Passwörter sind das Tor zu unserer digitalen Identität – und damit eines der sensibelsten Güter, die wir besitzen. Dienste wie Bitwarden haben sich in den letzten Jahren zu einem beliebten Passwortmanager entwickelt, der Sicherheit und Komfort vereint. Doch wer sich mit Themen wie Privatsphäre, Unabhängigkeit und Selbsthosting beschäftigt, fragt sich früher oder später:
Muss ich meine Passwörter wirklich einem Cloud-Anbieter anvertrauen?
Die gute Nachricht: Nein. Mit Vaultwarden, einer schlanken und effizienten Open-Source-Alternative, kannst du Bitwarden komplett selbst hosten – und dabei volle Kontrolle über deine Daten behalten.
Was ist Vaultwarden?
Vaultwarden ist ein inoffizieller, aber vollständig kompatibler Server für Bitwarden, geschrieben in der Programmiersprache Rust. Er bietet alle wichtigen Funktionen der offiziellen Bitwarden-Cloud, benötigt aber deutlich weniger Ressourcen und lässt sich einfach in einem Docker-Container betreiben – perfekt für dein Home Lab oder deinen Unraid-Server.
Ursprünglich als bitwarden_rs bekannt, wurde das Projekt 2021 in Vaultwarden umbenannt und hat sich seitdem zu einer der beliebtesten Self-Hosting-Lösungen für Passwortmanagement entwickelt.
Warum selbst hosten?
Die Cloud-Version von Bitwarden ist praktisch – keine Frage. Aber sie hat auch einen Preis: Deine Daten liegen auf fremden Servern, und selbst wenn sie verschlüsselt sind, bleibt ein gewisses Restrisiko.
Vaultwarden bietet hier den entscheidenden Vorteil: Du bist der Betreiber, der Administrator und der Wächter deiner Daten.
Einige gute Gründe, warum sich das Selbsthosting lohnt:
- Volle Datenhoheit: Alle Passwörter, Identitäten und Notizen bleiben auf deinem eigenen Server.
- Ressourcenschonend: Vaultwarden läuft selbst auf kleinen Systemen wie einem Raspberry Pi oder in einem Unraid-Docker-Container mit minimalem Speicherverbrauch.
- Ende-zu-Ende-Verschlüsselung: Wie beim Original bleibt alles lokal verschlüsselt – Vaultwarden sieht nie deine echten Passwörter.
- Zugriff von überall: Dank Web-Interface, Browser-Extensions und mobiler Apps kannst du dein Vault auch unterwegs nutzen – genauso wie bei Bitwarden.
- Erweiterbar und anpassbar: Du entscheidest, ob du Funktionen wie E-Mail-Versand, WebSocket-Benachrichtigungen oder 2FA aktivierst.
Installation auf Unraid über den Community Appstore
Wenn du Unraid nutzt, ist die Installation von Vaultwarden unglaublich einfach – ganz ohne Terminal oder tiefes Docker-Wissen.
Dank des Community Apps Plugins kannst du Vaultwarden direkt aus dem integrierten Appstore heraus installieren und konfigurieren.
- Öffne den Community Appstore in Unraid.
- Suche nach Vaultwarden (Official).
- Klicke auf Installieren und konfiguriere den Container wie unten beschrieben.
Einstellungen des Containers:
| Einstellung / Variable | Beispielwert (aus Screenshot) | Beschreibung & Empfehlung |
|---|---|---|
| Repository | vaultwarden/server |
Offizielles Docker-Image von Vaultwarden. Immer aktuell gepflegt und direkt kompatibel mit allen Bitwarden-Clients. |
| Network Type | Custom: br0 |
Bindet den Container direkt ins lokale Netzwerk ein. So bekommt Vaultwarden eine eigene IP (z. B. 192.168.7.63) und ist ohne Portweiterleitung erreichbar. Ideal, wenn du mit einem Reverse Proxy arbeitest. |
| Fixed IP Address (Optional) | 192.168.7.63 |
Eine feste IP-Adresse, unter der Vaultwarden im LAN erreichbar ist. So bleibt dein Setup stabil, auch nach einem Unraid-Neustart. |
| Console Shell Command | Shell |
Standard-Einstellung für den Container. Wird nur gebraucht, wenn du dich manuell in den Container einloggen willst. |
| Privileged Mode | OFF |
Vaultwarden benötigt keine erweiterten Rechte. Diese Option sollte aus Sicherheitsgründen deaktiviert bleiben. |
| WebUI HTTP Port | 80 |
Interner Containerport. Wenn du Vaultwarden über br0 mit fester IP betreibst, brauchst du keinen Hostport zuzuweisen – der Container ist direkt unter http://192.168.7.63 erreichbar. |
| SIGNUPS_ALLOWED | true |
Legt fest, ob sich neue Benutzer:innen selbst registrieren dürfen. Für private Instanzen besser auf false setzen, um ungewollte Accounts zu verhindern. |
| INVITATIONS_ALLOWED | true |
Erlaubt es, Einladungen an andere Benutzer:innen zu verschicken. Du kannst das aktiv lassen, wenn du Vaultwarden im Familien- oder Teamkontext nutzt. |
| WEBSOCKET_ENABLED | false |
Aktiviert Echtzeit-Updates zwischen Clients (z. B. beim Speichern neuer Passwörter). Empfehlung: auf true setzen, wenn du mobile Apps oder Browser-Extensions nutzt. |
| ADMIN_TOKEN | Ein geheimer Schlüssel, um das Admin-Interface zu aktivieren. Setze hier einen sicheren, zufälligen Token |
Nach der Installation
- Klicke auf Apply und starte den Container.
- Rufe deinen Vaultwarden über
http://deine.ip - Öffne die Admin-Oberfläche unter
http://deine.ip/admin?token=<dein-admin-token>. - Melde dich über die Bitwarden-App oder Browser-Extension an (
Server-URL= deine IP oder Domain). - Optional: HTTPS einrichten, automatische Backups für
/dataaktivieren.
Vaultwarden verwendet standardmäßig SQLite als Datenbank, was für die meisten privaten Setups völlig ausreichend ist.
Der große Vorteil: Du brauchst keinen separaten Datenbank-Container (wie PostgreSQL oder MariaDB).
Alle Daten werden sicher und kompakt in einer einzigen Datei im /data-Verzeichnis gespeichert – perfekt für einfache Backups und schnelle Einrichtung.
Tipp:
Nutze NGINX Proxy Manager, Caddy, Traefik oder Cloudflare, um Vaultwarden über HTTPS erreichbar zu machen. So kannst du deinen Passwort-Tresor sicher über das Internet nutzen – ideal für den Zugriff von Smartphone oder Laptop unterwegs.
Installation per Docker Compose
Natürlich kannst du Vaultwarden auch manuell mit Docker Compose installieren – ideal, wenn du dein Setup gerne selbst in der Hand hast oder Unraid nicht nutzt.
Hier ein minimales Beispiel:
version: "3"
services:
vaultwarden:
image: vaultwarden/server:latest
container_name: vaultwarden
restart: unless-stopped
environment:
- WEBSOCKET_ENABLED=true
- SIGNUPS_ALLOWED=false
volumes:
- ./vw-data:/data
ports:
- 8080:80
Danach einfach mit:
docker-compose up -dstarten, und dein eigener Passwortmanager ist unter http://<deine-ip>:8080 erreichbar.
Vaultwarden erstellt beim ersten Start automatisch eine SQLite-Datenbank im /data-Ordner.
Wenn du später ein Backup machst, reicht es, dieses Verzeichnis zu sichern – alle wichtigen Informationen sind dort enthalten.
Features und Benutzererfahrung
Vaultwarden bietet (fast) alle Features, die du auch von Bitwarden kennst:
- Passwortgenerator
- Sichere Notizen
- Zwei-Faktor-Authentifizierung
- Browser-Add-ons (Firefox, Chrome, Edge, etc.)
- Mobile Apps für Android und iOS
- Organisationen & geteilte Tresore
Der Unterschied? Vaultwarden läuft komplett auf deiner eigenen Hardware. Du bestimmst, wann Updates eingespielt werden, welche Benutzer:innen Zugriff haben und wie das System abgesichert wird. Die Benutzeroberfläche und App-Integration sind identisch mit Bitwarden – du merkst im Alltag also keinen Unterschied.
Sicherheit und Wartung
Vaultwarden profitiert von der bewährten Sicherheit des Bitwarden-Ökosystems, nutzt aber eigene Serverkomponenten.
Ein paar Tipps für einen sicheren Betrieb:
- Verwende HTTPS (Let's Encrypt via NGINX Proxy Manager)
- Aktiviere Fail2Ban oder Rate-Limiting, um Brute-Force-Angriffe abzuwehren
- Sichere regelmäßig dein
/data-Verzeichnis - Halte dein Docker-Image aktuell (
docker pull vaultwarden/server:latest)
Vaultwarden ist aktiv gepflegt und hat eine große Community, die regelmäßig Updates und Verbesserungen liefert.
Fazit: Freiheit beginnt mit Kontrolle
Vaultwarden ist der Beweis, dass Selbsthosting nicht kompliziert sein muss.
Du erhältst dieselbe Benutzererfahrung wie bei Bitwarden Cloud – aber ohne Kompromisse bei Privatsphäre und Kontrolle.
Wer seine Passwörter nicht einem externen Anbieter überlassen möchte, sondern die Hoheit über seine sensibelsten Daten behalten will, findet in Vaultwarden eine leichte, stabile und absolut vertrauenswürdige Lösung.
Gerade in Kombination mit Unraid oder einem eigenen Docker-Setup wird Vaultwarden zum perfekten Einstieg in die Welt des Self-Hostings.
Diskussion