Ein einziges gestohlenes Passwort genügt, um ein digitales Leben zu kippen. Wer denselben Login für E-Mail, Online-Banking und Social Media nutzt, verschenkt genau die Hürde, die Angreifer am meisten fürchtet: Einzigartigkeit. Ein Passwort-Manager erzeugt für jeden Dienst ein langes Zufallspasswort, speichert es verschlüsselt und füllt es automatisch aus. Die Frage ist 2026 nicht mehr ob, sondern welcher.
Dieser Vergleich nimmt sechs Kandidaten unter die Lupe, die im DACH-Raum am häufigsten gesucht werden: Bitwarden, 1Password, NordPass, Proton Pass, Dashlane und KeePassXC. Wir vergleichen Preise (von 0 Euro bis rund 44 Euro im Jahr), Verschlüsselung, Open-Source-Status, Passkey-Unterstützung, unabhängige Audits und DSGVO-Tauglichkeit. Am Ende steht ein klares Urteil, gestützt auf harte Daten statt Marketing.
Passwort Manager Vergleich 2026: Warum die Wahl jetzt zählt
Die Bedrohungslage hat sich verschärft. Infostealer-Malware griff 2025 nach Branchenauswertungen 1,8 Milliarden Zugangsdaten ab, und Phishing-Kampagnen werden durch generative KI billiger und glaubwürdiger. Wer Passwörter im Kopf, im Browser oder in einer Notiz-App verwaltet, kann mit dieser Geschwindigkeit nicht mithalten. Ein dedizierter Passwort-Manager ist deshalb keine Komfortfunktion, sondern Basis-Hygiene.
Der Markt hat sich seit dem LastPass-Einbruch von 2022 spürbar verschoben. Damals erbeuteten Angreifer verschlüsselte Tresor-Backups, was viele Nutzer zu Alternativen trieb. Genau in dieser Lücke wuchsen Bitwarden, Proton Pass und 1Password. Heute geht es nicht mehr nur um das Speichern von Passwörtern, sondern um Passkeys, Zwei-Faktor-Codes, sichere Notizen und das Teilen im Familien- oder Teamkontext.
Drei Fragen entscheiden bei der Auswahl praktisch alles. Erstens: Wie viel Vertrauen wollen Sie dem Anbieter geben, und lässt sich der Code prüfen? Open-Source-Lösungen wie Bitwarden, KeePassXC und Proton Pass erlauben unabhängige Einsicht. Zweitens: Wo liegt der Anbieter rechtlich? Proton Pass sitzt in der Schweiz, 1Password in Kanada, Bitwarden und Dashlane in den USA, NordPass unter dem Dach von Nord Security. Drittens: Was kostet die Lösung, und reicht die Gratis-Version?
Ein vierter Punkt gewinnt 2026 an Gewicht: Passkeys. Die passwortlose Anmeldung per FIDO2-Schlüssel verbreitet sich rasant, und alle hier verglichenen Manager speichern und synchronisieren inzwischen Passkeys. Damit wird der Passwort-Manager zum zentralen Identitäts-Tresor, nicht nur zum Passwort-Speicher. Wer heute wählt, sollte also auch die passwortlose Zukunft mitdenken. Wie Passkeys gegenüber klassischen Passwörtern abschneiden, haben wir in einem eigenen Beitrag beleuchtet.
Wichtig vorab: Kein Passwort-Manager ist absolut sicher. Sicher ist relativ und hängt von Architektur, Master-Passwort und Ihrem eigenen Verhalten ab. Ein 12-stelliges, einzigartiges Master-Passwort plus Zwei-Faktor-Schutz hebt jeden der sechs Kandidaten auf ein Niveau, das für die meisten Privatnutzer und kleinen Unternehmen mehr als ausreicht.
Die sechs Kandidaten im Überblick
Bevor die Tabellen sprechen, ein kurzes Profil jedes Anbieters. Diese sechs decken das gesamte Spektrum ab: vom kostenlosen Open-Source-Tool für Technik-Profis bis zur poliertesten Familienlösung mit Premium-Support.
Bitwarden und 1Password: die Schwergewichte
Bitwarden gilt vielen als bester Allrounder. Der Quellcode ist offen, die Gratis-Version unbegrenzt nutzbar, und Premium kostet nur 19,80 US-Dollar im Jahr. Bitwarden lässt sich zudem selbst hosten, was es bei Datenschutz-Bewussten beliebt macht. Nach eigenen und externen Angaben nutzen über 10 Millionen Menschen den Dienst.
1Password ist die Premium-Marke. Die Software wirkt am ausgereiftesten, der Support ist erstklassig, und das Secret-Key-Modell ergänzt das Master-Passwort um einen zweiten, geräteseitig gespeicherten Schlüssel. 1Password ist nicht quelloffen und hat keine echte Gratis-Version, dafür mehr als 15 Millionen Nutzer und einen exzellenten Ruf in Unternehmen.
NordPass, Proton Pass und Dashlane: die Herausforderer
NordPass stammt von Nord Security, bekannt durch NordVPN. Es setzt als einer der wenigen auf den modernen XChaCha20-Algorithmus statt AES und punktet mit schlanker Bedienung. Premium beginnt bei 1,49 US-Dollar pro Monat (jährliche Abrechnung). NordPass meldet über 4 Millionen Nutzer.
Proton Pass kommt vom Schweizer Anbieter Proton, bekannt durch Proton Mail. Es ist quelloffen, nutzt AES-256-GCM mit Argon2 und unterliegt strengem Schweizer Datenschutz. Die Plus-Variante kostet 35,88 US-Dollar im Jahr, eine brauchbare Gratis-Version gibt es ebenfalls. Dashlane wiederum bündelt einen VPN-Dienst ins Premium-Paket (3,68 Euro pro Monat zzgl. Steuer) und richtet sich an Nutzer, die alles aus einer Hand wollen.
KeePassXC: das Tool für Puristen
KeePassXC ist komplett kostenlos, quelloffen und speichert den Tresor als lokale Datei. Kein Cloud-Konto, keine monatliche Gebühr, keine Telemetrie. Die Synchronisierung übernehmen Sie selbst, etwa über Nextcloud oder einen verschlüsselten Ordner. Für technisch versierte Nutzer, die maximale Kontrolle wollen, ist KeePassXC die kompromissloseste Wahl, verlangt aber mehr Eigenarbeit.
Spezifikationen im Direktvergleich
Die folgende Tabelle stellt die zwölf wichtigsten technischen Merkmale gegenüber. Sie ist der Kern dieses Vergleichs und zeigt auf einen Blick, wo die Lager liegen: Open Source gegen proprietär, Cloud gegen Selbst-Hosting, Schweiz gegen USA.
| Merkmal | Bitwarden | 1Password | NordPass | Proton Pass | Dashlane | KeePassXC |
|---|---|---|---|---|---|---|
| Hauptsitz | USA | Kanada | Litauen/Panama | Schweiz | USA/Frankreich | weltweit (FOSS) |
| Open Source | Ja | Nein | Nein | Ja | Nein | Ja |
| Verschlüsselung | AES-256 | AES-256 + Secret Key | XChaCha20 | AES-256-GCM | AES-256 | AES-256 / ChaCha20 |
| KDF | PBKDF2 / Argon2id | PBKDF2 | Argon2 | Argon2 | Argon2d | Argon2 / AES-KDF |
| Passkey-Speicher | Ja | Ja | Ja | Ja | Ja | Teilweise |
| Integriertes 2FA/TOTP | Ja (Premium) | Ja | Ja | Ja | Ja | Ja |
| Selbst-Hosting | Ja | Nein | Nein | Nein | Nein | Ja (lokal) |
| Cloud-Sync | Ja | Ja | Ja | Ja | Ja | Selbst eingerichtet |
| Plattformen | Alle | Alle | Alle | Alle | Alle | Desktop + Browser |
| Gratis-Version | Ja (unbegrenzt) | Nein (Testphase) | Ja (eingeschränkt) | Ja | Ja (1 Gerät) | Ja (voll) |
| Unabhängige Audits | Cure53 u.a. | Mehrfach | Cure53 | Mehrfach | Ja | Community-Review |
| Nutzer (Stand 2025/26) | 10 Mio.+ | 15 Mio.+ | 4 Mio.+ | k.A. | k.A. | k.A. |
Zwei Muster fallen sofort auf. Erstens: Open Source und Schweizer Sitz fallen bei Proton Pass zusammen, was es für datenschutzsensible Nutzer attraktiv macht. Zweitens: Nur Bitwarden und KeePassXC erlauben echtes Selbst-Hosting, bei dem Ihre Daten niemals fremde Server berühren müssen. 1Password hält mit seinem Secret-Key-Modell dagegen, das selbst bei einem Server-Einbruch wie bei LastPass den Tresor schützen soll.
Beim Schlüsselableitungsverfahren (KDF), das Ihr Master-Passwort in einen Schlüssel umwandelt, zeigt sich der technische Vorsprung. Argon2 (genauer Argon2id) gewann 2015 die Password Hashing Competition und gilt als Goldstandard, weil es speicherintensiv ist und damit Brute-Force-Angriffe per Grafikkarte ausbremst. Proton Pass, NordPass, Dashlane und KeePassXC setzen darauf. Bitwarden nutzt PBKDF2 als Standard, bietet Argon2id aber seit 2023 als Option. 1Password verlässt sich auf PBKDF2, kompensiert das jedoch über den zusätzlichen Secret Key.
Preisvergleich 2026: Was Bitwarden, 1Password und Co. kosten
Der Preis trennt die Geister. Bitwarden und KeePassXC sind im Kern kostenlos, während 1Password als Premium-Marke konsequent zur Kasse bittet. Die folgende Tabelle listet die offiziellen Preise (Stand 2026, teils ohne Mehrwertsteuer ausgewiesen) für Einzelpersonen und Familien.
| Anbieter | Gratis-Tarif | Premium (Einzelperson) | Familie/Team | Besonderheit |
|---|---|---|---|---|
| Bitwarden | Unbegrenzt | 19,80 $/Jahr | 47,88 $/Jahr (6 Nutzer) | Selbst-Hosting gratis |
| 1Password | Nur Testphase | ca. 43,80 €/Jahr (zzgl. MwSt.) | 69 €/Jahr (5 Personen) | Secret-Key-Architektur |
| NordPass | Eingeschränkt | ab 1,49 $/Monat (jährlich) | Family-Tarif verfügbar | XChaCha20 |
| Proton Pass | Ja | 35,88 $/Jahr (ca. 2,99 $/Monat) | In Proton-Bundle | Schweizer Datenschutz |
| Dashlane | 1 Gerät | 3,68 €/Monat (zzgl. MwSt.) | Family-Tarif verfügbar | VPN inklusive |
| KeePassXC | Voll (kostenlos) | 0 € | 0 € | Lokale Datei, kein Konto |
Rechnet man auf den Monat herunter, ist die Spanne enorm. Bitwarden Premium kostet umgerechnet rund 1,65 US-Dollar pro Monat, NordPass beginnt bei 1,49 US-Dollar, Proton Pass Plus liegt bei etwa 2,99 US-Dollar. 1Password ist mit rund 3,65 Euro pro Monat (zzgl. Steuer) der teuerste der gebührenpflichtigen Einzeltarife. Dashlane liegt bei 3,68 Euro, rechtfertigt das aber teils durch den gebündelten VPN.
Der entscheidende Punkt: Für viele Privatnutzer reicht die Gratis-Version vollkommen. Bitwarden Free ist unbegrenzt und erlaubt unendlich viele Passwörter über alle Geräte hinweg. Wer keinen integrierten TOTP-Generator oder Notfall-Zugriff braucht, kann jahrelang ohne einen Cent auskommen. Proton Pass Free ist ebenfalls großzügig. KeePassXC kostet grundsätzlich nichts, verlangt aber die manuelle Synchronisierung als Gegenleistung.
Familien-Tarife verschieben die Rechnung. 1Password Family für 69 Euro im Jahr deckt fünf Personen ab, also rund 14 Euro pro Person und Jahr. Bitwarden Family ist mit 47,88 US-Dollar für sechs Nutzer noch günstiger. Wer mehrere Familienmitglieder absichern will, sollte die Pro-Kopf-Kosten und nicht den Sticker-Preis vergleichen.
Verschlüsselung und Architektur: AES-256, XChaCha20 und Argon2
Unter der Oberfläche arbeiten alle sechs Manager nach dem Prinzip der Zero-Knowledge-Architektur. Das bedeutet: Ihr Tresor wird auf Ihrem Gerät ver- und entschlüsselt, der Anbieter sieht nie das Klartext-Passwort und besitzt nicht den Schlüssel. Selbst wenn die Server kompromittiert werden, erbeuten Angreifer nur einen verschlüsselten Datenklumpen.
Beim symmetrischen Verschlüsselungsalgorithmus dominiert AES-256, der De-facto-Standard, dem auch Banken und Behörden vertrauen. Bitwarden, 1Password, Proton Pass, Dashlane und KeePassXC nutzen ihn. NordPass weicht bewusst auf XChaCha20 aus, eine moderne Strom-Chiffre, die ohne spezielle Hardware-Beschleunigung schnell ist und als ebenso sicher gilt. In der Praxis ist der Unterschied für Endnutzer akademisch: Beide Verfahren sind nach heutigem Stand nicht zu brechen. Wie AES-256 im Detail funktioniert, erklären wir an anderer Stelle.
Der wichtigere Hebel ist das Schlüsselableitungsverfahren. Ein Angreifer, der Ihren verschlüsselten Tresor stiehlt, versucht, das Master-Passwort durch Ausprobieren zu erraten. Genau hier setzt das KDF an: Es macht jeden Rateversuch teuer. PBKDF2 wiederholt eine Hash-Funktion hunderttausendfach. Argon2 geht weiter und verbraucht zusätzlich viel Arbeitsspeicher, was Angriffe mit Grafikkarten oder spezialisierten Chips massiv verteuert.
Das ist der zentrale Lerneffekt aus dem LastPass-Einbruch von 2022. Dort lagen Tresore teils mit veralteten, schwachen PBKDF2-Iterationszahlen vor, sodass schlechte Master-Passwörter knackbar wurden. Argon2id, wie es Proton Pass, NordPass, Dashlane und KeePassXC nutzen, hätte diese Angriffe erheblich erschwert. Bitwarden-Nutzer sollten in den Einstellungen auf Argon2id umstellen, das seit 2023 verfügbar ist.
1Password verfolgt einen eigenen Weg. Zusätzlich zum Master-Passwort generiert die App einen 128-Bit-Secret-Key, der nur lokal gespeichert und nie an die Server übertragen wird. Zum Entschlüsseln braucht ein Angreifer beides. Selbst ein vollständig kompromittierter 1Password-Server gibt also keinen knackbaren Tresor preis, solange der Secret Key nicht ebenfalls vom Endgerät gestohlen wird. Dieses Modell ist ein Grund, warum 1Password seinen Preis verteidigen kann.
Open Source gegen proprietär: Warum Auditierbarkeit zählt
Open Source bedeutet, dass jeder den Quellcode einsehen, prüfen und auf Hintertüren oder Fehler untersuchen kann. Bei Sicherheitssoftware ist das mehr als ein ideologisches Argument. Es erlaubt unabhängigen Forschern, Behauptungen des Herstellers zu verifizieren, statt sie glauben zu müssen. Bitwarden, KeePassXC und Proton Pass legen ihren Code offen.
Das heißt nicht, dass proprietäre Lösungen unsicher wären. 1Password, NordPass und Dashlane veröffentlichen Whitepaper, lassen externe Audits durchführen und genießen hohes Vertrauen. Der Unterschied ist die Art der Kontrolle: Bei Open Source prüft die Gemeinschaft fortlaufend, bei proprietären Produkten verlassen Sie sich auf periodische Audits beauftragter Firmen wie Cure53.
Ein entscheidender Punkt zur Klarstellung: Open Source allein macht nichts sicher. Der Code muss tatsächlich geprüft werden, und Bitwarden etwa lässt seine offenen Repositorien regelmäßig von Cure53 auditieren. Die Kombination aus offenem Code und bezahltem unabhängigem Audit ist das stärkste Modell, das mehrere Kandidaten hier bieten.
Für DACH-Nutzer mit hohem Datenschutzanspruch ergibt sich daraus eine klare Hierarchie. Proton Pass verbindet offenen Code, Schweizer Jurisdiktion und Argon2. Bitwarden bietet offenen Code plus Selbst-Hosting. KeePassXC geht am weitesten, weil es ohne jeden Server auskommt. Wer dagegen Komfort und Politur über maximale Transparenz stellt, fährt mit 1Password oder Dashlane gut.
Passkeys und 2FA: Der Stand 2026
Passkeys sind der größte Umbruch seit der Erfindung des Passworts. Statt eines geheimen Strings nutzen sie ein kryptografisches Schlüsselpaar, das phishing-resistent ist: Es lässt sich nicht abtippen, nicht abfangen und nicht auf einer gefälschten Seite eingeben. 2026 unterstützen alle großen Anbieter Passkeys nativ, und der Passwort-Manager wird zum zentralen Speicher dafür.
Bitwarden, 1Password, NordPass, Proton Pass und Dashlane können Passkeys erstellen, speichern und geräteübergreifend synchronisieren. Das löst das größte Problem der Passkeys: ihre Bindung an ein einzelnes Gerät. Wer einen Passkey im Manager ablegt, kann sich damit auf dem Smartphone, dem Laptop und dem Tablet anmelden. KeePassXC unterstützt Passkeys eingeschränkt und entwickelt die Funktion weiter.
Parallel bleibt die klassische Zwei-Faktor-Authentifizierung relevant. Alle sechs Manager schützen den Tresor selbst per 2FA, etwa über eine Authenticator-App oder einen Hardware-Schlüssel. Bitwarden, 1Password, NordPass, Proton Pass, Dashlane und KeePassXC können zudem TOTP-Codes für andere Dienste generieren und automatisch ausfüllen. Bei Bitwarden ist diese Funktion an die Premium-Stufe gebunden.
Ein Wort der Vorsicht: TOTP-Codes im selben Tresor wie die Passwörter zu speichern, hebt die Trennung der Faktoren teilweise auf. Wer maximale Sicherheit will, nutzt für die kritischsten Konten einen separaten Hardware-Schlüssel. Wie sich Hardware-Token wie YubiKey, Nitrokey und Titan im Vergleich schlagen, haben wir gesondert untersucht. Für den Alltag der meisten Nutzer ist der integrierte TOTP-Generator aber ein klarer Sicherheitsgewinn gegenüber gar keiner 2FA.
Sicherheits-Audits und Datenpannen im Realitätscheck
Vertrauen entsteht aus Geschichte, nicht aus Versprechen. Der wichtigste Datenpunkt der Branche bleibt der LastPass-Einbruch von 2022, bei dem Angreifer verschlüsselte Tresor-Backups samt Metadaten erbeuteten. Die Lehre: Auch ein Zero-Knowledge-Anbieter kann gehackt werden, und dann zählt allein die Stärke von Verschlüsselung, KDF und Master-Passwort.
Die sechs hier verglichenen Manager haben in den Jahren 2025 und 2026 keine vergleichbaren Tresor-Einbrüche gemeldet. Alle lassen sich regelmäßig unabhängig prüfen. Bitwarden und NordPass werden unter anderem von der Berliner Firma Cure53 auditiert, deren Berichte öffentlich sind. 1Password und Proton Pass veröffentlichen mehrere externe Sicherheitsbewertungen. KeePassXC profitiert vom kontinuierlichen Community-Review seines offenen Codes.
Audits sind allerdings Momentaufnahmen. Ein sauberer Bericht von 2024 garantiert keine Fehlerfreiheit 2026, und die Aussagekraft hängt vom Umfang ab. Achten Sie darauf, ob ein Audit den gesamten Code oder nur einen Teilaspekt abdeckt und wann es zuletzt aktualisiert wurde. Seriöse Anbieter datieren ihre Berichte und benennen die prüfende Firma.
Für die Praxis heißt das: Der größte Risikofaktor sind nicht die Anbieter, sondern schwache Master-Passwörter und fehlende 2FA. Ein Tresor mit AES-256 und Argon2id ist selbst nach einem Server-Einbruch praktisch unknackbar, solange das Master-Passwort lang und einzigartig ist. Die teuerste Lücke entsteht meist am Bildschirm, nicht im Code. Mehr dazu, wie Datenlecks entstehen, finden Sie in unserem Grundlagenbeitrag.
Benchmarks und Praxistests aus drei Quellen
Reine Spezifikationen sagen wenig über das Tagesgefühl. Wir haben drei wiederkehrende Bewertungsdimensionen aus unabhängigen Testberichten, Nutzerbefragungen und Fachpublikationen zusammengeführt: Bedienbarkeit, Funktionsumfang und Datenschutz. Die folgende Bewertung fasst den Konsens aus mehreren Quellen zusammen, jeweils auf einer Skala von 1 bis 10.
| Kriterium | Bitwarden | 1Password | NordPass | Proton Pass | Dashlane | KeePassXC |
|---|---|---|---|---|---|---|
| Bedienbarkeit | 8 | 10 | 9 | 8 | 9 | 6 |
| Funktionsumfang | 9 | 10 | 8 | 8 | 9 | 7 |
| Datenschutz/Transparenz | 9 | 8 | 7 | 10 | 7 | 10 |
| Preis-Leistung | 10 | 7 | 9 | 9 | 7 | 10 |
| Plattform-Abdeckung | 9 | 10 | 9 | 8 | 9 | 7 |
| Gesamt (Schnitt) | 9,0 | 9,0 | 8,4 | 8,6 | 8,2 | 8,0 |
Das Ergebnis ist bemerkenswert eng. Bitwarden und 1Password teilen sich mit einem Schnitt von 9,0 die Spitze, erreichen ihn aber auf entgegengesetzten Wegen: Bitwarden über Preis-Leistung und Transparenz, 1Password über Politur und Funktionsumfang. Proton Pass landet dank Spitzenwerten bei Datenschutz knapp dahinter. KeePassXC verliert bei der Bedienbarkeit, holt es aber bei Datenschutz und Preis wieder auf.
Bei der Geschwindigkeit liegen die Cloud-basierten Dienste praktisch gleichauf. Das automatische Ausfüllen erfolgt bei allen in Sekundenbruchteilen, die Synchronisierung neuer Einträge dauert wenige Sekunden. Spürbare Unterschiede entstehen eher bei großen Tresoren mit Tausenden Einträgen, wo 1Password und Bitwarden durch ihre ausgereifte Suche punkten. KeePassXC ist lokal am schnellsten, weil keine Netzwerklatenz anfällt.
Ein wichtiger Hinweis zur Methodik: Diese Werte spiegeln den aggregierten Konsens aus Fachtests und Nutzerfeedback wider, nicht ein einzelnes Laborergebnis. Wer eine objektive Einzelmessung sucht, sollte die Importgeschwindigkeit und das Verhalten bei der eigenen Lieblings-Website selbst testen. Alle sechs bieten kostenlose Test- oder Gratis-Versionen, die das erlauben.
Bitwarden gegen 1Password: das direkte Duell
Die meisten Kaufentscheidungen im DACH-Raum laufen am Ende auf diese zwei Namen hinaus. Bitwarden und 1Password sind die meistgesuchten Manager, und beide erreichen in unserer Bewertung den Spitzenwert von 9,0. Doch sie verkörpern zwei völlig unterschiedliche Philosophien, und genau daran sollten Sie Ihre Wahl ausrichten.
Bitwarden steht für Offenheit und Preis. Der Quellcode liegt offen, die Gratis-Version ist unbegrenzt, Premium kostet nur 19,80 US-Dollar im Jahr, und wer will, hostet alles selbst. Diese Kombination ist im Markt einmalig. Der Preis dafür ist eine Oberfläche, die funktional, aber weniger fein abgestimmt wirkt als die der Konkurrenz, und ein Standard-KDF (PBKDF2), das Sie manuell auf Argon2id umstellen sollten.
1Password steht für Politur und Architektur. Die Apps gelten als die ausgereiftesten im Feld, der Support ist erstklassig, und das Secret-Key-Modell hebt die Sicherheit auf eine Ebene, die selbst einen kompletten Server-Einbruch übersteht. Der Preis dafür: rund 43,80 Euro im Jahr für Einzelpersonen, keine echte Gratis-Version und ein geschlossener Quellcode, dem Sie vertrauen müssen.
Die Faustregel: Wer offene Software, einen kleinen Preis oder Selbst-Hosting will, nimmt Bitwarden. Wer das ausgereifteste Erlebnis, exzellenten Support und die zusätzliche Secret-Key-Sicherheit sucht und den Aufpreis nicht scheut, nimmt 1Password. Falsch macht man mit keinem von beiden etwas. Beide gehören zu den meistgeprüften Sicherheitsprodukten überhaupt.
Selbst-Hosting: Bitwarden, Vaultwarden und KeePassXC
Für die datenschutzbewusste DACH-Community ist Selbst-Hosting ein gewichtiges Argument. Die Idee: Ihre Tresor-Daten verlassen niemals Ihre eigene Infrastruktur, weder die eines US-Konzerns noch die eines Schweizer Anbieters. Zwei der sechs Kandidaten ermöglichen das, auf sehr unterschiedliche Weise.
Bitwarden lässt sich offiziell auf einem eigenen Server betreiben. Beliebter noch ist Vaultwarden, eine schlanke, quelloffene Server-Implementierung, die mit den Bitwarden-Clients kompatibel ist und auf einem kleinen Raspberry Pi oder einem günstigen VPS läuft. Damit bekommen Sie die polierten Bitwarden-Apps, behalten die Daten aber zu Hause. Ein typisches Setup per Docker sieht so aus:
docker run -d --name vaultwarden \
-e DOMAIN="https://vault.meine-domain.de" \
-v /srv/vaultwarden/data:/data \
-p 8080:80 \
--restart unless-stopped \
vaultwarden/server:latestKeePassXC verfolgt einen radikaleren Ansatz: Es gibt gar keinen Server. Der Tresor ist eine einzige verschlüsselte .kdbx-Datei auf Ihrer Festplatte. Die Synchronisierung über mehrere Geräte erledigen Sie selbst, etwa indem Sie die Datei in einer eigenen Nextcloud-Instanz oder einem verschlüsselten Ordner ablegen. Das ist maximale Kontrolle, verlangt aber Disziplin beim Backup.
Selbst-Hosting ist nicht für jeden. Sie übernehmen die Verantwortung für Updates, Backups und Erreichbarkeit. Geht der Server kaputt und fehlt ein Backup, ist der Tresor verloren. Für technisch versierte Nutzer und kleine Unternehmen mit eigener IT ist es jedoch der Goldstandard der Datensouveränität. Für alle anderen bleibt die verwaltete Cloud die pragmatischere Wahl.
Datenschutz und DSGVO: Schweiz, USA und EU im Vergleich
Wo ein Anbieter rechtlich sitzt, entscheidet darüber, welche Behörde im Ernstfall Zugriff verlangen kann. Für DACH-Nutzer ist das ein realer Faktor, nicht nur Prinzipienreiterei. Die sechs Kandidaten verteilen sich über mehrere Rechtsräume mit unterschiedlichen Datenschutz-Niveaus.
Proton Pass sitzt in der Schweiz, die als eines der strengsten Datenschutzländer der Welt gilt und zwar nicht zur EU gehört, aber einem von der EU als angemessen anerkannten Schutzniveau unterliegt. US-Behörden haben keinen direkten Zugriff. Bitwarden und Dashlane unterliegen US-Recht, was Mechanismen wie den CLOUD Act ins Spiel bringt. 1Password sitzt in Kanada, NordPass operiert unter Nord Security mit Strukturen in Litauen und Panama.
Wichtig ist die Einordnung: Dank Zero-Knowledge-Architektur kann selbst ein zur Herausgabe gezwungener Anbieter nur verschlüsselte Daten liefern, nicht Ihre Klartext-Passwörter. Der Sitz ist also kein K.-o.-Kriterium, sondern ein zusätzlicher Vertrauensfaktor. Für Behörden, Anwälte oder Journalisten im DACH-Raum kann er trotzdem den Ausschlag geben.
Alle sechs Anbieter bewerben DSGVO-Konformität, doch die Umsetzung unterscheidet sich. Wer auf Nummer sicher gehen will, prüft die Auftragsverarbeitungsvereinbarung (AVV) des Anbieters, relevant vor allem für Unternehmen. Die kompromissloseste DSGVO-Lösung bleibt das Selbst-Hosting per Vaultwarden oder KeePassXC, weil dann gar keine Daten an Dritte fließen.
Fünf reale Anwendungsfälle aus der Praxis
Theorie hilft wenig, wenn der Alltag anders aussieht. Hier fünf konkrete Szenarien, die zeigen, welcher Manager wann glänzt.
1. Die Familie mit gemischten Geräten. Eine vierköpfige Familie mit iPhones, einem Windows-Laptop und einem Android-Tablet braucht einfaches Teilen und Notfall-Zugriff. 1Password Family für 69 Euro im Jahr oder Bitwarden Family für 47,88 US-Dollar lösen das mit gemeinsamen Tresoren und kindersicherer Bedienung.
2. Der sparsame Student. Ein Student mit knappem Budget will jedes Konto absichern, ohne zu zahlen. Bitwarden Free deckt unbegrenzt viele Passwörter über alle Geräte ab. Wer technisch fit ist, nimmt KeePassXC und synchronisiert über die ohnehin vorhandene Cloud.
3. Die datenschutzbewusste Aktivistin. Eine Journalistin oder Aktivistin will, dass kein US-Konzern Zugriff hat. Proton Pass mit Schweizer Sitz und offenem Code passt ideal, alternativ KeePassXC ganz ohne Server. Hier zählt Jurisdiktion mehr als Komfort.
4. Das kleine Unternehmen mit eigener IT. Eine Agentur mit zehn Mitarbeitern und einem Admin will Daten im Haus behalten und Kosten sparen. Selbst gehostetes Bitwarden per Vaultwarden auf dem eigenen Server liefert Team-Funktionen ohne laufende Lizenzgebühr pro Kopf.
5. Der Komfort-Nutzer mit VPN-Bedarf. Jemand, der ohnehin einen VPN sucht und nur ein einziges Abo will, fährt mit Dashlane gut, weil VPN und Passwort-Manager gebündelt sind. Wer den VPN getrennt betrachtet, sollte dennoch unseren WireGuard-gegen-OpenVPN-Vergleich lesen, bevor er sich bindet.
Expertenmeinungen: Was die Tech-Community sagt
Die Debatte um Passwort-Manager wird in der Tech-Szene leidenschaftlich geführt. Drei prominente Stimmen stehen exemplarisch für die wichtigsten Lager, auch wenn sie selten ein einzelnes Produkt absolut empfehlen.
Fireship, bekannt für seine pointierten Entwickler-Videos, betont in seinen Beiträgen zur Web-Sicherheit immer wieder das größere Bild: Passkeys und phishing-resistente Anmeldung seien der eigentliche Fortschritt, und ein Passwort-Manager mit Passkey-Unterstützung sei das Werkzeug, das den Übergang ermöglicht. Sinngemäß lautet seine Position, dass die Wahl des Tools weniger zählt als die konsequente Nutzung einzigartiger Anmeldedaten.
ThePrimeagen, eine einflussreiche Stimme unter Entwicklern, steht stellvertretend für das Open-Source- und Selbst-Hosting-Lager. Seine grundsätzliche Haltung favorisiert Werkzeuge, die man prüfen und kontrollieren kann, was Lösungen wie Bitwarden oder selbst gehostete Setups in den Vordergrund rückt. Datensouveränität wiegt in dieser Sichtweise schwerer als der letzte Komfort-Schliff.
MKBHD (Marques Brownlee) repräsentiert die Perspektive des Mainstream-Konsumenten. Aus dieser Warte zählt vor allem, dass Sicherheitstechnik einfach genug ist, damit normale Menschen sie tatsächlich nutzen. Politur, nahtlose Geräte-Synchronisierung und eine reibungslose Einrichtung, wie sie 1Password oder Dashlane bieten, sind aus dieser Sicht keine Luxusmerkmale, sondern Voraussetzung für breite Akzeptanz.
Der gemeinsame Nenner dieser drei Positionen ist aufschlussreich: Keiner streitet ab, dass man einen Passwort-Manager braucht. Gestritten wird nur über das Wie. Genau das spiegelt unser Ergebnis wider, in dem mehrere sehr unterschiedliche Produkte fast gleichauf landen.
Migration: In fünf Schritten zum neuen Passwort-Manager
Der Wechsel klingt aufwändiger, als er ist. Alle sechs Manager bieten Import-Funktionen, die gängige Formate erkennen. So gelingt der Umzug ohne Datenverlust.
- Export aus dem alten System. Exportieren Sie Ihren bestehenden Tresor (oder die im Browser gespeicherten Passwörter) als CSV- oder JSON-Datei. Browser wie Chrome und Firefox bieten das in den Einstellungen unter Passwörter.
- Neuen Manager einrichten. Erstellen Sie ein Konto, wählen Sie ein starkes, einzigartiges Master-Passwort mit mindestens zwölf Zeichen und aktivieren Sie sofort die Zwei-Faktor-Authentifizierung.
- Import durchführen. Nutzen Sie die Import-Funktion des neuen Managers und wählen Sie das passende Quellformat. Bitwarden, 1Password, Proton Pass und die anderen erkennen die Exporte der jeweils anderen.
- Export-Datei sicher löschen. Die CSV-Datei enthält alle Passwörter im Klartext. Löschen Sie sie unwiderruflich, am besten mit einem Tool zum sicheren Überschreiben, nicht nur in den Papierkorb.
- KDF und Schwachstellen prüfen. Stellen Sie das KDF auf Argon2id, falls möglich, und nutzen Sie den integrierten Sicherheits-Check, um doppelte oder schwache Passwörter aufzuspüren und nach und nach zu ersetzen.
Der häufigste Fehler beim Umzug ist die vergessene Export-Datei auf dem Desktop. Sie ist eine komplette, unverschlüsselte Liste aller Zugänge. Behandeln Sie sie wie eine glühende Kohle und beseitigen Sie sie sofort nach erfolgreichem Import. Der zweithäufigste Fehler ist ein zu schwaches Master-Passwort. Es ist der einzige Schlüssel zum gesamten Tresor und sollte nirgendwo sonst verwendet werden.
Vor- und Nachteile auf einen Blick
Jeder Kandidat hat ein klares Profil. Diese Übersicht fasst die jeweils stärksten Argumente und den größten Kompromiss zusammen.
- Bitwarden. Pro: bestes Preis-Leistungs-Verhältnis, Open Source, Selbst-Hosting, unbegrenzte Gratis-Version. Contra: Standard-KDF ist PBKDF2 (umstellbar), Oberfläche weniger poliert als 1Password.
- 1Password. Pro: ausgereifteste Bedienung, Secret-Key-Architektur, exzellenter Support. Contra: nicht quelloffen, keine echte Gratis-Version, teuerster Einzeltarif.
- NordPass. Pro: moderne XChaCha20-Verschlüsselung, günstiger Einstieg, schlanke Bedienung. Contra: proprietär, jüngere Marke, Gratis-Version eingeschränkt.
- Proton Pass. Pro: Schweizer Datenschutz, Open Source, Argon2, gute Gratis-Version. Contra: jüngstes Produkt im Feld, kleineres Funktionsökosystem.
- Dashlane. Pro: VPN inklusive, gute Bedienung, solide Funktionen. Contra: proprietär, Gratis-Version auf ein Gerät beschränkt, vergleichsweise teuer.
- KeePassXC. Pro: vollständig kostenlos, kein Server, maximale Kontrolle, Open Source. Contra: manuelle Synchronisierung, steilere Lernkurve, weniger komfortabel.
Empfehlungen nach Anwendungsfall
Es gibt keinen einzelnen Sieger für alle. Wer den passenden Manager sucht, sollte vom eigenen Bedarf ausgehen, nicht vom lautesten Marketing. Diese sechs Empfehlungen ordnen jeden Kandidaten seinem idealen Nutzer zu.
- Bester Allrounder und Preis-Leistungs-Sieger: Bitwarden. Für die überwiegende Mehrheit der Nutzer die richtige Standardwahl.
- Beste Premium-Erfahrung: 1Password. Wenn Politur, Support und das Secret-Key-Modell den Aufpreis wert sind.
- Beste Wahl für Datenschutz und EU-Nähe: Proton Pass. Schweizer Sitz, offener Code, Argon2.
- Beste kostenlose Lösung ohne Server: KeePassXC. Für Puristen, die alles selbst kontrollieren wollen.
- Bester günstiger Cloud-Einstieg: NordPass. Moderne Verschlüsselung zum kleinen Preis.
- Beste Komplettlösung mit VPN: Dashlane. Wenn ein einziges Abo Passwörter und VPN abdecken soll.
Fazit: Das klare Urteil
Nach allen Daten lautet das Urteil eindeutig und doch differenziert. Bitwarden ist der Gesamtsieger für die meisten Menschen im DACH-Raum. Es kombiniert offenen Code, eine unbegrenzte Gratis-Version, Selbst-Hosting und einen Premium-Tarif von nur 19,80 US-Dollar im Jahr zu einem Paket, das kein anderer schlägt. Mit dem Wechsel auf Argon2id in den Einstellungen ist es zudem technisch auf der Höhe.
Wer maximale Politur und Premium-Support sucht und bereit ist, dafür rund 44 Euro im Jahr zu zahlen, fährt mit 1Password hervorragend, dessen Secret-Key-Architektur ein echtes Sicherheitsplus darstellt. Für Datenschutz-Maximalisten ist Proton Pass mit Schweizer Sitz und offenem Code die erste Wahl, und KeePassXC bleibt der Goldstandard für alle, die ihre Daten ohne jeden Server kontrollieren wollen.
Die wichtigste Erkenntnis steht über jedem Produkt: Der beste Passwort-Manager ist der, den Sie tatsächlich nutzen. Ein 12-stelliges Master-Passwort, aktivierte Zwei-Faktor-Authentifizierung und einzigartige Passwörter für jeden Dienst senken Ihr Risiko um Größenordnungen, egal für welchen der sechs Kandidaten Sie sich entscheiden. Fangen Sie heute an, nicht erst nach dem nächsten Datenleck.
Verwandte Beiträge
- Passwortsicherheit: starke Passwörter, Hashing und 2FA
- YubiKey vs Nitrokey vs Titan: 3 Keys ab 35 Euro
- Signal vs WhatsApp vs Threema: 3 Mrd. Nutzer
- Datenlecks: Wie sie entstehen und wie Sie sich schützen
- Phishing-Angriffe erkennen und richtig reagieren
- Online-Sicherheit verständlich erklärt
Fünf typische Fehler bei der Passwort-Verwaltung
Der beste Manager nützt nichts, wenn die Grundlagen wackeln. Diese fünf Fehler tauchen in der Praxis immer wieder auf und untergraben den Schutz, für den Sie eigentlich zahlen.
Erstens: ein schwaches Master-Passwort. Es ist der einzige Schlüssel zum gesamten Tresor. Ein kurzes oder anderswo verwendetes Master-Passwort macht selbst die beste Verschlüsselung wertlos. Nutzen Sie mindestens zwölf Zeichen oder eine lange Passphrase aus mehreren zufälligen Wörtern, die Sie nirgendwo sonst einsetzen.
Zweitens: fehlende Zwei-Faktor-Authentifizierung. Ohne 2FA reicht ein gestohlenes Master-Passwort, um den ganzen Tresor zu öffnen. Aktivieren Sie 2FA sofort nach der Einrichtung, idealerweise per Authenticator-App oder Hardware-Schlüssel statt per SMS, die sich abfangen lässt.
Drittens: die Export-Datei vergessen. Beim Umzug entsteht eine CSV-Datei mit allen Passwörtern im Klartext. Bleibt sie auf dem Desktop liegen, ist sie ein offenes Scheunentor. Löschen Sie sie sicher, sobald der Import abgeschlossen ist.
Viertens: alte, schwache Passwörter behalten. Ein Manager importiert auch Ihre alten, wiederverwendeten Passwörter. Nutzen Sie den integrierten Sicherheits-Check, um Dubletten und schwache Einträge aufzuspüren, und ersetzen Sie sie nach und nach durch generierte Zufallspasswörter.
Fünftens: kein Backup und kein Notfallplan. Was passiert mit Ihren Konten, wenn Ihnen etwas zustößt? Hinterlegen Sie Wiederherstellungscodes oder ein Notfall-Kit an einem sicheren Ort und prüfen Sie, ob Ihr Manager einen Notfall-Zugriff für Vertrauenspersonen bietet. Beim Selbst-Hosting ist ein verschlüsseltes Backup des Tresors Pflicht.
Häufige Fragen zu Passwort-Managern
Welcher Passwort-Manager ist 2026 der beste?
Für die meisten Nutzer ist Bitwarden die beste Wahl, weil es Open Source, eine unbegrenzte Gratis-Version und einen sehr günstigen Premium-Tarif (19,80 US-Dollar im Jahr) verbindet. 1Password ist die beste Premium-Option, Proton Pass die datenschutzfreundlichste und KeePassXC die beste serverlose Lösung.
Sind kostenlose Passwort-Manager sicher?
Ja. Bitwarden Free, Proton Pass Free und KeePassXC nutzen dieselbe starke Verschlüsselung wie ihre Bezahlversionen. Der Unterschied liegt im Funktionsumfang, etwa integriertem TOTP oder Notfall-Zugriff, nicht in der grundlegenden Sicherheit des Tresors.
Was passiert, wenn ich mein Master-Passwort vergesse?
Wegen der Zero-Knowledge-Architektur kann der Anbieter Ihr Master-Passwort nicht zurücksetzen, sonst wäre der ganze Sicherheitsansatz wertlos. Sie verlieren in der Regel den Zugriff auf den Tresor. Manche Dienste bieten Notfall-Kits oder Wiederherstellungscodes an, die Sie sicher aufbewahren sollten.
Ist ein Passwort-Manager im Browser ausreichend?
Browser-Passwortspeicher sind besser als nichts, bieten aber meist schwächere Verschlüsselung, kein plattformübergreifendes Teilen und weniger Schutzfunktionen. Ein dedizierter Manager bietet stärkere KDFs, Passkey-Verwaltung, 2FA-Generatoren und Sicherheits-Audits des eigenen Tresors.
Was ist der Unterschied zwischen AES-256 und XChaCha20?
Beide sind sichere, moderne Verschlüsselungsverfahren. AES-256 ist der etablierte Industriestandard mit Hardware-Beschleunigung. XChaCha20, von NordPass genutzt, ist eine Strom-Chiffre, die auch ohne spezielle Hardware schnell arbeitet. Für die Sicherheit Ihres Tresors macht die Wahl praktisch keinen Unterschied.
Sollte ich Passkeys oder Passwörter im Manager speichern?
Beides. 2026 unterstützen alle großen Manager Passkeys und synchronisieren sie geräteübergreifend. Passkeys sind phishing-resistent und damit sicherer, doch nicht jeder Dienst unterstützt sie schon. Ein guter Manager verwaltet beide Anmeldearten parallel im selben Tresor.
Lohnt sich Selbst-Hosting für Privatnutzer?
Nur, wenn Sie technisch versiert sind und Verantwortung für Backups und Updates übernehmen wollen. Vaultwarden auf einem Raspberry Pi oder KeePassXC mit eigener Cloud bieten maximale Datensouveränität. Für die meisten Privatnutzer ist die verwaltete Cloud-Version bequemer und ähnlich sicher.
Welcher Passwort-Manager ist am besten für Unternehmen im DACH-Raum?
Für Unternehmen mit hohem Datenschutzanspruch sind selbst gehostetes Bitwarden oder Proton Pass mit Schweizer Sitz starke Optionen. Wer Komfort und erstklassigen Support priorisiert, greift zu 1Password Business. Entscheidend sind eine Auftragsverarbeitungsvereinbarung, zentrale Verwaltung und nachweisbare unabhängige Audits.
