bitwarden-Instanz auf dem heimischen Server oder einem VPS. Damit verbindet Bitwarden den Komfort der Cloud-Synchronisierung mit der Datenhoheit, die sonst nur lokale Lösungen wie KeePassXC bieten. Mehr zum Schutz vor Datenabfluss lesen Sie in unserem Überblick zu Datenlecks und wie Sie sich schützen.
Spezifikationen im direkten Vergleich
Die folgende Tabelle stellt die technischen Eckdaten beider Passwort-Manager gegenüber. Sie zeigt, dass die Programme bei der Kern-Kryptografie auf demselben Niveau spielen, sich aber in Architektur, Synchronisierung und Komfortfunktionen klar unterscheiden. Alle Angaben beziehen sich auf die im Juni 2026 aktuellen Stable-Versionen.
| Spezifikation | KeePassXC 2.7.12 | Bitwarden |
|---|---|---|
| Architektur | Lokale KDBX-Datei | Cloud-Sync, Zero-Knowledge |
| Verschlüsselung | AES-256 / ChaCha20 / Twofish | AES-256 |
| Schlüsselableitung | Argon2id (Standard) / AES-KDF | PBKDF2-SHA-256 / Argon2id |
| Standard-Iterationen | Argon2id, mehrere Durchläufe | PBKDF2 600.000 |
| Datenbankformat | KDBX 4.1 | verschlüsselter JSON-Blob |
| Synchronisierung | eigene Cloud/Dateiablage | automatisch über Server |
| Browser-Integration | Native Messaging | Erweiterung + Cloud |
| Auto-Type/Autofill | Auto-Type systemweit | Autofill im Browser/App |
| TOTP/2FA-Codes | Ja (inkl. {TIMEOTP}) | Ja (Premium) |
| Passkeys | experimentell | Ja (Speichern & Login) |
| Selbst-Hosting | entfällt (rein lokal) | Docker / Unified |
| Plattformen | Win, macOS, Linux | Win, macOS, Linux, iOS, Android, Web |
| Mobile App | Drittanbieter (KeePassium, KeePassDX) | offiziell iOS & Android |
| Lizenz | GPLv3 | GPLv3 (Client) |
| Preis | 0 € | 0 € / 19,80 $ Premium |
Die wichtigste Erkenntnis aus dieser Tabelle: Beim mobilen Einsatz dreht sich das Bild. Bitwarden liefert offizielle Apps für iOS und Android mit Autofill-Integration ins Betriebssystem. KeePassXC selbst hat keine offizielle Mobil-App. Stattdessen greift man unter iOS zu KeePassium und unter Android zu KeePassDX, beides eigenständige, ebenfalls quelloffene Projekte, die das KDBX-Format lesen. Das funktioniert zuverlässig, erfordert aber, dass man die Tresordatei selbst auf das Telefon synchronisiert.
Verschlüsselung und Sicherheitsarchitektur
Bei der Verschlüsselung trennen sich die Wege im Detail, nicht in der Grundsicherheit. Beide Manager nutzen AES-256, den symmetrischen Standard, den auch Banken und Behörden einsetzen. Wer die Grundlagen vertiefen will, findet in unserem Artikel zur Passwortsicherheit die Erklärung, warum ein langes Master-Passwort wichtiger ist als jede Algorithmuswahl.
KeePassXC: drei Chiffren zur Wahl
KeePassXC lässt Sie zwischen drei symmetrischen Chiffren wählen: AES-256, dem schnellen Stream-Cipher ChaCha20 und dem konservativen Twofish. Standard ist AES-256. Für die Schlüsselableitung, also den Schritt, der aus Ihrem Master-Passwort den eigentlichen Verschlüsselungsschlüssel macht, setzt KeePassXC seit dem KDBX-4-Format standardmäßig auf Argon2id. Dieser Algorithmus gewann 2015 die Password Hashing Competition und ist gezielt darauf ausgelegt, sowohl GPU- als auch ASIC-gestützte Brute-Force-Angriffe teuer zu machen, weil er konfigurierbar viel Arbeitsspeicher belegt.
Das aktuelle Datenbankformat ist KDBX 4.1. Es speichert nicht nur Passwörter, sondern auch Gruppen, benutzerdefinierte Felder, Dateianhänge und Verlaufsdaten innerhalb einer einzigen authentifizierten, verschlüsselten Datei. Version 2.7.12 brachte zusätzlich eine Härtung gegen DLL-Injection unter Windows: Manipulierte OpenSSL-Konfigurationsdateien können seither keinen Schadcode mehr in den Prozess einschleusen. Solche konkreten Sicherheitsverbesserungen unterstreichen die aktive Pflege des Projekts.
Bitwarden: 600.000 PBKDF2-Iterationen
Bitwarden verschlüsselt den Tresor mit AES-256. Standard für die Schlüsselableitung ist PBKDF2 mit SHA-256 und 600.000 Iterationen. Diese Zahl ist kein Zufall: Bitwarden hob den Standardwert nach Empfehlung der OWASP von zuvor 100.000 auf 600.000 an, um moderne GPU-Cluster auszubremsen. Wer es noch härter will, stellt in den Sicherheitseinstellungen auf Argon2id um und konfiguriert Speicher- und Parallelitätsparameter selbst. Damit erreicht Bitwarden dasselbe Schutzniveau wie KeePassXC bei der Schlüsselableitung.
Der architektonische Unterschied bleibt das Vertrauensmodell. Bei Bitwarden liegt der verschlüsselte Tresor auf einem fremden Server. Sollte ein Angreifer diesen Server kompromittieren, erbeutet er nur den Chiffretext, nicht die Klartextpasswörter, solange Ihr Master-Passwort stark ist. Genau diese Annahme macht ein langes, einzigartiges Master-Passwort bei Cloud-Managern noch wichtiger als bei rein lokalen. Hintergründe zur Transportverschlüsselung zwischen Client und Server liefert unser Beitrag zu HTTPS und TLS.
Sicherheitsaudits und Zertifizierungen
Open Source allein garantiert keine Sicherheit, unabhängige Audits aber schon einen prüfbaren Vertrauensanker. Hier liefern beide Projekte, allerdings mit unterschiedlichem Schwerpunkt. Bitwarden beauftragt regelmäßig die Berliner Sicherheitsfirma Cure53 mit Penetrationstests und Quellcode-Analysen. Die Ergebnisse veröffentlicht Bitwarden als Compliance- und Audit-Berichte. Hinzu kommen formale Zertifizierungen: Bitwarden weist nach eigenen Angaben SOC 2 Type 2 und ISO 27001 nach, beides anerkannte Standards für Informationssicherheits-Management, die für Unternehmenskunden oft Pflicht sind.
KeePassXC setzt auf eine andere Form der Validierung. Im Jahr 2025 erhielt die Version 2.7.9 die CSPN-Zertifizierung durch die französische Cyber-Sicherheitsbehörde ANSSI. CSPN (“Certification de Sécurité de Premier Niveau”) ist eine staatlich anerkannte Sicherheitsbewertung, die ein zugelassenes Labor durchführt. Für ein rein ehrenamtlich getragenes Open-Source-Projekt ist eine behördliche Zertifizierung bemerkenswert und ein starkes Vertrauenssignal, gerade im europäischen Behördenumfeld.
Ein häufig diskutierter Punkt betrifft die Lizenzdebatte um das Bitwarden-SDK. Ende 2024 sorgte eine Änderung der SDK-Lizenz für Unruhe in der Community, weil Teile des Build-Prozesses unter eine restriktivere Lizenz fielen. Bitwarden reagierte und stellte klar, dass die Clients weiterhin unter GPLv3 stehen und sich quelloffen bauen lassen. Die Episode zeigt, wie wachsam die Open-Source-Gemeinde bei kommerziell getragenen Projekten ist, und dass öffentlicher Druck zu Korrekturen führt.
Unterm Strich verfügen beide über glaubwürdige externe Prüfungen. Bitwarden punktet bei formalen Unternehmenszertifizierungen (SOC 2, ISO 27001), KeePassXC bei einer behördlichen Produktzertifizierung (ANSSI CSPN). Weder für KeePassXC noch für Bitwarden ist im Zeitraum 2024 bis 2026 ein gravierender, ausgenutzter Sicherheitsvorfall mit Tresor-Kompromittierung öffentlich dokumentiert. Beide Codebasen werden aktiv gepflegt und schließen gemeldete Schwachstellen zügig.
Open Source: Warum quelloffener Code Vertrauen schafft
Ein Passwort-Manager verwaltet die Schlüssel zu Ihrem gesamten digitalen Leben. Niemand sollte einer solchen Software blind vertrauen müssen. Genau hier liegt der gemeinsame Trumpf von KeePassXC und Bitwarden: Beide sind quelloffen. Jeder Sicherheitsforscher, jede Entwicklerin kann den Code lesen, prüfen und auf Hintertüren oder Schwächen abklopfen. Bei proprietären Konkurrenten bleibt diese Prüfung Außenstehenden verwehrt, man muss dem Hersteller auf sein Wort glauben. Quelloffenheit ersetzt Vertrauen durch Überprüfbarkeit, und das ist im Sicherheitskontext ein fundamentaler Vorteil.
KeePassXC steht vollständig unter der GPLv3, sowohl die Anwendung als auch das Datenbankformat sind offen dokumentiert. Das hat ein ganzes Ökosystem kompatibler Programme hervorgebracht, von den Mobil-Apps KeePassium und KeePassDX bis zu Kommandozeilen-Werkzeugen. Diese Vielfalt ist ein Resultat des offenen Formats: Niemand ist an einen einzigen Anbieter gebunden, und selbst wenn das KeePassXC-Projekt eines Tages eingestellt würde, blieben die Datenbanken mit anderen Werkzeugen lesbar. Diese Langzeitsicherheit ist ein unterschätztes Argument.
Bitwarden veröffentlicht ebenfalls den Quellcode seiner Clients und des Servers unter Open-Source-Lizenzen. Die bereits erwähnte SDK-Lizenzdebatte von Ende 2024 zeigte allerdings, dass kommerziell getragene Open-Source-Projekte einem Spannungsfeld unterliegen: Das Unternehmen muss Geld verdienen, die Community wacht über die Offenheit. Dass Bitwarden nach Kritik nachbesserte und die GPLv3-Konformität der Clients bestätigte, ist ein Beleg dafür, dass der offene Entwicklungsprozess funktioniert. Transparenz erzeugt Rechenschaft, und Rechenschaft erzeugt Vertrauen, das sich keine geschlossene Software auf dieselbe Weise verdienen kann.
Preise im Vergleich: Was kostet welcher Tarif?
Beim Preis ist die Lage eindeutig und zugleich differenzierter, als es die Schlagzeile vermuten lässt. KeePassXC ist in vollem Funktionsumfang kostenlos, ohne Premium-Stufe, ohne versteckte Grenzen. Bitwarden ist im Free-Tarif ebenfalls voll nutzbar, hebt sich aber durch kostenpflichtige Stufen für Premium-Funktionen, Familien und Unternehmen ab. Die folgende Tabelle listet die offiziellen US-Preise (Stand 2026, jährliche Abrechnung).
| Tarif | KeePassXC | Bitwarden | Pro Jahr |
|---|---|---|---|
| Basis / Free | voller Umfang | unbegrenzt Passwörter, alle Geräte | 0 $ |
| Premium (1 Person) | nicht nötig | 2FA-Schlüssel, Dateianhang, Health-Report | 19,80 $ |
| Families (bis 6) | entfällt | geteilte Sammlungen, alle Premium-Funktionen | 47,88 $ |
| Teams (pro Nutzer) | entfällt | Gruppenrichtlinien, Verzeichnis-Sync | 48 $ (4 $/Monat) |
| Enterprise (pro Nutzer) | entfällt | SSO, Audit-Logs, Self-Hosting-Support | 72 $ (6 $/Monat) |
Bemerkenswert ist die Preis-Leistungs-Relation von Bitwarden Premium. Für 19,80 US-Dollar im Jahr, also rund 1,65 Dollar im Monat, erhält man verschlüsselten Dateianhang, Hardware-Schlüssel-Unterstützung, einen Tresor-Gesundheitsbericht und seit den 2026er-Updates zusätzlich Vault-Health-Warnungen, Passwort-Coaching, die fünffache Anhang-Speicherkapazität sowie Unterstützung für bis zu zehn Sicherheitsschlüssel. Im Vergleich zu kommerziellen Konkurrenten, die schnell 36 Dollar und mehr im Jahr verlangen, ist das günstig. Unser Vergleich Signal vs. Threema zeigt eine ähnliche Dynamik zwischen Gratis- und Bezahl-Modellen.
Für Österreicher, die in Euro denken: Bitwarden rechnet offiziell in US-Dollar ab, der Euro-Betrag schwankt mit dem Wechselkurs und liegt für Premium grob im Bereich von 18 bis 19 Euro im Jahr. KeePassXC dagegen kostet unter keinen Umständen Geld. Das Projekt finanziert sich über freiwillige Spenden, nicht über Lizenzen. Wer also rein nach Anschaffungskosten entscheidet, hat mit KeePassXC den klaren Nulltarif, während Bitwarden im Free-Tarif gleichzieht und erst bei Zusatzfunktionen kostet.
Benchmarks und Performance im Test
Performance ist bei Passwort-Managern selten der Engpass, lässt sich aber sinnvoll vergleichen. Drei Dimensionen sind relevant: die Zeit zum Entsperren des Tresors (abhängig von der Schlüsselableitung), der Speicherbedarf der laufenden Anwendung und die Geschwindigkeit des automatischen Ausfüllens. Die folgenden Werte fassen Messungen aus mehreren unabhängigen Quellen und reproduzierbaren Eigentests auf typischer Desktop-Hardware (Mittelklasse-Notebook, 16 GB RAM) zusammen.
| Messgröße | KeePassXC | Bitwarden (Desktop) | Quelle/Methode |
|---|---|---|---|
| Tresor entsperren (Argon2id) | ~0,5 bis 1,5 s | ~0,8 bis 2 s | Eigentest, KDF-abhängig |
| RAM-Bedarf im Leerlauf | ~60 bis 120 MB (Qt) | ~250 bis 400 MB (Electron) | Task-Manager-Messung |
| Kaltstart der App | ~1 s | ~2 bis 4 s | Eigentest |
| Autofill-Latenz | sehr gering (lokal) | gering, ohne Sync-Wartezeit | Browser-Test |
| Datenbankgröße 1.000 Einträge | ~1 bis 3 MB KDBX | serverseitig, Sync in ms | Dateigröße/Netz |
Der deutlichste Unterschied liegt im Speicherbedarf. KeePassXC ist in C++ mit dem Qt-Framework geschrieben und damit ein schlankes natives Programm, das im Leerlauf typischerweise zwischen 60 und 120 MB RAM belegt. Die Bitwarden-Desktop-App basiert auf Electron, also auf einer eingebetteten Chromium-Engine, und belegt entsprechend mehr, oft 250 bis 400 MB. Auf modernen Rechnern fällt das kaum auf, auf älteren oder ressourcenarmen Geräten merkt man den Unterschied.
Bei der Entsperrzeit hängt alles an der gewählten Schlüsselableitung. Hohe Argon2id-Parameter oder 600.000 PBKDF2-Iterationen machen das Entsperren bewusst langsamer, was ein Sicherheitsfeature ist, kein Nachteil. In der Praxis bleiben beide Manager unter zwei Sekunden und damit komfortabel. Beim Autofill profitiert KeePassXC davon, dass alles lokal abläuft, während Bitwarden dank lokalem Cache ebenfalls ohne spürbare Netzwerk-Wartezeit ausfüllt. Performance ist also für die Mehrheit der Nutzer kein Entscheidungskriterium.
Bedienung, Plattformen und Synchronisierung
Im Alltag entscheidet die Synchronisierung über den Komfort. Bitwarden gewinnt diese Disziplin klar. Nach der Anmeldung ist der Tresor auf jedem Gerät sofort identisch und aktuell, ob Desktop, Browser oder Smartphone. Es gibt nichts manuell zu kopieren, keine Konfliktdateien, keine Backup-Routine zu pflegen. Genau dieser Komfort hat Bitwarden zur Standardempfehlung für Menschen gemacht, die Passwort-Manager nicht als Hobby betreiben, sondern einfach nutzen wollen.
KeePassXC verlangt hier mehr Eigenleistung. Die KDBX-Datei synchronisieren Sie selbst, etwa über Nextcloud, Syncthing, eine andere Cloud Ihrer Wahl oder klassisch per USB-Stick. Das gibt maximale Kontrolle, weil die Datei nie auf einem fremden Server liegen muss, bringt aber das Risiko von Synchronisierungskonflikten, wenn Sie dieselbe Datei gleichzeitig auf zwei Geräten ändern. KeePassXC erkennt solche Konflikte und kann Datenbanken zusammenführen, doch das erfordert ein gewisses Verständnis des Workflows.
Bei den Plattformen liegt Bitwarden vorn, weil es offizielle Apps für alle großen Systeme inklusive iOS und Android bietet, dazu Browser-Erweiterungen für Chrome, Firefox, Safari, Edge und weitere. KeePassXC deckt Windows, macOS und Linux nativ ab, überlässt das Mobilgeschäft aber den kompatiblen Drittprojekten KeePassium (iOS) und KeePassDX (Android). Wer überwiegend am Desktop arbeitet, merkt davon nichts. Wer ständig zwischen Telefon und Rechner wechselt, hat mit Bitwarden den runderen Ablauf.
Browser-Integration, Autofill und Auto-Type
Beim automatischen Ausfüllen verfolgen beide unterschiedliche Philosophien. Bitwarden bietet klassisches Browser-Autofill über seine Erweiterung. Erkannte Anmeldeformulare füllt es per Klick oder Tastenkürzel, optional auch automatisch beim Laden der Seite. Seit den jüngsten Versionen verbessert Bitwarden das Inline-Autofill, bei dem Vorschläge direkt im Eingabefeld erscheinen. Für Smartphones nutzt Bitwarden die Autofill-Schnittstellen von iOS und Android, sodass auch Apps außerhalb des Browsers profitieren.
KeePassXC kombiniert zwei Mechanismen. Die Browser-Erweiterung KeePassXC-Browser kommuniziert über Native Messaging direkt mit der lokalen App, ohne Cloud. Zusätzlich existiert Auto-Type, das Tastatureingaben simuliert und damit überall funktioniert, wo ein Eingabefeld existiert, auch in nativen Desktop-Programmen, Terminal-Sitzungen oder Remote-Desktops. Diese Universalität ist ein echter Vorteil für Power-User und Administratoren, die nicht nur Webseiten, sondern auch Fat-Client-Anwendungen befüllen müssen.
Beim Thema Passkeys hat Bitwarden derzeit die Nase vorn. Es kann Passkeys speichern und für die Anmeldung verwenden, was den passwortlosen Login auf unterstützten Diensten ermöglicht. KeePassXC arbeitet ebenfalls an Passkey-Unterstützung, die jedoch noch experimentellen Charakter hat. Wer den passwortlosen Trend aktiv mitgehen will, findet bei Bitwarden die ausgereiftere Umsetzung. Den größeren Kontext liefert unser Grundlagenartikel im Sicherheits-Hub.
5 Praxisbeispiele aus Österreich
Welcher Manager passt, hängt am konkreten Einsatz. Fünf typische Szenarien aus dem österreichischen Alltag verdeutlichen die Unterschiede besser als jede Spezifikationsliste.
- Die Studentin in Wien mit einem Laptop: Sie nutzt fast ausschließlich einen Rechner und legt Wert darauf, dass keine Daten in einer fremden Cloud landen. KeePassXC ist hier ideal: eine lokale Datei, Backup auf einem USB-Stick, fertig. Kosten null, volle Kontrolle.
- Die fünfköpfige Familie in Graz: Eltern und Kinder teilen WLAN-Zugänge, Streaming-Konten und Notfall-Logins. Bitwarden Families für 47,88 Dollar im Jahr bündelt alles in geteilten Sammlungen, die jeder auf seinem Smartphone sieht. KeePassXC würde hier schnell zur Bastelei.
- Der Linux-Administrator im Homeoffice: Er muss SSH-Schlüssel, Server-Logins und Anwendungspasswörter über Auto-Type in Terminal-Sitzungen einsetzen. KeePassXC mit SSH-Agent-Integration und systemweitem Auto-Type spielt hier seine Stärken aus. Passend dazu unser Beitrag SSH-Key einrichten.
- Die Marketing-Agentur in Linz mit 12 Mitarbeitern: Sie braucht zentrale Verwaltung, Gruppenrichtlinien und Verzeichnis-Synchronisierung. Bitwarden Teams für 4 Dollar pro Nutzer und Monat liefert genau das, inklusive Audit-Möglichkeiten.
- Der datenschutzbewusste Selbstständige: Er will Cloud-Komfort, aber keinen fremden Server. Bitwarden im Self-Hosting per Docker auf dem eigenen VPS verbindet automatische Synchronisierung mit voller Datenhoheit, ein Mittelweg, den KeePassXC so nicht bietet.
Diese Beispiele zeigen das Muster: Je mehr Geräte, Personen und Komfortansprüche im Spiel sind, desto eher gewinnt Bitwarden. Je stärker der Fokus auf strikte Offline-Kontrolle, Desktop-Power-Features und Nulltarif liegt, desto eher gewinnt KeePassXC. Beide sind sichere Werkzeuge, die Entscheidung ist eine Frage des Workflows, nicht der Schutzwirkung.
Expertenstimmen zu KeePassXC und Bitwarden
In der Entwickler- und Sicherheits-Community genießen beide Tools hohes Ansehen, allerdings aus unterschiedlichen Lagern. Die wichtigsten, belastbaren Expertenstimmen kommen von den prüfenden Institutionen selbst. Die Berliner Auditfirma Cure53, die Bitwarden mehrfach getestet hat, gilt als eine der renommiertesten Adressen für Penetrationstests im deutschsprachigen Raum. Ihre wiederholte Beauftragung durch Bitwarden ist für viele Sicherheitsverantwortliche ein zentrales Vertrauensargument.
Aufseiten von KeePassXC wiegt die CSPN-Zertifizierung durch die französische Behörde ANSSI schwer. Eine staatliche Sicherheitsbewertung für ein ehrenamtlich getragenes Projekt ist selten und signalisiert, dass die Codequalität behördlichen Ansprüchen genügt. In der breiteren Developer-Szene tendieren Stimmen, die für lokale, quelloffene und selbst gehostete Werkzeuge eintreten, klar zu KeePassXC. Der bekannte Streamer und Entwickler ThePrimeagen etwa steht stellvertretend für die Fraktion, die Terminal-Nähe, lokale Datenhaltung und Unabhängigkeit von Cloud-Anbietern bevorzugt, eine Haltung, die exakt zur Philosophie von KeePassXC passt.
Auf YouTube-Kanälen mit Entwickler-Fokus wie Fireship wird Bitwarden regelmäßig als pragmatische Standardempfehlung genannt, weil es Sicherheit, Open Source und Komfort verbindet, ohne dass Anwender zu Bastlern werden müssen. Diese Doppelrezeption fasst die Lage gut zusammen: Wer in der Welt von Cloud, Teams und einfacher Bedienung lebt, landet bei Bitwarden. Wer Minimalismus, lokale Kontrolle und Terminal-Workflows schätzt, landet bei KeePassXC. Hardware-orientierte Tech-Rezensenten wie MKBHD betonen in puncto Sicherheit ohnehin meist das Grundprinzip, überhaupt einen seriösen Passwort-Manager und Zwei-Faktor-Authentifizierung zu nutzen, statt Passwörter wiederzuverwenden.
Wichtig dabei: Diese Einordnungen geben die allgemeine Haltung der jeweiligen Community wieder, keine wörtlichen Produktbewertungen. Der gemeinsame Nenner aller seriösen Stimmen lautet, dass beide Programme sicher sind und die Wahl vom Anwendungsfall abhängt, nicht von einem Sicherheitsdefizit der einen oder anderen Lösung.
Für wen eignet sich welcher Passwort-Manager?
Aus den technischen Daten und Praxisbeispielen lassen sich klare Empfehlungen ableiten. Die folgenden fünf Anwendungsfälle decken die häufigsten Konstellationen ab und nennen jeweils den passenden Sieger samt Begründung.
- Maximaler Datenschutz ohne fremde Server: KeePassXC. Die Tresordatei liegt ausschließlich bei Ihnen, kein Anbieter sieht je auch nur den Chiffretext. Für Menschen, die jede Cloud meiden, ist das die kompromisslose Wahl.
- Mehrere Geräte mit nahtloser Synchronisierung: Bitwarden. Die automatische Cloud-Synchronisierung über Desktop, Browser und Smartphone funktioniert ohne manuelles Zutun und ohne Konfliktdateien.
- Familien und geteilte Zugänge: Bitwarden Families. Geteilte Sammlungen für bis zu sechs Personen zu 47,88 Dollar im Jahr lösen das Familienproblem eleganter als jede manuell synchronisierte KDBX-Datei.
- Power-User, Admins und Entwickler: KeePassXC. Systemweites Auto-Type, SSH-Agent-Integration und drei wählbare Chiffren machen es zum Werkzeug für anspruchsvolle Desktop-Workflows.
- Unternehmen mit Compliance-Pflichten: Bitwarden Enterprise. SSO, Audit-Logs, Verzeichnis-Synchronisierung sowie SOC-2- und ISO-27001-Nachweise erfüllen formale Anforderungen, die ein lokales Tool nicht abdecken kann.
Ein sechster, oft übersehener Fall: Wer Cloud-Komfort und volle Datenhoheit gleichzeitig will, betreibt Bitwarden im Self-Hosting. Diese Variante kombiniert automatische Synchronisierung mit der Kontrolle über den eigenen Server und ist der einzige Weg, beide Welten zu vereinen. Der Preis dafür ist der Aufwand, einen Server zu betreiben und zu warten.
Zwei-Faktor-Authentifizierung und Hardware-Schlüssel
Ein guter Passwort-Manager schützt nicht nur Passwörter, er hilft auch bei der Zwei-Faktor-Authentifizierung. Hier zeigen sich erneut zwei Denkschulen. KeePassXC kann TOTP-Codes, also die sechsstelligen Einmalcodes vieler Dienste, direkt im Tresor generieren. Sie hinterlegen das geteilte Geheimnis einmal beim Eintrag, und KeePassXC zeigt fortan den aktuellen Code an, optional per Auto-Type-Platzhalter {TOTP} oder seit Version 2.7.12 mit dem zeitbasierten {TIMEOTP}. Das ist bequem, vereint aber Passwort und zweiten Faktor in einer einzigen Datei. Sicherheitspuristen halten dem entgegen, dass ein zweiter Faktor idealerweise auf einem getrennten Gerät liegen sollte.
Bitwarden generiert TOTP-Codes ebenfalls, allerdings nur im Premium-Tarif. Zusätzlich unterstützt Bitwarden für die Anmeldung am Tresor selbst eine breite Palette zweiter Faktoren: TOTP-Apps, E-Mail-Codes, sowie im Premium-Tarif FIDO2- und YubiKey-Hardware-Schlüssel. Für die Absicherung des Master-Kontos ist ein Hardware-Schlüssel die stärkste Option, weil er Phishing praktisch ausschließt. KeePassXC schützt seine Datenbank stattdessen über eine Kombination aus Master-Passwort, optionaler Schlüsseldatei und optionalem YubiKey im Challenge-Response-Verfahren.
Wer es maximal sicher will, trennt die Faktoren bewusst: das Passwort im Manager, den TOTP-Code in einer separaten Authenticator-App auf dem Smartphone. Beide Manager erlauben diesen Weg, zwingen ihn aber nicht auf. Die Praxis zeigt, dass die Bequemlichkeit integrierter Codes für viele Anwender den theoretischen Sicherheitsverlust überwiegt, weil sie 2FA überhaupt erst flächendeckend aktivieren. Ein zweiter Faktor, den man tatsächlich nutzt, schützt mehr als ein perfekt getrennter, den man aus Bequemlichkeit weglässt.
Datenschutz, DSGVO und Serverstandort in Österreich
Für österreichische Nutzer spielt die Frage des Serverstandorts und der DSGVO-Konformität eine besondere Rolle. KeePassXC löst dieses Thema auf radikale Weise: Es gibt keinen Server, keine Datenübertragung, keine Verarbeitung personenbezogener Daten durch Dritte. Die Tresordatei liegt ausschließlich dort, wo Sie sie ablegen. Aus DSGVO-Sicht ist das der einfachste denkbare Fall, weil schlicht kein Auftragsverarbeiter existiert. Wer in einer Behörde, Kanzlei oder Arztpraxis mit besonders schützenswerten Daten arbeitet, findet in dieser Architektur das geringste Restrisiko.
Bitwarden betreibt seine Cloud standardmäßig in den USA, bietet aber seit einigen Jahren auch ein EU-Hosting mit Servern innerhalb der Europäischen Union an. Beim Anlegen eines Kontos wählen Sie zwischen der US- und der EU-Region. Für Anwender in Österreich, die Wert auf Datenverarbeitung innerhalb der EU legen, ist die EU-Region die naheliegende Wahl. Da Bitwarden den Tresor ohnehin Ende-zu-Ende verschlüsselt, sieht der Anbieter unabhängig vom Standort niemals Klartextdaten, doch der Serverstandort bleibt für viele Compliance-Prüfungen ein formales Kriterium.
Wer die volle Kontrolle über den Standort will, ohne auf Cloud-Komfort zu verzichten, greift zum Bitwarden-Self-Hosting auf einem Server in Österreich oder der EU. So bestimmen Sie selbst, in welchem Rechenzentrum die Daten liegen. Diese Flexibilität ist ein Argument, das KeePassXC naturgemäß nicht braucht, weil dort ohnehin nichts das eigene Gerät verlässt. Beide Wege erfüllen hohe Datenschutzansprüche, KeePassXC durch Abwesenheit jeglicher Cloud, Bitwarden durch wählbaren Standort und Zero-Knowledge-Verschlüsselung.
Backup, Wiederherstellung und Notfallzugang
Der gefährlichste Moment im Leben eines Passwort-Managers ist nicht der Angriff, sondern der Datenverlust. Wer den Tresor verliert und kein Backup hat, sperrt sich aus dem eigenen digitalen Leben aus. Hier unterscheiden sich beide Ansätze grundlegend. Bei Bitwarden übernimmt der Cloud-Anbieter die Verfügbarkeit: Solange Sie E-Mail und Master-Passwort kennen, ist der Tresor von jedem Gerät aus wiederherstellbar. Zusätzlich können Sie einen verschlüsselten Export als Offline-Sicherung anlegen. Bitwarden bietet außerdem einen Notfallzugang, mit dem eine Vertrauensperson nach einer Wartefrist Zugriff erhält, falls Ihnen etwas zustößt.
Bei KeePassXC liegt die gesamte Backup-Verantwortung bei Ihnen. Das ist Stärke und Schwäche zugleich. Stärke, weil niemand sonst auf die Datei zugreifen kann. Schwäche, weil eine einzige verlorene oder beschädigte KDBX-Datei ohne Kopie den Totalverlust bedeutet. Die Lösung ist Disziplin: mehrere Kopien an getrennten Orten, etwa lokale Festplatte, externer Datenträger und eine verschlüsselte Cloud-Ablage. Da die KDBX-Datei selbst verschlüsselt ist, können Sie sie bedenkenlos auch in unsichere Speicher legen, solange das Master-Passwort stark ist.
Eine kluge Notfallplanung gehört zu beiden Lösungen. Hinterlegen Sie Master-Passwort und gegebenenfalls die Schlüsseldatei an einem sicheren physischen Ort, etwa in einem versiegelten Umschlag im Tresor oder bei einer Vertrauensperson. Für KeePassXC empfiehlt sich zusätzlich, das Backup-Verfahren regelmäßig zu testen, indem Sie eine Kopie der Datenbank probeweise öffnen. Ein Backup, das im Ernstfall nicht funktioniert, ist kein Backup. Diese Sorgfalt unterscheidet den souveränen Umgang mit einem Passwort-Manager von der riskanten Bequemlichkeit, sich auf einen einzigen Speicherort zu verlassen.
Migration: Wechsel zwischen KeePassXC und Bitwarden
Der Wechsel in beide Richtungen ist unkompliziert, weil beide Programme Standard-Exportformate beherrschen. Der gemeinsame Nenner ist die CSV-Datei, zusätzlich unterstützen beide den JSON-Export. Wichtig vorab: Eine unverschlüsselte Export-Datei enthält alle Passwörter im Klartext. Löschen Sie sie nach dem Import sofort und sicher, am besten mit einem Tool, das die Datei überschreibt, nicht nur in den Papierkorb verschiebt.
Von Bitwarden zu KeePassXC
Exportieren Sie den Bitwarden-Tresor als JSON oder CSV über die Weboberfläche unter Tools, Tresor exportieren. KeePassXC importiert anschließend direkt aus dem Bitwarden-JSON. So sieht der Ablauf in der KeePassXC-Kommandozeile aus, wenn Sie skripten wollen:
# Bitwarden-Tresor per CLI als JSON exportieren
bw login
bw export --format json --output bitwarden-export.json
# In KeePassXC eine neue Datenbank anlegen und importieren
# (GUI: Datenbank > Importieren > Bitwarden (JSON))
keepassxc-cli import bitwarden-export.json meine-datenbank.kdbx
# Export-Datei danach sicher loeschen
shred -u bitwarden-export.jsonVon KeePassXC zu Bitwarden
Den umgekehrten Weg gehen Sie über einen CSV-Export aus KeePassXC. Bitwarden bietet im Import-Dialog ein eigenes Profil für das KeePassXC-CSV-Format, das Gruppen korrekt als Ordner übernimmt.
# KeePassXC-Datenbank als CSV exportieren
keepassxc-cli export --format csv meine-datenbank.kdbx > keepass-export.csv
# In Bitwarden: Tools > Daten importieren > "KeePassXC (csv)" waehlen
# Datei hochladen, Import bestaetigen
# CSV mit Klartext-Passwoertern sofort sicher entfernen
shred -u keepass-export.csvNach jedem Import gilt dieselbe Hygiene: Prüfen Sie stichprobenartig, ob Einträge, TOTP-Codes und Notizen vollständig übernommen wurden, ändern Sie anschließend idealerweise das Master-Passwort und aktivieren Sie die Zwei-Faktor-Authentifizierung im neuen Tresor. So stellen Sie sicher, dass die Migration keine Lücke hinterlässt.
Vor- und Nachteile im Überblick
Die Stärken und Schwächen beider Manager lassen sich knapp gegenüberstellen. Keine Liste ersetzt den Blick auf den eigenen Anwendungsfall, doch sie verdichtet die Argumente dieses Vergleichs auf das Wesentliche.
KeePassXC, Vorteile: komplett kostenlos und ohne Premium-Stufe; keine Cloud, maximale Datenhoheit; schlanker nativer Client mit geringem RAM-Bedarf; systemweites Auto-Type; drei wählbare Chiffren und Argon2id; ANSSI-CSPN-zertifiziert; SSH-Agent-Integration für Entwickler.
KeePassXC, Nachteile: keine offizielle Mobil-App (nur Drittprojekte); Synchronisierung muss man selbst lösen; Risiko von Sync-Konflikten; Passkey-Unterstützung noch experimentell; weniger geeignet für Teams und Familien; erfordert etwas technisches Verständnis.
Bitwarden, Vorteile: nahtlose automatische Cloud-Synchronisierung; offizielle Apps für alle Plattformen inklusive iOS und Android; außergewöhnlich großzügiger Gratis-Tarif; günstiges Premium für 19,80 Dollar im Jahr; ausgereifte Passkey-Unterstützung; Self-Hosting möglich; SOC 2 und ISO 27001; mehrfach von Cure53 auditiert.
Bitwarden, Nachteile: Tresor liegt standardmäßig auf fremdem Server; höherer RAM-Bedarf durch Electron; einige Funktionen nur in Premium; Abrechnung in US-Dollar mit Wechselkursrisiko; die SDK-Lizenzdebatte 2024 hat Vertrauen gekostet, wenn auch korrigiert.
Fazit: KeePassXC oder Bitwarden, das klare Urteil
Es gibt keinen Gesamtsieger, weil die beiden Passwort-Manager unterschiedliche Probleme lösen. Aus kryptografischer Sicht sind sie ebenbürtig: AES-256, moderne Schlüsselableitung mit Argon2id, quelloffener Code, unabhängige Audits. Wer einen sicheren Passwort-Manager sucht, macht mit keinem von beiden einen Fehler. Die Entscheidung fällt an der Architektur, nicht an der Schutzwirkung.
Wählen Sie KeePassXC, wenn Datenhoheit für Sie an erster Stelle steht, Sie überwiegend am Desktop arbeiten, einen schlanken Nulltarif ohne jede Cloud wollen und kein Problem damit haben, die Synchronisierung selbst zu organisieren. KeePassXC ist die Wahl der Datenschutz-Puristen und Power-User, bestätigt durch die ANSSI-Zertifizierung und ein aktiv gepflegtes Projekt, das mit Version 2.7.12 vom März 2026 weiter ausgebaut wird.
Wählen Sie Bitwarden, wenn Sie mehrere Geräte nahtlos synchronisieren, eine Familie oder ein Team ausstatten oder einfach ohne Bastelei einen sicheren Tresor nutzen wollen. Der Gratis-Tarif ist konkurrenzlos großzügig, Premium kostet mit 19,80 Dollar im Jahr wenig, und für Datenschutzbewusste gibt es die Self-Hosting-Option. Für die große Mehrheit der österreichischen Privatanwender ist Bitwarden die pragmatischere Empfehlung, für die kompromisslose Minderheit bleibt KeePassXC unschlagbar.
Verwandte Beiträge
- KeePassXC einrichten: Passwort-Tresor in 12 Schritten
- Passwortsicherheit: starke Passwörter, Hashing und 2FA
- Signal vs. Threema: Gratis gegen 3,99 €
- VPN Vergleich: NordVPN vs. Surfshark
- Datenlecks: Wie sie entstehen und wie Sie sich schützen
- Online-Sicherheit verständlich erklärt
Häufige Fragen zu KeePassXC und Bitwarden
Ist KeePassXC oder Bitwarden sicherer?
Beide bieten praktisch dasselbe Sicherheitsniveau. Sie nutzen AES-256 und moderne Schlüsselableitung mit Argon2id, beide sind quelloffen und unabhängig geprüft. Der Unterschied liegt im Vertrauensmodell: KeePassXC speichert lokal, Bitwarden in der Cloud mit Zero-Knowledge-Verschlüsselung. Entscheidend für die Sicherheit ist in beiden Fällen ein starkes, einzigartiges Master-Passwort.
Ist KeePassXC wirklich komplett kostenlos?
Ja. KeePassXC ist Open-Source-Software unter der GPLv3 und in vollem Funktionsumfang gratis. Es gibt keine Premium-Stufe und keine versteckten Grenzen. Das Projekt finanziert sich ausschließlich über freiwillige Spenden.
Was kostet Bitwarden Premium 2026?
Bitwarden Premium kostet 19,80 US-Dollar im Jahr für eine Person, also rund 1,65 Dollar im Monat. Der Families-Tarif für bis zu sechs Personen liegt bei 47,88 Dollar im Jahr. Der Gratis-Tarif bleibt mit unbegrenzten Passwörtern auf unbegrenzt vielen Geräten voll nutzbar.
Kann ich KeePassXC auf dem Smartphone nutzen?
KeePassXC selbst hat keine offizielle Mobil-App, aber das KDBX-Format öffnen kompatible Apps: KeePassium unter iOS und KeePassDX unter Android, beide quelloffen. Sie synchronisieren die Tresordatei dann etwa über Nextcloud oder Syncthing auf das Telefon. Bitwarden bietet dagegen offizielle Apps für iOS und Android.
Wie wechsle ich von einem zum anderen?
Beide unterstützen CSV- und JSON-Export. KeePassXC importiert direkt das Bitwarden-JSON, Bitwarden hat ein eigenes Importprofil für KeePassXC-CSV. Wichtig: Die unverschlüsselte Export-Datei enthält alle Passwörter im Klartext und sollte direkt nach dem Import sicher gelöscht werden, etwa mit dem Befehl shred -u.
Unterstützen beide Passkeys?
Bitwarden unterstützt Passkeys bereits ausgereift, kann sie speichern und für den Login verwenden. KeePassXC arbeitet an einer Passkey-Funktion, die derzeit noch experimentell ist. Wer schon heute auf passwortlose Anmeldung setzen will, ist mit Bitwarden besser bedient.
Kann ich Bitwarden selbst hosten?
Ja. Bitwarden lässt sich per Docker oder über die schlankere Unified-Variante auf dem eigenen Server betreiben. So verbinden Sie die automatische Cloud-Synchronisierung mit voller Datenhoheit. KeePassXC bietet diese Option nicht, weil es ohnehin rein lokal arbeitet.
Welcher Manager eignet sich besser für Familien?
Bitwarden, klar. Der Families-Tarif bietet geteilte Sammlungen für bis zu sechs Personen mit automatischer Synchronisierung auf jedes Gerät. KeePassXC kann eine Datenbank zwar teilen, doch die manuelle Synchronisierung und das Konfliktrisiko machen es für Familien deutlich unpraktischer.
Weiterführende offizielle Quellen: KeePassXC-Projektseite, Bitwarden, Bitwarden KDF-Dokumentation, KeePassXC-Dokumentation, Bitwarden Sicherheits-FAQ und die Auditfirma Cure53.
