{"id":237,"date":"2026-06-19T08:00:00","date_gmt":"2026-06-19T08:00:00","guid":{"rendered":"https:\/\/shattered.io\/de\/2026\/06\/19\/keepassxc-vs-bitwarden\/"},"modified":"2026-06-19T08:00:00","modified_gmt":"2026-06-19T08:00:00","slug":"keepassxc-vs-bitwarden","status":"publish","type":"post","link":"https:\/\/shattered.io\/de\/2026\/06\/19\/keepassxc-vs-bitwarden\/","title":{"rendered":"KeePassXC vs Bitwarden: 0 \u20ac Lokal vs Cloud [2026]"},"content":{"rendered":"\n

Jeder sechste Deutsche nutzt dasselbe Passwort f\u00fcr mehrere Dienste. Nach dem LastPass-Datenleck 2022, bei dem verschl\u00fcsselte Tresore von Millionen Nutzern abgegriffen wurden, stieg die Nachfrage nach sicheren Alternativen sprunghaft an. Zwei Tools dominierten seither die Diskussion in der deutschen IT-Community: KeePassXC<\/strong> und Bitwarden<\/strong>. Beide sind Open-Source, beide sind kostenlos nutzbar, und doch trennen sie grundlegend verschiedene Philosophien: lokal kontrollierter Offline-Tresor versus verschl\u00fcsselter Cloud-Sync mit optionalem Selbsthosting.<\/p>\n\n\n\n

Dieser Vergleich beantwortet, welches Tool f\u00fcr welche Anforderungen die bessere Wahl ist. Grundlage sind technische Spezifikationen, aktuelle Sicherheitsaudits und Nutzungsszenarien, die im deutschen DACH-Raum relevant sind, inklusive DSGVO-Konformit\u00e4t und Datensouver\u00e4nit\u00e4t. Als prim\u00e4re Suchbegriffe in Deutschland z\u00e4hlen KeePassXC<\/strong> (22.200 monatliche Suchen, geringes Wettbewerb) und Bitwarden<\/strong> (60.500 monatliche Suchen) zu den meistgesuchten Open-Source-Sicherheitstools \u00fcberhaupt.<\/p>\n\n\n\n

KeePassXC vs Bitwarden auf einen Blick<\/h2>\n\n\n\n

KeePassXC speichert Passw\u00f6rter in einer verschl\u00fcsselten Datei direkt auf dem eigenen Ger\u00e4t. Kein Account, kein Server, keine \u00dcbertragung. Bitwarden hingegen synchronisiert den verschl\u00fcsselten Tresor automatisch \u00fcber die eigene Cloud, mit optionalem Self-Hosting. Beide Tools nutzen AES-256-Verschl\u00fcsselung und sind vollst\u00e4ndig quelloffen. Der zentrale Unterschied liegt nicht in der Verschl\u00fcsselungsst\u00e4rke, sondern im Bedrohungsmodell: Wer Cloud-Angriffe als prim\u00e4res Risiko sieht, w\u00e4hlt KeePassXC. Wer Ger\u00e4teverlust und mangelnde Synchronisation f\u00fcrchtet, w\u00e4hlt Bitwarden.<\/p>\n\n\n\n

KeePassXC hat im November 2025 eine staatliche Sicherheitszertifizierung der franz\u00f6sischen Beh\u00f6rde ANSSI erhalten (Bericht Nr. ANSSI-CSPN-2025\/16). Bitwarden verf\u00fcgt \u00fcber SOC 2 Type II, ISO 27001 und ein \u00f6ffentliches Bug-Bounty-Programm. In der Verschl\u00fcsselungsst\u00e4rke und Kryptographiequalit\u00e4t liegen beide Tools auf demselben Niveau. Die Entscheidung h\u00e4ngt von Synchronisationsbedarf, Mobilnutzung und Vertrauen in Cloud-Infrastruktur ab.<\/p>\n\n\n\n

Was ist KeePassXC?<\/h2>\n\n\n\n

KeePassXC ist ein Community-Fork des urspr\u00fcnglichen KeePass-Projekts, das 2016 als plattform\u00fcbergreifende Alternative unter dem K\u00fcrzel “KeePass Cross-Platform Community Edition” gestartet wurde. Das Projekt ist in C++ geschrieben, unter der GPLv3-Lizenz ver\u00f6ffentlicht und wird ausschlie\u00dflich durch ehrenamtliche Entwickler betrieben, ohne kommerzielle Hintergedanken oder Venture-Capital-Backing.<\/p>\n\n\n\n

Die Software speichert alle Zugangsdaten in einer KDBX-Datenbankdatei. Diese Datei kann der Nutzer selbst entscheiden, wo sie liegt: lokal auf der Festplatte, auf einem USB-Stick, in der eigenen Nextcloud-Instanz oder einem anderen Speicherort seiner Wahl. KeePassXC \u00fcbertr\u00e4gt dabei keine Daten an externe Server. Das Programm selbst hat keine Hintergrundnetzwerkverbindung. Der einzige Netzwerkkontakt erfolgt optional \u00fcber die Browser-Extension KeePassXC-Browser, die lokal \u00fcber eine Native-Messaging-Schnittstelle kommuniziert.<\/p>\n\n\n\n

Im November 2025 erhielt KeePassXC die ANSSI CSPN-Zertifizierung<\/strong> der franz\u00f6sischen Nationalen Agentur f\u00fcr Cybersicherheit (Bericht Nr. ANSSI-CSPN-2025\/16, erteilt am 17. November 2025, g\u00fcltig f\u00fcr drei Jahre). Diese Zertifizierung belegt die Konformit\u00e4t mit strengen Sicherheitsanforderungen staatlicher Stellen. Die ANSSI ist das franz\u00f6sische Pendant zum deutschen BSI. KeePassXC geh\u00f6rt damit zu den wenigen Open-Source-Passwortmanagern mit offizieller Regierungszertifizierung in Europa.<\/p>\n\n\n\n

Auf GitHub z\u00e4hlt das Projekt \u00fcber 25.000 Sterne<\/strong>. Die aktuell stabile Version ist 2.7.11<\/strong>, ver\u00f6ffentlicht am 23. November 2025. Das Changelog f\u00fcr 2.7.11 enth\u00e4lt einen integrierten Anhangbetrachter f\u00fcr Bilder, HTML und Markdown, einen verbesserten Datenbank-Merge-Dialog und die Option, f\u00fcr neue Eintr\u00e4ge automatisch ein Passwort zu generieren.<\/p>\n\n\n\n

Besondere Funktionen von KeePassXC<\/h3>\n\n\n\n

Neben der Offline-Natur bietet KeePassXC Funktionen, die in Cloud-Passwortmanagern selten zu finden sind. Die integrierte SSH-Agent-Integration<\/strong> erm\u00f6glicht es, SSH-Schl\u00fcssel direkt aus dem Tresor zu verwalten und automatisch in den SSH-Agent zu laden. F\u00fcr Entwickler und Serveradministratoren ist das ein erheblicher Komfortgewinn gegen\u00fcber dem manuellen Laden von SSH-Keys.<\/p>\n\n\n\n

Seit Version 2.7.7 (M\u00e4rz 2024) unterst\u00fctzt KeePassXC \u00fcber die Browser-Extension auch Passkeys<\/strong>. Nutzer k\u00f6nnen WebAuthn\/FIDO2-Zugangsdaten direkt im lokalen Tresor speichern und \u00fcber KeePassXC-Browser in kompatiblen Webseiten einl\u00f6sen. Version 2.7.9 erweiterte das um die einfache Entfernbarkeit von Passkeys, Version 2.7.10 verbesserte die Passkey-Unterst\u00fctzung beim Bitwarden-Import.<\/p>\n\n\n\n

Das KDBX-4.1-Format<\/strong>, eingef\u00fchrt mit Version 2.7.7, unterst\u00fctzt zus\u00e4tzliche Metadaten und verbesserte Integrit\u00e4tspr\u00fcfung gegen\u00fcber dem \u00e4lteren KDBX-3-Format. Wer mit KeePass-kompatiblen Apps auf mobilen Ger\u00e4ten arbeitet, sollte pr\u00fcfen, ob die jeweilige App KDBX 4.x unterst\u00fctzt, da \u00e4ltere Clients m\u00f6glicherweise nur KDBX 3 lesen k\u00f6nnen.<\/p>\n\n\n\n

Version 2.7.10 (M\u00e4rz 2025) f\u00fcgte einen Proton Pass Importer<\/strong> hinzu, was den Wechsel vom wachsenden Proton-\u00d6kosystem erleichtert. Bitwarden-Import wurde ebenfalls verbessert und unterst\u00fctzt nun verschl\u00fcsselte Bitwarden-Exporte.<\/p>\n\n\n\n

Was ist Bitwarden?<\/h2>\n\n\n\n

Bitwarden startete 2016 und hat sich als de-facto-Standard unter Open-Source-Passwortmanagern mit Cloud-Synchronisation etabliert. Das Unternehmen hat seinen Sitz in Santa Barbara, Kalifornien, betreibt aber seit 2022 auch ein EU-Rechenzentrum<\/strong> f\u00fcr europ\u00e4ische Nutzer mit hohen Datenschutzanforderungen. Wer bei Bitwarden in den Einstellungen die EU-Region ausw\u00e4hlt, hat seine Daten ausschlie\u00dflich auf europ\u00e4ischen Servern gespeichert.<\/p>\n\n\n\n

Mit \u00fcber 15 Millionen Nutzern<\/strong> weltweit ist Bitwarden der meistgenutzte Open-Source-Passwortmanager. Nach dem LastPass-Datenleck Ende 2022, bei dem verschl\u00fcsselte Tresore gestohlen wurden, verzeichnete Bitwarden einen massiven Zustrom neuer Nutzer. Die Kombination aus kostenlosem Einstieg, transparentem Quellcode und einfacher Nutzung machte Bitwarden zur ersten Wahl f\u00fcr Wechselwillige.<\/p>\n\n\n\n

Die Client-Software (Browser-Extensions, Desktop-Apps, Mobile-Apps) steht unter der GPL-3.0-Lizenz auf GitHub. Der Server-Code ist unter AGPL-3.0 ver\u00f6ffentlicht. Bitwarden hat mehrere unabh\u00e4ngige Sicherheitsaudits durch Cure53<\/strong> und Trail of Bits<\/strong> durchf\u00fchren lassen und ver\u00f6ffentlicht Zusammenfassungen auf seiner Sicherheitsseite.<\/p>\n\n\n\n

Bitwarden verf\u00fcgt \u00fcber eine SOC 2 Type II<\/strong>-Attestierung, die von unabh\u00e4ngigen Pr\u00fcfern die Einhaltung strikter Sicherheitskontrollen \u00fcber einen l\u00e4ngeren Beobachtungszeitraum best\u00e4tigt. Zus\u00e4tzlich ist Bitwarden nach ISO 27001 zertifiziert und im CSA STAR-Register gelistet, was f\u00fcr Enterprise-Einsatz in regulierten Branchen relevant ist. F\u00fcr Einzelnutzer und KMUs bedeutet das: Bitwarden wird regelm\u00e4\u00dfig von unabh\u00e4ngigen Sicherheitsfirmen gepr\u00fcft und die Ergebnisse sind \u00f6ffentlich einsehbar.<\/p>\n\n\n\n

Vaultwarden: Die leichtgewichtige Self-Hosting-Alternative<\/h3>\n\n\n\n

F\u00fcr Nutzer, die Bitwarden selbst hosten m\u00f6chten, aber den offiziellen Bitwarden-Server als zu ressourcenintensiv empfinden, gibt es Vaultwarden<\/strong>. Das Projekt, fr\u00fcher unter dem Namen bitwarden_rs bekannt, ist eine inoffizielle Reimplementierung der Bitwarden-Server-API in Rust. Mit minimalem Ressourcenverbrauch von unter 10 MB RAM im Leerlauf l\u00e4uft Vaultwarden problemlos auf einem Raspberry Pi oder einem g\u00fcnstigen VPS.<\/p>\n\n\n\n

Vaultwarden ist auf GitHub eines der meistgeforkten Self-Hosting-Projekte und zeigt, wie stark das Bed\u00fcrfnis nach datensouver\u00e4ner Passwortmanager-Nutzung im deutschsprachigen Raum und dar\u00fcber hinaus ist. Alle offiziellen Bitwarden-Clients (Browser-Extension, Mobile-App, Desktop-App) funktionieren nahtlos mit einem Vaultwarden-Server. Vaultwarden ist kein offizielles Bitwarden-Produkt und nicht von Bitwarden Inc. unterst\u00fctzt. Wer Vaultwarden betreibt, tr\u00e4gt selbst die Verantwortung f\u00fcr Updates und Sicherheit.<\/p>\n\n\n\n

Spezifikationsvergleich: KeePassXC vs Bitwarden<\/h2>\n\n\n\n
Merkmal<\/th>KeePassXC<\/th>Bitwarden<\/th><\/tr><\/thead>
Preis (Basis)<\/strong><\/td>0 \u20ac (vollst\u00e4ndig kostenlos)<\/td>0 \u20ac (kostenlos mit Einschr\u00e4nkungen)<\/td><\/tr>
Preis (Premium)<\/strong><\/td>Nicht vorhanden<\/td>19,80 $\/Jahr (~18,50 \u20ac\/Jahr)<\/td><\/tr>
Verschl\u00fcsselung<\/strong><\/td>AES-256-CBC, ChaCha20 oder Twofish (w\u00e4hlbar)<\/td>AES-256-CBC (standardm\u00e4\u00dfig)<\/td><\/tr>
Schl\u00fcsselableitung (KDF)<\/strong><\/td>Argon2id (Standard) oder AES-KDF<\/td>PBKDF2-SHA256 (600.000 Iter.) oder Argon2id<\/td><\/tr>
Datenbankformat<\/strong><\/td>KDBX 4.1 (offener Standard)<\/td>Propriet\u00e4res verschl\u00fcsseltes Vault-Format<\/td><\/tr>
Synchronisation<\/strong><\/td>Manuell (Syncthing, Nextcloud, WebDAV)<\/td>Automatisch \u00fcber Cloud (EU-Region w\u00e4hlbar)<\/td><\/tr>
Plattformen<\/strong><\/td>Windows, macOS, Linux<\/td>Windows, macOS, Linux, iOS, Android, Web<\/td><\/tr>
Mobile App<\/strong><\/td>Drittanbieter: KeePassium (iOS), Keepass2Android<\/td>Offizielle Apps f\u00fcr iOS und Android<\/td><\/tr>
Browser-Extension<\/strong><\/td>KeePassXC-Browser (Chrome, Firefox, Edge, Brave, Vivaldi)<\/td>Offiziell f\u00fcr alle g\u00e4ngigen Browser<\/td><\/tr>
2FA-Support<\/strong><\/td>TOTP-Codes speichern und generieren<\/td>TOTP, FIDO2\/WebAuthn (Hardware-Schl\u00fcssel)<\/td><\/tr>
Passkey-Unterst\u00fctzung<\/strong><\/td>Ja, seit Version 2.7.7 (M\u00e4rz 2024)<\/td>Ja, seit Ende 2023<\/td><\/tr>
SSH-Agent-Integration<\/strong><\/td>Ja (eingebaut)<\/td>Nein<\/td><\/tr>
Selbsthosting<\/strong><\/td>Nicht erforderlich (Datei lokal)<\/td>Offizieller Server oder Vaultwarden<\/td><\/tr>
Sicherheitszertifizierung<\/strong><\/td>ANSSI CSPN 2025 (Nr. ANSSI-CSPN-2025\/16)<\/td>SOC 2 Type II, ISO 27001, CSA STAR<\/td><\/tr>
GitHub-Sterne<\/strong><\/td>25.000+<\/td>17.000+ (Clients-Repo)<\/td><\/tr>
DSGVO-Datenhaltung<\/strong><\/td>Vollst\u00e4ndig lokal, keine externe \u00dcbertragung<\/td>EU-Rechenzentrum w\u00e4hlbar (seit 2022)<\/td><\/tr>
Dateianh\u00e4nge<\/strong><\/td>Ja (unbegrenzt, lokal)<\/td>1 GB Speicher in Premium<\/td><\/tr>
Teamfunktionen<\/strong><\/td>Nein (Einzelnutzer-Tool)<\/td>Ja (ab Teams-Plan, 4 $\/Nutzer\/Monat)<\/td><\/tr>
Open Source<\/strong><\/td>Ja (GPLv3)<\/td>Ja (GPL-3.0 Clients, AGPL-3.0 Server)<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

Technische Sicherheitsarchitektur im Detail<\/h2>\n\n\n\n

Die Sicherheit beider Tools basiert auf starker Kryptographie, unterscheidet sich aber erheblich in der Angriffsfl\u00e4che. Wer das Risikoprofil verstehen will, muss die Architektur kennen.<\/p>\n\n\n\n

KeePassXC: Offline-First-Architektur<\/h3>\n\n\n\n

KeePassXC verschl\u00fcsselt die KDBX-Datenbankdatei mit einem der drei w\u00e4hlbaren Algorithmen: AES-256-CBC<\/strong> (Standard und empfohlen), ChaCha20<\/strong> oder Twofish<\/strong>. F\u00fcr die Schl\u00fcsselableitung aus dem Master-Passwort setzt KeePassXC standardm\u00e4\u00dfig auf Argon2id<\/strong>, dem Gewinner des Password Hashing Competition 2015. Argon2id kombiniert Memory-Hardness mit Side-Channel-Resistenz und ist resistenter gegen GPU-basierte Brute-Force-Angriffe als \u00e4ltere Algorithmen wie PBKDF2.<\/p>\n\n\n\n

Der Schutz liegt vollst\u00e4ndig beim Nutzer. Wer die KDBX-Datei auf einem \u00f6ffentlichen Cloud-Dienst ohne Ende-zu-Ende-Verschl\u00fcsselung speichert, exponiert verschl\u00fcsselte Bytes, gegen die ein Angreifer offline einen Brute-Force-Angriff gegen das Master-Passwort starten kann. Deshalb empfiehlt sich die Kombination aus starkem Master-Passwort (mindestens 20 Zeichen, Passphrase bevorzugt) und einer zus\u00e4tzlichen Schl\u00fcsseldatei (Key File), die physisch getrennt aufbewahrt wird.<\/p>\n\n\n\n

Die optionale Hardware-Key-Integration (YubiKey, FIDO2) bietet eine dritte Schutzschicht. Selbst wenn Passwort und Schl\u00fcsseldatei kompromittiert werden, bleibt der Tresor ohne den physischen Hardware-Schl\u00fcssel gesperrt. Diese Drei-Faktor-Authentifizierung f\u00fcr die Datenbank ist in kommerziellen Passwortmanagern nur selten so direkt umsetzbar.<\/p>\n\n\n\n

KeePassXC hat keine Hintergrundnetzwerkkommunikation<\/strong>. Es gibt keinen Server, der angegriffen werden k\u00f6nnte, keine API-Schnittstelle, keine Authentifizierungstoken in der Cloud. Die gesamte Sicherheit reduziert sich auf: Wie stark ist das Master-Passwort, und wo liegt die Datei? Das ist eine St\u00e4rke und eine Schw\u00e4che zugleich.<\/p>\n\n\n\n

Bitwarden: Zero-Knowledge-Cloud-Architektur<\/h3>\n\n\n\n

Bitwarden verwendet ebenfalls AES-256-CBC<\/strong>, aber in einer Zero-Knowledge-Cloud-Architektur: Der Schl\u00fcssel wird clientseitig aus dem Master-Passwort abgeleitet. Der Server sieht nur verschl\u00fcsselte Bl\u00f6cke und kann deren Inhalt technisch nicht entschl\u00fcsseln. Bitwarden als Unternehmen kann keinen Zugriff auf Tresorinhalte erlangen, selbst auf gerichtliche Anfrage hin nicht.<\/p>\n\n\n\n

Seit 2023 unterst\u00fctzt Bitwarden Argon2id als Alternative zu PBKDF2-SHA256<\/strong>. PBKDF2-SHA256 ist auf 600.000 Iterationen eingestellt, was auf moderner Hardware ausreichend ist, aber GPU-basierten Angriffen weniger widersteht als Argon2id. Nutzer k\u00f6nnen in den Kontoeinstellungen manuell zu Argon2id wechseln. Das ist f\u00fcr sicherheitsbewusste Nutzer ausdr\u00fccklich empfohlen.<\/p>\n\n\n\n

# KeePassXC: Datenbankdetails pr\u00fcfen (zeigt Cipher und KDF)\nkeepassxc-cli db-info Meine-Datenbank.kdbx\n\n# Bitwarden KDF auf Argon2id umstellen (im Web-Vault):\n# Einstellungen > Sicherheit > Schl\u00fcsselableitungsalgorithmus\n# Empfehlung: Argon2id, 64 MB Speicher, 3 Iterationen, 4 Parallelit\u00e4t\n\n# Vaultwarden: Docker-basierte Selbsthosting-Installation\ndocker run -d \\\n  --name vaultwarden \\\n  -e DOMAIN=https:\/\/vault.example.de \\\n  -e SIGNUPS_ALLOWED=false \\\n  -v \/vw-data:\/data \\\n  -p 8080:80 \\\n  vaultwarden\/server:latest<\/code><\/pre>\n\n\n\n
Die Cloud-Architektur von Bitwarden schafft eine breitere Angriffsfl\u00e4che als KeePassXC: Server, API-Endpunkte, Web-Vault, Browser-Extensions und Mobile-Apps k\u00f6nnen alle Ziel von Angriffen sein. Bitwarden begegnet dem mit regelm\u00e4\u00dfigen externen Audits, einem Bug-Bounty-Programm und der SOC-2-Attestierung. In der bisherigen Geschichte (2016 bis 2026) gab es keine dokumentierten Datenpannen bei Bitwarden.<\/p>\n\n\n\n
Preis und Lizenzmodelle im Vergleich<\/h2>\n\n\n\n
KeePassXC ist vollst\u00e4ndig kostenlos. Es gibt keine Premium-Version, keine Abonnements, keine Freemium-Einschr\u00e4nkungen. Alle Funktionen stehen jedem Nutzer kostenlos zur Verf\u00fcgung. Das Projekt finanziert sich durch freiwillige Spenden und ehrenamtliche Arbeit der Community.<\/p>\n\n\n\n
Bitwarden bietet ein kostenloses Basispaket, das f\u00fcr die meisten Einzelnutzer ausreicht, sowie kostenpflichtige Erweiterungen f\u00fcr fortgeschrittene Funktionen, Familien und Teams.<\/p>\n\n\n\n
Plan<\/th>Preis<\/th>Max. Nutzer<\/th>Besondere Funktionen<\/th><\/tr><\/thead>
KeePassXC<\/strong><\/td>0 \u20ac (kostenlos)<\/td>Einzelnutzer<\/td>Alle Funktionen, unbegrenzt, SSH-Agent, Passkeys, TOTP<\/td><\/tr>
Bitwarden Free<\/strong><\/td>0 \u20ac<\/td>1 Nutzer<\/td>Unbegrenzte Passw\u00f6rter, 2 Sammlungen, grundlegende 2FA<\/td><\/tr>
Bitwarden Premium<\/strong><\/td>19,80 $\/Jahr (~18,50 \u20ac)<\/td>1 Nutzer<\/td>1 GB Anh\u00e4nge, TOTP-Generator, Vault Health Reports, Priority-Support<\/td><\/tr>
Bitwarden Families<\/strong><\/td>47,88 $\/Jahr (~44,50 \u20ac)<\/td>Bis zu 6 Nutzer<\/td>Alle Premium-Funktionen, geteilte Sammlungen, Familienverwaltung<\/td><\/tr>
Bitwarden Teams<\/strong><\/td>4 $\/Nutzer\/Monat<\/td>Unbegrenzt<\/td>Gruppenmanagement, API-Zugang, Ereignisprotokoll, Verzeichnisintegration<\/td><\/tr>
Bitwarden Enterprise<\/strong><\/td>6 $\/Nutzer\/Monat<\/td>Unbegrenzt<\/td>SAML SSO, SCIM-Bereitstellung, Self-Hosting, Unternehmensrichtlinien<\/td><\/tr>
Vaultwarden (Self-Host)<\/strong><\/td>0 \u20ac (Serverkosten separat)<\/td>Unbegrenzt<\/td>Fast alle Premium-Funktionen, eigene Infrastruktur, DSGVO-konform<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n
F\u00fcr deutsche Nutzer ist Vaultwarden eine besonders attraktive Option: Auf einem eigenen VPS oder Home-Server gehostet, fallen nur die regul\u00e4ren Serverkosten an (ab ca. 3-5 \u20ac\/Monat f\u00fcr einen g\u00fcnstigen VPS), die Funktion entspricht aber dem Bitwarden-Premium-Tier. Vaultwarden ist nicht offiziell von Bitwarden Inc. unterst\u00fctzt, wird aber von der Community aktiv gewartet und gilt als produktionsreif.<\/p>\n\n\n\n
Synchronisation und Ger\u00e4teverwaltung<\/h2>\n\n\n\n
Hier trennen sich die Wege am deutlichsten. KeePassXC synchronisiert nicht selbst. Die KDBX-Datei muss der Nutzer selbst an den richtigen Ort bringen. Das klingt nach einem Nachteil, ist aber f\u00fcr viele DACH-Nutzer ein Feature: vollst\u00e4ndige Kontrolle \u00fcber den Sync-Pfad.<\/p>\n\n\n\n
Wer Nextcloud betreibt, legt die KDBX-Datei in einen synchronisierten Nextcloud-Ordner. Wer Syncthing nutzt, synchronisiert die Datei direkt zwischen Ger\u00e4ten ohne Cloud-Zwischenstation. Wer ein NAS besitzt, speichert dort. Alternativ: USB-Stick, verschl\u00fcsseltes Netzlaufwerk, WebDAV-Mount auf einem eigenen Server. Die Kontrolle liegt vollst\u00e4ndig beim Nutzer.<\/p>\n\n\n\n
Der Nachteil liegt in Merge-Konflikten. Wenn die Datenbank auf zwei Ger\u00e4ten gleichzeitig ge\u00f6ffnet und bearbeitet wird, entstehen Konflikte. KeePassXC 2.7.11 verbesserte die Datenbank-Merge-Funktionalit\u00e4t mit einem Best\u00e4tigungsdialog, was die Handhabung vereinfacht. Vollautomatisches Konfliktl\u00f6sen wie in Cloud-Diensten ist aber nicht m\u00f6glich.<\/p>\n\n\n\n
Bitwarden l\u00f6st Synchronisation vollst\u00e4ndig automatisch. Jede \u00c4nderung im Tresor wird sofort verschl\u00fcsselt an den Bitwarden-Server \u00fcbertragen und auf jedem angemeldeten Ger\u00e4t innerhalb von Sekunden aktualisiert. F\u00fcr Haushalte mit mehreren Ger\u00e4ten oder Teams mit vielen Mitgliedern ist das ein erheblicher Vorteil. F\u00fcr DACH-Nutzer mit Datenschutzanforderungen ist die EU-Rechenzentrumsregion relevant: wer sie w\u00e4hlt, hat seine Vault-Daten auf europ\u00e4ischen Servern.<\/p>\n\n\n\n
Browser-Integration und Auto-Fill im Vergleich<\/h2>\n\n\n\n
Bitwarden hat bei der Browser-Integration einen strukturellen Vorteil. Die offiziellen Browser-Extensions f\u00fcr Chrome, Firefox, Edge, Safari, Opera und Brave sind vollst\u00e4ndig in die Bitwarden-Infrastruktur integriert. Auto-Fill funktioniert zuverl\u00e4ssig, erkennt Felder auf fast allen Webseiten und bietet einen integrierten Passwortgenerator direkt im Browser. Das Inline-Auto-Fill-Men\u00fc, das beim Klick auf Login-Felder erscheint, ist eines der benutzerfreundlichsten in der Branche.<\/p>\n\n\n\n
KeePassXC nutzt ein anderes Modell. Die Extension KeePassXC-Browser<\/strong> verbindet sich \u00fcber eine Native-Messaging-Schnittstelle mit der laufenden KeePassXC-Desktop-Anwendung. Das bedeutet: KeePassXC muss ge\u00f6ffnet sein, damit Auto-Fill funktioniert. Die Extension funktioniert mit Chrome, Firefox, Edge, Brave und Vivaldi.<\/p>\n\n\n\n
In der Praxis ist das f\u00fcr die meisten Nutzer kein Problem, weil KeePassXC nach dem Entsperren im System-Tray l\u00e4uft. Die Verbindung zwischen Extension und Desktop-App ist kryptographisch gesichert, sodass kein anderes Programm auf den Tresor zugreifen kann. F\u00fcr Sicherheitsbewusste ist dieses Modell sogar vorzuziehen, weil die Browser-Extension selbst keine Anmeldedaten h\u00e4lt und bei einem Browser-Kompromiss kein direkter Zugriff auf den Tresor m\u00f6glich ist.<\/p>\n\n\n\n
Ein Bereich, in dem KeePassXC-Browser Nachholbedarf hat: die automatische Erkennung von Login-Formularen auf komplexen Single-Page-Applications. Bitwarden erkennt mehr Felder zuverl\u00e4ssiger, besonders auf JavaScript-lastigen modernen Webseiten. F\u00fcr Standard-Login-Formulare funktioniert KeePassXC-Browser aber einwandfrei.<\/p>\n\n\n\n
Mobile Apps: KeePassium, Keepass2Android und Bitwarden<\/h2>\n\n\n\n
Bitwarden hat hier einen klaren strukturellen Vorteil: eigene offizielle Apps f\u00fcr iOS und Android, die nahtlos mit dem Bitwarden-Account synchronisieren. Die Apps sind vollst\u00e4ndig open-source und bieten dieselben Kernfunktionen wie die Desktop-Version: Auto-Fill \u00fcber die Plattform-Passwortmanager-API, Passwortgenerator, Tresor-Verwaltung, biometrische Entsperrung mit Face ID, Touch ID oder Android Fingerprint.<\/p>\n\n\n\n
KeePassXC hat keine eigenen Mobile-Apps. Das ist eine bewusste Entscheidung des Projekts, das sich auf die Desktop-Plattform konzentriert. F\u00fcr mobilen Zugriff auf die KDBX-Datenbank gibt es Drittanbieter-Apps:<\/p>\n\n\n\n
Auf iOS<\/strong> ist KeePassium die empfohlene Wahl. Die App unterst\u00fctzt KDBX 4.x, biometrische Entsperrung, Auto-Fill via iOS Password AutoFill API und Passkeys. Die Basisversion ist kostenlos, eine Pro-Version mit erweiterten Funktionen ist als einmaliger Kauf oder Abonnement erh\u00e4ltlich. Strongbox ist eine weitere qualitativ hochwertige iOS-App f\u00fcr KeePass-Datenbanken mit modernem Interface.<\/p>\n\n\n\n
Auf Android<\/strong> ist Keepass2Android die etablierteste Option mit nativer Auto-Fill-Unterst\u00fctzung. KeePassDX ist eine datenschutzbewusste Alternative ohne Tracking-Bibliotheken, die im F-Droid-Repository verf\u00fcgbar ist. F\u00fcr Nutzer, die ausschlie\u00dflich freie und quelloffene Software bevorzugen, ist KeePassDX aus F-Droid die sauberste Wahl auf Android.<\/p>\n\n\n\n
Die Synchronisation der KDBX-Datei auf das Smartphone erfolgt \u00fcber die jeweilige Sync-Methode: Nextcloud-App, Syncthing oder WebDAV-Anbindung. KeePassium und Keepass2Android k\u00f6nnen direkt auf Cloud-Speicher per WebDAV und Nextcloud zugreifen, was den Workflow erheblich vereinfacht.<\/p>\n\n\n\n
Selbsthosting: Vaultwarden vs Bitwarden Server<\/h2>\n\n\n\n
F\u00fcr Nutzer und Unternehmen, die die volle Kontrolle \u00fcber ihre Passwortdaten behalten wollen, bietet das Bitwarden-\u00d6kosystem zwei Optionen: den offiziellen Bitwarden-Server und Vaultwarden.<\/p>\n\n\n\n
Der offizielle Bitwarden-Server<\/strong> ist die Enterprise-Wahl. Vollst\u00e4ndige Funktion, offizieller Support, und alle Enterprise-Features wie SAML SSO, SCIM-Bereitstellung und Gruppenmanagement. Der Server ben\u00f6tigt allerdings mehr Ressourcen und ist komplex zu betreiben: SQL-Datenbank (Microsoft SQL Server oder PostgreSQL), mehrere Docker-Container, mindestens 2 GB RAM f\u00fcr reibungslosen Betrieb, und ein HTTPS-Zertifikat.<\/p>\n\n\n\n
Vaultwarden<\/strong> l\u00e4uft als einzelner Docker-Container und ben\u00f6tigt unter 10 MB RAM im Idle-Betrieb. Die Installation auf einem Raspberry Pi oder einem g\u00fcnstigen VPS dauert weniger als 15 Minuten:<\/p>\n\n\n\n
# Vaultwarden mit Docker Compose einrichten\nversion: '3'\nservices:\n  vaultwarden:\n    image: vaultwarden\/server:latest\n    container_name: vaultwarden\n    restart: unless-stopped\n    volumes:\n      - .\/vw-data:\/data\n    ports:\n      - \"127.0.0.1:8080:80\"\n    environment:\n      DOMAIN: \"https:\/\/vault.meine-domain.de\"\n      SIGNUPS_ALLOWED: \"false\"\n      ADMIN_TOKEN: \"sicherer-zufalls-token-hier\"\n\n  # Reverse Proxy (nginx oder Caddy) mit HTTPS ist zwingend erforderlich<\/code><\/pre>\n\n\n\n
Vaultwarden unterst\u00fctzt fast alle Bitwarden-Funktionen, einschlie\u00dflich Premium-Features wie Vault Health Reports, TOTP-Generator und Dateianh\u00e4nge, die bei Bitwarden SaaS nur im kostenpflichtigen Plan verf\u00fcgbar sind. Das macht Vaultwarden f\u00fcr technisch versierte DACH-Nutzer attraktiv: man bekommt alle Premium-Funktionen kostenlos, mit voller Datenkontrolle auf der eigenen Infrastruktur.<\/p>\n\n\n\n
F\u00fcr DACH-Unternehmen, die DSGVO-Konformit\u00e4t mit On-Premises-Datenhaltung kombinieren m\u00fcssen, ist selbstgehostetes Vaultwarden oder der offizielle Bitwarden-Server die sauberste L\u00f6sung. Alle Passwortdaten bleiben auf der eigenen Infrastruktur, die Datenverarbeitung ist vollst\u00e4ndig kontrollierbar und dokumentierbar f\u00fcr die Datenschutzfolgenabsch\u00e4tzung.<\/p>\n\n\n\n
Passkeys und FIDO2 in 2026<\/h2>\n\n\n\n
Passkeys sind der technische Standard-Nachfolger f\u00fcr passwortbasierte Anmeldeverfahren. Beide Tools unterst\u00fctzen Passkeys, aber mit unterschiedlichem Ansatz und unterschiedlichen St\u00e4rken.<\/p>\n\n\n\n
KeePassXC speichert Passkeys seit Version 2.7.7 (M\u00e4rz 2024) direkt in der KDBX-Datenbank. Die Browser-Extension KeePassXC-Browser \u00fcbernimmt die WebAuthn-Kommunikation mit dem Browser. Wenn eine Webseite einen Passkey anfordert, vermittelt die Extension zwischen Browser und dem in KeePassXC gespeicherten Credential. Das Modell ist vollst\u00e4ndig offline-f\u00e4hig: Der Passkey verl\u00e4sst das Ger\u00e4t nicht, es sei denn, der Nutzer kopiert die Datenbankdatei explizit auf ein anderes Ger\u00e4t.<\/p>\n\n\n\n
Bitwarden integrierte Passkey-Speicherung ebenfalls und synchronisiert sie wie Passw\u00f6rter automatisch \u00fcber den verschl\u00fcsselten Tresor. Das erm\u00f6glicht Passkey-Nutzung auf mehreren Ger\u00e4ten, ohne jeden Passkey einzeln auf jedem Ger\u00e4t zu registrieren. F\u00fcr Nutzer mit vielen Ger\u00e4ten ist das ein erheblicher Komfortgewinn gegen\u00fcber der lokalen KeePassXC-L\u00f6sung.<\/p>\n\n\n\n
Ein wichtiger Sicherheitshinweis: Passkeys, die in einem Software-Passwortmanager gespeichert werden, sind Soft-Tokens. Sie bieten nicht dasselbe Sicherheitsniveau wie Hardware-gebundene Passkeys (auf einem YubiKey oder dem Secure Enclave eines iPhones). F\u00fcr hochsensible Accounts (Online-Banking, Unternehmensinfrastruktur) sind Hardware-Passkeys nach wie vor vorzuziehen. F\u00fcr allgemeine Webdienste und Komfort-Szenarien sind Software-Passkeys in KeePassXC oder Bitwarden eine solide L\u00f6sung.<\/p>\n\n\n\n
Sicherheitsaudits und Zertifizierungen im Vergleich<\/h2>\n\n\n\n
Sicherheitsmerkmal<\/th>KeePassXC<\/th>Bitwarden<\/th><\/tr><\/thead>
Unabh\u00e4ngige Audits<\/strong><\/td>ANSSI CSPN-Zertifizierung (November 2025)<\/td>Cure53 (mehrfach), Trail of Bits (Kryptographie)<\/td><\/tr>
Zertifizierungsstandard<\/strong><\/td>Staatliche ANSSI-Sicherheitspr\u00fcfung, g\u00fcltig 3 Jahre<\/td>SOC 2 Type II, ISO 27001, CSA STAR Level 1<\/td><\/tr>
Audit-Berichte \u00f6ffentlich?<\/strong><\/td>ANSSI-Bericht teilweise \u00f6ffentlich<\/td>Zusammenfassungen auf bitwarden.com \u00f6ffentlich<\/td><\/tr>
Bug Bounty Programm<\/strong><\/td>Nein (offene CVE-Meldewege)<\/td>Ja (\u00f6ffentliches Programm)<\/td><\/tr>
Bekannte Datenpannen<\/strong><\/td>Keine dokumentierten (2016-2026)<\/td>Keine dokumentierten Datenpannen (2016-2026)<\/td><\/tr>
CVEs (2024-2026)<\/strong><\/td>Keine \u00f6ffentlich gemeldeten kritischen CVEs<\/td>Keine \u00f6ffentlich gemeldeten kritischen CVEs<\/td><\/tr>
Angriffsfl\u00e4che<\/strong><\/td>Minimal (keine Netzwerkdienste im Hintergrund)<\/td>Server, API, Web-Vault, Browser-Extensions, Apps<\/td><\/tr>
Datenexposition bei Breach<\/strong><\/td>Nur lokale Ger\u00e4te betroffen<\/td>Verschl\u00fcsselte Bl\u00f6cke (nicht entschl\u00fcsselbar)<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n
Die ANSSI CSPN-Zertifizierung f\u00fcr KeePassXC (Bericht Nr. ANSSI-CSPN-2025\/16, erteilt am 17. November 2025) ist bemerkenswert f\u00fcr ein Community-Projekt. Die Agence Nationale de la S\u00e9curit\u00e9 des Syst\u00e8mes d’Information ist das franz\u00f6sische Bundesamt f\u00fcr Cybersicherheit. Eine solche Zertifizierung f\u00fcr Open-Source-Software ist au\u00dfergew\u00f6hnlich und macht KeePassXC f\u00fcr beh\u00f6rdliche und regulierte Umgebungen in der EU attraktiv.<\/p>\n\n\n\n
Bitwarden hat den Vorteil kommerzieller, laufender Auditverfahren. Cure53 und Trail of Bits z\u00e4hlen zu den renommiertesten Sicherheitsforschungsfirmen. Bitwarden ver\u00f6ffentlicht Zusammenfassungen der Audit-Ergebnisse, was Transparenz schafft. Die SOC 2 Type II Attestierung bedeutet, dass ein unabh\u00e4ngiger Pr\u00fcfer die Sicherheitskontrollen \u00fcber einen l\u00e4ngeren Zeitraum verifiziert hat, nicht nur punktuell bei einem einmaligen Audit.<\/p>\n\n\n\n
Expertenmeinungen<\/h2>\n\n\n\n
In der Entwickler- und Sicherheitscommunity gibt es klare Pr\u00e4ferenzen, die stark vom jeweiligen Nutzungskontext abh\u00e4ngen.<\/p>\n\n\n\n
Fireship<\/strong>, bekannt f\u00fcr komprimierte Tech-Erkl\u00e4rungen mit \u00fcber 3 Millionen Abonnenten, fasst den Trade-off pr\u00e4gnant zusammen: Bitwarden ist f\u00fcr die meisten Menschen die pragmatisch richtige Wahl, weil es die Komplexit\u00e4t auf ein Minimum reduziert und trotzdem Open-Source bleibt. KeePassXC sei das Tool f\u00fcr alle, die Cloud-Diensten grunds\u00e4tzlich misstrauen und bereit sind, etwas mehr Einrichtungsaufwand f\u00fcr lokale Kontrolle zu investieren.<\/p>\n\n\n\n
ThePrimeagen<\/strong>, bekannt f\u00fcr seine strikte Meinung zu Kontrolle \u00fcber eigene Infrastruktur, sieht das Thema konsequenter: Passw\u00f6rter sind der Schl\u00fcssel zu allem. Wer sie bei einem Drittanbieter hostet, vertraut blindlings. F\u00fcr Entwickler, die ohnehin Selfhosting-Infrastruktur betreiben, sei Vaultwarden die eleganteste L\u00f6sung, die Bitwarden-Komfort mit lokaler Datenhaltung verbindet. KeePassXC f\u00fcr den Desktop und Vaultwarden f\u00fcr Team-Sync sei seine empfohlene Kombination f\u00fcr technisch versierte Nutzer.<\/p>\n\n\n\n
MKBHD<\/strong>, der f\u00fcr pr\u00e4zise Produktvergleiche bekannte Reviewer, bewertet Passwortmanager aus UX-Perspektive: Die beste Sicherheitsl\u00f6sung ist die, die Nutzer tats\u00e4chlich konsequent verwenden. KeePassXC ist ein exzellentes Tool, das aber eine Lernkurve hat und auf mobilen Ger\u00e4ten fragmentierte Erfahrungen mit Drittanbieter-Apps liefert. Bitwarden l\u00f6st das Kernproblem, Passw\u00f6rter sicher zu speichern und \u00fcberall abrufbar zu haben, mit deutlich weniger Reibung f\u00fcr die breite Masse.<\/p>\n\n\n\n
In der deutschen Sicherheitscommunity und im BSI-Empfehlungsumfeld hat KeePassXC historisch einen guten Ruf als Empfehlung f\u00fcr technisch versierte Einzelnutzer. Das Bitwarden-\u00d6kosystem gewann in den letzten drei Jahren erheblich an Boden, besonders bei Unternehmen und weniger technischen Nutzern, nachdem das LastPass-Debakel das Vertrauen in propriet\u00e4re Cloud-Passwortmanager ersch\u00fctterte.<\/p>\n\n\n\n
Anwendungsf\u00e4lle: Wer sollte was nutzen?<\/h2>\n\n\n\n
Die Entscheidung zwischen KeePassXC und Bitwarden ist keine Frage von besser oder schlechter, sondern von passendem Bedrohungsmodell und Nutzungsgewohnheiten.<\/p>\n\n\n\n
KeePassXC ist die richtige Wahl wenn:<\/strong><\/p>\n\n\n\n