Ein eigener Passwort-Manager auf eigener Hardware, voll kompatibel mit allen Bitwarden-Apps, und das mit rund 15 MB Arbeitsspeicher: Genau das liefert Vaultwarden. Das in Rust geschriebene Projekt bildet die Bitwarden-Server-API nach und l\u00e4uft selbst auf einem Raspberry Pi oder einem alten NAS fl\u00fcssig. Der offizielle Bitwarden-Server braucht daf\u00fcr typischerweise 1 GB RAM und mehr, weil er auf einem Java-Stack mit mehreren Containern aufsetzt.<\/p>\n\n\n\n
Diese Anleitung f\u00fchrt Sie in 12 Schritten durch eine produktionsreife Installation: Docker, docker-compose.yml<\/code>, ein Argon2-gehashter Admin-Token, ein Reverse Proxy mit HTTPS, automatische Backups und H\u00e4rtung mit Fail2ban. Alle Befehle sind getestet, alle Versionsangaben stammen aus offiziellen Quellen. Stand: 15. Juni 2026, Vaultwarden 1.36.0.<\/p>\n\n\n\n
Was ist Vaultwarden und warum selbst hosten?<\/h2>\n\n\n\n
Vaultwarden (fr\u00fcher unter dem Namen Bitwarden_RS bekannt) ist eine inoffizielle, quelloffene Neuimplementierung der Bitwarden-Server-API in Rust. Das Projekt von Daniel Garc\u00eda steht unter der AGPL-3.0-Lizenz und z\u00e4hlt im Juni 2026 \u00fcber 62.000 Sterne auf GitHub, bei rund 2.900 Forks. Damit geh\u00f6rt es zu den popul\u00e4rsten Self-Hosting-Projekten \u00fcberhaupt.<\/p>\n\n\n\n
Der entscheidende Punkt: Vaultwarden spricht dasselbe Protokoll wie die offiziellen Bitwarden-Clients. Sie nutzen also die regul\u00e4ren Apps f\u00fcr Desktop, Browser-Erweiterung, iOS und Android sowie die Web-Oberfl\u00e4che, verbinden sie aber mit Ihrem eigenen Server statt mit der Bitwarden-Cloud. Funktionen wie Tresor-Freigaben, TOTP-Generierung, Passkeys, Organisationen und Notfallzugriff funktionieren weiterhin.<\/p>\n\n\n\n
Warum \u00fcberhaupt selbst hosten? Drei Gr\u00fcnde stechen heraus. Erstens die Datensouver\u00e4nit\u00e4t: Ihre verschl\u00fcsselten Tresore liegen auf Ihrer Infrastruktur, nicht auf US-Servern. F\u00fcr Unternehmen und Beh\u00f6rden im DACH-Raum ist das ein DSGVO-Argument von Gewicht. Zweitens die Kosten: Premium-Funktionen, die bei Bitwarden Geld kosten (etwa der integrierte TOTP-Generator oder Organisationen mit mehreren Nutzern), sind bei Vaultwarden ohne Abo verf\u00fcgbar. Drittens die Effizienz: Der Ressourcenhunger ist minimal.<\/p>\n\n\n\n
Ein wichtiger Hinweis zur Verantwortung: Mit dem eigenen Server \u00fcbernehmen Sie auch das Risiko. Updates, Backups, TLS-Zertifikate und Erreichbarkeit liegen jetzt bei Ihnen. Wer eine zentrale Datei verliert oder den Server falsch absichert, gef\u00e4hrdet alle gespeicherten Zugangsdaten. Diese Anleitung deckt deshalb nicht nur die Installation ab, sondern auch Backup und H\u00e4rtung.<\/p>\n\n\n\n
Vaultwarden vs. offizieller Bitwarden-Server<\/h2>\n\n\n\n
Beide Server lassen sich selbst betreiben, unterscheiden sich aber technisch deutlich. Die offizielle Bitwarden-Self-Hosting-Variante besteht aus mehreren Docker-Containern (API, Identity, Web-Vault, SQL Server, Nginx) und ist f\u00fcr gr\u00f6\u00dfere Organisationen mit kommerziellem Support gedacht. Vaultwarden packt alles in eine einzige Rust-Bin\u00e4rdatei und ist f\u00fcr kleine bis mittlere Setups ideal.<\/p>\n\n\n\n
Der Unterschied von rund Faktor 100 beim Arbeitsspeicher ist kein Tippfehler. Genau deshalb l\u00e4uft Vaultwarden problemlos auf einem Raspberry Pi 4, einem Synology- oder QNAP-NAS oder einem g\u00fcnstigen VPS mit 1 GB RAM. Wer dagegen mehrere hundert Nutzer mit kommerziellem SLA verwalten muss, f\u00e4hrt mit der offiziellen Variante oder der Bitwarden-Cloud besser.<\/p>\n\n\n\n
Ein Detail zur Lizenz: Vaultwarden b\u00fcndelt das offizielle Web-Vault, das unter einer eigenen Lizenz steht. Der private Eigenbetrieb ist davon nicht betroffen. Eine kommerzielle Weiterverbreitung sollte die Lizenzbedingungen genau pr\u00fcfen.<\/p>\n\n\n\n
Voraussetzungen und Versionen<\/h2>\n\n\n\n
Bevor Sie starten, sollten diese Komponenten bereitstehen. Die Versionsangaben sind getestete Mindestst\u00e4nde, neuere Versionen funktionieren ebenfalls.<\/p>\n\n\n\n
Ein Linux-Server (empfohlen: Debian 12, Ubuntu 24.04 LTS oder vergleichbar) mit Root- oder sudo-Zugriff.<\/li>
Docker Engine 27 oder neuer und das Plugin Docker Compose v2 (Befehl docker compose<\/code>, nicht das alte docker-compose<\/code>).<\/li>
Eine eigene (Sub-)Domain, etwa vault.example.de<\/code>, mit einem A- bzw. AAAA-Record, der auf die \u00f6ffentliche IP des Servers zeigt.<\/li>
Offene Ports 80 und 443 in der Firewall, da Let’s Encrypt f\u00fcr die Zertifikatsausstellung Port 80 erreichen muss.<\/li>
Ein Reverse Proxy. Diese Anleitung nutzt Nginx, Caddy oder Traefik funktionieren analog.<\/li>
Vaultwarden 1.36.0 (Docker-Image vaultwarden\/server<\/code>, ver\u00f6ffentlicht am 3. Mai 2026).<\/li>
Mindestens 512 MB RAM und 1 GB freier Speicher, f\u00fcr Backups etwas mehr.<\/li><\/ul>\n\n\n\n
Warum eine echte Domain und nicht nur eine IP? Die Bitwarden-Clients setzen auf die WebCrypto-API des Browsers (window.crypto.subtle<\/code>). Diese ist nur in einem sicheren Kontext (HTTPS) verf\u00fcgbar. Ohne g\u00fcltiges TLS-Zertifikat scheitert die Ver- und Entschl\u00fcsselung im Browser, und der Tresor l\u00e4dt nicht. Eine Domain brauchen Sie deshalb zwingend, ein selbstsigniertes Zertifikat f\u00fchrt auf Mobilger\u00e4ten regelm\u00e4\u00dfig zu Problemen.<\/p>\n\n\n\n
Pr\u00fcfen Sie zuerst, ob Docker korrekt installiert ist:<\/p>\n\n\n\n
$ docker --version\nDocker version 27.5.1, build 9f9e405\n\n$ docker compose version\nDocker Compose version v2.32.4<\/code><\/pre>\n\n\n\n
Schritt 1 bis 3: Server vorbereiten und Docker installieren<\/h2>\n\n\n\n
Schritt 1: System aktualisieren<\/h3>\n\n\n\n
Bringen Sie das Betriebssystem zuerst auf den aktuellen Stand. Auf Debian oder Ubuntu:<\/p>\n\n\n\n