Ist Bitwarden wirklich kostenlos oder gibt es einen Haken?

Der kostenlose Bitwarden-Plan ist **vollständig und ohne Falle**: unbegrenzter Tresor, Synchronisierung über alle Geräte (Mobil, Desktop, Browser, CLI), 1-zu-1-Teilen, TOTP-2FA (Google Authenticator, Authy). Kein Passwortlimit, keine Werbung, keine Funktionsverschlechterung nach einer Testphase. Das kostenpflichtige Premium (10 $/Jahr) ergänzt: Hardware-2FA (YubiKey), Tresor-Gesundheitsberichte, 1 GB verschlüsselten Dateispeicher, Notfallzugriff. Es gibt keinen Haken: Bitwarden ist für den privaten Gebrauch zu 100 % kostenlos brauchbar.

Bitwarden vs 1Password: welcher 2026?

**Bitwarden**, wenn du willst: überprüfbares Open Source, vollständigen Gratis-Plan, Self-Host möglich (Vaultwarden), niedrigeren Preis (10 $/Jahr Premium vs 36 $/Jahr 1Password). **1Password**, wenn du willst: ausgefeiltere UX, Reisemodus (Konten beim Grenzübertritt verbergen), fortgeschrittenes Familien-Teilen, ausgereifteres integriertes Watchtower. Urteil: Bitwarden gewinnt bei Transparenz und Preis. 1Password gewinnt beim täglichen Komfort. Für die meisten Nutzer deckt Bitwarden Premium zu 10 $ fast alle Bedürfnisse von 1Password zu einem Drittel des Preises ab.

Was sind Bitwardens tatsächliche unabhängige Audits?

Bitwarden hat **zwei aktuelle öffentliche Audits** veröffentlicht: **Cure53 (2022)** — kryptografische und Client-Quellcode-Analyse, kleinere Schwachstellen vor der Berichtsveröffentlichung behoben. **Insight Risk Consulting (2021)** — Pentests der Anwendung und der Cloud-Infrastruktur, veröffentlichter Bericht. Über formelle Audits hinaus profitiert Bitwarden von kontinuierlicher Community-Überprüfung durch den Open-Source-Code (github.com/bitwarden). Vergleich: 1Password veröffentlicht ebenfalls Audit-Berichte (Cure53, Onapsis), NordPass seltener, Dashlane und Keeper veröffentlichen SOC-2-Berichte, aber ihr Code bleibt Closed Source.

Ist Bitwardens Verschlüsselung tatsächlich stark?

Bitwarden verwendet **AES-256-CBC + HMAC-SHA256** für die symmetrische Tresorverschlüsselung, mit **PBKDF2-SHA256 bei 600.000 Iterationen** (oder Argon2id seit 2023), um den Hauptschlüssel aus deinem Master-Passwort abzuleiten. Die 600.000 PBKDF2-Iterationen übertreffen die OWASP-Empfehlung 2023 (310.000). In der Praxis: ein Offline-Angreifer mit deiner gestohlenen Tresordatei muss ~600.000 Hashes pro Versuch berechnen, etwa 5 ms pro Versuch auf einer Top-GPU. Ein 16-stelliges zufälliges Master-Passwort (~95 Bit Entropie) bleibt selbst für staatliche Angreifer außer Reichweite.

Vaultwarden-Self-Host: solltest du den Sprung wagen?

**Vaultwarden** (früher bitwarden_rs) ist eine Rust-Neuimplementierung des Bitwarden-Servers, 100 % kompatibel mit den offiziellen Clients, aber dafür ausgelegt, auf bescheidener Hardware zu laufen (ein Raspberry Pi 4 genügt). **Vorteile**: keine Daten auf Bitwarden-Servern, volle Kontrolle, kostenlose Infrastruktur, wenn du bereits einen Server hast. **Nachteile**: du wirst verantwortlich für Verfügbarkeit, Backups, TLS-Zertifikate und Sicherheitsupdates. Empfohlen für: Sysadmins, Datenschutz-Hardliner, kleine/mittlere Tech-Teams. Nicht empfohlen für: allgemeine Nutzer (bleibe bei der gehosteten Bitwarden-Cloud).

Wurde Bitwarden jemals gehackt?

**Bitwarden hat in 8 Jahren keinen öffentlichen Serverkompromiss erlitten** (vs LastPass: schwerer Vorfall 2022 mit Exfiltration verschlüsselter Tresore). Bitwardens Zero-Knowledge-Modell bedeutet, dass ein Servereinbruch Angreifern nur verschlüsselte, ohne das Master-Passwort unbrauchbare Tresore geben würde. Im Januar 2023 betraf ein Credential-Stuffing-Angriff einige wenige Konten mit schwachen Master-Passwörtern – kein Bitwarden-Kompromiss, nur riskantes Nutzerverhalten. Das Aktivieren von 2FA und ein langes Master-Passwort (16+ Zeichen) schützt auch vor diesem Szenario.

Wie migriere ich von LastPass / Dashlane / 1Password zu Bitwarden?

Bitwarden enthält ein **natives Import-Tool**, das CSV/JSON-Exporte von **45+ Passwort-Managern** akzeptiert (LastPass, 1Password, Dashlane, Keeper, NordPass, Roboform, Chrome/Firefox/Safari-Browser usw.). Vorgehen: aus dem alten Manager im erforderlichen Format exportieren, über den Web-Tresor in Bitwarden importieren, prüfen, dass alle Einträge vorhanden und funktionsfähig sind, das Quellkonto endgültig löschen. Bitwardens nativer Importer verarbeitet große LastPass-Tresore sauber; binäre Anhänge erfordern manuelles erneutes Hochladen.

Bitwarden Test 2026: Auditierter Code, Self-Host und Verschlüsselung überprüft

📌 Für wen dieser Test ist: Bitwarden ist insgesamt unser Platz 2 und die Wahl Nr. 1 für alle, die überprüfbares Open Source, Self-Host oder Premium zu 10 $/Jahr brauchen. Wenn du vor allem einen Plug-and-Play-Tresor willst, siehe stattdessen unseren NordPass-Test 2026 (XChaCha20, 1,49 $/Monat). Vollständiges Urteil unten, ohne Umwege.

Direkte Antwort

Ist Bitwarden sicher und 2026 nutzenswert? In unserer redaktionellen Bewertung ist Bitwarden der beste Passwort-Manager für Nutzer, die überprüfbare Transparenz und Preis priorisieren (redaktionelle Wertung 4,7/5). Verifizierte kryptografische Parameter: AES-256-CBC + HMAC-SHA256 Tresorverschlüsselung, PBKDF2-SHA256 bei 600.000 Iterationen standardmäßig seit 2023 (übertrifft die OWASP-Empfehlung 2023 von 310.000), Argon2id verfügbar als Alternative. Zwei öffentliche unabhängige Audits: Cure53 2022 (7 kleinere Befunde, alle vor Veröffentlichung behoben) und Insight Risk Consulting 2021 (5 Befunde, alle behoben). 8 Jahre ohne Serverkompromiss (vs LastPass-Vorfall Dezember 2022). Premium zu 10 $/Jahr (vs 35,88 $/Jahr 1Password, 36 $/Jahr NordPass 2-Jahres). Self-Host möglich via Vaultwarden auf Raspberry Pi 4.

Quelle: redaktionelle Bewertung von PwdFortress auf Basis dokumentierter Fähigkeiten und veröffentlichter Audits. Vollständige Methodik: pwdfortress.com/en/methodology.

Bitwarden ist auf dem Papier der Passwort-Manager, den du Zeile für Zeile überprüfen kannst. Dieser Test basiert auf Bitwardens veröffentlichten Audits (Cure53, Insight Risk), seinem dokumentierten kryptografischen Design, der Self-Host-Option (Vaultwarden) und dem Konsens öffentlicher Tests.

01 — 30-Sekunden-Urteil

Für die große Mehrheit der Nutzer 2026 ist Bitwarden der beste Kompromiss zwischen Transparenz (Open Source, öffentliche Audits), Preis (kostenlos oder 10 $/Jahr Premium) und kryptografischer Stärke (AES-256 + PBKDF2-SHA256 600.000 Iterationen). Die Fälle, in denen Bitwarden nicht die richtige Wahl ist: anspruchsvoller professioneller B2B-Einsatz, der maximale UX und High-End-Support braucht, wo 1Password Business weiterhin führt.

Bitwarden gewinnt bei Transparenz und Preis. 1Password gewinnt beim täglichen Komfort. Für die meisten Nutzer überwiegen Bitwardens Transparenzgewinn und Preis.

02 — Umfang dieses Tests

Dieser Test behandelt Bitwarden über seine unterstützten Plattformen, auf Basis offizieller Dokumentation, veröffentlichter Audits und öffentlichem Nutzerfeedback:

Desktop: Bitwarden Desktop für macOS, Windows, Linux (AppImage + .deb)
Mobil: iOS- und Android-Apps
Browser: Firefox, Chrome, Safari, Edge
CLI: bw (Bitwarden CLI) für Automatisierungsskripte
Self-Host: Vaultwarden als community-gepflegter, Bitwarden-kompatibler Server (z. B. auf einem Raspberry Pi mit einem nginx-Proxy und Let's Encrypt)

Kerndimensionen: Autofill-Verhalten, geräteübergreifende Synchronisierung, Export/Import, Client-Verhalten bei schlechter Konnektivität und Konformität mit den veröffentlichten Audit-Berichten.

03 — Sicherheit: Was die Audits tatsächlich sagen

Bitwarden hat zwei aktuelle unabhängige Audits veröffentlicht:

Cure53 (2022) — Kryptografische Analyse und Quellcode-Review von Web-, Browser-Erweiterungs- und Mobil-Clients. Ergebnis: 7 identifizierte Schwachstellen, alle gering (hypothetisches XSS, das vorheriges Phishing erfordert, begrenztes Informationsleck), alle vor der Berichtsveröffentlichung behoben. Keine kritische Schwachstelle. Der vollständige 74-seitige Bericht ist öffentlich.

Insight Risk Consulting (2021) — Pentest der Anwendung und der Bitwarden-Cloud-Infrastruktur. Ergebnis: 3 Befunde mittleren Risikos zur Infrastruktur, 2 zur Anwendung, alle vor Veröffentlichung behoben. Kein unautorisierter Tresorzugriff möglich.

Zum Vergleich: 1Password veröffentlicht regelmäßige Cure53-Audits (dieselbe Firma), NordPass veröffentlichte einen Cure53-Bericht 2022, Dashlane und Keeper veröffentlichen SOC-2-Type-2-Berichte, aber ihr Code bleibt geschlossen. Bitwardens Vorteil ist, dass die Audits Code abdecken, den du selbst lesen kannst.

04 — Kryptografie: Die echten Zahlen

Ein Anmeldebildschirm mit einem Passwortfeld

Hier ist, was passiert, wenn du deinen Bitwarden-Tresor entsperrst:

Dein Master-Passwort wird durch PBKDF2-SHA256 mit 600.000 Iterationen geführt (Standard seit 2023, anpassbar bis 2.000.000). Argon2id als Option verfügbar.
Der abgeleitete Schlüssel entschlüsselt einen AES-256-Hauptschlüssel, der verschlüsselt auf dem Server gespeichert ist.
Der Hauptschlüssel entschlüsselt jeden Tresoreintrag (Verschlüsselung pro Eintrag mit eigenen Ableitungen).

Praktische Folge für einen Angreifer, der deinen verschlüsselten Tresor gestohlen hat:

Ein 8-stelliges zufälliges Master-Passwort bietet nur schwachen Schutz – kurze Master-Passwörter sind der realistische Schwachpunkt.
Ein 12-stelliges zufälliges Master-Passwort ist gegen PBKDF2 bei 600.000 Iterationen dramatisch schwerer zu knacken.
Ein 16-stelliges zufälliges Master-Passwort (oder eine EFF-Passphrase mit 5+ Wörtern) ist mit aktuellen Ressourcen praktisch außer Reichweite.

→ Das schwache Glied ist dein Master-Passwort, nicht Bitwarden. Ein langes Passwort (16+ Zeichen) oder eine EFF-Passphrase mit 5+ Wörtern bleibt sicher, selbst wenn Bitwardens Server fallen.

05 — Gratis-Plan: Was kannst du ohne Bezahlen wirklich tun?

Das ist Bitwardens Killer-Argument. Der Gratis-Plan enthält:

✅ Unbegrenzt Einträge (Passwörter, Notizen, Karten)
✅ Synchronisierung über unbegrenzt viele Geräte
✅ Alle Clients (Web, Desktop, Mobil, Browser, CLI)
✅ 1-zu-1-Teilen (ein Passwort an einen Angehörigen senden)
✅ TOTP-2FA (Google Authenticator, Authy, Yubico Authenticator)
✅ Passwort- und Passphrasen-Generator
✅ Autofill und Erfassung neuer Einträge
✅ Tresor-Export jederzeit (JSON, CSV)
✅ Eigenen Server selbst hosten (mit Vaultwarden)

Was der Gratis-Plan NICHT enthält:

❌ Hardware-2FA (YubiKey, Duo) → nur Premium
❌ Tresor-Gesundheitsberichte (wiederverwendete, schwache, HIBP-kompromittierte Passwörter)
❌ Verschlüsselter Dateispeicher (1 GB Premium)
❌ Notfallzugriff (Zugriff an einen Angehörigen im Todes-/Handlungsunfähigkeitsfall delegieren)
❌ Gruppen-Teilen (Families, Organisationen)

Urteil: für den privaten Gebrauch ohne Hardware-2FA genügt der Gratis-Plan und ist ohne Falle. Premium zu 10 $/Jahr bleibt unschlagbar, wenn du YubiKey + Gesundheitsberichte willst.

06 — Schnellvergleich vs Wettbewerber

Kriterium	Bitwarden	1Password	NordPass	Dashlane	Proton Pass
Open Source	✅ Ja (Clients + Server)	❌ Nein	❌ Nein	❌ Nein	✅ Teilweise (Clients)
Gratis-Plan	✅ Vollständig	❌ 14-Tage-Test	⚠️ Begrenzt (1 Gerät)	⚠️ 25 Pwds	✅ Vollständig
Premium-Preis	10 $/Jahr	36 $/Jahr	24 $/Jahr	35 $/Jahr	12 $/Jahr
Self-Host	✅ Vaultwarden	❌ Nein	❌ Nein	❌ Nein	❌ Nein
Hardware-2FA	✅ Premium	✅ Standard	✅ Premium	✅ Standard	✅ Premium
Aktuelles öffentliches Audit	✅ Cure53 2022 + Insight 2023	✅ Wiederkehrend Cure53	✅ Cure53 2022	SOC 2	✅ Open Source
Historischer Vorfall	Keiner (8 Jahre)	Keiner	Keiner	Keiner	Keiner

Für Details siehe unseren Vergleich Bitwarden vs 1Password und unser Passwort-Manager-Ranking 2026.

07 — Wann Bitwarden NICHT die richtige Wahl ist

Ehrlichkeit verlangt es. Bitwarden hat Grenzen:

Sehr anspruchsvoller Business-Einsatz: 1Password Business bietet eine ausgereiftere Admin-UX, ein integrierteres Watchtower (Vorfallswarnung) und ausgefeilteren Enterprise-Support. Bitwarden Teams/Enterprise ist kompetent, aber spartanisch.
„Reise"-Modus (Konten beim Grenzübertritt verbergen): 1Password hat ihn nativ, Bitwarden nicht. Workaround: separate Organisationen nutzen.
Familien-Teilen: 1Password Families ist ergonomischer zum Aufteilen von Eltern-/Kind-/Gast-Tresoren. Bitwarden Families funktioniert, erfordert aber mehr Konfiguration.
Optische Alterung des Desktops: Bitwardens Desktop-Clients haben ein veraltetes Design (UI-Materialien von 2018), verglichen mit 1Password (Redesign 2023). Keine Sicherheitsauswirkung, aber täglich spürbar.

Wenn du 2+ davon wiedererkennst, könnte 1Password seinen 3,6-fachen Preis rechtfertigen.

08 — Wie du zu Bitwarden wechselst, wenn du etwas anderes nutzt

Unser Schritt-für-Schritt-Migrationsleitfaden LastPass → Bitwarden beschreibt das vollständige Vorgehen. Express-Zusammenfassung:

Exportiere deinen aktuellen Tresor (LastPass: Account Options → Advanced → Export). CSV-Format.
Erstelle ein kostenloses Bitwarden-Konto mit einem starken Master-Passwort (16+ Zeichen oder Passphrase mit 5+ Wörtern).
Importiere via vault.bitwarden.com → Tools → Import data.
Prüfe, ob alle Einträge vorhanden sind (an 10 zufälligen Seiten testen).
Aktiviere TOTP-2FA für das Bitwarden-Konto selbst (essenziell).
Lösche das LastPass-Konto endgültig (Account Settings → Delete account).
Lösche die CSV-Exportdatei sicher: nach der Importprüfung lokal schreddern.

Plane 30–60 Minuten für die vollständige Migration ein. Der längste Teil: prüfen, dass sensible Konten (Bank, primäre E-Mail) von Bitwarden aus funktionieren.

★ Audit Cure53 2024 · ✓ Plan gratuit · Cross-platform

NordPass Premium ansehen →1,49 $/Monat 2-Jahres-Plan · Moderne UX-Alternative · XChaCha20 + Argon2id→

09 — Weiterführend

Unser detaillierter Vergleich Bitwarden vs 1Password
Das Vaultwarden-Self-Host-Tutorial
Unsere öffentliche Methodik — wie wir Manager vergleichen
Unser Ranking der besten Passwort-Manager 2026

PwdFortress erhält eine Provision, wenn du Bitwarden Premium über die Links dieses Artikels abonnierst. Das ändert weder den gezahlten Preis noch den Inhalt: Bitwarden wird nach denselben Kriterien wie seine Wettbewerber in unserer öffentlichen Methodik verglichen. Siehe auch unseren detaillierten Bitwarden-Test.

Teste Bitwarden Premium → BitwardenOpen Source · selbst hostbar · günstiges Premium→