Kurz vorweg: Die Zugangsdaten eures Teams gehören in einen Speicher, den ihr selbst kontrolliert, nicht in eine fremde Cloud, deren Standort ihr auf keiner Karte zeigen könnt. Mit Vaultwarden bekommt ihr genau das — ein selbstgehosteter Passwortmanager, kompatibel mit den Bitwarden-Apps, der auf einer kleinen Maschine im eigenen Haus oder bei einem EU-Anbieter läuft. Und zwei liebgewonnene Gewohnheiten könnt ihr dabei gleich über Bord werfen.
Warum überhaupt selbst hosten
Die meisten Teams verwalten Passwörter auf eine von zwei Arten: als Zettelwirtschaft in Excel-Tabellen und Chatverläufen, oder in einem SaaS-Tresor, dessen Anbieter irgendwo sitzt. Das Erste ist ein Leck mit Ansage. Das Zweite verlagert das Problem nur — eure sensibelsten Daten, die Schlüssel zu allem anderen, liegen bei einem Dritten. Es ist dasselbe Muster, das ihr von Microsoft 365 und der DSGVO kennt, nur mit höherem Einsatz.
Dass auch große Anbieter fallen, hat der LastPass-Einbruch gezeigt: Ein Angreifer kam an die verschlüsselten Tresore ganzer Kundenbestände. Nichts spricht dagegen, einen Passwortmanager zu nutzen — im Gegenteil. Aber es gibt einen Unterschied, ob der Tresor bei euch steht oder bei jemandem, den ihr nicht kennt.
Vaultwarden ist eine schlanke, quelloffene Server-Variante von Bitwarden. Die Clients für Browser, Handy und Desktop bleiben dieselben, nur der Tresor läuft bei euch. Für ein kleines Team genügt dafür eine sehr bescheidene Maschine.
„Wir haben MFA” ist nicht das Ende
Multi-Faktor ist Pflicht, aber nicht jede Variante ist gleich viel wert. Ein Einmalcode per SMS lässt sich abfangen, und die ständigen Push-Bestätigungen aufs Handy nerven so lange, bis jemand genervt auf „bestätigen” tippt — genau darauf setzen Angreifer. Und hinterher ist dann wieder der Mitarbeiter schuld, obwohl das System die Falle gestellt hat.
Der Ausweg heißt Passkeys beziehungsweise FIDO2: An die Stelle des abtippbaren Codes tritt ein kryptografischer Schlüssel, der an das echte Ziel gebunden ist. Eine gefälschte Login-Seite bekommt damit nichts in die Hand. Vaultwarden unterstützt Passkeys, und für die Konten, die euch wirklich wehtun würden, sind sie die ehrlichere Wahl.
Rotation ist tot
Die zweite Gewohnheit, die weg darf: der erzwungene Passwortwechsel alle 90 Tage. BSI und NIST raten seit Jahren davon ab, und aus gutem Grund. Wer ständig neue Passwörter erfinden muss, baut Muster — aus Sommer2025! wird Herbst2025!. Das ist für einen Angreifer keine Hürde, für die Nutzer aber ein täglicher Ärger.
Besser ist das Gegenteil: lange, einzigartige Passwörter, für jeden Dienst ein anderes, gewechselt nur dann, wenn es einen Anlass gibt. Genau das nimmt euch ein Passwortmanager ab. Er würfelt die Passwörter, merkt sie sich, und niemand muss sich mehr Herbst2025! ausdenken.
Kontrolle behalten, ohne den Server zu babysitten
Ehrlich bleiben: Selbst hosten heißt betreiben. Der Server will Updates, Backups und jemanden, der sich zuständig fühlt. Daraus ergeben sich drei ehrliche Wege — hier im direkten Vergleich:
| Bitwarden-Cloud | Vaultwarden selbst gehostet | Vaultwarden managed | |
|---|---|---|---|
| Betrieb | Macht der Anbieter | Macht ihr: Updates, Backups, Monitoring | Macht der Dienstleister, ihr schaut zu |
| Datenhoheit | Tresor liegt beim Anbieter, Standort dessen Sache | Volle Kontrolle, Tresor auf eurer Maschine | Eigener Tresor im deutschen Rechenzentrum |
| Aufwand | Minimal | Es braucht jemanden, der sich dauerhaft zuständig fühlt | Gering, der Betrieb ist ausgelagert |
| Kosten-Charakter | Laufendes Abo pro Nutzer | Eigene Hardware plus Arbeitszeit | Laufende Pauschale für den Betrieb |
Wollt ihr es schlicht einfach und habt die Betriebs-Hand nicht, ist der bezahlte Bitwarden-Dienst vernünftig. Wollt ihr die volle Kontrolle und habt jemanden dafür, hostet Vaultwarden selbst. Und dazwischen liegt der Weg, den die meisten Teams eigentlich suchen: den Tresor managed betreiben lassen, in einem deutschen Rechenzentrum.
Genau dafür gibt es cloudsourced — Vaultwarden, betrieben in deutschen Rechenzentren, DSGVO-konform, mit Updates, Backups und Monitoring inklusive. Ihr habt euren eigenen Tresor auf deutschem Boden, ohne den Server selbst babysitten zu müssen. Die Kontrolle bleibt bei euch, der Betrieb nicht.
Wollt ihr einen Passwort-Tresor fürs Team, der euch gehört und trotzdem zuverlässig läuft? Schreib mir, oder schaut direkt bei cloudsourced vorbei — Vaultwarden aus deutschen Rechenzentren, damit ihr euch um die Passwörter kümmert und nicht um den Server.