KeePass ist der meistgenutzte Open-Source-Passwortmanager im deutschsprachigen Raum. Die moderne Weiterentwicklung KeePassXC 2.7.11 kombiniert AES-256-Verschlüsselung mit einer intuitiven Benutzeroberfläche, kostenloser Nutzung und vollständiger Datenkontrolle, weil die verschlüsselte Datenbank lokal auf deinem Gerät bleibt. Dieser Leitfaden zeigt dir in 12 konkreten Schritten, wie du KeePassXC von Grund auf einrichtest, Browser-Integration, SSH-Agent, YubiKey und mobile Synchronisation via Syncthing inklusive.

Das Ergebnis: Eine vollständige Passwortverwaltung ohne Cloud-Abhängigkeit, ohne monatliche Gebühren und mit staatlicher Sicherheitszertifizierung (ANSSI CSPN-2025/16, in Deutschland anerkannt).

Warum KeePassXC 2026 die beste Wahl ist

Kommerzielle Passwortmanager wie 1Password oder LastPass verlangen 30 bis 50 Euro pro Jahr und speichern deine Daten auf fremden Servern. Im April 2024 meldete LastPass erneut einen Sicherheitsvorfall in seiner Infrastruktur. KeePassXC löst das Grundproblem: Die Datenbank (.kdbx-Datei) liegt nur dort, wo du sie hinlegst, auf deiner Festplatte, deinem Syncthing-Knoten oder deinem Nextcloud-Server.

Das französische Sicherheitsamt ANSSI hat KeePassXC 2.7.9 nach dem CSPN-Verfahren (Certification de Sécurité de Premier Niveau) zertifiziert. Das Zertifikat ANSSI-CSPN-2025/16 ist in Frankreich und Deutschland anerkannt und gilt drei Jahre. Kein vergleichbarer kostenloser Passwortmanager hat einen solchen Prozess durchlaufen. Für DACH-Unternehmen, die BSI-Grundschutz oder ISO 27001 umsetzen, ist das ein relevantes Argument gegenüber Auditoren.

KeePassXC 2.7.11 bringt gegenüber früheren Versionen mehrere praktische Verbesserungen: einen Inline-Anhang-Viewer für Bilder, HTML und Markdown, einen Datenbank-Merge-Bestätigungsdialog, verbesserte Gruppen-Sync in KeeShare und eine Option zur automatischen Passwortgenerierung bei neuen Einträgen. Version 2.7.10 hatte zuvor den Proton-Pass-Importer und eine Mixed-Case-Voreinstellung für den Passphrase-Generator hinzugefügt.

MerkmalKeePassXCBitwarden (Free)KeePass 2
PreisKostenlosKostenlosKostenlos
DatenspeicherungLokal oder selbst gehostetBitwarden-ServerLokal
Aktuelle Version (2026)2.7.112025.x2.57
Browser-IntegrationEingebaut (KeePassXC-Browser)EingebautPlugin erforderlich
TOTP-GeneratorEingebautEingebautPlugin erforderlich
SSH-AgentEingebautNicht vorhandenPlugin erforderlich
YubiKey-SupportEingebautNur Premium (10 USD/Jahr)Plugin erforderlich
SicherheitszertifizierungANSSI CSPN-2025/16Externe AuditsKeine
PlattformenWindows, macOS, LinuxAlle inkl. MobileWindows (Mono)
Mobile AppÜber Drittapp (KeePass2Android)Offizielle AppÜber Drittapp

Voraussetzungen

Stelle sicher, dass folgende Punkte erfüllt sind, bevor du anfängst:

  • Betriebssystem: Windows 10/11, macOS 12 Monterey oder neuer, Ubuntu 22.04 LTS, Debian 12, Fedora 40 oder neuer
  • KeePassXC: Version 2.7.11 (November 2025) oder neuer
  • Speicher: Mindestens 100 MB freier Speicher für die Installation
  • Optional: YubiKey 5 oder neuer für Hardware-2FA; Syncthing für mobile Synchronisation ohne Cloud-Drittanbieter
  • Browser: Firefox 115+, Chrome 115+, Edge 115+ oder Brave für Browser-Integration
  • Mobile (optional): Android 8.0+ mit KeePass2Android (F-Droid oder Play Store), iOS 15+ mit KeePassium oder Strongbox

Für den SSH-Agent-Abschnitt benötigst du eine grundlegende SSH-Konfiguration auf deinem System. Das Tutorial erklärt jeden Schritt ab Null, auch wenn du bisher einen anderen Passwortmanager verwendet hast oder KeePass2Android noch nicht kennst.

Schritt 1 bis 2: KeePassXC herunterladen und installieren

Lade KeePassXC ausschließlich von der offiziellen Webseite oder über vertrauenswürdige Paketquellen herunter. Drittanbieter-Downloads sind ein häufiger Verbreitungsweg für manipulierte Software, sogenannte Trojanisierte Installer.

Installation unter Windows

Lade den MSI-Installer von keepassxc.org/download/ herunter und verifiziere die Signatur vor der Installation:

# Signatur mit GPG prüfen (Windows PowerShell mit gpg4win)
gpg --verify KeePassXC-2.7.11-Win64.msi.sig KeePassXC-2.7.11-Win64.msi

# Erwartete Ausgabe:
# gpg: Good signature from "KeePassXC Release <[email protected]>"
# Primary key fingerprint: BF5A 669F 2272 CF43 24C1  FDA8 CFB4 C216 6397 D0D2

# Alternativ: SHA256-Hash prüfen (ohne GPG)
# Erwarteten Hash von keepassxc.org/download/ kopieren
certutil -hashfile KeePassXC-2.7.11-Win64.msi SHA256

Alternativ steht KeePassXC im Microsoft Store zur Verfügung, was automatische Updates erleichtert. Führe den MSI-Installer als Administrator aus und folge dem Setup-Assistenten. Deaktiviere die Option “Send crash reports”, wenn du maximale Privatsphäre bevorzugst.

Installation unter Linux

Unter Ubuntu und Debian empfehlen sich das offizielle PPA oder Flatpak, da Distributions-Pakete oft veraltete Versionen enthalten:

# Ubuntu PPA (empfohlen, immer aktuell)
sudo add-apt-repository ppa:phoerious/keepassxc
sudo apt update
sudo apt install keepassxc

# Alternativ: Flatpak (Flathub, distributionsunabhängig)
flatpak install flathub org.keepassxc.KeePassXC

# Arch Linux
sudo pacman -S keepassxc

# Fedora
sudo dnf install keepassxc

# Version prüfen nach Installation
keepassxc --version
# Ausgabe: keepassxc 2.7.11

Starte KeePassXC nach der Installation einmal, um sicherzustellen, dass keine Bibliotheksabhängigkeiten fehlen. Unter Wayland auf Linux empfiehlt sich der Parameter --platform xcb, falls Auto-Type nicht funktioniert. Wayland blockiert aus Sicherheitsgründen globale Tastatureingaben standardmäßig, was Auto-Type beeinflusst.

Schritt 3 bis 4: Neue Datenbank erstellen (KDBX4)

Die Datenbankdatei ist das Herzstück von KeePassXC. Alle Passwörter, Notizen und Anmeldedaten werden darin verschlüsselt gespeichert. Gehe zu Datenbank > Neue Datenbank und folge dem Assistenten:

  1. Datenbankname vergeben, z. B. “Meine Passwörter 2026”
  2. Datenbankformat wählen: KDBX 4.0 (Standard seit KeePassXC 2.6, empfohlen)
  3. Speicherort festlegen: Am besten ein eigener Ordner in deinem Heimverzeichnis oder auf einem verschlüsselten Volume

KDBX 4 ist das modernere Format. Es fügt dem Datei-Header eine HMAC-SHA-256-Authentifizierung hinzu und schützt jeden verschlüsselten Datenblock einzeln mit einem eigenen Authentifizierungs-Tag. Das verhindert, dass manipulierte Datenblöcke unbemerkt bleiben, bevor ein Entschlüsselungsversuch unternommen wird. KDBX 3.1 hat diesen Schutz nicht, da es nur die entschlüsselten Daten prüft.

Kompatibilitätshinweis: Wenn du die Datenbank auch mit älteren Apps öffnen möchtest, prüfe deren KDBX-4-Kompatibilität vorab. KeePass2Android ab Version 0.9.4-r0 und KeePassium für iOS unterstützen KDBX 4 vollständig. Ältere Versionen von KeePass (2.4x und früher) können Probleme mit Argon2-basierten KDBX-4-Dateien haben.

Schritt 5: Verschlüsselung optimal konfigurieren

KeePassXC bietet bei KDBX 4 zwei Verschlüsselungsalgorithmen und zwei Schlüsselableitungsfunktionen (KDF). Die Wahl beeinflusst sowohl die Sicherheit als auch die Öffnungszeit, besonders auf älteren Geräten.

Gehe zu Datenbank > Datenbankeinstellungen > Sicherheit für folgende Einstellungen:

AlgorithmusTypEmpfehlungBesonderheit
AES-256-CBCDatenbankchiffreStandard, gute KompatibilitätHardware-Beschleunigung via AES-NI
ChaCha20DatenbankchiffreÄltere Hardware ohne AES-NIReine Software-Implementierung, sehr schnell
Argon2dSchlüsselableitung (KDF)Desktop ohne Side-Channel-BedrohungMaximal GPU-resistent
Argon2idSchlüsselableitung (KDF)Allgemeine Empfehlung 2026Hybrid: GPU-resistent und Side-Channel-sicher
AES-KDFSchlüsselableitung (Legacy)Nur für KDBX 3.1Nicht empfohlen für neue Datenbanken

Für die Argon2-Parameter gilt: Je höher die Werte, desto sicherer, aber desto länger dauert das Entsperren. Folgende Einstellungen bieten einen guten Kompromiss für Hardware aus 2024-2026:

# Empfohlene Argon2id-Parameter (KeePassXC Datenbankeinstellungen)
# Für durchschnittliche Desktop-Hardware (2022-2026)
Speicher:        64 MB  (65536 KiB)
Iterationen:     2
Parallelismus:   2

# Für leistungsfähige Desktop-PCs (erhöhte Sicherheit)
Speicher:        256 MB
Iterationen:     3
Parallelismus:   4

# Für ältere Notebooks oder ARM-Geräte
Speicher:        32 MB
Iterationen:     3
Parallelismus:   1

# Ziel-Öffnungszeit: 1 bis 3 Sekunden
# KeePassXC-Benchmark: Datenbank > Datenbankeinstellungen > Benchmark klicken

Klicke auf den Benchmark-Button in KeePassXC, um die Parameter automatisch für dein System zu optimieren. KeePassXC misst dann, welche Einstellungen auf deinem Gerät genau 1 Sekunde Öffnungszeit erzeugen. Das ist ein praxistauglicher Richtwert, der Sicherheit und Komfort ausbalanciert.

Schritt 6: Master-Passwort und Schlüsseldatei

KeePassXC unterstützt drei Faktoren zum Entsperren der Datenbank, die du nach Bedarf kombinieren kannst:

  1. Master-Passwort (Faktor Wissen, Pflicht)
  2. Schlüsseldatei (Faktor Besitz, optional aber empfohlen)
  3. Hardware-Schlüssel wie YubiKey (Faktor Besitz, optional)

Master-Passwort erstellen: Verwende eine Passphrase aus 5 bis 6 zufälligen Wörtern, keine Passwörter wie “Hund123!”. KeePassXC enthält einen eingebauten Passphrase-Generator (Diceware-Methode). Eine Passphrase wie “Gurke-Tunnel-Fenster-Kabeljau-Nebel” hat über 77 Bit Entropie und ist gleichzeitig merkbar. KeePassXC zeigt dir die berechnete Entropie direkt in der Eingabemaske an.

Schlüsseldatei erstellen: Klicke im Datenbank-Assistenten auf Schlüsseldatei hinzufügen > Erstellen. KeePassXC generiert eine 2048-Bit-Zufallsdatei. Speichere diese auf einem separaten Medium, z. B. einem USB-Stick oder einem zweiten internen Speicher. Wer die Schlüsseldatei verliert, verliert dauerhaft den Zugang zur Datenbank. Ein Backup auf zwei verschiedenen Medien ist deshalb Pflicht.

Grundregel: Speichere Schlüsseldatei und Datenbank nie am gleichen Ort. Wenn ein Angreifer beide Dateien erbeutet, reicht das Master-Passwort allein zum Entsperren. Du verlierst damit einen Sicherheitsfaktor ohne es zu merken.

Schreibe dein Master-Passwort auf Papier und lagere es sicher, z. B. in einem Tresor. Viele Nutzer hinterlegen es auch verschlossen beim Steuerberater oder in einem Notfallumschlag als letzten Ausweg bei Krankheit oder Tod.

Schritt 7: YubiKey als dritten Faktor einrichten

Ein YubiKey verstärkt den Datenbankschutz durch einen physischen Hardware-Schlüssel. KeePassXC verwendet YubiKey im Challenge-Response-Modus (HMAC-SHA1), nicht als FIDO2-Authenticator. Der YubiKey muss also beim Entsperren der Datenbank physisch angesteckt sein, was für ein sehr hohes Sicherheitsniveau sorgt.

YubiKey für Challenge-Response konfigurieren

# YubiKey Manager (ykman) installieren
# Windows: https://developers.yubico.com/yubikey-manager/
# Ubuntu: sudo apt install yubikey-manager
# macOS:  brew install ykman

# YubiKey-Slots anzeigen
ykman otp info
# Ausgabe:
# Slot 1: Yubico OTP (Standard, nicht ändern)
# Slot 2: empty

# Challenge-Response auf Slot 2 konfigurieren
ykman otp chalresp --generate 2

# Wichtig: Das angezeigte Secret sichern (für Backup-YubiKey)
# Secret wird nur bei Konfiguration einmal angezeigt

# In KeePassXC einbinden:
# Datenbank > Datenbankeinstellungen > Sicherheit
# > "Hardware-Schlüssel hinzufügen" > YubiKey Challenge-Response
# > Slot 2 auswählen

Nach der Konfiguration verlangt das Entsperren der Datenbank zusätzlich zum Master-Passwort, dass der YubiKey angesteckt ist und auf die Challenge antwortet. Ein Angreifer, der nur die Datenbankdatei und das Passwort kennt, kommt trotzdem nicht rein, solange der YubiKey in deinem Besitz ist.

Backup-YubiKey: Konfiguriere den gleichen Challenge-Response-Secret auf einem zweiten YubiKey als Backup. Verwende dafür das Secret, das du bei der Erstkonfiguration gespeichert hast. Ohne Backup-YubiKey bist du aus der Datenbank ausgesperrt, sobald der primäre YubiKey verloren geht oder kaputtgeht.

Schritt 8 bis 9: Passwörter verwalten, Einträge und Gruppen

Nach dem Erstellen der Datenbank siehst du den Hauptbereich von KeePassXC. Auf der linken Seite befindet sich die Gruppenstruktur, in der Mitte die Einträgsliste.

Neuen Eintrag hinzufügen (Tastenkombination Strg+N): Fülle mindestens diese Felder aus:

  • Titel: Erkennbarer Name, z. B. “GitHub – [email protected]
  • Benutzername: Dein Login-Name oder E-Mail-Adresse
  • Passwort: Klicke auf das Würfel-Symbol für den Passwort-Generator
  • URL: z. B. https://github.com (wird für Browser-Integration genutzt)

Passwort-Generator richtig nutzen: Empfohlene Einstellungen für neue Konten im Jahr 2026:

# Empfohlene Passwort-Generator-Einstellungen (KeePassXC)
Länge:                  20 Zeichen (Mindest-Standard 2026)
Großbuchstaben:         Ja
Kleinbuchstaben:        Ja
Zahlen:                 Ja
Sonderzeichen:          Ja (!, @, #, $, %, &)
Ähnliche Zeichen ausschließen: Ja (kein 0/O, l/1, etc.)

# Für Services mit Zeichenbeschränkungen
Länge:                  16 Zeichen
Sonderzeichen:          Nur !, @, #

# Passphrase-Modus (Alternative für merkbare Passwörter)
Wörter:         6
Trennzeichen:   -
Beispiel:       "Kaffee-Balkon-Mango-Traube-Fenster-Nebel"
Entropie:       ca. 77 Bit

Gruppen anlegen: Organisiere Einträge in logische Gruppen: Arbeit, Privat, Banking, Social Media, Server. Rechtsklick auf die linke Seitenleiste > “Gruppe hinzufügen”. Du kannst Gruppen mit individuellen Symbolen kennzeichnen, was die Navigation bei vielen Einträgen erheblich beschleunigt.

Tags verwenden: Zusätzlich zu Gruppen kannst du Einträgen Tags zuweisen, z. B. “2FA”, “wichtig”, “ablaufen-2027”. Die Tag-Suchfunktion (Strg+F) filtert dann schnell relevante Einträge. Besonders nützlich ist das, wenn du mehrere Kategorien kombinieren möchtest, also alle Arbeitskonten, die auch einen zweiten Faktor haben.

TOTP einrichten: KeePassXC generiert TOTP-Codes direkt aus der Datenbank. Rechtsklick auf einen Eintrag > TOTP > Einrichten und den QR-Code-Secret einfügen. Der Code erscheint dann als zusätzliches Feld. Beachte: Damit liegen Passwort und zweiter Faktor am gleichen Ort. Das vereinfacht die Nutzung, reduziert aber die Trennung der Faktoren. Für hochsensible Konten lieber eine separate Authenticator-App nutzen.

Datenbank-Reports nutzen: KeePassXC bietet unter Datenbank > Datenbankberichte eine Übersicht über schwache Passwörter, doppelt verwendete Passwörter und Passwörter, die im Have-I-Been-Pwned-Datensatz auftauchen. Die Prüfung erfolgt per k-Anonymity (nur die ersten 5 Zeichen des SHA-1-Hash werden übertragen), ohne das vollständige Passwort zu senden. Führe diesen Report mindestens einmal pro Jahr aus.

Schritt 10: Browser-Integration mit KeePassXC-Browser

Die Browser-Integration ist eine der stärksten Funktionen von KeePassXC. Die offizielle Erweiterung KeePassXC-Browser ist für Chrome, Firefox, Edge und Brave verfügbar und kommuniziert über einen lokalen, authentifizierten Kanal mit der Desktop-App. Keine Daten verlassen deinen Rechner.

Einrichtung Schritt für Schritt:

  1. Installiere KeePassXC-Browser aus dem offiziellen Chrome Web Store oder Firefox Add-ons (Publisher: “KeePassXC Team”)
  2. Öffne KeePassXC und gehe zu Extras > Einstellungen > Browser-Integration
  3. Aktiviere “Browser-Integration aktivieren”
  4. Setze einen Haken bei deinem Browser (Firefox, Chromium-basiert, etc.)
  5. Klicke im Browser auf das KeePassXC-Symbol > “KeePassXC verbinden”
  6. KeePassXC öffnet einen Dialog: Vergib einen Namen für die Verbindung, z. B. “Firefox-Privat”
  7. Verbindung bestätigen

Nach der Einrichtung erkennst du auf Login-Seiten ein KeePass-Symbol im Passwortfeld. Ein Klick füllt Benutzername und Passwort automatisch aus. Wenn mehrere Einträge zur URL passen, z. B. mehrere GitHub-Konten, erscheint ein Auswahl-Dialog.

Sicherheitshinweis URL-Matching: KeePassXC-Browser prüft die vollständige Domain, nicht nur den Host. Ein Eintrag für “https://github.com” wird auf “https://github.com/login” gefunden, aber nicht auf “https://github.evil.com”. Seit Version 2.7.11 zeigt der Bestätigungs-Dialog die übereinstimmenden URLs als Tooltip an, was Phishing-Versuche mit ähnlichen Domains sofort sichtbar macht.

Wichtig: Installiere KeePassXC-Browser nur aus dem offiziellen Store deines Browsers. Gefälschte Extensions mit ähnlichen Namen (“KeePass Browser”, “KeePass Filler”) wurden in der Vergangenheit verbreitet und haben Zugangsdaten abgegriffen. Verifiziere den Publisher-Namen, er muss “keepassxc.org” oder “KeePassXC Team” lauten.

Schritt 11: Auto-Type für Desktop-Anwendungen

Für Anwendungen, die keine Browser-Integration unterstützen (VPN-Clients, SSH-GUIs, RDP-Verbindungen, ältere Enterprise-Apps), bietet KeePassXC Auto-Type. Die Funktion simuliert Tastatureingaben in das aktive Fenster.

# Standard Auto-Type Tastenkombination
Strg + Alt + A   (globaler Shortcut, muss in KeePassXC-Einstellungen aktiviert werden)

# KeePassXC erkennt das aktive Fenster am Fenstertitel
# und gleicht es mit dem URL-Feld oder Titel-Regex ab

# Standard-Auto-Type-Sequenz (im Eintrag unter Auto-Type konfigurierbar):
{USERNAME}{TAB}{PASSWORD}{ENTER}

# Mit Verzögerung für langsame Login-Formulare:
{USERNAME}{TAB}{DELAY 500}{PASSWORD}{ENTER}

# Für zweistufige Logins (Benutzername, dann Passwort auf separater Seite):
{USERNAME}{ENTER}{DELAY 2000}{PASSWORD}{ENTER}

# Für Formulare die kein Tab-Fokus-Wechsel haben:
{USERNAME}{CLEARFIELD}{PASSWORD}{ENTER}

Wayland-Einschränkung unter Linux: Unter Linux mit Wayland-Compositor (z. B. GNOME 45+ oder KDE Plasma 6) funktioniert Auto-Type eingeschränkt, da Wayland globale Tastaturzugriffe aus Sicherheitsgründen blockiert. Starte KeePassXC mit QT_QPA_PLATFORM=xcb keepassxc für XWayland-Kompatibilität, oder warte auf die XDG-Desktop-Portal-Integration, die für KeePassXC 2.8 geplant ist.

Für die automatische Aktivierung des globalen Shortcuts beim Systemstart: Stelle sicher, dass KeePassXC beim Anmelden gestartet wird (Extras > Einstellungen > Allgemein > Beim Systemstart starten). Der globale Shortcut funktioniert dann sofort nach dem Öffnen der Datenbank.

Schritt 12: SSH-Agent-Integration

KeePassXC kann als SSH-Agent fungieren und private SSH-Schlüssel aus der verschlüsselten Datenbank verwalten. Wenn du die Datenbank entsperrst, lädt KeePassXC die konfigurierten SSH-Schlüssel in den Agenten. Wenn du sie sperrst, entfernt KeePassXC sie automatisch. Kein SSH-Schlüssel liegt jemals unverschlüsselt auf der Festplatte.

# 1. SSH-Agent-Integration in KeePassXC aktivieren
#    Extras > Einstellungen > SSH-Agent > "SSH-Agent aktivieren" Häkchen setzen

# 2. SSH-Schlüsselpaar generieren (falls noch nicht vorhanden)
ssh-keygen -t ed25519 -C "mein-server-2026" -f ~/.ssh/id_ed25519
# Kein Passwort setzen (KeePassXC übernimmt die Absicherung)

# 3. Privaten Schlüssel zu KeePassXC-Eintrag hinzufügen
#    Eintrag öffnen > Erweitert > Anhänge > Privaten Schlüssel (~/.ssh/id_ed25519) hinzufügen
#    Dann: Eintrag-Tab "SSH-Agent" > Anhang auswählen > "Schlüssel zum Agenten hinzufügen beim Entsperren"

# 4. Umgebungsvariable setzen (Linux/macOS ~/.bashrc oder ~/.zshrc)
export SSH_AUTH_SOCK="$XDG_RUNTIME_DIR/kpxc_ssh"

# Unter macOS
export SSH_AUTH_SOCK="$HOME/.ssh/kpxc.socket"

# 5. Test: SSH-Schlüssel im Agenten prüfen (nach Datenbankentsperre)
ssh-add -l
# Erwartete Ausgabe:
# 256 SHA256:xxxxxxxxxx mein-server-2026 (ED25519) [KeePassXC]

Dieser Ansatz hat einen weiteren praktischen Vorteil: Wenn dein Bildschirmschoner nach 15 Minuten aktiviert wird und KeePassXC die Datenbank automatisch sperrt, werden alle SSH-Schlüssel gleichzeitig aus dem Agenten entfernt. Kein vergessener SSH-Agent, der stundenlang im Hintergrund läuft, ohne dass du es weißt.

Mobile Synchronisation: Android und iOS

KeePassXC hat keine eigene Mobile-App. Stattdessen synchronisierst du die .kdbx-Datei auf dein Smartphone und öffnest sie mit einer kompatiblen App. Der beste Weg für die Synchronisation ohne Cloud-Drittanbieter ist Syncthing, ein dezentrales, verschlüsseltes Datei-Sync-Tool ohne zentrale Server.

Syncthing einrichten

# Syncthing auf Linux installieren
sudo apt install syncthing      # Ubuntu/Debian
sudo dnf install syncthing      # Fedora
sudo pacman -S syncthing        # Arch Linux

# Syncthing als Dienst starten (Webinterface auf http://127.0.0.1:8384)
systemctl --user enable --now syncthing

# Android: "Syncthing-Fork" aus F-Droid installieren (aktiv gepflegt 2025/2026)
# Alternativ: Syncthing aus Google Play Store

# Synchronisation konfigurieren:
# 1. Geräte-ID im Syncthing-Webinterface kopieren (unter "Dieses Gerät")
# 2. Auf Android: Syncthing-Fork > "Gerät hinzufügen" > ID einfügen
# 3. PC: Ordner mit .kdbx-Datei für Synchronisation freigeben
# 4. Android: Freigabe akzeptieren, lokalen Ordner festlegen

# Konflikt-Strategie: "Einfache Versionierung" aktivieren
# Bewahrt bis zu 5 Versionen der Datei auf dem Gerät auf

Android-Apps: KeePass2Android ist die etablierte Open-Source-Wahl für Android. Die App unterstützt KDBX 4, Argon2 und bietet eine Keyboard-Integration, die Passwörter direkt in App-Textfelder einfügt, ähnlich wie KeePassXC-Browser auf dem Desktop. Für iOS empfiehlt sich KeePassium (mit kostenloser Basisversion und optionalem Premium-Abo).

Wichtig für die Synchronisation: Öffne die Datenbank nie gleichzeitig auf zwei Geräten im Schreibmodus. KDBX-Dateien haben kein automatisches Merge-Protokoll. Wenn beide Geräte gleichzeitig speichern, entsteht ein Konflikt, den Syncthing als zwei separate Dateien kennzeichnet. KeePassXC kann Datenbanken manuell zusammenführen (Datenbank > Zusammenführen), aber das kostet Zeit. Die einfachere Regel: Schließe die Datenbank auf Gerät A, bevor du auf Gerät B öffnest.

Alternativ zur Syncthing-Methode funktioniert auch die Synchronisation über eine verschlüsselte Nextcloud-Instanz, Dropbox oder Google Drive. Da die .kdbx-Datei selbst AES-256-verschlüsselt ist, bleibt die Sicherheit auch bei einem Angriff auf den Cloud-Anbieter gewahrt, solange das Master-Passwort stark genug ist.

Backup-Strategie für KDBX-Dateien

Eine verlorene oder beschädigte KeePassXC-Datenbank ohne Backup bedeutet den dauerhaften Verlust aller Passwörter. Eine robuste Backup-Strategie nach der 3-2-1-Regel ist deshalb kein optionales Extra, sondern Grundvoraussetzung:

  • 3 Kopien der Daten (Original + 2 Backups)
  • 2 verschiedene Medien (z. B. interne Festplatte + USB-Stick)
  • 1 externes Backup an einem anderen physischen Ort (Nextcloud, verschlüsselt)
# Automatisches tägliches Backup unter Linux (crontab -e)
# Datenbankdatei täglich um 2 Uhr sichern
0 2 * * * cp ~/.keepass/passwords.kdbx ~/.keepass/backup/passwords-$(date +\%Y\%m\%d).kdbx

# Backups älter als 30 Tage löschen
0 3 * * * find ~/.keepass/backup/ -name "*.kdbx" -mtime +30 -delete

# Backup auf USB-Stick syncen (jeden Sonntag)
0 4 * * 0 rsync -av ~/.keepass/backup/ /media/usb-stick/keepass-backup/ 2>/dev/null

# Windows PowerShell Backup-Skript (Aufgabenplanung)
$src = "$env:USERPROFILE\Documents\KeePass\passwords.kdbx"
$dst = "$env:USERPROFILE\Documents\KeePass\Backup\passwords-$(Get-Date -f yyyyMMdd).kdbx"
Copy-Item $src $dst

Vergiss nicht, auch die Schlüsseldatei separat zu sichern. Die häufigste Ursache für dauerhaften Datenverlust ist nicht die fehlende Datenbank, sondern die fehlende Schlüsseldatei. Teste das Backup mindestens einmal pro Quartal, indem du die Datenbank tatsächlich mit der Backup-Datei und dem Backup-Schlüssel in einem zweiten KeePassXC-Fenster öffnest.

Häufige Fehler und wie man sie vermeidet

Diese Fehler passieren regelmäßig, auch erfahrenen Nutzern. Kenne sie, bevor sie teuer werden.

Fehler 1: Schwaches Master-Passwort
Viele Nutzer wählen kurze, merkbare Passwörter wie “keepass2026!” für die Hauptdatenbank. Das ist kontraproduktiv, weil die Datenbank alle anderen Passwörter enthält. Verwende eine Diceware-Passphrase mit mindestens 5 Wörtern. KeePassXC zeigt die Entropie beim Erstellen an. Ziel: mindestens 70 Bit Entropie.

Fehler 2: Schlüsseldatei am gleichen Ort wie Datenbank
Wenn Datenbank und Schlüsseldatei im gleichen Ordner liegen und ein Angreifer Zugriff auf den Ordner erhält, ist der zweite Faktor wertlos. Schlüsseldatei auf USB-Stick, Datenbank auf Festplatte oder Cloud, niemals beides am selben Ort.

Fehler 3: Kein Test nach Passwortänderung
Nach einer Änderung des Master-Passworts oder der Schlüsseldatei sofort die Datenbank schließen, ist riskant. Wenn beim Speichern ein Fehler aufgetreten ist, bist du ausgesperrt. Testmethode: Öffne KeePassXC ein zweites Mal (oder nutze den KeePassXC-Testmodus) und bestätige, dass das neue Passwort funktioniert, bevor du die erste Instanz schließt.

Fehler 4: Zu niedrige Argon2-Parameter
Standard-Parameter aus 2020 sind heute oft unzureichend. GPUs werden jedes Jahr schneller. Überprüfe deine Parameter in Datenbankeinstellungen > Sicherheit und nutze den Benchmark-Button, um sie auf aktuelle Hardware anzupassen. Ziel 2026: mindestens 64 MB Speicher, 2 Iterationen.

Fehler 5: Simultanerzugriff bei Cloud-Sync
Desktop und Smartphone öffnen die Datenbank gleichzeitig und speichern beide Änderungen. Das ergibt Konflikte. Richte Syncthing so ein, dass es Konflikte mit Zeitstempel-Suffix kennzeichnet. Öffne die Datenbank auf dem Mobilgerät erst, nachdem du auf dem Desktop gespeichert und KeePassXC dort geschlossen hast.

Fehler 6: KDBX4 ohne Kompatibilitätstest
Wenn du die Datenbank auf dem Smartphone mit KeePass2Android öffnen willst, stelle sicher, dass die App dein genaues KDBX4-Profil (insb. Argon2id + ChaCha20) unterstützt. Ein kurzer Test mit einer leeren Testdatenbank spart spätere Fehlersuche.

Fehler 7: Inoffizielle Browser-Extension installieren
Es gibt gefälschte Extensions mit ähnlichen Namen. Prüfe vor der Installation immer den genauen Namen “KeePassXC-Browser” und den Publisher. Eine falsche Extension kann alle eingegebenen Passwörter an Dritte übertragen.

Fehler 8: Kein Auto-Lock konfiguriert
Ohne automatische Sperre bleibt KeePassXC nach dem Entsperren dauerhaft offen. Konfiguriere unter Extras > Einstellungen > Sicherheit eine automatische Sperre nach 10 bis 15 Minuten Inaktivität. Aktiviere auch “Bei Bildschirmsperre sperren” und “Beim Wechsel in den Energiesparmodus sperren”.

Fehlerbehebung (Troubleshooting)

Problem 1: “Falsche Anmeldedaten” beim Öffnen der Datenbank
Ursachen: Falsche Schlüsseldatei angegeben, Schlüsseldatei beschädigt, falsches Master-Passwort (Groß-/Kleinschreibung prüfen), veraltete Backup-Datenbank. Lösung: Prüfe zuerst, ob die richtige Schlüsseldatei ausgewählt ist. Wenn ja, versuche eine Backup-Version der Datenbank zu öffnen. Prüfe auch, ob Caps Lock aktiv ist.

Problem 2: Browser-Integration verbindet nicht
Prüfe: Ist KeePassXC geöffnet und eine Datenbank entsperrt? Ist Browser-Integration in den Einstellungen aktiviert? Richtiger Browser ausgewählt? Manchmal hilft es, die Extension zu deinstallieren, KeePassXC neu zu starten und die Extension neu zu koppeln. Unter Linux: Prüfe ob der Socket unter ~/.config/keepassxc/ existiert.

Problem 3: Auto-Type füllt falsches Feld aus
Fehlendes Window-Title-Matching. Gehe zu Eintrag bearbeiten > Auto-Type > Fensterverknüpfungen hinzufügen und trage den genauen Fenstertitel ein, z. B. “Mozilla Firefox – GitHub”. Nutze den Auto-Type-Assistenten unter Extras > Auto-Type-Eintrag wählen, um das aktive Fenster direkt zuzuordnen.

Problem 4: Sync-Konflikt bei Nextcloud oder Syncthing
Syncthing kennzeichnet Konflikte mit “.sync-conflict” im Dateinamen. Öffne beide Versionen in separaten KeePassXC-Fenstern und führe sie über Datenbank > Zusammenführen manuell zusammen. KeePassXC vergleicht beide Versionen auf Eintragsebene und zeigt Unterschiede an.

Problem 5: YubiKey wird nicht erkannt
Unter Linux fehlen oft udev-Regeln. Installiere: sudo apt install yubikey-manager. Die Regeln werden automatisch mitinstalliert. Alternativ: sudo udevadm control --reload-rules && sudo udevadm trigger. Unter Windows: YubiKey Manager installieren und im CCID-Modus betreiben. Test: ykman info

Problem 6: TOTP-Code stimmt nicht
TOTP ist zeitbasiert. Wenn Systemuhr und Server mehr als 30 Sekunden auseinander liegen, schlägt der Code fehl. Unter Linux: sudo timedatectl set-ntp true. Unter Windows: Einstellungen > Datum und Uhrzeit > “Uhrzeit automatisch synchronisieren” aktivieren. Prüfe auch, ob der richtige Base32-Secret im Eintrag hinterlegt ist.

Problem 7: SSH-Agent schlägt fehl
Prüfe mit echo $SSH_AUTH_SOCK, ob die Variable auf den KeePassXC-Socket zeigt. Wenn ssh-add -l “Could not open a connection” zurückgibt, wurde die Variable nicht gesetzt oder zeigt auf den falschen Pfad. Füge die Export-Zeile in ~/.bashrc oder ~/.zshrc ein und starte eine neue Terminal-Session.

Problem 8: KeePass2Android öffnet KDBX4-Datei nicht
Ältere Versionen von KeePass2Android unterstützen Argon2id nicht. Aktualisiere auf die neueste Version. Alternativ: Wechsle in KeePassXC zu Argon2d (ältere kompatible Variante) in den Datenbankeinstellungen. Als weitere Alternative: Öffne die Datenbank vorübergehend als KDBX 3.1 (verliert aber HMAC-Header-Schutz).

Problem 9: KeePassXC startet nach Update nicht
Starte KeePassXC aus dem Terminal (keepassxc) um die genaue Fehlermeldung zu sehen. Oft hilft das Zurücksetzen der Konfiguration: rm -rf ~/.config/keepassxc/keepassxc.ini (setzt Einstellungen zurück, löscht keine Datenbankdaten). Unter Flatpak kann es zu Berechtigungsproblemen kommen: flatpak repair ausführen.

Problem 10: Datenbank erscheint nach Sync als schreibgeschützt
Wenn Syncthing die Datei synchronisiert, während KeePassXC sie geöffnet hat, kann die Datei temporär als schreibgeschützt markiert werden. KeePassXC bietet dann “Datenbank neu laden” an. Akzeptiere das, solange du keine lokalen Änderungen gemacht hast, die überschrieben werden würden.

Erweiterte Tipps

Mehrere Datenbanken verwenden: Viele Nutzer trennen private und berufliche Passwörter in zwei separate .kdbx-Dateien mit unterschiedlichen Master-Passwörtern. KeePassXC hält mehrere Datenbanken gleichzeitig als Tabs geöffnet. Das verhindert potenzielle Probleme, wenn der Arbeitgeber bei einer Trennung Zugriff auf das Dienstgerät verlangt.

Passwörter importieren: KeePassXC importiert aus CSV (LastPass, Bitwarden, Chrome), KeePass XML sowie seit Version 2.7.10 direkt aus Proton Pass als JSON-Export. Gehe zu Datenbank > Importieren. Nach dem Import: CSV-Datei sofort löschen, da sie alle Passwörter im Klartext enthält. Prüfe jeden importierten Eintrag auf korrekte URL-Zuordnung.

Quick-Unlock für den Alltag: KeePassXC unterstützt Quick-Unlock mit einer PIN oder biometrischen Daten (Windows Hello, macOS Touch ID) nach dem ersten Entsperren mit dem Master-Passwort. Aktivieren unter Extras > Einstellungen > Sicherheit > Quick-Unlock. Die PIN ersetzt das Master-Passwort nur bei Wiederöffnungen innerhalb einer Sitzung, nicht beim ersten Start nach einem Neustart.

KeeShare für Teams: Wenn mehrere Personen an einer gemeinsamen KeePassXC-Datenbank arbeiten, nutze das KeeShare-Feature. KeeShare ermöglicht es, einzelne Gruppen als separate Dateien zu exportieren und zu importieren, ähnlich wie ein einfaches Merge-System. Seit Version 2.7.11 wurde die Gruppen-Synchronisation in KeeShare verbessert.

Zwischenablage automatisch leeren: KeePassXC löscht kopierte Passwörter nach einer konfigurierbaren Zeit aus der Zwischenablage (Standard: 10 Sekunden). Passe das unter Extras > Einstellungen > Sicherheit > Zwischenablage auf 30 Sekunden an, wenn 10 Sekunden für deine Workflows zu kurz sind, aber deaktiviere die Funktion nie vollständig.

Sicherheitsbewertung der Datenbank: Nutze den Health Check unter Extras > Health Check, um Einträge mit abgelaufenen Passwörtern, leeren URLs oder schwachen Passwörtern zu identifizieren. Richte für wichtige Einträge ein Ablaufdatum ein (Eintrag bearbeiten > Erweitert > Ablaufdatum), dann zeigt KeePassXC abgelaufene Einträge rot markiert an.