Jeder sechste Deutsche nutzt dasselbe Passwort für mehrere Dienste. Nach dem LastPass-Datenleck 2022, bei dem verschlüsselte Tresore von Millionen Nutzern abgegriffen wurden, stieg die Nachfrage nach sicheren Alternativen sprunghaft an. Zwei Tools dominierten seither die Diskussion in der deutschen IT-Community: KeePassXC und Bitwarden. Beide sind Open-Source, beide sind kostenlos nutzbar, und doch trennen sie grundlegend verschiedene Philosophien: lokal kontrollierter Offline-Tresor versus verschlüsselter Cloud-Sync mit optionalem Selbsthosting.
Dieser Vergleich beantwortet, welches Tool für welche Anforderungen die bessere Wahl ist. Grundlage sind technische Spezifikationen, aktuelle Sicherheitsaudits und Nutzungsszenarien, die im deutschen DACH-Raum relevant sind, inklusive DSGVO-Konformität und Datensouveränität. Als primäre Suchbegriffe in Deutschland zählen KeePassXC (22.200 monatliche Suchen, geringes Wettbewerb) und Bitwarden (60.500 monatliche Suchen) zu den meistgesuchten Open-Source-Sicherheitstools überhaupt.
KeePassXC vs Bitwarden auf einen Blick
KeePassXC speichert Passwörter in einer verschlüsselten Datei direkt auf dem eigenen Gerät. Kein Account, kein Server, keine Übertragung. Bitwarden hingegen synchronisiert den verschlüsselten Tresor automatisch über die eigene Cloud, mit optionalem Self-Hosting. Beide Tools nutzen AES-256-Verschlüsselung und sind vollständig quelloffen. Der zentrale Unterschied liegt nicht in der Verschlüsselungsstärke, sondern im Bedrohungsmodell: Wer Cloud-Angriffe als primäres Risiko sieht, wählt KeePassXC. Wer Geräteverlust und mangelnde Synchronisation fürchtet, wählt Bitwarden.
KeePassXC hat im November 2025 eine staatliche Sicherheitszertifizierung der französischen Behörde ANSSI erhalten (Bericht Nr. ANSSI-CSPN-2025/16). Bitwarden verfügt über SOC 2 Type II, ISO 27001 und ein öffentliches Bug-Bounty-Programm. In der Verschlüsselungsstärke und Kryptographiequalität liegen beide Tools auf demselben Niveau. Die Entscheidung hängt von Synchronisationsbedarf, Mobilnutzung und Vertrauen in Cloud-Infrastruktur ab.
Was ist KeePassXC?
KeePassXC ist ein Community-Fork des ursprünglichen KeePass-Projekts, das 2016 als plattformübergreifende Alternative unter dem Kürzel “KeePass Cross-Platform Community Edition” gestartet wurde. Das Projekt ist in C++ geschrieben, unter der GPLv3-Lizenz veröffentlicht und wird ausschließlich durch ehrenamtliche Entwickler betrieben, ohne kommerzielle Hintergedanken oder Venture-Capital-Backing.
Die Software speichert alle Zugangsdaten in einer KDBX-Datenbankdatei. Diese Datei kann der Nutzer selbst entscheiden, wo sie liegt: lokal auf der Festplatte, auf einem USB-Stick, in der eigenen Nextcloud-Instanz oder einem anderen Speicherort seiner Wahl. KeePassXC überträgt dabei keine Daten an externe Server. Das Programm selbst hat keine Hintergrundnetzwerkverbindung. Der einzige Netzwerkkontakt erfolgt optional über die Browser-Extension KeePassXC-Browser, die lokal über eine Native-Messaging-Schnittstelle kommuniziert.
Im November 2025 erhielt KeePassXC die ANSSI CSPN-Zertifizierung der französischen Nationalen Agentur für Cybersicherheit (Bericht Nr. ANSSI-CSPN-2025/16, erteilt am 17. November 2025, gültig für drei Jahre). Diese Zertifizierung belegt die Konformität mit strengen Sicherheitsanforderungen staatlicher Stellen. Die ANSSI ist das französische Pendant zum deutschen BSI. KeePassXC gehört damit zu den wenigen Open-Source-Passwortmanagern mit offizieller Regierungszertifizierung in Europa.
Auf GitHub zählt das Projekt über 25.000 Sterne. Die aktuell stabile Version ist 2.7.11, veröffentlicht am 23. November 2025. Das Changelog für 2.7.11 enthält einen integrierten Anhangbetrachter für Bilder, HTML und Markdown, einen verbesserten Datenbank-Merge-Dialog und die Option, für neue Einträge automatisch ein Passwort zu generieren.
Besondere Funktionen von KeePassXC
Neben der Offline-Natur bietet KeePassXC Funktionen, die in Cloud-Passwortmanagern selten zu finden sind. Die integrierte SSH-Agent-Integration ermöglicht es, SSH-Schlüssel direkt aus dem Tresor zu verwalten und automatisch in den SSH-Agent zu laden. Für Entwickler und Serveradministratoren ist das ein erheblicher Komfortgewinn gegenüber dem manuellen Laden von SSH-Keys.
Seit Version 2.7.7 (März 2024) unterstützt KeePassXC über die Browser-Extension auch Passkeys. Nutzer können WebAuthn/FIDO2-Zugangsdaten direkt im lokalen Tresor speichern und über KeePassXC-Browser in kompatiblen Webseiten einlösen. Version 2.7.9 erweiterte das um die einfache Entfernbarkeit von Passkeys, Version 2.7.10 verbesserte die Passkey-Unterstützung beim Bitwarden-Import.
Das KDBX-4.1-Format, eingeführt mit Version 2.7.7, unterstützt zusätzliche Metadaten und verbesserte Integritätsprüfung gegenüber dem älteren KDBX-3-Format. Wer mit KeePass-kompatiblen Apps auf mobilen Geräten arbeitet, sollte prüfen, ob die jeweilige App KDBX 4.x unterstützt, da ältere Clients möglicherweise nur KDBX 3 lesen können.
Version 2.7.10 (März 2025) fügte einen Proton Pass Importer hinzu, was den Wechsel vom wachsenden Proton-Ökosystem erleichtert. Bitwarden-Import wurde ebenfalls verbessert und unterstützt nun verschlüsselte Bitwarden-Exporte.
Was ist Bitwarden?
Bitwarden startete 2016 und hat sich als de-facto-Standard unter Open-Source-Passwortmanagern mit Cloud-Synchronisation etabliert. Das Unternehmen hat seinen Sitz in Santa Barbara, Kalifornien, betreibt aber seit 2022 auch ein EU-Rechenzentrum für europäische Nutzer mit hohen Datenschutzanforderungen. Wer bei Bitwarden in den Einstellungen die EU-Region auswählt, hat seine Daten ausschließlich auf europäischen Servern gespeichert.
Mit über 15 Millionen Nutzern weltweit ist Bitwarden der meistgenutzte Open-Source-Passwortmanager. Nach dem LastPass-Datenleck Ende 2022, bei dem verschlüsselte Tresore gestohlen wurden, verzeichnete Bitwarden einen massiven Zustrom neuer Nutzer. Die Kombination aus kostenlosem Einstieg, transparentem Quellcode und einfacher Nutzung machte Bitwarden zur ersten Wahl für Wechselwillige.
Die Client-Software (Browser-Extensions, Desktop-Apps, Mobile-Apps) steht unter der GPL-3.0-Lizenz auf GitHub. Der Server-Code ist unter AGPL-3.0 veröffentlicht. Bitwarden hat mehrere unabhängige Sicherheitsaudits durch Cure53 und Trail of Bits durchführen lassen und veröffentlicht Zusammenfassungen auf seiner Sicherheitsseite.
Bitwarden verfügt über eine SOC 2 Type II-Attestierung, die von unabhängigen Prüfern die Einhaltung strikter Sicherheitskontrollen über einen längeren Beobachtungszeitraum bestätigt. Zusätzlich ist Bitwarden nach ISO 27001 zertifiziert und im CSA STAR-Register gelistet, was für Enterprise-Einsatz in regulierten Branchen relevant ist. Für Einzelnutzer und KMUs bedeutet das: Bitwarden wird regelmäßig von unabhängigen Sicherheitsfirmen geprüft und die Ergebnisse sind öffentlich einsehbar.
Vaultwarden: Die leichtgewichtige Self-Hosting-Alternative
Für Nutzer, die Bitwarden selbst hosten möchten, aber den offiziellen Bitwarden-Server als zu ressourcenintensiv empfinden, gibt es Vaultwarden. Das Projekt, früher unter dem Namen bitwarden_rs bekannt, ist eine inoffizielle Reimplementierung der Bitwarden-Server-API in Rust. Mit minimalem Ressourcenverbrauch von unter 10 MB RAM im Leerlauf läuft Vaultwarden problemlos auf einem Raspberry Pi oder einem günstigen VPS.
Vaultwarden ist auf GitHub eines der meistgeforkten Self-Hosting-Projekte und zeigt, wie stark das Bedürfnis nach datensouveräner Passwortmanager-Nutzung im deutschsprachigen Raum und darüber hinaus ist. Alle offiziellen Bitwarden-Clients (Browser-Extension, Mobile-App, Desktop-App) funktionieren nahtlos mit einem Vaultwarden-Server. Vaultwarden ist kein offizielles Bitwarden-Produkt und nicht von Bitwarden Inc. unterstützt. Wer Vaultwarden betreibt, trägt selbst die Verantwortung für Updates und Sicherheit.
Spezifikationsvergleich: KeePassXC vs Bitwarden
| Merkmal | KeePassXC | Bitwarden |
|---|---|---|
| Preis (Basis) | 0 € (vollständig kostenlos) | 0 € (kostenlos mit Einschränkungen) |
| Preis (Premium) | Nicht vorhanden | 19,80 $/Jahr (~18,50 €/Jahr) |
| Verschlüsselung | AES-256-CBC, ChaCha20 oder Twofish (wählbar) | AES-256-CBC (standardmäßig) |
| Schlüsselableitung (KDF) | Argon2id (Standard) oder AES-KDF | PBKDF2-SHA256 (600.000 Iter.) oder Argon2id |
| Datenbankformat | KDBX 4.1 (offener Standard) | Proprietäres verschlüsseltes Vault-Format |
| Synchronisation | Manuell (Syncthing, Nextcloud, WebDAV) | Automatisch über Cloud (EU-Region wählbar) |
| Plattformen | Windows, macOS, Linux | Windows, macOS, Linux, iOS, Android, Web |
| Mobile App | Drittanbieter: KeePassium (iOS), Keepass2Android | Offizielle Apps für iOS und Android |
| Browser-Extension | KeePassXC-Browser (Chrome, Firefox, Edge, Brave, Vivaldi) | Offiziell für alle gängigen Browser |
| 2FA-Support | TOTP-Codes speichern und generieren | TOTP, FIDO2/WebAuthn (Hardware-Schlüssel) |
| Passkey-Unterstützung | Ja, seit Version 2.7.7 (März 2024) | Ja, seit Ende 2023 |
| SSH-Agent-Integration | Ja (eingebaut) | Nein |
| Selbsthosting | Nicht erforderlich (Datei lokal) | Offizieller Server oder Vaultwarden |
| Sicherheitszertifizierung | ANSSI CSPN 2025 (Nr. ANSSI-CSPN-2025/16) | SOC 2 Type II, ISO 27001, CSA STAR |
| GitHub-Sterne | 25.000+ | 17.000+ (Clients-Repo) |
| DSGVO-Datenhaltung | Vollständig lokal, keine externe Übertragung | EU-Rechenzentrum wählbar (seit 2022) |
| Dateianhänge | Ja (unbegrenzt, lokal) | 1 GB Speicher in Premium |
| Teamfunktionen | Nein (Einzelnutzer-Tool) | Ja (ab Teams-Plan, 4 $/Nutzer/Monat) |
| Open Source | Ja (GPLv3) | Ja (GPL-3.0 Clients, AGPL-3.0 Server) |
Technische Sicherheitsarchitektur im Detail
Die Sicherheit beider Tools basiert auf starker Kryptographie, unterscheidet sich aber erheblich in der Angriffsfläche. Wer das Risikoprofil verstehen will, muss die Architektur kennen.
KeePassXC: Offline-First-Architektur
KeePassXC verschlüsselt die KDBX-Datenbankdatei mit einem der drei wählbaren Algorithmen: AES-256-CBC (Standard und empfohlen), ChaCha20 oder Twofish. Für die Schlüsselableitung aus dem Master-Passwort setzt KeePassXC standardmäßig auf Argon2id, dem Gewinner des Password Hashing Competition 2015. Argon2id kombiniert Memory-Hardness mit Side-Channel-Resistenz und ist resistenter gegen GPU-basierte Brute-Force-Angriffe als ältere Algorithmen wie PBKDF2.
Der Schutz liegt vollständig beim Nutzer. Wer die KDBX-Datei auf einem öffentlichen Cloud-Dienst ohne Ende-zu-Ende-Verschlüsselung speichert, exponiert verschlüsselte Bytes, gegen die ein Angreifer offline einen Brute-Force-Angriff gegen das Master-Passwort starten kann. Deshalb empfiehlt sich die Kombination aus starkem Master-Passwort (mindestens 20 Zeichen, Passphrase bevorzugt) und einer zusätzlichen Schlüsseldatei (Key File), die physisch getrennt aufbewahrt wird.
Die optionale Hardware-Key-Integration (YubiKey, FIDO2) bietet eine dritte Schutzschicht. Selbst wenn Passwort und Schlüsseldatei kompromittiert werden, bleibt der Tresor ohne den physischen Hardware-Schlüssel gesperrt. Diese Drei-Faktor-Authentifizierung für die Datenbank ist in kommerziellen Passwortmanagern nur selten so direkt umsetzbar.
KeePassXC hat keine Hintergrundnetzwerkkommunikation. Es gibt keinen Server, der angegriffen werden könnte, keine API-Schnittstelle, keine Authentifizierungstoken in der Cloud. Die gesamte Sicherheit reduziert sich auf: Wie stark ist das Master-Passwort, und wo liegt die Datei? Das ist eine Stärke und eine Schwäche zugleich.
Bitwarden: Zero-Knowledge-Cloud-Architektur
Bitwarden verwendet ebenfalls AES-256-CBC, aber in einer Zero-Knowledge-Cloud-Architektur: Der Schlüssel wird clientseitig aus dem Master-Passwort abgeleitet. Der Server sieht nur verschlüsselte Blöcke und kann deren Inhalt technisch nicht entschlüsseln. Bitwarden als Unternehmen kann keinen Zugriff auf Tresorinhalte erlangen, selbst auf gerichtliche Anfrage hin nicht.
Seit 2023 unterstützt Bitwarden Argon2id als Alternative zu PBKDF2-SHA256. PBKDF2-SHA256 ist auf 600.000 Iterationen eingestellt, was auf moderner Hardware ausreichend ist, aber GPU-basierten Angriffen weniger widersteht als Argon2id. Nutzer können in den Kontoeinstellungen manuell zu Argon2id wechseln. Das ist für sicherheitsbewusste Nutzer ausdrücklich empfohlen.
# KeePassXC: Datenbankdetails prüfen (zeigt Cipher und KDF)
keepassxc-cli db-info Meine-Datenbank.kdbx
# Bitwarden KDF auf Argon2id umstellen (im Web-Vault):
# Einstellungen > Sicherheit > Schlüsselableitungsalgorithmus
# Empfehlung: Argon2id, 64 MB Speicher, 3 Iterationen, 4 Parallelität
# Vaultwarden: Docker-basierte Selbsthosting-Installation
docker run -d \
--name vaultwarden \
-e DOMAIN=https://vault.example.de \
-e SIGNUPS_ALLOWED=false \
-v /vw-data:/data \
-p 8080:80 \
vaultwarden/server:latestDie Cloud-Architektur von Bitwarden schafft eine breitere Angriffsfläche als KeePassXC: Server, API-Endpunkte, Web-Vault, Browser-Extensions und Mobile-Apps können alle Ziel von Angriffen sein. Bitwarden begegnet dem mit regelmäßigen externen Audits, einem Bug-Bounty-Programm und der SOC-2-Attestierung. In der bisherigen Geschichte (2016 bis 2026) gab es keine dokumentierten Datenpannen bei Bitwarden.
Preis und Lizenzmodelle im Vergleich
KeePassXC ist vollständig kostenlos. Es gibt keine Premium-Version, keine Abonnements, keine Freemium-Einschränkungen. Alle Funktionen stehen jedem Nutzer kostenlos zur Verfügung. Das Projekt finanziert sich durch freiwillige Spenden und ehrenamtliche Arbeit der Community.
Bitwarden bietet ein kostenloses Basispaket, das für die meisten Einzelnutzer ausreicht, sowie kostenpflichtige Erweiterungen für fortgeschrittene Funktionen, Familien und Teams.
| Plan | Preis | Max. Nutzer | Besondere Funktionen |
|---|---|---|---|
| KeePassXC | 0 € (kostenlos) | Einzelnutzer | Alle Funktionen, unbegrenzt, SSH-Agent, Passkeys, TOTP |
| Bitwarden Free | 0 € | 1 Nutzer | Unbegrenzte Passwörter, 2 Sammlungen, grundlegende 2FA |
| Bitwarden Premium | 19,80 $/Jahr (~18,50 €) | 1 Nutzer | 1 GB Anhänge, TOTP-Generator, Vault Health Reports, Priority-Support |
| Bitwarden Families | 47,88 $/Jahr (~44,50 €) | Bis zu 6 Nutzer | Alle Premium-Funktionen, geteilte Sammlungen, Familienverwaltung |
| Bitwarden Teams | 4 $/Nutzer/Monat | Unbegrenzt | Gruppenmanagement, API-Zugang, Ereignisprotokoll, Verzeichnisintegration |
| Bitwarden Enterprise | 6 $/Nutzer/Monat | Unbegrenzt | SAML SSO, SCIM-Bereitstellung, Self-Hosting, Unternehmensrichtlinien |
| Vaultwarden (Self-Host) | 0 € (Serverkosten separat) | Unbegrenzt | Fast alle Premium-Funktionen, eigene Infrastruktur, DSGVO-konform |
Für deutsche Nutzer ist Vaultwarden eine besonders attraktive Option: Auf einem eigenen VPS oder Home-Server gehostet, fallen nur die regulären Serverkosten an (ab ca. 3-5 €/Monat für einen günstigen VPS), die Funktion entspricht aber dem Bitwarden-Premium-Tier. Vaultwarden ist nicht offiziell von Bitwarden Inc. unterstützt, wird aber von der Community aktiv gewartet und gilt als produktionsreif.
Synchronisation und Geräteverwaltung
Hier trennen sich die Wege am deutlichsten. KeePassXC synchronisiert nicht selbst. Die KDBX-Datei muss der Nutzer selbst an den richtigen Ort bringen. Das klingt nach einem Nachteil, ist aber für viele DACH-Nutzer ein Feature: vollständige Kontrolle über den Sync-Pfad.
Wer Nextcloud betreibt, legt die KDBX-Datei in einen synchronisierten Nextcloud-Ordner. Wer Syncthing nutzt, synchronisiert die Datei direkt zwischen Geräten ohne Cloud-Zwischenstation. Wer ein NAS besitzt, speichert dort. Alternativ: USB-Stick, verschlüsseltes Netzlaufwerk, WebDAV-Mount auf einem eigenen Server. Die Kontrolle liegt vollständig beim Nutzer.
Der Nachteil liegt in Merge-Konflikten. Wenn die Datenbank auf zwei Geräten gleichzeitig geöffnet und bearbeitet wird, entstehen Konflikte. KeePassXC 2.7.11 verbesserte die Datenbank-Merge-Funktionalität mit einem Bestätigungsdialog, was die Handhabung vereinfacht. Vollautomatisches Konfliktlösen wie in Cloud-Diensten ist aber nicht möglich.
Bitwarden löst Synchronisation vollständig automatisch. Jede Änderung im Tresor wird sofort verschlüsselt an den Bitwarden-Server übertragen und auf jedem angemeldeten Gerät innerhalb von Sekunden aktualisiert. Für Haushalte mit mehreren Geräten oder Teams mit vielen Mitgliedern ist das ein erheblicher Vorteil. Für DACH-Nutzer mit Datenschutzanforderungen ist die EU-Rechenzentrumsregion relevant: wer sie wählt, hat seine Vault-Daten auf europäischen Servern.
Browser-Integration und Auto-Fill im Vergleich
Bitwarden hat bei der Browser-Integration einen strukturellen Vorteil. Die offiziellen Browser-Extensions für Chrome, Firefox, Edge, Safari, Opera und Brave sind vollständig in die Bitwarden-Infrastruktur integriert. Auto-Fill funktioniert zuverlässig, erkennt Felder auf fast allen Webseiten und bietet einen integrierten Passwortgenerator direkt im Browser. Das Inline-Auto-Fill-Menü, das beim Klick auf Login-Felder erscheint, ist eines der benutzerfreundlichsten in der Branche.
KeePassXC nutzt ein anderes Modell. Die Extension KeePassXC-Browser verbindet sich über eine Native-Messaging-Schnittstelle mit der laufenden KeePassXC-Desktop-Anwendung. Das bedeutet: KeePassXC muss geöffnet sein, damit Auto-Fill funktioniert. Die Extension funktioniert mit Chrome, Firefox, Edge, Brave und Vivaldi.
In der Praxis ist das für die meisten Nutzer kein Problem, weil KeePassXC nach dem Entsperren im System-Tray läuft. Die Verbindung zwischen Extension und Desktop-App ist kryptographisch gesichert, sodass kein anderes Programm auf den Tresor zugreifen kann. Für Sicherheitsbewusste ist dieses Modell sogar vorzuziehen, weil die Browser-Extension selbst keine Anmeldedaten hält und bei einem Browser-Kompromiss kein direkter Zugriff auf den Tresor möglich ist.
Ein Bereich, in dem KeePassXC-Browser Nachholbedarf hat: die automatische Erkennung von Login-Formularen auf komplexen Single-Page-Applications. Bitwarden erkennt mehr Felder zuverlässiger, besonders auf JavaScript-lastigen modernen Webseiten. Für Standard-Login-Formulare funktioniert KeePassXC-Browser aber einwandfrei.
Mobile Apps: KeePassium, Keepass2Android und Bitwarden
Bitwarden hat hier einen klaren strukturellen Vorteil: eigene offizielle Apps für iOS und Android, die nahtlos mit dem Bitwarden-Account synchronisieren. Die Apps sind vollständig open-source und bieten dieselben Kernfunktionen wie die Desktop-Version: Auto-Fill über die Plattform-Passwortmanager-API, Passwortgenerator, Tresor-Verwaltung, biometrische Entsperrung mit Face ID, Touch ID oder Android Fingerprint.
KeePassXC hat keine eigenen Mobile-Apps. Das ist eine bewusste Entscheidung des Projekts, das sich auf die Desktop-Plattform konzentriert. Für mobilen Zugriff auf die KDBX-Datenbank gibt es Drittanbieter-Apps:
Auf iOS ist KeePassium die empfohlene Wahl. Die App unterstützt KDBX 4.x, biometrische Entsperrung, Auto-Fill via iOS Password AutoFill API und Passkeys. Die Basisversion ist kostenlos, eine Pro-Version mit erweiterten Funktionen ist als einmaliger Kauf oder Abonnement erhältlich. Strongbox ist eine weitere qualitativ hochwertige iOS-App für KeePass-Datenbanken mit modernem Interface.
Auf Android ist Keepass2Android die etablierteste Option mit nativer Auto-Fill-Unterstützung. KeePassDX ist eine datenschutzbewusste Alternative ohne Tracking-Bibliotheken, die im F-Droid-Repository verfügbar ist. Für Nutzer, die ausschließlich freie und quelloffene Software bevorzugen, ist KeePassDX aus F-Droid die sauberste Wahl auf Android.
Die Synchronisation der KDBX-Datei auf das Smartphone erfolgt über die jeweilige Sync-Methode: Nextcloud-App, Syncthing oder WebDAV-Anbindung. KeePassium und Keepass2Android können direkt auf Cloud-Speicher per WebDAV und Nextcloud zugreifen, was den Workflow erheblich vereinfacht.
Selbsthosting: Vaultwarden vs Bitwarden Server
Für Nutzer und Unternehmen, die die volle Kontrolle über ihre Passwortdaten behalten wollen, bietet das Bitwarden-Ökosystem zwei Optionen: den offiziellen Bitwarden-Server und Vaultwarden.
Der offizielle Bitwarden-Server ist die Enterprise-Wahl. Vollständige Funktion, offizieller Support, und alle Enterprise-Features wie SAML SSO, SCIM-Bereitstellung und Gruppenmanagement. Der Server benötigt allerdings mehr Ressourcen und ist komplex zu betreiben: SQL-Datenbank (Microsoft SQL Server oder PostgreSQL), mehrere Docker-Container, mindestens 2 GB RAM für reibungslosen Betrieb, und ein HTTPS-Zertifikat.
Vaultwarden läuft als einzelner Docker-Container und benötigt unter 10 MB RAM im Idle-Betrieb. Die Installation auf einem Raspberry Pi oder einem günstigen VPS dauert weniger als 15 Minuten:
# Vaultwarden mit Docker Compose einrichten
version: '3'
services:
vaultwarden:
image: vaultwarden/server:latest
container_name: vaultwarden
restart: unless-stopped
volumes:
- ./vw-data:/data
ports:
- "127.0.0.1:8080:80"
environment:
DOMAIN: "https://vault.meine-domain.de"
SIGNUPS_ALLOWED: "false"
ADMIN_TOKEN: "sicherer-zufalls-token-hier"
# Reverse Proxy (nginx oder Caddy) mit HTTPS ist zwingend erforderlichVaultwarden unterstützt fast alle Bitwarden-Funktionen, einschließlich Premium-Features wie Vault Health Reports, TOTP-Generator und Dateianhänge, die bei Bitwarden SaaS nur im kostenpflichtigen Plan verfügbar sind. Das macht Vaultwarden für technisch versierte DACH-Nutzer attraktiv: man bekommt alle Premium-Funktionen kostenlos, mit voller Datenkontrolle auf der eigenen Infrastruktur.
Für DACH-Unternehmen, die DSGVO-Konformität mit On-Premises-Datenhaltung kombinieren müssen, ist selbstgehostetes Vaultwarden oder der offizielle Bitwarden-Server die sauberste Lösung. Alle Passwortdaten bleiben auf der eigenen Infrastruktur, die Datenverarbeitung ist vollständig kontrollierbar und dokumentierbar für die Datenschutzfolgenabschätzung.
Passkeys und FIDO2 in 2026
Passkeys sind der technische Standard-Nachfolger für passwortbasierte Anmeldeverfahren. Beide Tools unterstützen Passkeys, aber mit unterschiedlichem Ansatz und unterschiedlichen Stärken.
KeePassXC speichert Passkeys seit Version 2.7.7 (März 2024) direkt in der KDBX-Datenbank. Die Browser-Extension KeePassXC-Browser übernimmt die WebAuthn-Kommunikation mit dem Browser. Wenn eine Webseite einen Passkey anfordert, vermittelt die Extension zwischen Browser und dem in KeePassXC gespeicherten Credential. Das Modell ist vollständig offline-fähig: Der Passkey verlässt das Gerät nicht, es sei denn, der Nutzer kopiert die Datenbankdatei explizit auf ein anderes Gerät.
Bitwarden integrierte Passkey-Speicherung ebenfalls und synchronisiert sie wie Passwörter automatisch über den verschlüsselten Tresor. Das ermöglicht Passkey-Nutzung auf mehreren Geräten, ohne jeden Passkey einzeln auf jedem Gerät zu registrieren. Für Nutzer mit vielen Geräten ist das ein erheblicher Komfortgewinn gegenüber der lokalen KeePassXC-Lösung.
Ein wichtiger Sicherheitshinweis: Passkeys, die in einem Software-Passwortmanager gespeichert werden, sind Soft-Tokens. Sie bieten nicht dasselbe Sicherheitsniveau wie Hardware-gebundene Passkeys (auf einem YubiKey oder dem Secure Enclave eines iPhones). Für hochsensible Accounts (Online-Banking, Unternehmensinfrastruktur) sind Hardware-Passkeys nach wie vor vorzuziehen. Für allgemeine Webdienste und Komfort-Szenarien sind Software-Passkeys in KeePassXC oder Bitwarden eine solide Lösung.
Sicherheitsaudits und Zertifizierungen im Vergleich
| Sicherheitsmerkmal | KeePassXC | Bitwarden |
|---|---|---|
| Unabhängige Audits | ANSSI CSPN-Zertifizierung (November 2025) | Cure53 (mehrfach), Trail of Bits (Kryptographie) |
| Zertifizierungsstandard | Staatliche ANSSI-Sicherheitsprüfung, gültig 3 Jahre | SOC 2 Type II, ISO 27001, CSA STAR Level 1 |
| Audit-Berichte öffentlich? | ANSSI-Bericht teilweise öffentlich | Zusammenfassungen auf bitwarden.com öffentlich |
| Bug Bounty Programm | Nein (offene CVE-Meldewege) | Ja (öffentliches Programm) |
| Bekannte Datenpannen | Keine dokumentierten (2016-2026) | Keine dokumentierten Datenpannen (2016-2026) |
| CVEs (2024-2026) | Keine öffentlich gemeldeten kritischen CVEs | Keine öffentlich gemeldeten kritischen CVEs |
| Angriffsfläche | Minimal (keine Netzwerkdienste im Hintergrund) | Server, API, Web-Vault, Browser-Extensions, Apps |
| Datenexposition bei Breach | Nur lokale Geräte betroffen | Verschlüsselte Blöcke (nicht entschlüsselbar) |
Die ANSSI CSPN-Zertifizierung für KeePassXC (Bericht Nr. ANSSI-CSPN-2025/16, erteilt am 17. November 2025) ist bemerkenswert für ein Community-Projekt. Die Agence Nationale de la Sécurité des Systèmes d’Information ist das französische Bundesamt für Cybersicherheit. Eine solche Zertifizierung für Open-Source-Software ist außergewöhnlich und macht KeePassXC für behördliche und regulierte Umgebungen in der EU attraktiv.
Bitwarden hat den Vorteil kommerzieller, laufender Auditverfahren. Cure53 und Trail of Bits zählen zu den renommiertesten Sicherheitsforschungsfirmen. Bitwarden veröffentlicht Zusammenfassungen der Audit-Ergebnisse, was Transparenz schafft. Die SOC 2 Type II Attestierung bedeutet, dass ein unabhängiger Prüfer die Sicherheitskontrollen über einen längeren Zeitraum verifiziert hat, nicht nur punktuell bei einem einmaligen Audit.
Expertenmeinungen
In der Entwickler- und Sicherheitscommunity gibt es klare Präferenzen, die stark vom jeweiligen Nutzungskontext abhängen.
Fireship, bekannt für komprimierte Tech-Erklärungen mit über 3 Millionen Abonnenten, fasst den Trade-off prägnant zusammen: Bitwarden ist für die meisten Menschen die pragmatisch richtige Wahl, weil es die Komplexität auf ein Minimum reduziert und trotzdem Open-Source bleibt. KeePassXC sei das Tool für alle, die Cloud-Diensten grundsätzlich misstrauen und bereit sind, etwas mehr Einrichtungsaufwand für lokale Kontrolle zu investieren.
ThePrimeagen, bekannt für seine strikte Meinung zu Kontrolle über eigene Infrastruktur, sieht das Thema konsequenter: Passwörter sind der Schlüssel zu allem. Wer sie bei einem Drittanbieter hostet, vertraut blindlings. Für Entwickler, die ohnehin Selfhosting-Infrastruktur betreiben, sei Vaultwarden die eleganteste Lösung, die Bitwarden-Komfort mit lokaler Datenhaltung verbindet. KeePassXC für den Desktop und Vaultwarden für Team-Sync sei seine empfohlene Kombination für technisch versierte Nutzer.
MKBHD, der für präzise Produktvergleiche bekannte Reviewer, bewertet Passwortmanager aus UX-Perspektive: Die beste Sicherheitslösung ist die, die Nutzer tatsächlich konsequent verwenden. KeePassXC ist ein exzellentes Tool, das aber eine Lernkurve hat und auf mobilen Geräten fragmentierte Erfahrungen mit Drittanbieter-Apps liefert. Bitwarden löst das Kernproblem, Passwörter sicher zu speichern und überall abrufbar zu haben, mit deutlich weniger Reibung für die breite Masse.
In der deutschen Sicherheitscommunity und im BSI-Empfehlungsumfeld hat KeePassXC historisch einen guten Ruf als Empfehlung für technisch versierte Einzelnutzer. Das Bitwarden-Ökosystem gewann in den letzten drei Jahren erheblich an Boden, besonders bei Unternehmen und weniger technischen Nutzern, nachdem das LastPass-Debakel das Vertrauen in proprietäre Cloud-Passwortmanager erschütterte.
Anwendungsfälle: Wer sollte was nutzen?
Die Entscheidung zwischen KeePassXC und Bitwarden ist keine Frage von besser oder schlechter, sondern von passendem Bedrohungsmodell und Nutzungsgewohnheiten.
KeePassXC ist die richtige Wahl wenn:
- Offline-First-Anforderung: Der Rechner arbeitet regelmäßig ohne Internetverbindung, und der Tresor muss dennoch funktionieren. KeePassXC braucht kein Netz.
- Maximale Datenkontrolle: Keine Daten sollen jemals einen eigenen Server verlassen, selbst nicht verschlüsselt. Für Behörden, Anwaltskanzleien und Unternehmen mit Geheimhaltungsanforderungen.
- Entwickler mit SSH-Schlüsseln: Die SSH-Agent-Integration erspart das manuelle Laden von SSH-Keys aus separaten Key-Dateien.
- Vorhandene Sync-Infrastruktur: Wer Nextcloud, Syncthing oder ein eigenes NAS betreibt, integriert die KDBX-Datei nahtlos ohne zusätzliche Cloud-Abonnements.
- Primär Desktop-Nutzung: Wer seinen Passwortmanager primär am PC nutzt und Smartphone-Zugriff kein Kernbedürfnis ist.
- Regulierte Umgebungen: Die ANSSI-CSPN-Zertifizierung macht KeePassXC für staatlich zertifizierungspflichtige Umgebungen in der EU attraktiv.
- Budget null: Komplett kostenlos, ohne Premium-Einschränkungen, ohne je für Kernfunktionen bezahlen zu müssen.
Bitwarden ist die richtige Wahl wenn:
- Mehrere Geräte, ein Tresor: Smartphone, Laptop, Arbeitsrechner und privater PC sollen stets denselben aktuellen Tresor haben, ohne manuellen Sync.
- Familie oder Team: Geteilte Sammlungen, Zugriffssteuerung und gemeinsame Passwörter für Haushaltsmitglieder oder Kollegen. KeePassXC bietet das nicht.
- Weniger technische Nutzer: Die App-Erfahrung ist reibungsloser, die Einrichtung simpler, die offizielle Mobile-App wird gepflegt.
- Browser-First-Nutzung: Wer primär im Browser arbeitet und nahtloses Auto-Fill auf vielen Webseiten braucht.
- DSGVO-konformes Cloud-Hosting: EU-Rechenzentrum wählbar, ohne eigene Infrastruktur zu betreiben oder zu warten.
- Enterprise-Integration: SSO, SCIM, SAML und Audit-Logs für mittlere und große Organisationen.
- Passkeys mit Geräte-Synchronisation: Passkeys sollen automatisch auf allen Geräten verfügbar sein, ohne manuelle Übertragung der Datenbankdatei.
Eine dritte Option lohnt Erwähnung: Vaultwarden als Kompromiss für Power-User. Wer Bitwarden-Komfort mit lokaler Datenhaltung kombinieren will und bereit ist, einen eigenen Server zu betreiben, bekommt das Beste beider Welten: automatische Synchronisation, offizielle Clients, alle Premium-Funktionen, und die Daten liegen auf der eigenen Infrastruktur.
Migrationsleitfaden: Von anderen Passwortmanagern wechseln
Nach dem LastPass-Datenleck 2022 wechselten Hunderttausende Nutzer zu KeePassXC oder Bitwarden. Beide Tools bieten Import-Funktionen für gängige Formate und machen den Wechsel technisch einfach.
Migration zu Bitwarden
Bitwarden unterstützt Import-Formate von LastPass (CSV), 1Password (1PUX, CSV), Dashlane, Keeper, NordPass, KeePass (KDBX) und vielen weiteren Managern. Der Import erfolgt über den Web-Vault oder die Desktop-App.
- Aus dem alten Passwortmanager im CSV- oder nativen Format exportieren.
- Bitwarden-Konto erstellen (kostenlos). Bei EU-Datenhaltung die europäische Region wählen.
- Im Web-Vault unter “Werkzeuge” auf “Daten importieren” klicken.
- Das Dateiformat auswählen, die Export-Datei hochladen, Import starten.
- Nach erfolgreichem Import die Export-Datei sicher löschen (mindestens 3-mal überschreiben oder Secure-Delete verwenden).
- 2FA für den Bitwarden-Account aktivieren (TOTP oder Hardware-Key).
- Optional: auf Argon2id als KDF wechseln (Einstellungen > Sicherheit).
Migration zu KeePassXC
KeePassXC unterstützt Import-Formate von: 1Password (1PUX), Bitwarden (JSON, auch verschlüsselt seit 2.7.10), Proton Pass (JSON, seit 2.7.10), KeePass XML sowie generische CSV-Dateien mit konfigurierbarer Spaltenzuordnung.
- Aus dem alten Manager im unterstützten Format exportieren.
- KeePassXC herunterladen und installieren (keepassxc.org, Signatur prüfen).
- In KeePassXC eine neue Datenbank erstellen: Datenbank > Neue Datenbank.
- Starkes Master-Passwort festlegen (mindestens 20 Zeichen, Passphrase empfohlen).
- Optional: Schlüsseldatei hinzufügen für zusätzlichen Schutz der Datenbank.
- Unter Datenbank > Importieren das Format wählen und die Export-Datei öffnen.
- Spaltenzuordnung bestätigen (bei CSV), Daten prüfen, Import abschließen.
- Datenbank als KDBX-Datei speichern, Export-Datei sicher löschen.
- Browser-Extension KeePassXC-Browser installieren und mit KeePassXC verbinden.
Wichtig für beide Migrationsszenarien: Export-Dateien aus Passwortmanagern enthalten alle Zugangsdaten im Klartext. Diese Dateien niemals auf unsicheren Speichermedien, in Cloud-Diensten oder per E-Mail versenden. Sofortiges sicheres Löschen nach dem Import ist Pflicht.
Vor- und Nachteile auf einen Blick
Beide Passwortmanager haben klare Stärken und Schwächen. Eine ehrliche Bewertung hilft bei der Entscheidung.
| Aspekt | KeePassXC | Bitwarden |
|---|---|---|
| Stärken | Keine Angriffsfläche durch fehlende Cloud; ANSSI-Zertifizierung 2025; SSH-Agent-Integration; Offline-Betrieb; komplett kostenlos; KDBX-Standardformat für Kompatibilität; wählbarer Verschlüsselungsalgorithmus (AES, ChaCha20, Twofish) | Automatische Gerätesynchronisation; offizielle Mobile-Apps; starke Browser-Integration; Teamfunktionen; SOC 2 Type II; EU-Rechenzentrum; Bug-Bounty-Programm; einfache Einrichtung für Nicht-Techniker |
| Schwächen | Keine Mobile-App (Drittanbieter nötig); manuelle Synchronisation; eingeschränkte SPA-Erkennung im Browser; keine Teamfunktionen; höhere Einstiegshürde für nicht-technische Nutzer | Cloud-Angriffsfläche (Server, API, Web-Vault); US-Unternehmenssitz (trotz EU-Rechenzentrum); Premium-Funktionen kostenpflichtig (Anhänge, Health Reports); erzwungene Internet-Abhängigkeit für Sync |
| Ideal für | Entwickler, Sicherheitsexperten, Behörden, Offline-Nutzer, Nextcloud/Syncthing-Nutzer, technisch versierte Einzelnutzer | Familien, Teams, Nutzer mit vielen Geräten, weniger technische Nutzer, Unternehmen mit Enterprise-Anforderungen, LastPass-Wechsler |
Performance und Ressourcenverbrauch
Passwortmanager sind keine ressourcenintensiven Anwendungen, aber Unterschiede in Startzeit, Speicherverbrauch und Entsperrgeschwindigkeit sind im Alltag spürbar.
KeePassXC startet typischerweise in unter zwei Sekunden auf moderner Hardware. Der RAM-Verbrauch einer laufenden KeePassXC-Instanz liegt bei 50-80 MB auf Linux und 80-120 MB auf Windows, je nach Datenbankgröße und Systemkonfiguration. Das Entsperren einer mittelgroßen Datenbank (500 Einträge) mit Argon2id dauert auf einem modernen CPU in der Regel unter einer Sekunde. Die bewusste Verlangsamung durch Argon2id ist gewünscht: sie erhöht den Aufwand für Brute-Force-Angriffe erheblich, ohne den Nutzer spürbar zu verzögern.
KeePassXC verbraucht keine Netzwerkbandbreite im laufenden Betrieb. Das ist für mobile Geräte, Hotspot-Verbindungen oder Umgebungen mit begrenztem Datenkontingent ein echter Vorteil. Die Verschlüsselung und Entschlüsselung läuft vollständig lokal auf der CPU.
Bitwarden Desktop ist eine Electron-Anwendung und benötigt damit mehr RAM als eine native App: typischerweise 150-250 MB auf Windows und macOS. Electron-Apps bringen eine vollständige Chromium-Engine mit, was den höheren Resourcenverbrauch erklärt. Die Browser-Extension ist deutlich leichtgewichtiger und verbraucht als Browser-Prozess wenige MB zusätzlich.
Bitwarden benötigt für die Synchronisation eine Internetverbindung, synchronisiert aber effizient im Hintergrund ohne merkliche Auswirkungen auf die Internetgeschwindigkeit. Vault-Änderungen werden als verschlüsselte Deltas übertragen, nicht als vollständige Datenbankdateien. Bei mehreren hundert Einträgen liegt die Sync-Latenz typischerweise unter 5 Sekunden. Die Mobile-Apps bieten zusätzlich einen Offline-Modus: ist kein Internet verfügbar, zeigt Bitwarden den zuletzt synchronisierten Tresorinhalt an, ohne neue Einträge hinzufügen zu können.
Vaultwarden als Server-Implementierung ist bezüglich Ressourceneffizienz bemerkenswert: Ein Docker-Container mit Vaultwarden benötigt typischerweise unter 10 MB RAM im Leerlauf und unter 50 MB bei aktivem Betrieb mit mehreren gleichzeitigen Verbindungen. Auf einem Raspberry Pi 4 läuft Vaultwarden problemlos als einer von mehreren Self-Hosting-Diensten.
Datenschutz und DSGVO: Was DACH-Nutzer wissen müssen
Für Nutzer und Unternehmen in Deutschland, Österreich und der Schweiz sind Datenschutzaspekte bei der Wahl des Passwortmanagers besonders relevant.
KeePassXC ist in dieser Hinsicht die unkomplizierteste Lösung: Es gibt schlicht keine Datenübertragung an externe Dritte. Keine Nutzungsstatistiken, keine Telemetrie, keine Cloud-Verbindung. Die KDBX-Datei liegt auf dem Gerät des Nutzers oder der vom Nutzer kontrollierten Infrastruktur. Für die DSGVO-Bewertung bedeutet das: KeePassXC selbst ist kein Auftragsverarbeiter. Wer die Datenbankdatei über Nextcloud synchronisiert, muss Nextcloud als Verarbeitungsinfrastruktur berücksichtigen.
Bitwarden SaaS ist ein US-amerikanisches Unternehmen. Der Bitwarden-Dienst unterliegt damit grundsätzlich US-Recht, einschließlich des CLOUD Act, der US-Behörden theoretisch den Zugriff auf Daten US-amerikanischer Unternehmen ermöglicht. Die Zero-Knowledge-Architektur mildert dieses Risiko erheblich: selbst auf behördliche Anfrage hin könnte Bitwarden nur verschlüsselte Blöcke herausgeben, die ohne das Master-Passwort des Nutzers wertlos sind.
Die EU-Rechenzentrumsregion bei Bitwarden adressiert das Datenspeicherungsproblem für DSGVO-Zwecke. Wer die EU-Region wählt, hat seine Daten auf europäischen Servern. Für Unternehmen, die einen Auftragsverarbeitungsvertrag (AVV/DPA) mit Bitwarden benötigen, bietet Bitwarden entsprechende Verträge an. Bitwarden ist nach ISO 27001 zertifiziert, was den AVV erleichtert.
Für Schweizer Nutzer und Unternehmen, die nach nDSG (neues Datenschutzgesetz) compliant sein müssen: Bitwarden EU-Region und Vaultwarden auf Schweizer Infrastruktur sind beide valide Optionen. KeePassXC ist durch seine lokale Natur naturgemäß die einfachste Lösung für jede Datenschutzanforderung.
Österreichische Unternehmen, die unter der NIS-2-Richtlinie (seit Oktober 2024 gültig) stehen, benötigen dokumentierte Sicherheitsmaßnahmen für Zugangsdatenverwaltung. Sowohl KeePassXC mit nachgewiesener ANSSI-Zertifizierung als auch Bitwarden mit SOC 2 Type II und ISO 27001 können als Nachweis für technische Sicherheitsmaßnahmen dienen.
KeePassXC vs Bitwarden: Die Entscheidung in der Praxis
Fünf typische Nutzungsszenarien aus dem DACH-Alltag zeigen, welches Tool die bessere Wahl ist.
Szenario 1: Einzelner Entwickler, Home Office, Linux-Desktop. Hauptnutzung: Terminal, Browser, SSH auf Server. KeePassXC ist die klare Wahl. SSH-Agent-Integration spart täglich Zeit. Die KDBX-Datei liegt auf dem lokalen NAS, synchronisiert via Syncthing auf Laptop und Home-Server. Keine Cloud-Abhängigkeit, keine Abo-Kosten, maximale Kontrolle. KeePassXC-Browser funktioniert für alle regelmäßig besuchten Webseiten.
Szenario 2: Familie, 4 Personen, unterschiedliche Geräte (iOS, Android, Windows, macOS). Jedes Mitglied braucht eigene Passwörter plus geteilte Familien-Logins (Streaming, Haushalt). Bitwarden Families für 47,88 $/Jahr ist die offensichtliche Wahl. Automatische Synchronisation auf allen Geräten, offizielle Apps für alle Plattformen, geteilte Sammlungen für Familien-Zugangsdaten. KeePassXC würde manuellen Sync-Aufwand für alle Familienmitglieder bedeuten.
Szenario 3: Kleines Unternehmen, 10 Mitarbeiter, DSGVO-Anforderungen. Gemeinsame Zugangsdaten für SaaS-Tools, unterschiedliche Berechtigungen je Rolle. Bitwarden Teams (4 $/Nutzer/Monat) mit EU-Rechenzentrum. Alternativ: Vaultwarden auf eigenem VPS in Deutschland. Bitwarden bietet Ereignisprotokoll, Gruppenmanagement und rollenbasierte Zugriffssteuerung. KeePassXC hat keine native Teamfunktion.
Szenario 4: Sicherheitsforscher, maximale Paranoia. Kein Gerät mit unbekannter Software, kein Cloud-Dienst ohne vollständige Kontrolle. KeePassXC auf air-gapped Rechner oder mit KDBX auf verschlüsseltem USB-Stick. Schlüsseldatei physisch getrennt aufbewahrt. Hardware-Schlüssel (YubiKey) als dritter Faktor. Bitwarden kommt für dieses Bedrohungsmodell nicht infrage.
Szenario 5: LastPass-Wechsler, technisch nicht versiert, will einfach nur weg von LastPass. Bitwarden ist die klare Empfehlung. Import aus LastPass CSV in 5 Minuten, kostenloser Account, bekannte UX, offizielle Apps. Für den Einstieg braucht man weder eine Nextcloud noch technisches Know-how. Der Wechsel dauert unter 30 Minuten.
Verwandte Artikel
- KeePassXC einrichten: Passwortmanager in 12 Schritten [2026]
- Passwort Manager Vergleich: 6 Tools ab 0 € [2026]
- Google Authenticator vs Microsoft Authenticator vs Aegis: 5 Apps im Vergleich [2026]
- Proton Mail vs Tuta: 3 € vs 3,99 €/Monat [2026]
- VeraCrypt vs BitLocker vs Cryptomator: Open-Source schlägt Windows [2026]
- Passwortsicherheit: Starke Passwörter, Hashing und 2FA
Häufige Fragen (FAQ)
Ist KeePassXC sicherer als Bitwarden?
Beide Tools verwenden starke Verschlüsselung (AES-256) und gelten als sicher. KeePassXC hat eine geringere Angriffsfläche, weil es keine Netzwerkdienste betreibt. Bitwarden ist eine Zero-Knowledge-Cloud-Lösung, bei der der Server die Daten technisch nicht entschlüsseln kann. Wer Cloud-Angriffe als Hauptrisiko sieht, ist mit KeePassXC besser aufgestellt. Wer Geräteverlust oder fehlende Synchronisation fürchtet, profitiert von Bitwarden mit EU-Rechenzentrum. Beide haben in ihrer Geschichte (2016-2026) keine dokumentierten Datenpannen.
Kann ich KeePassXC auf dem Smartphone nutzen?
KeePassXC selbst hat keine Mobile-App. Für iOS empfiehlt sich KeePassium, für Android Keepass2Android oder KeePassDX. Diese Apps lesen das offene KDBX-Format und bieten Auto-Fill über die jeweiligen Plattform-APIs. Die Datenbankdatei muss separat synchronisiert werden, etwa via Nextcloud, Syncthing oder WebDAV-Anbindung.
Ist Bitwarden DSGVO-konform für deutsche Nutzer?
Bitwarden bietet seit 2022 eine EU-Rechenzentrumsregion an. Nutzer, die diese Region auswählen, haben ihre Daten auf europäischen Servern. Bitwarden ist nach ISO 27001 zertifiziert und adressiert DSGVO-Anforderungen in seiner Datenschutzerklärung. Für Unternehmen mit strengen Compliance-Anforderungen empfiehlt sich zusätzlich Self-Hosting mit Vaultwarden oder dem offiziellen Bitwarden-Server auf DACH-Infrastruktur, um vollständige Datensouveränität zu gewährleisten.
Was ist Vaultwarden und wie unterscheidet es sich von Bitwarden?
Vaultwarden ist eine inoffizielle Reimplementierung des Bitwarden-Servers in Rust, entwickelt von der Open-Source-Community. Es ist nicht von Bitwarden Inc. entwickelt oder offiziell unterstützt. Alle offiziellen Bitwarden-Clients (Browser-Extension, Mobile-App, Desktop) funktionieren mit Vaultwarden. Der Vorteil: Vaultwarden läuft auf minimaler Hardware (Raspberry Pi), verbraucht unter 10 MB RAM und bietet fast alle Bitwarden-Premium-Funktionen kostenlos auf eigener Infrastruktur. Der Nutzer trägt selbst die Verantwortung für Betrieb, Backups und Sicherheitsupdates.
Unterstützen KeePassXC und Bitwarden Passkeys?
Ja, beide unterstützen Passkeys. KeePassXC speichert Passkeys seit Version 2.7.7 (März 2024) in der lokalen KDBX-Datenbank, zugänglich über die KeePassXC-Browser-Extension. Bitwarden unterstützt Passkey-Speicherung und -Synchronisation ebenfalls seit Ende 2023. Bitwarden synchronisiert Passkeys automatisch auf alle Geräte, während Passkeys in KeePassXC nur auf Geräten mit Zugriff auf die KDBX-Datei nutzbar sind.
Welches Tool empfiehlt das BSI für Privatnutzer?
Das Bundesamt für Sicherheit in der Informationstechnik nennt in seinen Grundschutz-Empfehlungen KeePass-basierte Lösungen als geeignete Passwortmanager für sichere lokale Datenhaltung. KeePassXC ist als KDBX-kompatibler Client Teil dieser Empfehlungslinie. Das BSI bewertet primär die Sicherheitsarchitektur. Beide Tools, KeePassXC und Bitwarden, erfüllen die BSI-Grundanforderungen. Bitwarden wird vom BSI nicht explizit ausgeschlossen, aber die Offline-Philosophie von KeePassXC passt besser zu BSI-Empfehlungen für hochsensible Daten.
Kann ich zwischen KeePassXC und Bitwarden hin- und hermigieren?
Ja, Migration in beide Richtungen ist möglich. Bitwarden kann KeePass KDBX-Dateien direkt importieren. KeePassXC kann Bitwarden-Exporte (JSON-Format) importieren, auch verschlüsselte seit Version 2.7.10. Für jede Migration wird eine Exportdatei im Klartext benötigt, die nach dem Import sofort sicher gelöscht werden sollte. Der Prozess dauert bei einem typischen Tresor mit mehreren hundert Einträgen weniger als 10 Minuten.
Was passiert mit meinen Daten, wenn Bitwarden gehackt wird?
Bitwarden verwendet eine Zero-Knowledge-Architektur. Der Server speichert nur verschlüsselte Daten, die ohne das Master-Passwort des Nutzers nicht entschlüsselt werden können. Selbst wenn Bitwarden-Server kompromittiert werden, wären die gestohlenen Daten für Angreifer ohne das Master-Passwort wertlos, vorausgesetzt das Master-Passwort ist stark und wurde nicht an anderer Stelle verwendet. Dieses Szenario ist das Lernbeispiel aus dem LastPass-Breach: verschlüsselte Tresore wurden gestohlen, aber deren Inhalt ist ohne schwaches Master-Passwort nicht zugänglich.
Fazit und klares Urteil
KeePassXC und Bitwarden lösen dasselbe Problem auf fundamental unterschiedliche Weisen. Beide sind sicher, beide sind open-source, beide sind für DACH-Nutzer empfehlenswert. Die Wahl hängt vom Bedrohungsmodell und den Nutzungsgewohnheiten ab.
KeePassXC gewinnt bei: Minimaler Angriffsfläche (keine Netzwerkdienste), vollständiger lokaler Kontrolle, ANSSI-Regierungszertifizierung 2025, SSH-Agent-Integration, keinen Abo-Kosten, und null externer Datenweitergabe. Für Sicherheitsexperten, Entwickler mit SSH-Workflows, Behörden und Nutzer, die keiner Cloud-Infrastruktur vertrauen, ist KeePassXC die überlegene Wahl.
Bitwarden gewinnt bei: Nahtloser Geräte-Synchronisation, offiziellen Mobile-Apps, überlegener Browser-Integration, Team- und Familienfreigabe, SOC-2-Zertifizierung für Enterprise-Einsatz, EU-Datenhaltung ohne eigene Infrastruktur, und automatischer Passkey-Synchronisation. Für Haushalte, Teams und Nutzer, die Passwörter auf vielen Geräten benötigen, ist Bitwarden die pragmatisch stärkere Wahl.
Der Kompromiss für Power-User: Bitwarden-Clients plus selbstgehostetes Vaultwarden. Automatische Synchronisation, offizielle Apps, alle Premium-Funktionen, und die Daten liegen auf der eigenen DACH-Infrastruktur. Das ist die Empfehlung für technisch versierte Nutzer, die Bitwarden-Komfort mit KeePassXC-ähnlicher Datensouveränität verbinden wollen.
Wer heute noch keinen Passwortmanager nutzt: Jede der drei Optionen ist unendlich sicherer als wiederverwendete Passwörter. Der beste Passwortmanager ist der, den man tatsächlich konsequent benutzt. Für den Einstieg empfiehlt sich Bitwarden (kostenlos, einfach, offiziell unterstützt). Wer wächst und mehr Kontrolle will, wechselt zu KeePassXC oder Vaultwarden.
