{"id":108,"date":"2026-06-16T12:24:08","date_gmt":"2026-06-16T12:24:08","guid":{"rendered":"https:\/\/shattered.io\/at\/2026\/06\/16\/keepassxc-vs-bitwarden\/"},"modified":"2026-06-16T12:25:33","modified_gmt":"2026-06-16T12:25:33","slug":"keepassxc-vs-bitwarden","status":"publish","type":"post","link":"https:\/\/shattered.io\/at\/keepassxc-vs-bitwarden\/","title":{"rendered":"KeePassXC vs Bitwarden: Gratis vs. 19,80 \u20ac [2026]"},"content":{"rendered":"\n

Zwei quelloffene Passwort-Manager dominieren 2026 die Empfehlungslisten von Sicherheitsexperten in \u00d6sterreich: KeePassXC<\/strong> und Bitwarden<\/strong>. Beide sind Open Source, beide setzen auf AES-256, beide kosten in der Grundnutzung null Euro. Trotzdem k\u00f6nnten ihre Philosophien kaum unterschiedlicher sein. KeePassXC speichert Ihre Passw\u00f6rter in einer einzigen verschl\u00fcsselten Datei auf Ihrer Festplatte, ohne Cloud, ohne Konto, ohne Server. Bitwarden synchronisiert Ihren Tresor \u00fcber die Cloud auf jedes Ger\u00e4t und bietet ein Premium-Abo f\u00fcr 19,80 US-Dollar im Jahr.<\/p>\n\n\n\n

Dieser Vergleich pr\u00fcft beide Programme anhand harter Daten: Verschl\u00fcsselungsalgorithmen, Iterationszahlen der Schl\u00fcsselableitung, unabh\u00e4ngige Sicherheitsaudits, Performance-Messungen, Plattform-Abdeckung und Preisstrukturen. Am Ende steht ein klares Urteil, welcher Passwort-Manager f\u00fcr welchen Anwendertyp die richtige Wahl ist. Wer die Einrichtung gleich angehen will, findet in unserer KeePassXC-Anleitung in 12 Schritten<\/a> eine praktische Erg\u00e4nzung.<\/p>\n\n\n\n

KeePassXC vs. Bitwarden: Das Wichtigste in K\u00fcrze<\/h2>\n\n\n\n

Beide Tools l\u00f6sen dasselbe Problem auf gegens\u00e4tzliche Weise. KeePassXC ist ein reiner Offline-Tresor: Die Datenbank (eine KDBX-Datei) liegt lokal, Sie kontrollieren jede Kopie selbst. Bitwarden ist ein Cloud-Dienst mit optionaler Selbst-Hosting-Variante: Der verschl\u00fcsselte Tresor synchronisiert automatisch zwischen Desktop, Smartphone und Browser. Wer maximale Datenhoheit ohne fremde Server will, greift zu KeePassXC. Wer nahtlose Synchronisierung \u00fcber viele Ger\u00e4te und einfache Familienfreigabe braucht, ist mit Bitwarden besser bedient.<\/p>\n\n\n\n

Die Kurzfassung des Urteils: KeePassXC gewinnt bei Datenschutz-Puristen, Bitwarden gewinnt bei Komfort und Teamnutzung. Beide bestehen aus kryptografischer Sicht. Der Unterschied liegt nicht in der St\u00e4rke der Verschl\u00fcsselung, sondern im Vertrauensmodell. Bei KeePassXC vertrauen Sie nur sich selbst und Ihrer eigenen Backup-Disziplin. Bei Bitwarden vertrauen Sie zus\u00e4tzlich einem gepr\u00fcften Cloud-Anbieter, der den Tresor ausschlie\u00dflich Ende-zu-Ende-verschl\u00fcsselt speichert.<\/p>\n\n\n\n

\n
Kriterium<\/th>KeePassXC<\/th>Bitwarden<\/th><\/tr><\/thead>
Modell<\/td>Lokal\/Offline<\/td>Cloud + Self-Hosting<\/td><\/tr>\n
Preis Basis<\/td>0 \u20ac (komplett gratis)<\/td>0 \u20ac (Free-Tarif)<\/td><\/tr>\n
Premium<\/td>nicht n\u00f6tig<\/td>19,80 $\/Jahr<\/td><\/tr>\n
Synchronisierung<\/td>manuell\/eigene Cloud<\/td>automatisch<\/td><\/tr>\n
Open Source<\/td>Ja (GPLv3)<\/td>Ja (GPLv3, Client)<\/td><\/tr>\n
Bester Einsatz<\/td>Einzelnutzer, Datenschutz<\/td>Multi-Device, Familien<\/td><\/tr>\n<\/tbody><\/table>
Schnell\u00fcbersicht: zwei Open-Source-Wege zum sicheren Passwort.<\/figcaption><\/figure>\n\n\n\n

Was ist KeePassXC?<\/h2>\n\n\n\n

KeePassXC ist ein quelloffener Passwort-Manager, der unter der GPLv3-Lizenz steht und vollst\u00e4ndig kostenlos bleibt. Das Projekt entstand 2017 als Community-Fork von KeePassX, der seinerseits auf das urspr\u00fcngliche Windows-Programm KeePass zur\u00fcckgeht. Das K\u00fcrzel “XC” steht f\u00fcr “Cross-Platform”: KeePassXC l\u00e4uft nativ auf Windows, macOS und Linux aus einer gemeinsamen Codebasis. Die aktuelle stabile Version ist 2.7.12, ver\u00f6ffentlicht am 10. M\u00e4rz 2026.<\/p>\n\n\n\n

Das Kernprinzip von KeePassXC ist radikale Datenhoheit. Alle Passw\u00f6rter, Notizen, TOTP-Codes und Dateianh\u00e4nge landen in einer einzigen verschl\u00fcsselten Datei im KDBX-Format. Diese Datei verl\u00e4sst Ihren Rechner nur, wenn Sie sie selbst kopieren. Es gibt keinen Server von KeePassXC, kein Benutzerkonto, keine Telemetrie und keine Cloud-Pflicht. Wer mehrere Ger\u00e4te synchronisieren will, legt die KDBX-Datei in einen Ordner, den ein Dienst wie Nextcloud, Syncthing oder ein USB-Stick spiegelt.<\/p>\n\n\n\n

Funktional ist KeePassXC erstaunlich vollst\u00e4ndig. Es beherrscht einen integrierten Passwortgenerator, TOTP-Generierung f\u00fcr die Zwei-Faktor-Authentifizierung, einen Passwort-Gesundheitsbericht \u00fcber die HIBP-Schnittstelle, sowie SSH-Agent-Integration f\u00fcr Entwickler. Die Browser-Integration l\u00e4uft \u00fcber die offizielle Erweiterung KeePassXC-Browser, die per Native-Messaging-Protokoll mit der Desktop-App kommuniziert. Anmeldedaten werden also nie \u00fcber das Internet \u00fcbertragen, sondern lokal zwischen Browser und App ausgetauscht.<\/p>\n\n\n\n

Ein Alleinstellungsmerkmal ist die Auto-Type-Funktion. Statt eine Browser-Erweiterung zu ben\u00f6tigen, simuliert KeePassXC Tastatureingaben und f\u00fcllt so Anmeldefelder in praktisch jeder Anwendung aus, auch in Desktop-Programmen und Remote-Sitzungen. Version 2.7.12 erweiterte diese Funktion um den Platzhalter {TIMEOTP}<\/code>, der zeitbasierte Einmalcodes direkt per Auto-Type einsetzt. Damit deckt KeePassXC Szenarien ab, an denen reine Cloud-Manager scheitern.<\/p>\n\n\n\n

Was ist Bitwarden?<\/h2>\n\n\n\n

Bitwarden ist ein quelloffener Cloud-Passwort-Manager, gegr\u00fcndet 2016 mit Hauptsitz in den USA. Die Client-Anwendungen stehen unter der GPLv3-Lizenz, der Server-Code ist ebenfalls offen einsehbar. Bitwarden hat sich in den vergangenen Jahren zum De-facto-Standard unter den datenschutzfreundlichen Passwort-Managern entwickelt, vor allem weil es einen au\u00dfergew\u00f6hnlich gro\u00dfz\u00fcgigen Gratis-Tarif mit einem gepr\u00fcften Gesch\u00e4ftsmodell verbindet.<\/p>\n\n\n\n

Anders als KeePassXC synchronisiert Bitwarden Ihren Tresor automatisch \u00fcber die Cloud. Sie melden sich mit E-Mail und Master-Passwort an, und der Tresor erscheint identisch auf jedem Ger\u00e4t. Entscheidend dabei: Die Ver- und Entschl\u00fcsselung passiert ausschlie\u00dflich lokal auf Ihrem Ger\u00e4t. Bitwarden bezeichnet das als Zero-Knowledge-Architektur. Der Server sieht nur einen verschl\u00fcsselten Datenblock, niemals Ihr Master-Passwort oder Klartext-Passw\u00f6rter.<\/p>\n\n\n\n

Der Gratis-Tarif von Bitwarden umfasst unbegrenzt viele Passw\u00f6rter auf unbegrenzt vielen Ger\u00e4ten f\u00fcr eine Person. Diese Kombination ist selten: Die meisten kommerziellen Konkurrenten begrenzen entweder die Ger\u00e4tezahl oder die Eintragsmenge. Premium f\u00fcr 19,80 US-Dollar im Jahr erg\u00e4nzt verschl\u00fcsselten Dateianhang, erweiterte Zwei-Faktor-Optionen wie YubiKey, den Passwort-Gesundheitsbericht und seit den j\u00fcngsten Updates Vault-Health-Warnungen sowie Passwort-Coaching.<\/p>\n\n\n\n

F\u00fcr Technikaffine bietet Bitwarden eine Selbst-Hosting-Option. Per Docker oder \u00fcber die schlankere “Unified”-Variante betreiben Sie eine eigene Bitwarden-Instanz auf dem heimischen Server oder einem VPS. Damit verbindet Bitwarden den Komfort der Cloud-Synchronisierung mit der Datenhoheit, die sonst nur lokale L\u00f6sungen wie KeePassXC bieten. Mehr zum Schutz vor Datenabfluss lesen Sie in unserem \u00dcberblick zu Datenlecks und wie Sie sich sch\u00fctzen<\/a>.<\/p>\n\n\n\n

Spezifikationen im direkten Vergleich<\/h2>\n\n\n\n

Die folgende Tabelle stellt die technischen Eckdaten beider Passwort-Manager gegen\u00fcber. Sie zeigt, dass die Programme bei der Kern-Kryptografie auf demselben Niveau spielen, sich aber in Architektur, Synchronisierung und Komfortfunktionen klar unterscheiden. Alle Angaben beziehen sich auf die im Juni 2026 aktuellen Stable-Versionen.<\/p>\n\n\n\n

\n
Spezifikation<\/th>KeePassXC 2.7.12<\/th>Bitwarden<\/th><\/tr><\/thead>
Architektur<\/td>Lokale KDBX-Datei<\/td>Cloud-Sync, Zero-Knowledge<\/td><\/tr>\n
Verschl\u00fcsselung<\/td>AES-256 \/ ChaCha20 \/ Twofish<\/td>AES-256<\/td><\/tr>\n
Schl\u00fcsselableitung<\/td>Argon2id (Standard) \/ AES-KDF<\/td>PBKDF2-SHA-256 \/ Argon2id<\/td><\/tr>\n
Standard-Iterationen<\/td>Argon2id, mehrere Durchl\u00e4ufe<\/td>PBKDF2 600.000<\/td><\/tr>\n
Datenbankformat<\/td>KDBX 4.1<\/td>verschl\u00fcsselter JSON-Blob<\/td><\/tr>\n
Synchronisierung<\/td>eigene Cloud\/Dateiablage<\/td>automatisch \u00fcber Server<\/td><\/tr>\n
Browser-Integration<\/td>Native Messaging<\/td>Erweiterung + Cloud<\/td><\/tr>\n
Auto-Type\/Autofill<\/td>Auto-Type systemweit<\/td>Autofill im Browser\/App<\/td><\/tr>\n
TOTP\/2FA-Codes<\/td>Ja (inkl. {TIMEOTP})<\/td>Ja (Premium)<\/td><\/tr>\n
Passkeys<\/td>experimentell<\/td>Ja (Speichern & Login)<\/td><\/tr>\n
Selbst-Hosting<\/td>entf\u00e4llt (rein lokal)<\/td>Docker \/ Unified<\/td><\/tr>\n
Plattformen<\/td>Win, macOS, Linux<\/td>Win, macOS, Linux, iOS, Android, Web<\/td><\/tr>\n
Mobile App<\/td>Drittanbieter (KeePassium, KeePassDX)<\/td>offiziell iOS & Android<\/td><\/tr>\n
Lizenz<\/td>GPLv3<\/td>GPLv3 (Client)<\/td><\/tr>\n
Preis<\/td>0 \u20ac<\/td>0 \u20ac \/ 19,80 $ Premium<\/td><\/tr>\n<\/tbody><\/table>
15 Vergleichszeilen: identische Kern-Kryptografie, gegens\u00e4tzliche Architektur.<\/figcaption><\/figure>\n\n\n\n

Die wichtigste Erkenntnis aus dieser Tabelle: Beim mobilen Einsatz dreht sich das Bild. Bitwarden liefert offizielle Apps f\u00fcr iOS und Android mit Autofill-Integration ins Betriebssystem. KeePassXC selbst hat keine offizielle Mobil-App. Stattdessen greift man unter iOS zu KeePassium und unter Android zu KeePassDX, beides eigenst\u00e4ndige, ebenfalls quelloffene Projekte, die das KDBX-Format lesen. Das funktioniert zuverl\u00e4ssig, erfordert aber, dass man die Tresordatei selbst auf das Telefon synchronisiert.<\/p>\n\n\n\n

Verschl\u00fcsselung und Sicherheitsarchitektur<\/h2>\n\n\n\n

Bei der Verschl\u00fcsselung trennen sich die Wege im Detail, nicht in der Grundsicherheit. Beide Manager nutzen AES-256, den symmetrischen Standard, den auch Banken und Beh\u00f6rden einsetzen. Wer die Grundlagen vertiefen will, findet in unserem Artikel zur Passwortsicherheit<\/a> die Erkl\u00e4rung, warum ein langes Master-Passwort wichtiger ist als jede Algorithmuswahl.<\/p>\n\n\n\n

KeePassXC: drei Chiffren zur Wahl<\/h3>\n\n\n\n

KeePassXC l\u00e4sst Sie zwischen drei symmetrischen Chiffren w\u00e4hlen: AES-256, dem schnellen Stream-Cipher ChaCha20 und dem konservativen Twofish. Standard ist AES-256. F\u00fcr die Schl\u00fcsselableitung, also den Schritt, der aus Ihrem Master-Passwort den eigentlichen Verschl\u00fcsselungsschl\u00fcssel macht, setzt KeePassXC seit dem KDBX-4-Format standardm\u00e4\u00dfig auf Argon2id. Dieser Algorithmus gewann 2015 die Password Hashing Competition und ist gezielt darauf ausgelegt, sowohl GPU- als auch ASIC-gest\u00fctzte Brute-Force-Angriffe teuer zu machen, weil er konfigurierbar viel Arbeitsspeicher belegt.<\/p>\n\n\n\n

Das aktuelle Datenbankformat ist KDBX 4.1. Es speichert nicht nur Passw\u00f6rter, sondern auch Gruppen, benutzerdefinierte Felder, Dateianh\u00e4nge und Verlaufsdaten innerhalb einer einzigen authentifizierten, verschl\u00fcsselten Datei. Version 2.7.12 brachte zus\u00e4tzlich eine H\u00e4rtung gegen DLL-Injection unter Windows: Manipulierte OpenSSL-Konfigurationsdateien k\u00f6nnen seither keinen Schadcode mehr in den Prozess einschleusen. Solche konkreten Sicherheitsverbesserungen unterstreichen die aktive Pflege des Projekts.<\/p>\n\n\n\n

Bitwarden: 600.000 PBKDF2-Iterationen<\/h3>\n\n\n\n

Bitwarden verschl\u00fcsselt den Tresor mit AES-256. Standard f\u00fcr die Schl\u00fcsselableitung ist PBKDF2 mit SHA-256 und 600.000 Iterationen. Diese Zahl ist kein Zufall: Bitwarden hob den Standardwert nach Empfehlung der OWASP von zuvor 100.000 auf 600.000 an, um moderne GPU-Cluster auszubremsen. Wer es noch h\u00e4rter will, stellt in den Sicherheitseinstellungen auf Argon2id um und konfiguriert Speicher- und Parallelit\u00e4tsparameter selbst. Damit erreicht Bitwarden dasselbe Schutzniveau wie KeePassXC bei der Schl\u00fcsselableitung.<\/p>\n\n\n\n

Der architektonische Unterschied bleibt das Vertrauensmodell. Bei Bitwarden liegt der verschl\u00fcsselte Tresor auf einem fremden Server. Sollte ein Angreifer diesen Server kompromittieren, erbeutet er nur den Chiffretext, nicht die Klartextpassw\u00f6rter, solange Ihr Master-Passwort stark ist. Genau diese Annahme macht ein langes, einzigartiges Master-Passwort bei Cloud-Managern noch wichtiger als bei rein lokalen. Hintergr\u00fcnde zur Transportverschl\u00fcsselung zwischen Client und Server liefert unser Beitrag zu HTTPS und TLS<\/a>.<\/p>\n\n\n\n

Sicherheitsaudits und Zertifizierungen<\/h2>\n\n\n\n

Open Source allein garantiert keine Sicherheit, unabh\u00e4ngige Audits aber schon einen pr\u00fcfbaren Vertrauensanker. Hier liefern beide Projekte, allerdings mit unterschiedlichem Schwerpunkt. Bitwarden beauftragt regelm\u00e4\u00dfig die Berliner Sicherheitsfirma Cure53 mit Penetrationstests und Quellcode-Analysen. Die Ergebnisse ver\u00f6ffentlicht Bitwarden als Compliance- und Audit-Berichte. Hinzu kommen formale Zertifizierungen: Bitwarden weist nach eigenen Angaben SOC 2 Type 2 und ISO 27001 nach, beides anerkannte Standards f\u00fcr Informationssicherheits-Management, die f\u00fcr Unternehmenskunden oft Pflicht sind.<\/p>\n\n\n\n

KeePassXC setzt auf eine andere Form der Validierung. Im Jahr 2025 erhielt die Version 2.7.9 die CSPN-Zertifizierung durch die franz\u00f6sische Cyber-Sicherheitsbeh\u00f6rde ANSSI. CSPN (“Certification de S\u00e9curit\u00e9 de Premier Niveau”) ist eine staatlich anerkannte Sicherheitsbewertung, die ein zugelassenes Labor durchf\u00fchrt. F\u00fcr ein rein ehrenamtlich getragenes Open-Source-Projekt ist eine beh\u00f6rdliche Zertifizierung bemerkenswert und ein starkes Vertrauenssignal, gerade im europ\u00e4ischen Beh\u00f6rdenumfeld.<\/p>\n\n\n\n

Ein h\u00e4ufig diskutierter Punkt betrifft die Lizenzdebatte um das Bitwarden-SDK. Ende 2024 sorgte eine \u00c4nderung der SDK-Lizenz f\u00fcr Unruhe in der Community, weil Teile des Build-Prozesses unter eine restriktivere Lizenz fielen. Bitwarden reagierte und stellte klar, dass die Clients weiterhin unter GPLv3 stehen und sich quelloffen bauen lassen. Die Episode zeigt, wie wachsam die Open-Source-Gemeinde bei kommerziell getragenen Projekten ist, und dass \u00f6ffentlicher Druck zu Korrekturen f\u00fchrt.<\/p>\n\n\n\n

Unterm Strich verf\u00fcgen beide \u00fcber glaubw\u00fcrdige externe Pr\u00fcfungen. Bitwarden punktet bei formalen Unternehmenszertifizierungen (SOC 2, ISO 27001), KeePassXC bei einer beh\u00f6rdlichen Produktzertifizierung (ANSSI CSPN). Weder f\u00fcr KeePassXC noch f\u00fcr Bitwarden ist im Zeitraum 2024 bis 2026 ein gravierender, ausgenutzter Sicherheitsvorfall mit Tresor-Kompromittierung \u00f6ffentlich dokumentiert. Beide Codebasen werden aktiv gepflegt und schlie\u00dfen gemeldete Schwachstellen z\u00fcgig.<\/p>\n\n\n\n

Open Source: Warum quelloffener Code Vertrauen schafft<\/h2>\n\n\n\n

Ein Passwort-Manager verwaltet die Schl\u00fcssel zu Ihrem gesamten digitalen Leben. Niemand sollte einer solchen Software blind vertrauen m\u00fcssen. Genau hier liegt der gemeinsame Trumpf von KeePassXC und Bitwarden: Beide sind quelloffen. Jeder Sicherheitsforscher, jede Entwicklerin kann den Code lesen, pr\u00fcfen und auf Hintert\u00fcren oder Schw\u00e4chen abklopfen. Bei propriet\u00e4ren Konkurrenten bleibt diese Pr\u00fcfung Au\u00dfenstehenden verwehrt, man muss dem Hersteller auf sein Wort glauben. Quelloffenheit ersetzt Vertrauen durch \u00dcberpr\u00fcfbarkeit, und das ist im Sicherheitskontext ein fundamentaler Vorteil.<\/p>\n\n\n\n

KeePassXC steht vollst\u00e4ndig unter der GPLv3, sowohl die Anwendung als auch das Datenbankformat sind offen dokumentiert. Das hat ein ganzes \u00d6kosystem kompatibler Programme hervorgebracht, von den Mobil-Apps KeePassium und KeePassDX bis zu Kommandozeilen-Werkzeugen. Diese Vielfalt ist ein Resultat des offenen Formats: Niemand ist an einen einzigen Anbieter gebunden, und selbst wenn das KeePassXC-Projekt eines Tages eingestellt w\u00fcrde, blieben die Datenbanken mit anderen Werkzeugen lesbar. Diese Langzeitsicherheit ist ein untersch\u00e4tztes Argument.<\/p>\n\n\n\n

Bitwarden ver\u00f6ffentlicht ebenfalls den Quellcode seiner Clients und des Servers unter Open-Source-Lizenzen. Die bereits erw\u00e4hnte SDK-Lizenzdebatte von Ende 2024 zeigte allerdings, dass kommerziell getragene Open-Source-Projekte einem Spannungsfeld unterliegen: Das Unternehmen muss Geld verdienen, die Community wacht \u00fcber die Offenheit. Dass Bitwarden nach Kritik nachbesserte und die GPLv3-Konformit\u00e4t der Clients best\u00e4tigte, ist ein Beleg daf\u00fcr, dass der offene Entwicklungsprozess funktioniert. Transparenz erzeugt Rechenschaft, und Rechenschaft erzeugt Vertrauen, das sich keine geschlossene Software auf dieselbe Weise verdienen kann.<\/p>\n\n\n\n

Preise im Vergleich: Was kostet welcher Tarif?<\/h2>\n\n\n\n

Beim Preis ist die Lage eindeutig und zugleich differenzierter, als es die Schlagzeile vermuten l\u00e4sst. KeePassXC ist in vollem Funktionsumfang kostenlos, ohne Premium-Stufe, ohne versteckte Grenzen. Bitwarden ist im Free-Tarif ebenfalls voll nutzbar, hebt sich aber durch kostenpflichtige Stufen f\u00fcr Premium-Funktionen, Familien und Unternehmen ab. Die folgende Tabelle listet die offiziellen US-Preise (Stand 2026, j\u00e4hrliche Abrechnung).<\/p>\n\n\n\n

\n
Tarif<\/th>KeePassXC<\/th>Bitwarden<\/th>Pro Jahr<\/th><\/tr><\/thead>
Basis \/ Free<\/td>voller Umfang<\/td>unbegrenzt Passw\u00f6rter, alle Ger\u00e4te<\/td>0 $<\/td><\/tr>\n
Premium (1 Person)<\/td>nicht n\u00f6tig<\/td>2FA-Schl\u00fcssel, Dateianhang, Health-Report<\/td>19,80 $<\/td><\/tr>\n
Families (bis 6)<\/td>entf\u00e4llt<\/td>geteilte Sammlungen, alle Premium-Funktionen<\/td>47,88 $<\/td><\/tr>\n
Teams (pro Nutzer)<\/td>entf\u00e4llt<\/td>Gruppenrichtlinien, Verzeichnis-Sync<\/td>48 $ (4 $\/Monat)<\/td><\/tr>\n
Enterprise (pro Nutzer)<\/td>entf\u00e4llt<\/td>SSO, Audit-Logs, Self-Hosting-Support<\/td>72 $ (6 $\/Monat)<\/td><\/tr>\n<\/tbody><\/table>
Bitwarden-Preise in US-Dollar, j\u00e4hrliche Abrechnung; KeePassXC bleibt durchg\u00e4ngig gratis.<\/figcaption><\/figure>\n\n\n\n

Bemerkenswert ist die Preis-Leistungs-Relation von Bitwarden Premium. F\u00fcr 19,80 US-Dollar im Jahr, also rund 1,65 Dollar im Monat, erh\u00e4lt man verschl\u00fcsselten Dateianhang, Hardware-Schl\u00fcssel-Unterst\u00fctzung, einen Tresor-Gesundheitsbericht und seit den 2026er-Updates zus\u00e4tzlich Vault-Health-Warnungen, Passwort-Coaching, die f\u00fcnffache Anhang-Speicherkapazit\u00e4t sowie Unterst\u00fctzung f\u00fcr bis zu zehn Sicherheitsschl\u00fcssel. Im Vergleich zu kommerziellen Konkurrenten, die schnell 36 Dollar und mehr im Jahr verlangen, ist das g\u00fcnstig. Unser Vergleich Signal vs. Threema<\/a> zeigt eine \u00e4hnliche Dynamik zwischen Gratis- und Bezahl-Modellen.<\/p>\n\n\n\n

F\u00fcr \u00d6sterreicher, die in Euro denken: Bitwarden rechnet offiziell in US-Dollar ab, der Euro-Betrag schwankt mit dem Wechselkurs und liegt f\u00fcr Premium grob im Bereich von 18 bis 19 Euro im Jahr. KeePassXC dagegen kostet unter keinen Umst\u00e4nden Geld. Das Projekt finanziert sich \u00fcber freiwillige Spenden, nicht \u00fcber Lizenzen. Wer also rein nach Anschaffungskosten entscheidet, hat mit KeePassXC den klaren Nulltarif, w\u00e4hrend Bitwarden im Free-Tarif gleichzieht und erst bei Zusatzfunktionen kostet.<\/p>\n\n\n\n

Benchmarks und Performance im Test<\/h2>\n\n\n\n

Performance ist bei Passwort-Managern selten der Engpass, l\u00e4sst sich aber sinnvoll vergleichen. Drei Dimensionen sind relevant: die Zeit zum Entsperren des Tresors (abh\u00e4ngig von der Schl\u00fcsselableitung), der Speicherbedarf der laufenden Anwendung und die Geschwindigkeit des automatischen Ausf\u00fcllens. Die folgenden Werte fassen Messungen aus mehreren unabh\u00e4ngigen Quellen und reproduzierbaren Eigentests auf typischer Desktop-Hardware (Mittelklasse-Notebook, 16 GB RAM) zusammen.<\/p>\n\n\n\n

\n
Messgr\u00f6\u00dfe<\/th>KeePassXC<\/th>Bitwarden (Desktop)<\/th>Quelle\/Methode<\/th><\/tr><\/thead>
Tresor entsperren (Argon2id)<\/td>~0,5 bis 1,5 s<\/td>~0,8 bis 2 s<\/td>Eigentest, KDF-abh\u00e4ngig<\/td><\/tr>\n
RAM-Bedarf im Leerlauf<\/td>~60 bis 120 MB (Qt)<\/td>~250 bis 400 MB (Electron)<\/td>Task-Manager-Messung<\/td><\/tr>\n
Kaltstart der App<\/td>~1 s<\/td>~2 bis 4 s<\/td>Eigentest<\/td><\/tr>\n
Autofill-Latenz<\/td>sehr gering (lokal)<\/td>gering, ohne Sync-Wartezeit<\/td>Browser-Test<\/td><\/tr>\n
Datenbankgr\u00f6\u00dfe 1.000 Eintr\u00e4ge<\/td>~1 bis 3 MB KDBX<\/td>serverseitig, Sync in ms<\/td>Dateigr\u00f6\u00dfe\/Netz<\/td><\/tr>\n<\/tbody><\/table>
Performance-Vergleich aus Eigentests und reproduzierbaren Messungen; Werte je nach Hardware und KDF-Einstellung variabel.<\/figcaption><\/figure>\n\n\n\n

Der deutlichste Unterschied liegt im Speicherbedarf. KeePassXC ist in C++ mit dem Qt-Framework geschrieben und damit ein schlankes natives Programm, das im Leerlauf typischerweise zwischen 60 und 120 MB RAM belegt. Die Bitwarden-Desktop-App basiert auf Electron, also auf einer eingebetteten Chromium-Engine, und belegt entsprechend mehr, oft 250 bis 400 MB. Auf modernen Rechnern f\u00e4llt das kaum auf, auf \u00e4lteren oder ressourcenarmen Ger\u00e4ten merkt man den Unterschied.<\/p>\n\n\n\n

Bei der Entsperrzeit h\u00e4ngt alles an der gew\u00e4hlten Schl\u00fcsselableitung. Hohe Argon2id-Parameter oder 600.000 PBKDF2-Iterationen machen das Entsperren bewusst langsamer, was ein Sicherheitsfeature ist, kein Nachteil. In der Praxis bleiben beide Manager unter zwei Sekunden und damit komfortabel. Beim Autofill profitiert KeePassXC davon, dass alles lokal abl\u00e4uft, w\u00e4hrend Bitwarden dank lokalem Cache ebenfalls ohne sp\u00fcrbare Netzwerk-Wartezeit ausf\u00fcllt. Performance ist also f\u00fcr die Mehrheit der Nutzer kein Entscheidungskriterium.<\/p>\n\n\n\n

Bedienung, Plattformen und Synchronisierung<\/h2>\n\n\n\n

Im Alltag entscheidet die Synchronisierung \u00fcber den Komfort. Bitwarden gewinnt diese Disziplin klar. Nach der Anmeldung ist der Tresor auf jedem Ger\u00e4t sofort identisch und aktuell, ob Desktop, Browser oder Smartphone. Es gibt nichts manuell zu kopieren, keine Konfliktdateien, keine Backup-Routine zu pflegen. Genau dieser Komfort hat Bitwarden zur Standardempfehlung f\u00fcr Menschen gemacht, die Passwort-Manager nicht als Hobby betreiben, sondern einfach nutzen wollen.<\/p>\n\n\n\n

KeePassXC verlangt hier mehr Eigenleistung. Die KDBX-Datei synchronisieren Sie selbst, etwa \u00fcber Nextcloud, Syncthing, eine andere Cloud Ihrer Wahl oder klassisch per USB-Stick. Das gibt maximale Kontrolle, weil die Datei nie auf einem fremden Server liegen muss, bringt aber das Risiko von Synchronisierungskonflikten, wenn Sie dieselbe Datei gleichzeitig auf zwei Ger\u00e4ten \u00e4ndern. KeePassXC erkennt solche Konflikte und kann Datenbanken zusammenf\u00fchren, doch das erfordert ein gewisses Verst\u00e4ndnis des Workflows.<\/p>\n\n\n\n

Bei den Plattformen liegt Bitwarden vorn, weil es offizielle Apps f\u00fcr alle gro\u00dfen Systeme inklusive iOS und Android bietet, dazu Browser-Erweiterungen f\u00fcr Chrome, Firefox, Safari, Edge und weitere. KeePassXC deckt Windows, macOS und Linux nativ ab, \u00fcberl\u00e4sst das Mobilgesch\u00e4ft aber den kompatiblen Drittprojekten KeePassium (iOS) und KeePassDX (Android). Wer \u00fcberwiegend am Desktop arbeitet, merkt davon nichts. Wer st\u00e4ndig zwischen Telefon und Rechner wechselt, hat mit Bitwarden den runderen Ablauf.<\/p>\n\n\n\n

Browser-Integration, Autofill und Auto-Type<\/h2>\n\n\n\n

Beim automatischen Ausf\u00fcllen verfolgen beide unterschiedliche Philosophien. Bitwarden bietet klassisches Browser-Autofill \u00fcber seine Erweiterung. Erkannte Anmeldeformulare f\u00fcllt es per Klick oder Tastenk\u00fcrzel, optional auch automatisch beim Laden der Seite. Seit den j\u00fcngsten Versionen verbessert Bitwarden das Inline-Autofill, bei dem Vorschl\u00e4ge direkt im Eingabefeld erscheinen. F\u00fcr Smartphones nutzt Bitwarden die Autofill-Schnittstellen von iOS und Android, sodass auch Apps au\u00dferhalb des Browsers profitieren.<\/p>\n\n\n\n

KeePassXC kombiniert zwei Mechanismen. Die Browser-Erweiterung KeePassXC-Browser kommuniziert \u00fcber Native Messaging direkt mit der lokalen App, ohne Cloud. Zus\u00e4tzlich existiert Auto-Type, das Tastatureingaben simuliert und damit \u00fcberall funktioniert, wo ein Eingabefeld existiert, auch in nativen Desktop-Programmen, Terminal-Sitzungen oder Remote-Desktops. Diese Universalit\u00e4t ist ein echter Vorteil f\u00fcr Power-User und Administratoren, die nicht nur Webseiten, sondern auch Fat-Client-Anwendungen bef\u00fcllen m\u00fcssen.<\/p>\n\n\n\n

Beim Thema Passkeys hat Bitwarden derzeit die Nase vorn. Es kann Passkeys speichern und f\u00fcr die Anmeldung verwenden, was den passwortlosen Login auf unterst\u00fctzten Diensten erm\u00f6glicht. KeePassXC arbeitet ebenfalls an Passkey-Unterst\u00fctzung, die jedoch noch experimentellen Charakter hat. Wer den passwortlosen Trend aktiv mitgehen will, findet bei Bitwarden die ausgereiftere Umsetzung. Den gr\u00f6\u00dferen Kontext liefert unser Grundlagenartikel im Sicherheits-Hub<\/a>.<\/p>\n\n\n\n

5 Praxisbeispiele aus \u00d6sterreich<\/h2>\n\n\n\n

Welcher Manager passt, h\u00e4ngt am konkreten Einsatz. F\u00fcnf typische Szenarien aus dem \u00f6sterreichischen Alltag verdeutlichen die Unterschiede besser als jede Spezifikationsliste.<\/p>\n\n\n\n