KeePassXC einrichten bedeutet, die Kontrolle über Ihre Passwörter zurückzugewinnen, ohne sie einem Cloud-Konzern anzuvertrauen. Während kommerzielle Dienste Ihre verschlüsselten Tresore auf fremden Servern speichern, bleibt Ihre KeePassXC-Datenbank eine einzelne Datei auf Ihrer eigenen Festplatte. In dieser Anleitung richten Sie KeePassXC in 12 nachvollziehbaren Schritten ein, von der Installation unter Windows, macOS und Linux über die Browser-Integration bis zu YubiKey, TOTP und Passkeys. Geplante Zeit: rund 30 Minuten.

Der Bedarf ist real. Laut einer markenübergreifenden Umfrage in den USA, Großbritannien und Deutschland verwenden rund 57 Prozent der Nutzerinnen und Nutzer dasselbe Passwort für mehrere Konten. Ein Sicherheits-Roundup für 2026 beziffert die jährlich durch Datenlecks und Infostealer offengelegten Zugangsdaten auf etwa 24 Milliarden. Gleichzeitig verwaltet eine durchschnittliche Person inzwischen fast 170 Online-Konten. Diese drei Zahlen erklären, warum ein einziges geknacktes Passwort heute eine Kettenreaktion auslöst. Ein Passwort-Manager wie KeePassXC durchbricht diese Kette, weil jedes Konto ein eigenes, zufällig erzeugtes Passwort erhält.

KeePassXC ist quelloffen (GPLv3), kostenlos und plattformübergreifend. Die aktuelle Version 2.7.12 erschien am 10. März 2026. Eine frühere Ausgabe, KeePassXC 2.7.9 für Windows 10, erhielt am 17. November 2025 ein Sicherheits-Visa der französischen Behörde ANSSI nach bestandener CSPN-Zertifizierung (Bericht ANSSI-CSPN-2025/16, drei Jahre gültig). Sie installieren also keine Bastellösung, sondern ein behördlich geprüftes Werkzeug.

Warum KeePassXC einrichten? Die Passwort-Statistik 2026

Bevor Sie KeePassXC einrichten, lohnt der Blick auf das Problem, das es löst. Menschen sind schlecht darin, sich viele lange Passwörter zu merken, und genau deshalb wiederholen sie sich. Sobald ein einziger Dienst gehackt wird, landen die erbeuteten Zugangsdaten in sogenannten Credential-Stuffing-Listen. Angreifer probieren diese Kombinationen automatisiert bei hunderten anderen Diensten durch. Wer überall dasselbe Passwort nutzt, verliert mit einem Leck den Zugang zu E-Mail, Online-Banking und sozialen Netzwerken gleichzeitig.

Das US-amerikanische National Institute of Standards and Technology (NIST) hat seine Empfehlungen in der Richtlinie SP 800-63B grundlegend modernisiert. Zwei Kernaussagen sind für Privatnutzer entscheidend: Erstens zählt Länge mehr als Komplexität, NIST nennt als Untergrenze 15 Zeichen für besonders schützenswerte Konten. Zweitens sind erzwungene regelmäßige Passwortwechsel ohne konkreten Verdacht nicht mehr empfohlen. Ein Passwort-Manager setzt beides mühelos um, weil er für jedes Konto ein langes, zufälliges Passwort erzeugt, das Sie nie selbst eintippen müssen.

KeePassXC verfolgt dabei einen anderen Ansatz als Cloud-Dienste. Ihre Datenbank ist eine lokale, vollständig verschlüsselte Datei mit der Endung .kdbx. Niemand außer Ihnen besitzt diese Datei, solange Sie sie nicht selbst weitergeben. Das reduziert die Angriffsfläche drastisch: Es gibt keinen zentralen Server, der gehackt werden könnte, und keinen Anbieter, der Ihre Metadaten auswerten kann. Wer in Österreich Wert auf Datensparsamkeit und DSGVO-konforme Selbstbestimmung legt, findet hier die konsequenteste Lösung. Mehr Hintergrund zu Angriffsmustern liefert unser Artikel zu Datenlecks und zur Passwortsicherheit.

KeePassXC vs. KeePass vs. Cloud-Manager im Vergleich

Viele verwechseln KeePass und KeePassXC. Beide nutzen dasselbe Datenbankformat, sind aber getrennte Projekte. Das ursprüngliche KeePass (auch KeePass 2.x) ist eine .NET-Anwendung, die primär für Windows entwickelt wurde. KeePassXC entstand als Community-Fork von KeePassX und ist ein nativer, plattformübergreifender Nachbau in C++/Qt. Es läuft ohne Umwege unter Windows, macOS und Linux, wird aktiv weiterentwickelt und bringt moderne Funktionen wie die offizielle Browser-Erweiterung, TOTP und Passkeys direkt mit.

Die folgende Tabelle stellt die drei gängigen Ansätze gegenüber. Cloud-Manager wie kommerzielle Anbieter punkten beim Komfort, lagern Ihre Tresore aber auf fremden Servern. KeePassXC tauscht etwas Komfort gegen volle Kontrolle.

MerkmalKeePassXCKeePass (2.x)Cloud-Manager
LizenzGPLv3, Open SourceGPLv2, Open SourceMeist proprietär
PlattformenWindows, macOS, LinuxWindows (nativ), Linux via MonoAlle, App-basiert
Speicherort der DatenLokale .kdbx-DateiLokale .kdbx-DateiServer des Anbieters
SynchronisationSelbst gewählt (Cloud-Ordner, Syncthing)Selbst gewähltAutomatisch, integriert
Browser-IntegrationKeePassXC-Browser (offiziell)Plug-ins von DrittenEingebaut
Hardware-SchlüsselYubiKey, OnlyKeyYubiKey via Plug-inTeilweise
KostenKostenlosKostenlosOft Abo (3 bis 5 Euro/Monat)
Behördliche PrüfungANSSI-CSPN-Visa (2.7.9)Diverse AuditsUnterschiedlich

Für die meisten Privatanwender und kleine Teams in Österreich ist KeePassXC die beste Wahl, wenn Datensouveränität wichtiger ist als der letzte Prozentpunkt Bequemlichkeit. Wer einen reinen Cloud-Vergleich sucht, findet diesen in unserem Beitrag Passwortsicherheit. Im Folgenden konzentrieren wir uns ganz auf die Einrichtung von KeePassXC.

Voraussetzungen: Versionen und Systemanforderungen

KeePassXC ist genügsam und läuft auf praktisch jedem Computer der letzten zehn Jahre. Diese Voraussetzungen sollten Sie vor der Installation prüfen:

  • KeePassXC 2.7.12 (Stand 10. März 2026) oder neuer. Die Vorgängerversion 2.7.11 stammt vom 23. November 2025.
  • Betriebssystem: Windows 10/11, macOS 11 oder neuer, oder eine aktuelle Linux-Distribution (Ubuntu, Debian, Fedora, Arch).
  • Browser für die Integration: Firefox, Chrome, Edge, Brave oder Vivaldi in aktueller Version, plus die Erweiterung KeePassXC-Browser 1.10.3 (Stand 2. Juni 2026).
  • Optional: Ein Hardware-Schlüssel (YubiKey 5 Serie oder OnlyKey) für die Challenge-Response-Authentifizierung.
  • Optional: Ein Cloud-Speicher oder Syncthing, falls Sie die Datenbank zwischen mehreren Geräten abgleichen möchten.
  • Speicherplatz: Unter 100 MB für das Programm, die Datenbank selbst bleibt meist unter 10 MB.

Laden Sie das Programm ausschließlich von der offiziellen Quelle keepassxc.org/download oder über den jeweiligen Paketmanager Ihres Systems. Vermeiden Sie Download-Portale Dritter, die Installer mit Adware bündeln. Der Quellcode liegt offen auf GitHub.

Schritt 1: KeePassXC herunterladen und installieren

Die Installation unterscheidet sich je nach Betriebssystem. Auf allen Plattformen empfiehlt sich der Weg über den jeweiligen Paketmanager, weil künftige Updates dann automatisch mitlaufen. Unter Windows installieren Sie KeePassXC am bequemsten über winget aus der PowerShell:

# Windows: Installation über winget (PowerShell)
winget install --exact --id KeePassXCTeam.KeePassXC

# Alternativ: klassischer MSI-Installer von keepassxc.org/download
# oder Bezug über den Microsoft Store

Unter macOS nutzen Sie Homebrew. Das Cask zieht die signierte App in den Programme-Ordner und hält sie aktuell:

# macOS: Installation über Homebrew
brew install --cask keepassxc

# Update später jederzeit mit:
brew upgrade --cask keepassxc

Unter Linux haben Sie die größte Auswahl. KeePassXC liegt in den Paketquellen von Ubuntu, Debian, Fedora, Alpine und Arch sowie als Flatpak und Snap vor. Für ein immer aktuelles Paket empfiehlt sich Flatpak von Flathub, weil es unabhängig vom Release-Zyklus der Distribution aktualisiert wird:

# Debian / Ubuntu aus den offiziellen Quellen
sudo apt update && sudo apt install keepassxc

# Fedora
sudo dnf install keepassxc

# Arch Linux
sudo pacman -S keepassxc

# Distributionsunabhängig und stets aktuell: Flatpak
flatpak install flathub org.keepassxc.KeePassXC

Nach der Installation starten Sie KeePassXC. Beim ersten Start prüfen Sie unter Hilfe > Über KeePassXC, ob die Version 2.7.12 oder neuer angezeigt wird. Optional verifizieren Sie unter Windows und macOS die digitale Signatur des Installers, um Manipulationen auszuschließen.

Schritt 2: Die erste KDBX-Datenbank erstellen

Eine KeePassXC-Datenbank ist eine verschlüsselte Datei, die all Ihre Einträge enthält. Klicken Sie im Startbildschirm auf Neue Datenbank. Im ersten Dialog vergeben Sie einen Namen, etwa Privat-Tresor, und optional eine Beschreibung. Dieser Name dient nur der Orientierung und ist nicht sicherheitsrelevant.

Im nächsten Schritt fragt KeePassXC nach den Verschlüsselungseinstellungen. Behalten Sie hier zunächst die Standardwerte bei, wir optimieren sie in Schritt 3. Anschließend legen Sie den Speicherort fest. Wählen Sie einen Pfad, den Sie wiederfinden und in Ihr Backup einbeziehen, zum Beispiel:

# Empfohlene Speicherorte je nach System
# Windows
C:\Users\IhrName\Documents\Tresor\privat.kdbx

# macOS
/Users/IhrName/Documents/Tresor/privat.kdbx

# Linux
/home/ihrname/Dokumente/Tresor/privat.kdbx

Legen Sie die Datei nicht ausschließlich auf einen USB-Stick, der verloren gehen kann. Ein lokaler Ordner, der zusätzlich in ein Backup wandert, ist die sicherste Basis. Die Synchronisation über mehrere Geräte richten wir später in Schritt 10 ein.

Schritt 3: Verschlüsselung mit Argon2id und AES-256 konfigurieren

Hier entscheidet sich, wie widerstandsfähig Ihr Tresor gegen Brute-Force-Angriffe ist. KeePassXC nutzt für das aktuelle Format KDBX 4.1 standardmäßig die Schlüsselableitungsfunktion Argon2id. Argon2 gewann 2015 die Password Hashing Competition und ist absichtlich speicherintensiv, was Angriffe mit Grafikkarten massiv verteuert. Für die eigentliche Verschlüsselung der Datenbank stehen AES-256 und ChaCha20 zur Wahl.

Öffnen Sie Datenbank > Datenbank-Sicherheit > Verschlüsselungseinstellungen. Stellen Sie sicher, dass folgende Werte aktiv sind:

EinstellungEmpfehlungErläuterung
FormatKDBX 4.1Aktuelles Format, unterstützt Argon2 und moderne Felder
SchlüsselableitungArgon2idSpeicherintensiv, schützt vor GPU-Brute-Force
VerschlüsselungAES-256 oder ChaCha20Beide gelten als sicher; ChaCha20 ist auf älteren CPUs schneller
TransformationsdauerAuf ca. 1 Sekunde einstellenÜber die Schaltfläche automatisch kalibrieren lassen
Parallelität (Argon2)Anzahl der CPU-KerneBeschleunigt das legitime Entsperren

KeePassXC bietet einen Schieberegler, der die Ableitungsdauer auf Ihrem Gerät misst. Stellen Sie ihn so ein, dass das Entsperren spürbar etwa eine Sekunde dauert. Diese Sekunde ist für Sie kaum merkbar, vervielfacht aber den Aufwand eines Angreifers, der Milliarden Passwörter durchprobieren möchte. Wer tiefer in die Mathematik dahinter einsteigen will, findet Grundlagen in unserem Beitrag zu SHA-256 und zu Hashfunktionen.

Schritt 4: Master-Passwort und Schlüsseldatei kombinieren

Der Hauptschlüssel (Composite Master Key) sperrt Ihre gesamte Datenbank. KeePassXC erlaubt es, mehrere Faktoren zu kombinieren: ein Master-Passwort, eine Schlüsseldatei und einen Hardware-Schlüssel. Je mehr Faktoren, desto sicherer, aber auch desto wichtiger das Backup jedes einzelnen.

Ein starkes Master-Passwort wählen

Das Master-Passwort ist das einzige, das Sie sich wirklich merken müssen. Folgen Sie der NIST-Empfehlung und nutzen Sie eine Passphrase aus mehreren zufälligen Wörtern statt eines kurzen, kryptischen Passworts. Eine Phrase wie Anker-Wolke-Gitarre-Lawine-47 ist leicht zu merken und gleichzeitig extrem schwer zu knacken. Zielen Sie auf mindestens 15 Zeichen, besser 20 oder mehr. Schreiben Sie diese Phrase einmalig auf Papier und verwahren Sie das Blatt an einem sicheren Ort, etwa im Tresor oder bei wichtigen Dokumenten.

Eine Schlüsseldatei als zweiten Faktor

Eine Schlüsseldatei ist eine zusätzliche Datei, die zum Entsperren nötig ist. Sie funktioniert wie ein physischer Schlüssel: Wer Ihr Master-Passwort kennt, aber die Schlüsseldatei nicht besitzt, kommt nicht hinein. Lassen Sie KeePassXC unter Schlüsseldatei hinzufügen > Neue erzeugen eine zufällige Datei generieren.

# Wichtig: Schlüsseldatei NIEMALS im selben Ordner wie die .kdbx lagern!
# Beispiel einer getrennten Aufbewahrung:

# Datenbank im Cloud-Sync-Ordner
~/Nextcloud/Tresor/privat.kdbx

# Schlüsseldatei nur lokal auf jedem Gerät, nicht synchronisiert
~/.config/keepass/privat.keyx

Der entscheidende Punkt: Bewahren Sie Schlüsseldatei und Datenbank getrennt auf. Liegen beide im selben synchronisierten Ordner, hebt das den Schutz der Schlüsseldatei auf, denn ein Angreifer mit Zugriff auf den Ordner hätte beide. Sichern Sie die Schlüsseldatei zusätzlich auf einem Offline-Medium, denn ohne sie ist die Datenbank unwiederbringlich verloren.

Schritt 5: Einträge anlegen und den Passwort-Generator nutzen

Jetzt füllen Sie den Tresor. Klicken Sie auf das Schlüsselsymbol Neuer Eintrag. Ein Eintrag besteht typischerweise aus Titel, Benutzername, Passwort und URL. Tragen Sie für jeden Online-Dienst einen eigenen Eintrag ein. Die URL ist wichtig, weil die Browser-Erweiterung später anhand der Adresse das passende Passwort findet.

Statt sich Passwörter auszudenken, nutzen Sie den eingebauten Generator. Klicken Sie im Passwortfeld auf das Würfelsymbol. Hier konfigurieren Sie Länge und Zeichensatz. Für maschinell verwaltete Passwörter gilt: je länger, desto besser. Empfehlenswerte Einstellungen:

  • Länge: mindestens 20 Zeichen, bei besonders wichtigen Konten 32 oder mehr.
  • Zeichensatz: Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen aktivieren.
  • Passphrasen-Modus: Für Passwörter, die Sie ausnahmsweise eintippen müssen (etwa Geräte-PINs), wählen Sie den Wortlisten-Modus mit fünf bis sieben Wörtern.
  • Ausschließen: Bei Diensten, die bestimmte Sonderzeichen ablehnen, deaktivieren Sie problematische Zeichen gezielt.

Der Generator zeigt eine Entropie-Anzeige in Bit. Werte über 100 Bit gelten als praktisch unknackbar. Übernehmen Sie das erzeugte Passwort mit Übernehmen und speichern Sie den Eintrag. Wiederholen Sie das nach und nach für all Ihre Konten, beginnend mit den wichtigsten: E-Mail, Online-Banking und die zentralen sozialen Netzwerke.

Schritt 6: KeePassXC-Browser-Integration einrichten

Die Browser-Erweiterung füllt Logins automatisch aus und ist der größte Komfortgewinn. KeePassXC kommuniziert über sogenanntes Native Messaging direkt mit der Desktop-App, Passwörter verlassen den Rechner dabei nicht. Installieren Sie zuerst die Erweiterung KeePassXC-Browser 1.10.3 aus dem Add-on-Store Ihres Browsers, etwa von Mozilla Add-ons für Firefox.

Aktivieren Sie anschließend in der Desktop-App unter Einstellungen > Browser-Integration die Option Browser-Integration aktivieren und setzen Sie das Häkchen bei den Browsern, die Sie nutzen. Klicken Sie danach in der Browser-Erweiterung auf Verbinden. KeePassXC fragt nach einem Namen für die Verbindung und legt einen kryptografischen Schlüssel an, der die Kommunikation absichert.

# So prüfen Sie, ob Native Messaging korrekt eingerichtet ist (Linux/macOS):
ls ~/.mozilla/native-messaging-hosts/org.keepassxc.keepassxc_browser.json

# Erwartete Ausgabe: Pfad existiert und verweist auf den keepassxc-proxy
# Fehlt die Datei, in den KeePassXC-Einstellungen die Integration
# einmal deaktivieren und wieder aktivieren, dann Browser neu starten.

Ab jetzt erkennt die Erweiterung beim Besuch einer gespeicherten Seite das passende Konto und bietet das automatische Ausfüllen an. Achten Sie darauf, dass die in KeePassXC hinterlegte URL mit der Domain übereinstimmt, sonst findet die Erweiterung den Eintrag nicht. Wie verschlüsselte Verbindungen grundsätzlich funktionieren, erklärt unser Beitrag zu HTTPS und TLS.

Schritt 7: Auto-Type für Desktop-Anwendungen konfigurieren

Nicht jede Anmeldung läuft im Browser. Für Desktop-Programme, Remote-Desktop-Sitzungen oder Terminal-Logins gibt es Auto-Type. Dabei simuliert KeePassXC Tastatureingaben und tippt Benutzername und Passwort automatisch in das aktive Fenster. Sie lösen Auto-Type über ein globales Tastenkürzel aus, standardmäßig Strg+Alt+A unter Windows und Linux beziehungsweise Cmd+Alt+A unter macOS.

Damit KeePassXC das richtige Fenster trifft, ordnen Sie jedem Eintrag eine Auto-Type-Fenstererkennung zu. Die Standardsequenz lautet:

# Standard-Auto-Type-Sequenz in KeePassXC
{USERNAME}{TAB}{PASSWORD}{ENTER}

# Beispiel mit Verzögerung, falls die Anwendung langsam reagiert:
{USERNAME}{TAB}{DELAY 200}{PASSWORD}{ENTER}

# Neu in 2.7.12: zeitbasiertes Einmalpasswort direkt eintippen
{USERNAME}{TAB}{PASSWORD}{TAB}{TIMEOTP}{ENTER}

Die Version 2.7.12 hat den Platzhalter {TIMEOTP} eingeführt, mit dem Auto-Type auch ein zeitbasiertes Einmalpasswort eintippt. So melden Sie sich bei Diensten mit Zwei-Faktor-Authentifizierung in einem Rutsch an. Testen Sie die Sequenz zunächst mit einem unkritischen Konto, da unterschiedliche Anwendungen die Tab-Reihenfolge verschieden handhaben.

Schritt 8: TOTP und Zwei-Faktor-Authentifizierung speichern

KeePassXC kann zeitbasierte Einmalpasswörter (TOTP) direkt erzeugen, dieselben sechsstelligen Codes, die sonst Apps wie Authenticator liefern. Das ist praktisch, sollte aber mit Bedacht eingesetzt werden: Wer Passwort und zweiten Faktor im selben Tresor speichert, verliert einen Teil der Trennung beider Faktoren. Für mittleres Schutzniveau ist es bequem, für hochkritische Konten (E-Mail, Banking) empfiehlt sich ein separater Faktor auf einem anderen Gerät.

So richten Sie TOTP ein: Öffnen Sie den gewünschten Eintrag, klicken Sie mit der rechten Maustaste und wählen Sie TOTP > TOTP einrichten. Tragen Sie den geheimen Schlüssel ein, den der Dienst beim Aktivieren der Zwei-Faktor-Authentifizierung anzeigt (oft als QR-Code, darunter findet sich der Klartext-Schlüssel).

# Typischer geheimer TOTP-Schlüssel (Base32), den der Dienst anzeigt:
JBSWY3DPEHPK3PXP

# In KeePassXC einfügen unter: Eintrag > TOTP > TOTP einrichten
# Standardparameter (6 Stellen / 30 Sekunden) passen für die meisten Dienste.
# Den aktuellen Code zeigt KeePassXC mit Strg+T an.

Anschließend zeigt KeePassXC mit dem Kürzel Strg+T den aktuellen Code samt verbleibender Gültigkeitsdauer an. Eine vertiefende Einordnung, warum ein zweiter Faktor so wirksam ist, bietet unser Artikel zu Phishing-Angriffen.

Schritt 9: YubiKey als Hardware-Schlüssel einbinden

Für maximalen Schutz binden Sie einen Hardware-Schlüssel ein. KeePassXC unterstützt die Challenge-Response-Funktion von YubiKey (Serie 5) und OnlyKey. Dabei stellt KeePassXC dem Schlüssel eine kryptografische Aufgabe, die nur der physische Token korrekt beantworten kann. Ohne den eingesteckten Schlüssel lässt sich die Datenbank nicht öffnen, selbst wenn jemand Ihr Master-Passwort kennt.

Bereiten Sie den YubiKey zunächst mit dem YubiKey Manager vor und konfigurieren Sie einen Steckplatz für HMAC-SHA1 Challenge-Response. Danach öffnen Sie in KeePassXC Datenbank-Sicherheit > Hardware-Schlüssel hinzufügen. Wählen Sie den erkannten Schlüssel und den passenden Steckplatz aus.

  • Zwei Schlüssel konfigurieren: Richten Sie immer einen Ersatz-YubiKey identisch ein. Geht der erste verloren, bleiben Sie sonst ausgesperrt.
  • Touch-Bestätigung: Aktivieren Sie die Berührungsanforderung, damit Schadsoftware den Schlüssel nicht unbemerkt abfragt.
  • Kombination: Master-Passwort plus YubiKey ergibt eine sehr starke Zwei-Faktor-Sperre für den Tresor selbst.

Notieren Sie das Challenge-Response-Geheimnis des YubiKey getrennt und sicher, damit Sie einen Ersatzschlüssel mit identischem Geheimnis erstellen können. Ohne dieses Backup hängt der Zugang an einem einzigen Stück Hardware.

Schritt 10: Datenbank über mehrere Geräte synchronisieren

Da die KeePassXC-Datenbank eine einzelne Datei ist, synchronisieren Sie sie mit jedem Werkzeug, das Dateien abgleicht. Beliebte Wege sind Nextcloud, Dropbox, OneDrive oder das dezentrale Syncthing, das ganz ohne Cloud-Anbieter auskommt. Die Datei ist bereits Ende-zu-Ende verschlüsselt, der Sync-Dienst sieht also nie Ihre Passwörter im Klartext.

Für datenschutzbewusste Nutzer in Österreich ist Syncthing besonders attraktiv, weil die Daten direkt zwischen Ihren Geräten wandern und keinen Drittserver berühren. Ein typisches Setup:

# Syncthing-Beispiel: Tresor-Ordner auf zwei Geräten abgleichen
# Auf jedem Gerät denselben Ordner freigeben:
~/Tresor/

# Wichtig bei jeglicher Synchronisation:
# 1. Schlüsseldatei NICHT mitsynchronisieren (lokal halten)
# 2. KeePassXC-Option aktivieren:
#    Einstellungen > Allgemein > "Atomares Speichern verwenden"
#    verhindert beschädigte Dateien bei gleichzeitigem Sync

Ein häufiger Stolperstein sind Sync-Konflikte, wenn Sie die Datenbank auf zwei Geräten gleichzeitig ändern. KeePassXC bietet dafür eine Zusammenführen-Funktion (Datenbank > Datenbank zusammenführen), die Einträge aus zwei Versionen vereint. Schließen Sie die Datenbank dennoch nach Gebrauch, damit der Sync eine konsistente Datei überträgt.

Schritt 11: Passkeys mit KeePassXC verwalten

Passkeys sind der passwortlose Nachfolger klassischer Logins. Statt eines Passworts speichert der Dienst einen öffentlichen Schlüssel, während Ihr Gerät den privaten Teil behält. KeePassXC unterstützt Passkeys: Die Version 2.7.12 speichert dabei sogar Backup-Eignung und Backup-Status der Passkeys, sodass sich diese sauber zwischen Geräten übertragen lassen.

So nutzen Sie Passkeys: Wenn ein Dienst beim Registrieren einen Passkey anbietet, übernimmt die KeePassXC-Browser-Erweiterung die Erstellung und legt den Passkey als Eintrag in Ihrem Tresor ab. Beim nächsten Login bestätigen Sie die Anmeldung über KeePassXC, ganz ohne Passwort. Der Vorteil: Passkeys sind von Natur aus phishing-resistent, weil der private Schlüssel das Gerät nie verlässt und an die echte Domain gebunden ist.

  • Vorteil: Kein Passwort, das geleakt oder erraten werden kann, und voller Schutz gegen Phishing.
  • Portabilität: Da der Passkey in Ihrer .kdbx liegt, gehört er Ihnen und ist nicht an ein Ökosystem gebunden.
  • Übergangsphase: Noch unterstützt nicht jeder Dienst Passkeys, behalten Sie für diese Konten weiterhin starke Passwörter bei.

Schritt 12: Backups und Notfallzugriff einrichten

Eine lokale Datenbank bedeutet volle Verantwortung. Geht die .kdbx-Datei verloren und existiert kein Backup, sind alle Passwörter weg. Richten Sie deshalb eine durchdachte Sicherungsstrategie ein. Bewährt hat sich die 3-2-1-Regel: drei Kopien, auf zwei verschiedenen Medien, davon eine außer Haus.

  • Automatische Backups in KeePassXC: Unter Einstellungen > Allgemein aktivieren Sie Vor dem Speichern eine Sicherungskopie anlegen. KeePassXC legt dann automatisch eine .old-Datei an.
  • Offline-Kopie: Speichern Sie regelmäßig eine Kopie auf einem verschlüsselten USB-Stick, den Sie offline aufbewahren.
  • Schlüsseldatei sichern: Auch die Schlüsseldatei und das YubiKey-Geheimnis gehören ins Backup, sonst nützt die beste Datenbankkopie nichts.
  • Notfallzugriff: Hinterlegen Sie Master-Passwort und Speicherort für eine Vertrauensperson in einem versiegelten Umschlag, falls Ihnen etwas zustößt.

Testen Sie Ihr Backup mindestens einmal: Öffnen Sie eine Sicherungskopie auf einem anderen Gerät und prüfen Sie, ob sie sich entsperren lässt. Ein Backup, das im Ernstfall nicht funktioniert, ist kein Backup.

Passwörter aus Browser und anderen Managern importieren

Niemand beginnt bei null. Wahrscheinlich liegen Ihre Passwörter bereits im Browser gespeichert oder in einem anderen Manager. KeePassXC importiert diese Bestände, damit Sie nicht jeden Eintrag von Hand abtippen. Der gängigste Weg führt über eine CSV-Datei. Exportieren Sie Ihre Passwörter aus der Quelle, importieren Sie sie in KeePassXC und löschen Sie danach die unverschlüsselte CSV-Datei sicher.

Aus Chrome, Edge oder Brave exportieren Sie unter Einstellungen > Passwortmanager > Passwörter exportieren. Firefox bietet den Export unter about:logins > Anmeldedaten exportieren. Auch Bitwarden, 1Password und LastPass erlauben einen CSV- oder JSON-Export. In KeePassXC wählen Sie anschließend Datenbank > Importieren und ordnen die Spalten der CSV den KeePassXC-Feldern zu.

# CSV-Import auch per Kommandozeile möglich:
keepassxc-cli import quelle.csv privat.kdbx

# Nach erfolgreichem Import die unverschlüsselte CSV sicher löschen!
# Linux/macOS (überschreibt die Datei vor dem Löschen):
shred -u quelle.csv

# Windows (PowerShell): Datei löschen und Papierkorb leeren
Remove-Item quelle.csv -Force

Der wichtigste Sicherheitshinweis betrifft die Exportdatei: Eine CSV mit Passwörtern liegt im Klartext vor und ist damit hochsensibel. Erstellen Sie sie nur kurz, importieren Sie sofort und löschen Sie die Datei anschließend sicher mit einem Werkzeug wie shred, das den Speicherbereich überschreibt. Räumen Sie zudem den Papierkorb. Nach dem Import sollten Sie kritische Passwörter schrittweise durch neu generierte, einzigartige Passwörter ersetzen, denn alte Browser-Passwörter sind oft schwach oder mehrfach verwendet. Prüfen Sie dazu den Datenbank-Bericht, der wiederverwendete und schwache Einträge markiert.

KeePassXC im Alltag: Gewohnheiten für dauerhafte Sicherheit

Ein Passwort-Manager entfaltet seinen Nutzen erst durch konsequente Anwendung. Die Einrichtung ist der erste Schritt, die täglichen Gewohnheiten entscheiden über die tatsächliche Sicherheit. Wer KeePassXC nur halbherzig nutzt und nebenher weiterhin Passwörter im Kopf wiederholt, gibt den Schutz teilweise wieder her.

Diese Routinen haben sich bewährt und sollten in Fleisch und Blut übergehen:

  • Neues Konto, neuer Generator: Erstellen Sie bei jeder Registrierung sofort einen KeePassXC-Eintrag mit generiertem Passwort. Lassen Sie nie wieder den Browser ein Passwort vorschlagen oder speichern.
  • Automatische Sperre: Stellen Sie unter Einstellungen > Sicherheit ein, dass sich die Datenbank nach wenigen Minuten Inaktivität und beim Sperren des Bildschirms automatisch schließt.
  • Zwischenablage leeren: KeePassXC löscht kopierte Passwörter nach einer einstellbaren Zeit (Standard 10 Sekunden) automatisch aus der Zwischenablage. Belassen Sie diese Funktion aktiv.
  • Updates zeitnah einspielen: Sicherheitskorrekturen sind nur wirksam, wenn Sie sie installieren. Der Paketmanager nimmt Ihnen das ab.
  • Regelmäßiger Health-Check: Lassen Sie KeePassXC monatlich nach schwachen oder kompromittierten Passwörtern suchen und tauschen Sie betroffene Einträge.
  • Phishing-Schutz nutzen: Füllt die Browser-Erweiterung auf einer Seite kein Passwort aus, kann das ein Warnsignal sein, dass die Domain nicht stimmt. Geben Sie das Passwort dann nicht manuell ein.

Gerade der letzte Punkt ist ein unterschätzter Vorteil. Weil die Browser-Erweiterung Passwörter strikt an die hinterlegte Domain bindet, schlägt sie auf einer gefälschten Phishing-Seite nicht an. Das automatische Ausfüllen wird so zum stillen Wächter, der Sie warnt, bevor Sie Zugangsdaten auf einer betrügerischen Seite eingeben. In Kombination mit den Grundlagen aus unserem Beitrag zu Phishing-Angriffen entsteht ein robuster Alltagsschutz, der weit über das bloße Speichern von Passwörtern hinausgeht.

Häufige Fehler beim KeePassXC einrichten und wie Sie sie vermeiden

Einige Stolperfallen tauchen immer wieder auf. Wer sie kennt, spart sich Frust und schließt Sicherheitslücken, bevor sie entstehen.

  • Schlüsseldatei neben der Datenbank lagern: Der häufigste Fehler. Liegen beide im selben Sync-Ordner, ist der zweite Faktor wertlos. Halten Sie die Schlüsseldatei strikt lokal.
  • Kein Backup des Master-Passworts: Vergessen Sie die Passphrase und gibt es kein Hardware-Backup, ist die Datenbank endgültig verloren. KeePassXC hat absichtlich keine Wiederherstellungsfunktion.
  • Veraltete Version nutzen: Alte KeePassXC-Versionen verwenden möglicherweise das ältere KDBX-Format ohne Argon2. Migrieren Sie auf KDBX 4.1.
  • Download von Drittseiten: Inoffizielle Installer können manipuliert sein. Beziehen Sie KeePassXC nur von keepassxc.org oder dem Paketmanager.
  • URL im Eintrag vergessen: Ohne korrekt hinterlegte URL findet die Browser-Erweiterung den Login nicht und füllt nichts aus.
  • Datenbank dauerhaft entsperrt lassen: Aktivieren Sie die automatische Sperre nach Inaktivität, damit ein unbeaufsichtigter Rechner keinen offenen Tresor zeigt.

Troubleshooting: 8 typische Probleme lösen

Falls beim KeePassXC einrichten etwas hakt, hilft diese Übersicht der häufigsten Probleme und ihrer Lösungen.

ProblemUrsacheLösung
Browser-Erweiterung verbindet nichtNative Messaging fehlt oder Browser nicht erkanntIntegration in den Einstellungen aus- und wieder einschalten, Browser neu starten
Auto-Type tippt ins falsche FensterFenstererkennung passt nichtFenstertitel-Zuordnung im Eintrag anpassen, {DELAY} einfügen
TOTP-Code wird vom Dienst abgelehntSystemuhr nicht synchronZeit des Geräts per NTP automatisch synchronisieren
Sync-Konflikt-Dateien tauchen aufGleichzeitige Bearbeitung auf zwei GerätenÜber “Datenbank zusammenführen” vereinen, danach immer schließen
YubiKey wird nicht erkanntSteckplatz nicht für Challenge-Response konfiguriertMit YubiKey Manager HMAC-SHA1 im Slot einrichten
Datenbank lässt sich nicht öffnenFalsche Schlüsseldatei oder falsches FormatKorrekte Schlüsseldatei wählen, KeePassXC aktualisieren
Passwörter werden nicht ausgefülltURL im Eintrag fehlt oder weicht abURL exakt zur Domain hinterlegen
Entsperren dauert sehr langeArgon2-Speicher zu hoch eingestelltVerschlüsselungseinstellungen auf ca. 1 Sekunde neu kalibrieren

Bleibt ein Problem bestehen, hilft die offizielle Dokumentation unter keepassxc.org/docs oder das Issue-Tracking auf GitHub weiter. Die aktive Community antwortet meist schnell.

Profi-Tipps für Fortgeschrittene

Wenn die Grundeinrichtung steht, holen Sie mit diesen Funktionen mehr aus KeePassXC heraus:

  • Health-Check des Tresors: Unter Datenbank > Datenbank-Berichte findet KeePassXC schwache, wiederholte oder durch bekannte Lecks kompromittierte Passwörter. Ergänzend prüfen Sie E-Mail-Adressen auf Have I Been Pwned.
  • Gruppen und Tags: Strukturieren Sie Einträge in Gruppen (Arbeit, Privat, Finanzen) und vergeben Sie Tags für schnelle Filter.
  • Benutzerdefinierte Felder: Speichern Sie auch Wiederherstellungscodes, PINs oder Sicherheitsfragen in geschützten Zusatzfeldern.
  • KeeShare: Teilen Sie ausgewählte Gruppen verschlüsselt mit Familienmitgliedern, ohne den ganzen Tresor zu öffnen.
  • Kommandozeile: Das mitgelieferte Werkzeug keepassxc-cli ermöglicht Skripting, Backups und das Auslesen von Einträgen im Terminal.
  • Mehrere Datenbanken: Trennen Sie hochkritische Konten (Banking) in einer separaten Datenbank mit eigenem Hardware-Schlüssel.

Mit keepassxc-cli automatisieren Sie wiederkehrende Aufgaben. Ein Beispiel zum Auflisten aller Einträge:

# Alle Einträge einer Datenbank im Terminal anzeigen
keepassxc-cli ls privat.kdbx

# Ein einzelnes Passwort sicher abrufen (fragt nach dem Master-Passwort)
keepassxc-cli show privat.kdbx "E-Mail/Gmail" --attributes Password

# Ein neues, 32 Zeichen langes Passwort generieren
keepassxc-cli generate --length 32 --upper --lower --numeric --special

Diese Befehle eignen sich für Backups, Server-Administration oder die Integration in eigene Skripte. Behandeln Sie die Ausgabe sensibel, denn sie zeigt Passwörter im Klartext.

Ist KeePassXC sicher genug? Einordnung der Sicherheit

Die Sicherheit von KeePassXC ruht auf drei Säulen: bewährter Kryptografie, offenem Quellcode und unabhängiger Prüfung. Die Verschlüsselung mit AES-256 oder ChaCha20 in Kombination mit Argon2id gilt nach heutigem Stand als nicht brute-force-bar, sofern Ihr Master-Passwort stark genug ist. Der offene Quellcode bedeutet, dass weltweit Fachleute den Code einsehen und Schwachstellen melden können, anders als bei geschlossener Software.

Ein konkreter Vertrauensanker ist die behördliche Zertifizierung: KeePassXC 2.7.9 für Windows 10 erhielt am 17. November 2025 ein Sicherheits-Visa der ANSSI nach bestandener CSPN-Erstzertifizierung. Der Bericht ANSSI-CSPN-2025/16 ist drei Jahre gültig. Eine staatliche Cybersicherheitsbehörde hat das Programm also geprüft und für vertrauenswürdig befunden. Details zu solchen Zertifizierungen veröffentlicht die ANSSI auf cyber.gouv.fr.

Das Bedrohungsmodell verstehen

Sicherheit ist immer relativ zu einem Angreifer. KeePassXC schützt hervorragend gegen die häufigsten Szenarien: gestohlene Laptops, durchsickernde Cloud-Backups und Credential-Stuffing nach einem Datenleck bei einem Dienst. Selbst wenn jemand Ihre verschlüsselte .kdbx-Datei in die Hände bekommt, steht er ohne Master-Passwort vor einer mathematischen Wand. Argon2id sorgt dafür, dass jeder einzelne Rateversuch teuer ist, was großflächiges Durchprobieren unwirtschaftlich macht.

Grenzen hat jedes System dort, wo der Rechner selbst kompromittiert ist. Ein Keylogger, der Ihr Master-Passwort beim Eintippen mitschneidet, oder Schadsoftware, die den entsperrten Speicher ausliest, hebelt auch den besten Tresor aus. Deshalb gehört zu einer ehrlichen Sicherheitsbetrachtung immer die Absicherung des Geräts: aktuelle Updates, ein restriktiver Umgang mit Software aus unbekannten Quellen und im Zweifel ein separater, gut gepflegter Rechner für besonders sensible Konten. KeePassXC ist ein starkes Werkzeug, aber es ersetzt keine grundlegende Gerätehygiene, sondern ergänzt sie.

Die größte verbleibende Schwachstelle ist nicht die Software, sondern der Mensch. Ein schwaches Master-Passwort, eine fehlende Sicherung oder ein mit Malware verseuchter Rechner untergraben jeden technischen Schutz. Halten Sie Ihr Betriebssystem aktuell, nutzen Sie ein starkes Master-Passwort und sichern Sie Datenbank wie Schlüsseldatei. Weitere Empfehlungen zur Geräteabsicherung gibt das deutsche BSI unter bsi.bund.de, dessen Hinweise auch für österreichische Nutzer gelten.

KeePassXC einrichten in Österreich: Datenschutz und DSGVO

Für Nutzer in Österreich hat die lokale Architektur von KeePassXC einen besonderen Reiz. Die Datenschutz-Grundverordnung (DSGVO) verlangt von Diensteanbietern den sorgsamen Umgang mit personenbezogenen Daten, doch bei einem Cloud-Passwort-Manager geben Sie genau diese Verantwortung aus der Hand. Mit KeePassXC bleiben Ihre Zugangsdaten dagegen vollständig in Ihrer eigenen Kontrolle. Es gibt keinen Anbieter, der Daten verarbeitet, keinen Serverstandort in einem Drittland und keine Auftragsverarbeitung, über die Sie nachdenken müssten.

Das ist nicht nur eine Frage der Rechtssicherheit, sondern auch der Datensparsamkeit, einem Grundprinzip der DSGVO. Wer keine Daten an Dritte weitergibt, kann auch nicht von einem Leck bei diesem Dritten betroffen sein. Für Selbstständige, kleine Unternehmen und Vereine in Österreich, die ohnehin DSGVO-Pflichten erfüllen müssen, reduziert ein lokaler Passwort-Manager die Komplexität spürbar. Es entfällt die Notwendigkeit, einen weiteren Auftragsverarbeiter zu prüfen und vertraglich einzubinden.

Gleichzeitig tragen Sie die volle Verantwortung für die Sicherung. Diese Eigenverantwortung ist der Preis für die Datenhoheit. Wer sie ernst nimmt und die in Schritt 12 beschriebene Backup-Strategie umsetzt, erhält ein System, das in puncto Vertraulichkeit kaum zu übertreffen ist. Für österreichische Anwender, die zusätzlich ihren Netzwerkverkehr absichern möchten, ergänzt unser Leitfaden zu WireGuard die KeePassXC-Einrichtung um eine selbstgehostete VPN-Komponente.

Fazit: KeePassXC einrichten lohnt sich

In zwölf Schritten haben Sie KeePassXC von der Installation bis zu Passkeys und Hardware-Schlüssel eingerichtet. Das Ergebnis ist ein kostenloser, quelloffener und behördlich geprüfter Passwort-Tresor, der jedes Ihrer Konten mit einem eigenen, starken Passwort schützt, ohne Ihre Daten einem fremden Server anzuvertrauen. Angesichts von rund 24 Milliarden jährlich offengelegten Zugangsdaten und durchschnittlich 170 Konten pro Person ist das keine Kür, sondern eine vernünftige Grundabsicherung.

Der größte Schritt ist getan, sobald die Datenbank steht und die ersten wichtigen Konten darin liegen. Den Rest erledigen Sie nach und nach im Alltag: Bei jeder neuen Registrierung erzeugt der Generator ein einzigartiges Passwort, die Browser-Erweiterung füllt es automatisch aus, und das Backup läuft im Hintergrund mit. Wer einmal so arbeitet, möchte nicht mehr zurück. Beginnen Sie noch heute mit den drei kritischsten Konten, E-Mail, Online-Banking und dem zentralen sozialen Netzwerk, und bauen Sie Ihren Tresor von dort aus weiter aus.

Häufig gestellte Fragen (FAQ)

Ist KeePassXC wirklich kostenlos?

Ja, KeePassXC ist vollständig kostenlos und quelloffen unter der GPLv3-Lizenz. Es gibt keine Premium-Version, keine Abogebühren und keine Werbung. Das Projekt finanziert sich über Spenden. Sie laden es kostenlos von keepassxc.org herunter und dürfen es privat wie geschäftlich uneingeschränkt nutzen.

Was ist der Unterschied zwischen KeePass und KeePassXC?

KeePass ist das ursprüngliche Projekt, eine .NET-Anwendung primär für Windows. KeePassXC ist ein Community-Fork von KeePassX und ein nativer, plattformübergreifender Nachbau in C++/Qt. KeePassXC läuft ohne Zusatzkomponenten unter Windows, macOS und Linux und bringt moderne Funktionen wie die offizielle Browser-Erweiterung, TOTP und Passkeys direkt mit. Beide nutzen dasselbe KDBX-Datenbankformat.

Was passiert, wenn ich mein Master-Passwort vergesse?

Dann ist die Datenbank unwiederbringlich verloren. KeePassXC hat bewusst keine Hintertür und keine Wiederherstellungsfunktion, weil genau das die Sicherheit garantiert. Schreiben Sie Ihr Master-Passwort deshalb einmalig auf Papier und verwahren Sie es sicher, etwa in einem physischen Tresor.

Wie sicher ist es, die Datenbank in der Cloud zu speichern?

Die KeePassXC-Datenbank ist bereits Ende-zu-Ende verschlüsselt, bevor sie die Festplatte verlässt. Der Cloud-Anbieter sieht nur eine verschlüsselte Datei, niemals Ihre Passwörter im Klartext. Solange Ihr Master-Passwort stark ist und die Schlüsseldatei getrennt bleibt, ist die Cloud-Speicherung sicher. Wer keinen Drittanbieter möchte, nutzt Syncthing für den direkten Geräteabgleich.

Funktioniert KeePassXC auch auf dem Smartphone?

KeePassXC selbst ist ein Desktop-Programm für Windows, macOS und Linux. Für Android und iOS nutzen Sie kompatible Apps, die dasselbe KDBX-Format lesen, etwa KeePassDX für Android oder Strongbox für iOS. Sie öffnen damit dieselbe synchronisierte Datenbank auch mobil.

Sollte ich TOTP-Codes im selben Tresor speichern?

Für mittleres Schutzniveau ist es bequem und sicherer als gar keine Zwei-Faktor-Authentifizierung. Für hochkritische Konten wie E-Mail und Online-Banking empfiehlt sich jedoch, den zweiten Faktor getrennt zu halten, etwa auf einem separaten Gerät oder einem Hardware-Schlüssel. So bleiben beide Faktoren wirklich unabhängig.

Welche KeePassXC-Version ist aktuell?

Die aktuelle Version ist KeePassXC 2.7.12, veröffentlicht am 10. März 2026. Die zugehörige Browser-Erweiterung KeePassXC-Browser liegt in Version 1.10.3 vor (Stand 2. Juni 2026). Prüfen Sie regelmäßig auf Updates oder lassen Sie diese über Ihren Paketmanager automatisch einspielen, um Sicherheitskorrekturen zeitnah zu erhalten.

Brauche ich für KeePassXC zwingend einen YubiKey?

Nein, ein YubiKey ist optional. Ein starkes Master-Passwort, idealerweise ergänzt durch eine getrennt gelagerte Schlüsseldatei, bietet bereits sehr hohen Schutz. Der YubiKey hebt die Sicherheit auf ein zusätzliches Niveau und ist vor allem für Personen mit erhöhtem Schutzbedarf sinnvoll. Wenn Sie einen einsetzen, konfigurieren Sie immer einen zweiten als Ersatz.