← Zurück zum Blog

1. Juli 2026 · 3 Min. Lesezeit

Passwörter im Team: Vaultwarden statt US-Rechenzentrum

Ein geteilter Passwortspeicher gehört ins Unternehmen, nicht in eine Cloud, die ihr nicht kennt. Warum „wir haben MFA“ nicht das Ende ist — und Rotation tot.

AA
Anton Anders
IT-Berater & Entwickler

Kurz vorweg: Die Zugangsdaten eures Teams gehören in einen Speicher, den ihr selbst kontrolliert, nicht in eine fremde Cloud, deren Standort ihr auf keiner Karte zeigen könnt. Mit Vaultwarden bekommt ihr genau das — ein selbstgehosteter Passwortmanager, kompatibel mit den Bitwarden-Apps, der auf einer kleinen Maschine im eigenen Haus oder bei einem EU-Anbieter läuft. Und zwei liebgewonnene Gewohnheiten könnt ihr dabei gleich über Bord werfen.

Warum überhaupt selbst hosten

Die meisten Teams verwalten Passwörter auf eine von zwei Arten: als Zettelwirtschaft in Excel-Tabellen und Chatverläufen, oder in einem SaaS-Tresor, dessen Anbieter irgendwo sitzt. Das Erste ist ein Leck mit Ansage. Das Zweite verlagert das Problem nur — eure sensibelsten Daten, die Schlüssel zu allem anderen, liegen bei einem Dritten. Es ist dasselbe Muster, das ihr von Microsoft 365 und der DSGVO kennt, nur mit höherem Einsatz.

Dass auch große Anbieter fallen, hat der LastPass-Einbruch gezeigt: Ein Angreifer kam an die verschlüsselten Tresore ganzer Kundenbestände. Nichts spricht dagegen, einen Passwortmanager zu nutzen — im Gegenteil. Aber es gibt einen Unterschied, ob der Tresor bei euch steht oder bei jemandem, den ihr nicht kennt.

Vaultwarden ist eine schlanke, quelloffene Server-Variante von Bitwarden. Die Clients für Browser, Handy und Desktop bleiben dieselben, nur der Tresor läuft bei euch. Für ein kleines Team genügt dafür eine sehr bescheidene Maschine.

„Wir haben MFA” ist nicht das Ende

Multi-Faktor ist Pflicht, aber nicht jede Variante ist gleich viel wert. Ein Einmalcode per SMS lässt sich abfangen, und die ständigen Push-Bestätigungen aufs Handy nerven so lange, bis jemand genervt auf „bestätigen” tippt — genau darauf setzen Angreifer. Und hinterher ist dann wieder der Mitarbeiter schuld, obwohl das System die Falle gestellt hat.

Der Ausweg heißt Passkeys beziehungsweise FIDO2: An die Stelle des abtippbaren Codes tritt ein kryptografischer Schlüssel, der an das echte Ziel gebunden ist. Eine gefälschte Login-Seite bekommt damit nichts in die Hand. Vaultwarden unterstützt Passkeys, und für die Konten, die euch wirklich wehtun würden, sind sie die ehrlichere Wahl.

Rotation ist tot

Die zweite Gewohnheit, die weg darf: der erzwungene Passwortwechsel alle 90 Tage. BSI und NIST raten seit Jahren davon ab, und aus gutem Grund. Wer ständig neue Passwörter erfinden muss, baut Muster — aus Sommer2025! wird Herbst2025!. Das ist für einen Angreifer keine Hürde, für die Nutzer aber ein täglicher Ärger.

Besser ist das Gegenteil: lange, einzigartige Passwörter, für jeden Dienst ein anderes, gewechselt nur dann, wenn es einen Anlass gibt. Genau das nimmt euch ein Passwortmanager ab. Er würfelt die Passwörter, merkt sie sich, und niemand muss sich mehr Herbst2025! ausdenken.

Kontrolle behalten, ohne den Server zu babysitten

Ehrlich bleiben: Selbst hosten heißt betreiben. Der Server will Updates, Backups und jemanden, der sich zuständig fühlt. Daraus ergeben sich drei ehrliche Wege — hier im direkten Vergleich:

Bitwarden-CloudVaultwarden selbst gehostetVaultwarden managed
BetriebMacht der AnbieterMacht ihr: Updates, Backups, MonitoringMacht der Dienstleister, ihr schaut zu
DatenhoheitTresor liegt beim Anbieter, Standort dessen SacheVolle Kontrolle, Tresor auf eurer MaschineEigener Tresor im deutschen Rechenzentrum
AufwandMinimalEs braucht jemanden, der sich dauerhaft zuständig fühltGering, der Betrieb ist ausgelagert
Kosten-CharakterLaufendes Abo pro NutzerEigene Hardware plus ArbeitszeitLaufende Pauschale für den Betrieb

Wollt ihr es schlicht einfach und habt die Betriebs-Hand nicht, ist der bezahlte Bitwarden-Dienst vernünftig. Wollt ihr die volle Kontrolle und habt jemanden dafür, hostet Vaultwarden selbst. Und dazwischen liegt der Weg, den die meisten Teams eigentlich suchen: den Tresor managed betreiben lassen, in einem deutschen Rechenzentrum.

Genau dafür gibt es cloudsourced — Vaultwarden, betrieben in deutschen Rechenzentren, DSGVO-konform, mit Updates, Backups und Monitoring inklusive. Ihr habt euren eigenen Tresor auf deutschem Boden, ohne den Server selbst babysitten zu müssen. Die Kontrolle bleibt bei euch, der Betrieb nicht.


Wollt ihr einen Passwort-Tresor fürs Team, der euch gehört und trotzdem zuverlässig läuft? Schreib mir, oder schaut direkt bei cloudsourced vorbei — Vaultwarden aus deutschen Rechenzentren, damit ihr euch um die Passwörter kümmert und nicht um den Server.

Häufige Fragen

Was ist der Unterschied zwischen Bitwarden und Vaultwarden? +

Bitwarden ist der offizielle Dienst samt Server und Apps. Vaultwarden ist eine schlanke, quelloffene Server-Alternative, die mit denselben Bitwarden-Apps funktioniert — die Clients bleiben gleich, nur der Tresor läuft auf eurem eigenen Server.

Ist ein selbstgehosteter Passwortmanager sicherer als die Cloud? +

Er verlagert das Vertrauen: Statt einem fremden Anbieter vertraut ihr eurem eigenen Betrieb. Sicherer ist das nur, wenn Updates, Backups und Zugriffsschutz zuverlässig laufen — sonst ist ein seriöser Cloud- oder Managed-Anbieter die ehrlichere Wahl.

Muss man Passwörter regelmäßig wechseln? +

Nein. BSI und NIST raten vom erzwungenen Wechsel ohne Anlass ab, weil er nur Muster erzeugt. Besser sind lange, einzigartige Passwörter pro Dienst aus dem Passwortmanager, gewechselt nur bei konkretem Verdacht.

Was braucht Vaultwarden im laufenden Betrieb? +

Eine kleine Maschine, regelmäßige Updates, überwachte Backups und jemanden, der sich zuständig fühlt. Wer diese Hand nicht im Haus hat, lässt den Tresor managed betreiben, statt ihn unbeaufsichtigt laufen zu lassen.

Klingt nach deinem Thema?

Lass uns unverbindlich darüber reden — kostenlos und ohne Verpflichtung.