Ist Vaultwarden wirklich mit den offiziellen Bitwarden-Clients kompatibel?

**Ja, zu 100 %**. Vaultwarden (früher bitwarden_rs) ist eine Rust-Neuimplementierung des Bitwarden-Servers, die die offizielle API umsetzt. Bitwarden-Clients (Web, Desktop, Mobile, Browser, CLI) verbinden sich mit deinem Vaultwarden-Server, indem sie einfach auf deine eigene URL zeigen. Kein clientseitiger Funktionsverlust. Der einzige Fall, in dem Vaultwarden leicht hinterherhinkt: Manche sehr neuen Enterprise-Funktionen können 1-2 Monate Verzögerung haben.

Welche Hardware für das Self-Hosting von Vaultwarden?

**Minimal sinnvoll**: Raspberry Pi 4 (2 GB RAM, microSD 32 GB) oder jeder VPS für 3-5 €/Monat (Contabo, OVH, Hetzner CX11). **Komfortabel**: Raspberry Pi 4 (4 GB RAM, USB-3.0-SSD) oder VPS mit 4 GB RAM. Vaultwarden nutzt im Leerlauf ~100 MB RAM, ~200 MB in der Spitze. Der Speicherbedarf hängt von den Anhängen ab: ~50 MB für 500 Einträge ohne Anhang.

Ist TLS / HTTPS für Vaultwarden zwingend?

**Ja, absolut**. Bitwarden-Clients weigern sich, sich mit einem unverschlüsselten HTTP-Server zu verbinden (außer localhost-Dev). Du musst ein TLS-Zertifikat einrichten. Standardlösung: Let's Encrypt über certbot (kostenlos, automatische Erneuerung) mit nginx- oder Caddy-Proxy. Unser Tutorial beschreibt die Caddy-Option (einfacher: 1 Konfigurationszeile übernimmt automatisches HTTPS).

Wie sichert man Vaultwarden zuverlässig?

Vaultwarden speichert seine Daten in SQLite (Standard) oder PostgreSQL/MySQL (Option). Minimal-Backup: die Datei db.sqlite3 regelmäßig auf einen externen Speicher kopieren. Erweiterte Lösung: litestream verwenden (kontinuierliche SQLite-Replikation nach S3). Unsere Empfehlung: stündlicher Cronjob, der den data-Ordner zippt und verschlüsselt zu Backblaze B2 hochlädt.

Vaultwarden Self-Host oder offizielle Bitwarden Cloud?

**Vaultwarden Self-Host**: keine laufenden Kosten, wenn der Server bereits vorhanden ist, volle Datenkontrolle, aber du bist für Verfügbarkeit/Backups/Sicherheit verantwortlich. **Offizielles gehostetes Bitwarden**: 10 $/Jahr für Premium, zero-knowledge-verschlüsselte Daten, ein Profi-Team übernimmt Infra/Backups/Updates. Empfehlung: Self-Host, wenn du Sysadmin/DevOps-Profi bist. Gehostetes Bitwarden in allen anderen Fällen.

Vaultwarden Self-Host: Komplettes Tutorial 2026 (Docker, Raspberry Pi, TLS)

📌 Self-Hosting ist NICHT für jeden: Bevor du loslegst, sei ehrlich — bist du bereit, Reverse-Proxy, TLS-Zertifikate, verschlüsselte Backups und monatliche Docker-Upgrades zu stemmen? Wenn die Antwort „nicht wirklich" lautet, kostet dich ein verwalteter Tresor wie NordPass für 1,49 €/Monat weniger als ein Raspberry-Pi-Ausfall, während du im Urlaub bist. Wenn ja, ist dieses Tutorial für dich.

Vaultwarden ist die Open-Source-Rust-Neuimplementierung des Bitwarden-Servers, ausgelegt für bescheidene Hardware (ein Raspberry Pi 4 reicht). Dieses Tutorial beschreibt ein produktionsreifes Deployment mit Docker Compose, automatischem HTTPS-Caddy-Proxy und verschlüsselten Backblaze-B2-Backups.

Vaultwarden betreibt deinen Bitwarden-Tresor auf deiner eigenen Hardware. 100 % kompatibel mit den offiziellen Clients. Einrichtung in 30 Minuten, wenn du Docker kennst.

01 — Voraussetzungen

Ein Linux-Server (Raspberry Pi 4, VPS oder Homelab) mit installiertem Docker
Ein Domainname, der auf die öffentliche IP des Servers zeigt (z. B. vault.yourdomain.com)
Port 443 in Firewall / NAT offen
30 Minuten
~50 MB Speicher für Vaultwarden + deine künftigen Daten

02 — Zielarchitektur

Internet → Cloudflare (optional) → Caddy Reverse-Proxy mit automatischem Let's Encrypt → Vaultwarden-Container. Daten auf dem Host unter /srv/vaultwarden/data gespeichert.

Caddy übernimmt HTTPS automatisch über Let's Encrypt. Vaultwarden läuft in einem isolierten Docker-Container.

03 — Docker Compose

Erstelle die Datei /srv/vaultwarden/docker-compose.yml. Die Konfiguration nutzt das offizielle Image vaultwarden/server:latest, stellt die Variable DOMAIN bereit, die auf deine HTTPS-URL zeigt, deaktiviert externe Registrierungen mit SIGNUPS_ALLOWED: false, aktiviert WebSockets für die Echtzeit-Synchronisierung und mountet ein ./data-Volume für die Persistenz.

Die Caddy-Konfiguration ist minimal: eine einzige reverse_proxy vaultwarden:80-Direktive plus Standard-Sicherheitsheader (HSTS, X-Frame-Options, X-Content-Type-Options, Referrer-Policy).

Das ADMIN_TOKEN wird mit openssl rand -base64 48 erzeugt (nur in deine lokale Konfiguration, niemals committen).

04 — Vaultwarden starten

Starte den Dienst mit docker compose up -d aus dem Ordner /srv/vaultwarden und prüfe dann die Logs mit docker compose logs -f vaultwarden. Caddy erhält automatisch innerhalb von 30 Sekunden ein Let's-Encrypt-Zertifikat (sichtbar in docker compose logs caddy).

05 — Erste Anmeldung + Härtung

Ein Anmeldebildschirm mit einem Passwortfeld

Öffne https://vault.yourdomain.com im Browser
Erstelle dein Konto (das einzige erlaubte: Registrierungen danach geschlossen)
SOFORT: Settings → Security → Two-step Login → TOTP aktivieren
SOFORT: prüfen, dass SIGNUPS_ALLOWED auf false steht
Teste das Autofill mit deinem Browser, der auf deine eigene URL zeigt

06 — Automatische Backups

Ein stündliches Bash-Skript erstellt einen Snapshot der SQLite-Datenbank (konsistent ohne Dienststopp), zippt den gesamten Ordner, verschlüsselt clientseitig mit GPG (Empfänger = deine E-Mail) und lädt zu Backblaze B2 hoch (~1 €/Monat für 100 GB).

Der Ablauf:

docker exec vaultwarden sqlite3 /data/db.sqlite3 ".backup '/tmp/db_DATE.sqlite3'" für einen konsistenten Snapshot
tar czf zum Archivieren
gpg --encrypt --recipient you@email.com für die clientseitige Verschlüsselung
b2 upload-file für den Remote-Upload
Lokale Aufräumarbeiten

Crontab: 0 * * * * /usr/local/bin/vaultwarden-backup.sh

Monatlicher Test: ein Backup auf einer Dev-Instanz wiederherstellen, um die Integrität zu prüfen.

07 — Offizielle Bitwarden-Clients verbinden

In jedem Bitwarden-Client (Mobile, Desktop, Browser), vor der Anmeldung:

Klicke auf das Einstellungs-Zahnrad (vor dem Login)
Server-URL: https://vault.yourdomain.com
Speichern
Mit deinem Master-Passwort anmelden

Alle Clients funktionieren genau wie mit der offiziellen Bitwarden-Cloud.

08 — Wartung

Vaultwarden-Updates: docker compose pull && docker compose up -d (monatlich empfohlen)
Monitoring: Uptime Kuma (selbst gehostet) oder Healthchecks.io (kostenlos) für Ausfallwarnungen
Logs: docker compose logs --tail 200 vaultwarden
Audit: github.com/dani-garcia/vaultwarden für mögliche CVEs verfolgen

★ Audit Cure53 2024 · ✓ Plan gratuit · Cross-platform

NordPass Premium ansehen →1,49 €/Monat · Null Wartung · von Cure53 + SOC 2 geprüft→

09 — Mehr zum Thema

Beste selbst gehostete Passwort-Manager 2026 — Vaultwarden vs. Bitwarden Self-Host, KeePassXC, Passbolt und Psono im Vergleich
Vollständiger Bitwarden-Test 2026
Ranking der besten Passwort-Manager 2026 — vergleiche verwaltete Cloud-Tresore, falls dir Self-Hosting zu viel ist
Beste LastPass-Alternativen 2026 — für Teams, die von LastPass weg migrieren, bevor sie sich für Self-Host entscheiden
Öffentliche Methodik

Tutorial basierend auf Vaultwarden 1.31.x auf Raspberry Pi 4 (Debian 12) im Juni 2026. Verfahren anhand der offiziellen Vaultwarden-Dokumentation validiert.

Teste Bitwarden Premium → BitwardenOpen Source · selbst hostbar · günstiges Premium→