Vaultwarden selbst auf einem VPS hosten.
Ihr eigener Bitwarden-kompatibler Tresor, in 30 Minuten.
Vaultwarden ist der schlanke, Rust-basierte, Bitwarden-kompatible Passwort-Server. Fünf Docker-Befehle, ein HTTPS-Reverse-Proxy, ein Backup-Cron — und der Zugangsdaten-Tresor jedes Kontos, das Sie besitzen, lebt auf Metall, das Sie mieten, nicht auf Infrastruktur, der Sie vertrauen.
- 01
Vaultwarden ist auf Protokoll- und Tresorebene Bitwarden-kompatibel — jeder offizielle Client funktioniert einfach. Läuft in 50–100 MB RAM; jeder VPS kommt damit zurecht.
- 02
Der Tresor ist clientseitig mit AES-256 verschlüsselt. Der Server sieht Ihr Master-Passwort nie. Die Kompromittierung des VPS liefert einen verschlüsselten Blob, keine Zugangsdaten.
- 03
Der nicht offensichtliche Schritt ist die Metadatenschicht — das Bezahlen des Hosters mit einer KYC-verknüpften Karte verbindet Ihre echte Identität mit der IP Ihres Tresors. Ein No-KYC-, krypto-bezahlter Hoster entfernt diese Verknüpfung.
Was Vaultwarden ist, und was es nicht ist.
Vaultwarden — früher bitwarden_rs — ist eine unabhängige serverseitige Neuimplementierung der Bitwarden-API in Rust. Es spricht dasselbe Drahtprotokoll wie der offizielle Bitwarden-Server, speichert Tresore im selben verschlüsselten Format und akzeptiert jeden offiziellen Client unverändert. Für eine Bitwarden-Browser-Erweiterung oder iOS-App ist ein Vaultwarden-Server von bitwarden.com nicht zu unterscheiden.
Die interessanten Unterschiede sind betrieblicher Natur. Der offizielle Bitwarden-Server ist ein Multi-Container-.NET-Stack, der für den Enterprise-Einsatz konzipiert ist; das veröffentlichte Self-Host-Image erwartet 2 GB RAM und eine SQL-Server-Lizenz für komfortablen Betrieb. Vaultwarden ist ein einzelnes 15-MB-Rust-Binär, das standardmäßig SQLite verwendet, problemlos in 50 MB RAM läuft und in unter einer Sekunde kalt startet. Das gesamte Projekt passt in einen einzigen Docker-Container ohne Abhängigkeiten.
Was Sie bekommen, ist die gesamte Bitwarden-Funktionsoberfläche — Passwort-Tresor, sichere Notizen, Identitätsdatensätze, Zahlungskarten, Dateianhänge, Send (einmalige verschlüsselte Freigaben), TOTP-Authenticator, Organisationen mit gemeinsamen Sammlungen, Hardware-Schlüssel-2FA, Browser-Autofill, mobiles biometrisches Entsperren — ohne jegliche Bezahlstufen-Sperren. Das Families-Plan-Äquivalent und das Enterprise-SSO-Äquivalent sind beide kostenlos auf einem selbst gehosteten Vaultwarden.
Was Vaultwarden nicht ist: ein formal geprüfter Server. Die kryptografischen Primitive sind von den Bitwarden-Clients geerbt (die unabhängig geprüft wurden), aber der Vaultwarden-Server selbst hat kein Drittanbieter-Sicherheitsaudit durchlaufen. Für einen persönlichen oder kleinen Team-Tresor ist das ein vollkommen vernünftiger Kompromiss; für ein reguliertes Unternehmen nicht.
Den VPS wählen — warum der Host, bei dem Sie mieten, mehr zählt als die Spezifikation.
Vaultwarden läuft auf praktisch jedem Linux-VPS — das Ressourcenminimum ist so niedrig, dass das Datenblatt die falsche Optimierungsachse ist. Die richtige Achse ist, was Sie für die Anmietung des Servers preisgeben müssen.
Ein Passwort-Tresor ist das einzige wertvollste Ziel, das eine Privatperson besitzt. Seine Kompromittierung gewährt Zugang zu jedem anderen Konto des Inhabers. Die kryptografische Haltung schützt den Inhalt des Tresors; sie schützt nicht die Metadaten rund um den Tresor — wer die IP gemietet hat, von wo, mit welcher Karte bezahlt, unter welchem Namen registriert.
Wenn Sie einen VPS von einem Mainstream-Anbieter mit vollem KYC mieten, verknüpft die Abrechnungsdatenbank Ihren gesetzlichen Namen mit der IPv4 des Servers. Wenn der Hoster kompromittiert, per Gerichtsbeschluss angefordert oder einfach anonymisierte Daten an einen Marketing-Analytics-Partner verkauft wird, überlebt die Verknüpfung. Der Tresor bleibt verschlüsselt, aber die Metadatenschicht leckt von Natur aus.
NordBastion ist das Gegenteil — E-Mail plus Passwort als einzige Anmeldehürde, Zahlung in Bitcoin, Monero, Lightning oder anderen Kryptowährungen, vier nordische Verfassungsordnungen mit Pressefreiheitsschutz für das Rechenzentrum. Der Tresor gehört Ihnen; die Metadatenspur vom Tresor zurück zu Ihrer Identität existiert von vornherein nicht. Für einen Vaultwarden-Host ist der <a href="/de/vps/" class="text-nord-cyan border-b border-nord-cyan/40 hover:border-nord-cyan transition">Ravelin VPS für 5,90 $/Monat</a> der Einstiegsstufe bequem überdimensioniert — 2 vCPU, 4 GB RAM und 80 GB SSD betreiben Vaultwarden, den Reverse-Proxy und drei weitere selbst gehostete Apps auf demselben Server.
Die Docker-Installation. Fünf Befehle, zehn Minuten.
Starten Sie einen frischen Debian 12 VPS, melden Sie sich per SSH als nicht-root-sudo-Nutzer an und führen Sie dann diese fünf Blöcke aus. Ersetzen Sie vault.example.com überall durch Ihre eigene Subdomain — das wird die URL sein, über die Sie den Web-Tresor erreichen.
1. Docker installieren. curl -fsSL https://get.docker.com | sh && sudo usermod -aG docker $USER — aus- und wieder einloggen, damit die Gruppenmitgliedschaft wirksam wird.
2. Datenverzeichnis anlegen. mkdir -p ~/vw-data — der gesamte Zustand von Vaultwarden (die SQLite-Vault-Datenbank, Anhänge, der Icon-Cache) lebt in einem Verzeichnis; die Sicherung ist deshalb unkompliziert.
3. Admin-Token generieren. docker run --rm vaultwarden/server /vaultwarden hash --preset owasp — fügen Sie Ihr gewähltes Admin-Passwort ein, wenn Sie dazu aufgefordert werden, und nehmen Sie den resultierenden Argon2-Hash auf. Dies schützt das /admin-Panel.
4. Container starten. docker run -d --name vaultwarden --restart unless-stopped -e DOMAIN="https://vault.example.com" -e ADMIN_TOKEN='<paste-hash-from-step-3>' -e SIGNUPS_ALLOWED=false -e WEBSOCKET_ENABLED=true -v ~/vw-data:/data -p 127.0.0.1:8080:80 vaultwarden/server:latest — beachten Sie, dass die -p 127.0.0.1:8080-Bindung Vaultwarden privat für den Host hält; der Reverse Proxy in Kapitel 4 stellt es nach vorne.
5. Verifizieren. curl -s http://127.0.0.1:8080/alive sollte einen Zeitstempel zurückgeben. Wenn dies der Fall ist, läuft Vaultwarden. Wenn nicht, zeigt docker logs vaultwarden, was falsch gelaufen ist — fast immer ein Tippfehler in der ADMIN_TOKEN-Umgebungsvariablen.
SIGNUPS_ALLOWED=false in Schritt 4 ist die am häufigsten vergessene Einstellung. Lassen Sie es auf true und Ihr Tresor ist für jeden offen, der die URL findet, um sich zu registrieren. Setzen Sie es nur so lange auf true, bis Sie Ihr eigenes Konto erstellt haben, dann setzen Sie es auf false und starten Sie neu.
HTTPS und das Admin-Panel. Nicht optional, aber fünf Minuten.
Vaultwarden weigert sich, den Web-Tresor über einfaches HTTP von einer Nicht-localhost-Adresse bereitzustellen; jeder offizielle Client weigert sich ebenfalls, mit einem Nicht-HTTPS-Server zu kommunizieren. Der Reverse-Proxy + Let's Encrypt-Schritt ist das Tor zum Rest der Einrichtung. Caddy ist der leichteste Weg — ein Binär, automatisches ACME, kein separates certbot zu planen.
Den DNS-A-Eintrag für vault.example.com auf die VPS-IP zeigen lassen und auf die Propagierung warten (ca. zwei Minuten für neue Einträge bei den meisten Anbietern). sudo apt install -y debian-keyring debian-archive-keyring apt-transport-https && curl -1sLf 'https://dl.cloudsmith.io/public/caddy/stable/gpg.key' | sudo gpg --dearmor -o /usr/share/keyrings/caddy-stable-archive-keyring.gpg && echo "deb [signed-by=/usr/share/keyrings/caddy-stable-archive-keyring.gpg] https://dl.cloudsmith.io/public/caddy/stable/deb/debian any-version main" | sudo tee /etc/apt/sources.list.d/caddy-stable.list && sudo apt update && sudo apt install caddy.
Schreiben Sie /etc/caddy/Caddyfile: vault.example.com { reverse_proxy 127.0.0.1:8080 header_up X-Real-IP {remote_host} } — das ist die gesamte Konfiguration. sudo systemctl reload caddy und innerhalb von zehn Sekunden hat Caddy ein Let's Encrypt-Zertifikat abgerufen und der Tresor ist unter https://vault.example.com erreichbar.
Das /admin-Panel. Vaultwarden stellt eine administrative Benutzeroberfläche unter /admin bereit, die durch den in Kapitel 3 generierten Argon2-Hash geschützt ist. Von dort aus können Sie Registrierungen deaktivieren (bereits in Schritt 4 erledigt), den SMTP-Server für Einladungs- und Passwort-Reset-E-Mails einrichten, Yubikey oder Duo 2FA konfigurieren, Grenzen pro Nutzer festlegen und die Nutzerliste überprüfen. Öffnen Sie sie einmal, gehen Sie jeden Abschnitt durch, speichern Sie die Einstellungen — ab dann leben sie in /vw-data/config.json.
Ein kleines Härtungsdetail: /admin vollständig vom öffentlichen Internet trennen. Zum Caddyfile hinzufügen: vault.example.com { @admin path /admin* @admin not remote_ip 10.0.0.0/8 192.168.0.0/16 your.home.ip/32 respond @admin 404 ... } — jeder, der nicht Ihre Heim-IP nutzt, erhält eine 404 beim Aufrufen von /admin; das Panel ist vom offenen Internet aus unsichtbar.
Backups. Der eine Fehler, der Sie ruiniert.
Ein Passwort-Tresor, aus dem Sie nicht wiederherstellen können, ist ein Passwort-Tresor, den Sie bereits verloren haben. Die Backup-Geschichte für Vaultwarden ist erfreulich einfach — alles Wesentliche befindet sich in einem Verzeichnis — aber die Disziplin rund um Wiederherstellungstests ist das, was ein funktionierendes Setup von einem zukünftigen Vorfall trennt.
Was gesichert werden soll. Der gesamte ~/vw-data/-Verzeichnisbaum. Darin: db.sqlite3 ist der verschlüsselte Tresor, attachments/ enthält Dateianhänge, config.json enthält /admin-Einstellungen, sends/ enthält die temporären verschlüsselten Freigaben, rsa_key.* sind die JWT-Signierungsschlüssel, die von Sitzungen verwendet werden.
Wie man sichert. SQLite verarbeitet gleichzeitige Backups über seinen .backup-Befehl — planen Sie einen nächtlichen Cron: 0 4 * * * docker exec vaultwarden sqlite3 /data/db.sqlite3 ".backup /data/db.sqlite3.bak" && tar czf /backups/vw-$(date -I).tgz -C /home/<user>/vw-data . — ein Tresor mit 50 Konten erzeugt einen Tarball unter 1 MB.
Wohin die Backups gesendet werden sollen. Überall außer demselben VPS. rclone in einen S3-kompatiblen Bucket, ein zweiter VPS, Ihr Heim-NAS über WireGuard oder ein verschlüsselter USB-Stick, den Sie einmal im Quartal einem Geschwisterkind zusenden — wählen Sie, was zu Ihrem Bedrohungsmodell passt. Die grundlegende Regel ist geografische und administrative Trennung vom Primärsystem.
Die Wiederherstellungsübung. Starten Sie einen zweiten VPS, kopieren Sie das gestrige Backup darauf, entpacken Sie es in ~/vw-data, führen Sie den Docker-Block aus Kapitel 3 aus, der darauf zeigt, öffnen Sie den Web-Tresor auf einer temporären Subdomain und melden Sie sich mit Ihrem Master-Passwort an. Wenn Ihr Konto sich öffnet und der Tresor entschlüsselt, ist das Backup echt. Führen Sie diese Übung jetzt einmal durch, bevor Sie Ihre echten Zugangsdaten in den Tresor eingeben. Wiederholen Sie sie alle sechs Monate.
Clients, Freigabe, Mobil. Das Bitwarden-Ökosystem, auf Ihren Server gerichtet.
Den offiziellen Bitwarden-Client nach Wahl installieren — Browser-Erweiterung, Desktop-App, iOS, Android. Vor dem Einloggen das Zahnrad-Symbol oben links antippen, den Server von bitwarden.com auf https://vault.example.com umstellen, dann mit dem in Kapitel 4 erstellten Konto einloggen. Der Client bemerkt keinen Unterschied und verhält sich identisch zu einem verwalteten Bitwarden-Abonnement.
Die mobilen Clients erfordern einen zusätzlichen Schritt: die biometrische Entsperrung erfordert, dass das Gerät registriert ist, was die erste Anmeldung auf iOS / Android automatisch erledigt. Browser-Autofill, mobiles Autofill, TOTP-Generierung, Passwort-Generator, Sicherheitsverletzungs-Prüfung (HaveIBeenPwned) und Bitwarden Send funktionieren alle ohne weitere Konfiguration.
Familienfreigabe. Eine Organisation im Web-Tresor anlegen → Neue Organisation → benennen (z. B. „Familie“), kostenloser Plan. Innerhalb der Organisation eine Sammlung anlegen („Gemeinsame Rechnungen“, „Streaming-Dienste“, „WLAN & Router“). Jedes Familienmitglied über seine serverlokale E-Mail einladen, die Einladung bei der Registrierung annehmen, den Mitgliedern die Sammlung zuweisen. Von diesem Moment an ist jedes Element der Sammlung für jedes Mitglied Ende-zu-Ende-verschlüsselt — der Server sieht nur Chiffretext.
Wofür Sie nicht zahlen müssen. Alle Bitwarden-Bezahlfunktionen, die serverseitige Richtlinien sind (Organisationen, gemeinsame Sammlungen, das Familien-Plan-Äquivalent, Hardware-Schlüssel-2FA, Send-Dateianhänge), sind auf Vaultwarden standardmäßig freigeschaltet, da der Server das Tor ist. Bezahlfunktionen, die clientseitige Richtlinien sind (einige Bitwarden-Mobile-Premium-Sperren), werden von den Clients respektiert, sofern Sie diese nicht patchen — für einen ehrlichen Nutzer nicht lohnenswert.
Fragen, beantwortet.
Acht Fragen, die vor und während des ersten Monats des Betriebs eines selbst gehosteten Vaultwarden aufkommen.
Ist Vaultwarden dasselbe wie Bitwarden?
Vaultwarden ist eine unabhängige, Rust-basierte Neuimplementierung des Bitwarden-Servers, vollständig kompatibel mit jedem offiziellen Bitwarden-Client — Browser-Erweiterung, Desktop-App, iOS, Android, CLI. Es wird nicht von Bitwarden Inc. hergestellt. Das Drahtprotokoll und das Tresorformat sind identisch; das Server-Binär ist ungefähr 1/100 der Größe und läuft komfortabel in 50–100 MB RAM.
Warum Vaultwarden selbst hosten statt für gehostetes Bitwarden zu zahlen?
Drei Gründe. Erstens: Niemand sonst besitzt Ihren verschlüsselten Tresor — auch wenn Bitwarden ihn ebenfalls nicht lesen kann, ist das Entfernen der dritten Partei das sauberste Bedrohungsmodell. Zweitens: Kosten — ein $5/Monat-VPS verwaltet eine fünfköpfige Familie mit Platz für den Rest Ihres selbst gehosteten Stacks. Drittens: keine Telemetrie, keine Analyse-Endpunkte, keine Kontobestätigungs-E-Mail, die mit einem Namen verknüpft ist.
Ist das Selbst-Hosten eines Passwort-Tresors wirklich sicher?
Ja — Vaultwarden verwendet dieselbe clientseitige Verschlüsselung wie Bitwarden. Der Tresor wird mit AES-256 auf dem Client verschlüsselt, bevor er an den Server gesendet wird; der Server sieht niemals Ihr Master-Passwort oder Klartext. Eine Kompromittierung des VPS liefert einen verschlüsselten Blob, der nur so schwach ist wie Ihr Master-Passwort. Das betriebliche Risiko liegt bei Ihnen (Backups, HTTPS, Server-Absicherung), aber das kryptografische Risiko ist identisch mit verwaltetem Bitwarden.
Wie viel VPS brauche ich?
Sehr wenig. Vaultwarden selbst ist mit 1 vCPU und 512 MB RAM zufrieden. Der minimale NordBastion VPS (2 vCPU, 4 GB, $5.90/Monat) ist mehr als genug, um Vaultwarden, den Reverse Proxy und drei weitere selbst gehostete Dienste auf demselben Server zu betreiben. Die Festplattennutzung ist vernachlässigbar — ein Tresor mit 50 Konten und Anhängen bleibt unter 200 MB.
Warum ist ein KYC-freier, krypto-bezahlter Hoster für einen Passwort-Manager wichtig?
Ein Passwort-Tresor ist das wertvollste Ziel, das eine Privatperson besitzt — er enthält die Zugangsdaten zu jedem anderen Konto. Den Server unter dem eigenen gesetzlichen Namen mit einer Karte zu mieten, die mit der echten Identität verknüpft ist, bedeutet: Eine Kompromittierung der Abrechnungsdatenbank des Hosters verknüpft Ihre Identität mit der IP Ihres Tresors. Ein No-KYC-, krypto-bezahlter Host entfernt diesen Link von vornherein. Der Tresor selbst ist weiterhin clientseitig verschlüsselt; die No-KYC-Haltung schützt die Metadaten-Ebene.
Brauche ich wirklich HTTPS für den Vaultwarden-Web-Tresor?
Ja, strikt. Vaultwarden weigert sich, den Web-Tresor über einfaches HTTP von einer anderen Adresse als localhost bereitzustellen, und jeder offizielle Client weigert sich ebenfalls, mit einem Nicht-HTTPS-Server zu kommunizieren. Das Reverse-Proxy + Let's Encrypt-Setup in diesem Leitfaden ist nicht optional. Die gute Nachricht: Der gesamte TLS-Schritt dauert etwa drei Minuten, sobald Ihr DNS-A-Eintrag propagiert hat.
Was ist der häufigste Fehler beim Selbst-Hosting von Vaultwarden?
Das Nicht-Testen der Wiederherstellung aus dem Backup. Ein nächtliches tar.gz von /vw-data/ ist kein Backup, bis Sie es auf einem neuen VPS entpackt und sich erfolgreich in den wiederhergestellten Web-Tresor eingeloggt haben. Für den Fehlerfall planen: Der Server ist weg, die Festplatte ist gelöscht, das einzige Artefakt ist die gestrige Backup-Datei — können Sie Ihren Tresor betreten? Diese Übung einmal durchführen, bevor echte Anmeldedaten in den Tresor kommen.
Kann ich meinen Tresor mit meiner Familie über ein selbst gehostetes Vaultwarden teilen?
Ja. Vaultwarden reimplementiert Bitwardens Organisations-Funktion — einschließlich gemeinsamer Sammlungen, granularer Berechtigungen und des Äquivalents des Bitwarden Families-Plans — ohne jegliche Bezahlstufe. Sie erstellen eine Organisation im Web-Tresor, laden Ihre Familie per E-Mail ein (oder indem Sie den Einladungslink direkt teilen), und von dort ist die Freigabe-Benutzeroberfläche identisch mit dem offiziellen Bitwarden-Produkt.
Mieten Sie einen KYC-freien VPS, zahlen Sie in Krypto, betreiben Sie Vaultwarden noch heute.
Die Ravelin-Einstiegsstufe (2 vCPU, 4 GB RAM, 80 GB SSD, $5.90/Monat) ist für Vaultwarden komfortabel überdimensioniert und lässt Platz für den Rest Ihres selbst gehosteten Stacks auf demselben Server.
Zuletzt überprüft · 2026-05-20 · Quellen · Vaultwarden Upstream-Dokumentation, Bitwarden Client-Kompatibilitätsmatrix, Let's Encrypt ACME · Rhythmus · jährlich
Anonymous VPS hosting in 2026 — the cluster.
This guide is one spoke of a larger series. The pillar walks the three privacy layers end to end — the sibling spokes below dive into the specifics.
Three independent layers — signup, payment, network — explained, legal context included, common mistakes flagged.
Files, calendar, contacts, photos — owned, not rented.
Postfix, Dovecot, SPF/DKIM/DMARC — deliverability included.
A meta search engine that does not log you — because you own it.
What “no KYC” actually means — and what it does not.