Der beste selbst gehostete Passwort-Manager 2026 (ehrlicher Leitfaden)

Wenn Sie einen Passwort-Manager möchten, bei dem Sie die Daten in der Hand halten — nicht die Cloud eines Unternehmens —, ist Selbst-Hosting die Antwort. Der Reiz ist echt: Ihr verschlüsselter Tresor liegt auf einer Infrastruktur, die Sie kontrollieren, ohne Drittanbieter in der Vertrauenskette. Der Kompromiss ist ebenso real: Sie werden verantwortlich für Updates, Backups und Sicherheit. Dieser Leitfaden bewertet die ernstzunehmenden selbst gehosteten Optionen ehrlich und hilft Ihnen zu entscheiden, ob Selbst-Hosting wirklich das Richtige für Sie ist.

Die kurze Antwort

• Für die meisten Menschen: Vaultwarden. Ein schlanker, quelloffener Server, der das Bitwarden-Protokoll spricht, in einem einzigen Docker-Container läuft (sogar auf einem Raspberry Pi) und mit den offiziellen Bitwarden-Apps funktioniert. Die beste Balance aus Leistung und Einfachheit. Den vollständigen Aufbau finden Sie in unserem Vaultwarden-Self-Hosting-Tutorial.
• Sie wollen den offiziellen Stack: Bitwarden Self-Hosting. Der hauseigene Server des Anbieters — ressourcenhungriger, aber aus erster Hand.
• Lieber dateibasiert, ohne Server: KeePassXC + eigene Synchronisierung. Eine lokale verschlüsselte Datenbank, die Sie selbst synchronisieren.
• Selbst-Hosting für Team / Unternehmen: Passbolt oder Psono. Konzipiert für gemeinsamen Zugriff und granulare Berechtigungen.

Was "selbst gehostet" Ihnen wirklich bringt (und kostet)

Was Sie gewinnen:

• Kontrolle & Datenschutz. Der verschlüsselte Tresor liegt auf Ihrer Hardware oder Ihrem VPS. Kein Drittanbieter kann gezwungen, gehackt werden oder Bedingungen so ändern, dass Ihre Daten offengelegt werden.
• Kein Abonnement für die Software selbst (Open Source).
• Überprüfbarkeit. Diese Projekte sind Open Source, der Code kann also eingesehen werden.

Was Sie übernehmen:

• Wartung. Sicherheitsupdates, TLS-Zertifikate, Server-Härtung — liegt bei Ihnen.
• Backups. Wenn Sie nicht sichern, tut es niemand. Eine verlorene Festplatte = ein verlorener Tresor.
• Verfügbarkeit. Ist Ihr Server ausgefallen und Sie sind unterwegs, ist auch Ihr Tresor weg (abgemildert durch Offline-App-Caches).

Kurz gesagt: Selbst-Hosting tauscht Komfort gegen Kontrolle. Das ist ein großartiger Tausch, sofern Sie ihn auch tatsächlich pflegen.

Die Optionen, ehrlich betrachtet

Vaultwarden — die Standardwahl

Vaultwarden (früher "bitwarden_rs") ist ein inoffizieller, in Rust geschriebener Server, der die Bitwarden-API implementiert. Er ist bemerkenswert schlank — ein einziger Docker-Container, der problemlos auf einem Raspberry Pi oder dem günstigsten VPS läuft — und funktioniert dennoch mit allen offiziellen Bitwarden-Clients (Desktop, Mobil, Browser-Erweiterungen). Sie erhalten Organisationen, Anhänge und 2FA, ohne für Bitwardens gehostetes Premium zu zahlen. Für die überwältigende Mehrheit der Selbst-Hoster ist es die richtige Antwort. Unser Schritt-für-Schritt-Vaultwarden-Tutorial behandelt Docker Compose, einen Reverse-Proxy, TLS und automatisierte Backups.

Bitwarden Self-Hosting — der offizielle Weg

Bitwarden bietet einen offiziellen selbst gehosteten Server an. Er stammt aus erster Hand und ist voll ausgestattet, aber es handelt sich um ein schwergewichtigeres Deployment mit mehreren Containern (mehr RAM, mehr bewegliche Teile) als Vaultwarden. Wählen Sie ihn, wenn Sie ausdrücklich den hauseigenen Stack des Anbieters wollen und der zusätzliche Ressourcenbedarf Sie nicht stört.

KeePassXC + eigene Synchronisierung — gar kein Server

KeePassXC ist ein lokaler, quelloffener Manager, der alles in einer einzigen verschlüsselten .kdbx-Datei speichert. Es gibt keinen Server zu betreiben: Sie synchronisieren diese Datei selbst mit Syncthing, Nextcloud oder einem beliebigen Speicher, dem Sie vertrauen. Es ist die minimalistischste, privateste Option — und die manuellste, da Sie Synchronisierung und Konfliktauflösung selbst verwalten. Hervorragend für Menschen, die keinen Server und volle Eigentümerschaft an der Datei wollen.

Passbolt — teamorientiert

Passbolt ist für Teams gebaut: granulares Teilen, Benutzer-/Gruppenberechtigungen und ein Admin-Modell, das für Organisationen konzipiert ist. Es ist aufwendiger einzurichten als Vaultwarden und auf kollaborative Nutzung statt auf eine Einzelperson ausgerichtet. Eine starke Wahl für ein kleines Unternehmen, das selbst gehostete, geteilte Zugangsdaten möchte.

Psono — Selbst-Hosting für Unternehmen

Psono ist ein weiterer team-/unternehmensorientierter selbst gehosteter Manager mit rollenbasiertem Zugriff und einer API. Wie Passbolt ist es für eine Einzelperson überdimensioniert, eignet sich aber gut für Organisationen, die ihre Zugangsdaten auf eigener Infrastruktur halten wollen.

Wer sollte tatsächlich selbst hosten?

• Ja, selbst hosten, wenn Sie sich beim Betrieb eines kleinen Servers wohlfühlen, ihn aktuell und gesichert halten und Kontrolle für Sie eine echte Priorität ist. Beginnen Sie mit Vaultwarden.
• Wahrscheinlich nicht, wenn Sie etwas möchten, das überall "einfach funktioniert", mit null Wartung, oder wenn Sie sich bei TLS, Updates und Backups nicht sicher sind. Ein falsch konfigurierter selbst gehosteter Tresor ist riskanter als ein guter verwalteter.

Wenn die zweite Beschreibung auf Sie zutrifft, ist das keine Schande — ein seriöser, quelloffener verwalteter Manager bietet Ihnen die meisten Datenschutzvorteile ohne die Server-Administration.

Das Fazit

2026 ist der beste selbst gehostete Passwort-Manager für die meisten Menschen Vaultwarden — schlank, Open Source, Bitwarden-kompatibel und einfach zu betreiben. KeePassXC passt zu denen, die gar keinen Server wollen; Passbolt und Psono eignen sich für Teams. Was auch immer Sie wählen: Denken Sie an die zwei Regeln, die über Erfolg oder Misserfolg des Selbst-Hostings entscheiden: Halten Sie es aktuell und sichern Sie es automatisch. Und wenn der Betrieb eines Servers nichts für Sie ist, ist ein verwalteter Open-Source-Manager eine vollkommen ehrliche Wahl.