· 9 Min. Lesezeit
Vaultwarden statt 1Password: Passwörter selbst hosten – sicherer, günstiger, unabhängig
Warum wir unseren Passwort-Manager von 1Password auf Vaultwarden umgestellt haben – und wie dein Unternehmen in unter einer Stunde nachzieht.
TL;DR
1Password speichert deine Zugangsdaten auf AWS-Servern in den USA. Vaultwarden ist eine Open-Source-Alternative, die du auf deinem eigenen Server betreibst – mit denselben Bitwarden-Apps.
- Vaultwarden läuft als einzelner Docker-Container (eine isolierte, portable Software-Einheit) mit unter 50 MB RAM
- End-to-End-Verschlüsselung mit AES-256 (ein militärischer Verschlüsselungsstandard) – der Server sieht nie deine Klartext-Passwörter
- Kompatibel mit allen offiziellen Bitwarden-Apps (iOS, Android, Browser, Desktop)
- Kostenersparnis: ~2.500 EUR in 3 Jahren gegenüber 1Password Business (bei 10 Usern)
Dein Passwort-Manager kennt alles: Login-Daten, API-Keys, Kreditkarten, vertrauliche Notizen. Er ist der Generalschlüssel zu deinem Unternehmen. Weißt du, wer außer dir noch Zugriff hat?
Bei 1Password liegen deine Daten auf Amazon-Servern in den USA – wer ein Konto auf 1password.com erstellt, speichert in der US-Region von AWS. Über den CLOUD Act (ein US-Gesetz, das Behörden Zugriff auf Daten bei US-Firmen erlaubt) fordern US-Behörden diese Daten an – ohne dein Wissen, ohne deutschen Richterbeschluss.
Wir haben uns gefragt: Muss das sein? Die Antwort war nein. Seit über einem Jahr läuft bei uns Vaultwarden auf einem Hetzner-Server – und wir haben nichts vermisst.
Was ist ein Passwort-Manager – und warum braucht dein Unternehmen einen?
Ein Passwort-Manager speichert alle Zugangsdaten deines Teams in einem verschlüsselten Tresor (einem digitalen Safe für Passwörter). Statt 50 verschiedene Passwörter zu merken, braucht jeder Mitarbeiter nur ein einziges Master-Passwort.
Laut dem Verizon Data Breach Report gehen über 80 % aller Datenlecks auf schwache oder wiederverwendete Passwörter zurück. Ein Passwort-Manager generiert für jeden Dienst ein zufälliges Passwort. Niemand muss sich mehr „Firma2024!" merken.
Für Teams kommt ein weiterer Vorteil dazu: geteilte Tresore. Das Marketing-Team greift auf Social-Media-Logins zu, die Entwickler auf Server-Zugänge, die Buchhaltung auf Banking-Daten. Alles sauber getrennt, zentral verwaltet, sofort widerrufbar.
Wo speichert 1Password deine Passwörter – und wer greift darauf zu?
1Password ist ein kanadisches Unternehmen. Die Infrastruktur läuft aber auf Amazon Web Services in den USA. Relevant, weil der CLOUD Act greift: US-Behörden verlangen von Amazon die Herausgabe von Daten. Egal wo auf der Welt diese Daten liegen.
„Aber die Daten sind doch verschlüsselt!" – Stimmt. 1Password nutzt End-to-End-Verschlüsselung (Daten werden auf deinem Gerät verschlüsselt und erst beim Empfänger entschlüsselt). Weder 1Password noch Amazon lesen deine Passwörter im Klartext. Das eigentliche Risiko liegt woanders: bei Supply-Chain-Angriffen (Attacken über Drittanbieter in der Lieferkette).
Oktober 2023: Angreifer drangen über eine Schwachstelle bei Okta in das Admin-Portal von 1Password ein. Laut 1Passwords eigenem Bericht wurden keine Nutzerdaten kompromittiert. Trotzdem zeigt der Vorfall: Wer auf Drittanbieter-Infrastruktur setzt, importiert deren Risiken.
Dazu kommt der Preis: 1Password Business kostet 7,99 USD pro User pro Monat. Bei 10 Personen sind das knapp 74 EUR im Monat – fast 900 EUR im Jahr. Für einen Dienst, den du nicht kontrollierst.
Was ist Vaultwarden – und wie unterscheidet es sich von 1Password?
Vaultwarden ist eine Open-Source-Implementierung der Bitwarden-Server-API, geschrieben in Rust. Konkret: ein leichtgewichtiger Server, der mit allen offiziellen Bitwarden-Apps funktioniert – auf iPhone, Android, im Browser und auf dem Desktop.
Der Unterschied zu 1Password: Vaultwarden läuft auf deinem eigenen Server. Ein einzelner Docker-Container mit weniger als 50 MB RAM. Kein Abo, keine US-Cloud, kein Drittanbieter.
Das bietet Vaultwarden:
- Passwörter, Notizen, Kreditkarten speichern und teilen
- TOTP-Codes (zeitbasierte Einmal-Passwörter für die Zwei-Faktor-Authentifizierung, kurz 2FA) direkt im Tresor generieren – kein separater Authenticator nötig
- Organisations-Tresore für Team-Sharing mit Zugriffsrechten
- Emergency Access (Notfallzugriff) – eine Vertrauensperson erhält im Ernstfall Zugang zu deinem Tresor
- Browser-Extensions, Mobile-Apps, Desktop-Apps – alles von Bitwarden, alles kompatibel
Der Code ist Open Source unter der AGPL-Lizenz (eine Lizenz, die den Quellcode für jeden einsehbar und prüfbar macht) und liegt auf GitHub. Du prüfst selbst, was die Software tut. Bei 1Password musst du dem Unternehmen vertrauen.
Ist ein selbst gehosteter Passwort-Manager wirklich sicher?
Die häufigste Frage: „Ist es nicht unsicherer, das selbst zu betreiben?" Nein. Der Grund liegt in der Architektur.
Vaultwarden nutzt eine Zero-Knowledge-Architektur (der Server kennt deine Passwörter nie im Klartext). Deine Passwörter werden auf deinem Gerät verschlüsselt, bevor sie den Server erreichen. Der Server speichert nur verschlüsselten Datensalat. Selbst bei einem Server-Einbruch bleiben die Daten ohne dein Master-Passwort nutzlos.
Die Verschlüsselung: AES-256-CBC (ein Verschlüsselungsstandard mit 256-Bit-Schlüssel) mit HMAC-SHA256 (ein Verfahren, das die Integrität der Daten sichert). Banken und Geheimdienste verwenden denselben Standard. Mehrere unabhängige Prüfungen bestätigen die Sicherheit:
- Cure53 – unabhängiges Security-Audit
- ETH Zürich – die Forscher bestätigten, dass die Verschlüsselung sogar gegen einen kompromittierten Server schützt
- Unit 42 (Palo Alto Networks) und IOActive – weitere Sicherheitsprüfungen
Alle Audit-Berichte sind öffentlich einsehbar. Wann hat 1Password zuletzt einen vollständigen Audit-Bericht veröffentlicht?
Der entscheidende Vorteil: Bei Self-Hosting gibt es keine Supply Chain (Lieferkette von Drittanbietern). Kein Okta, kein AWS, kein Zwischenhändler. Dein Server, deine Daten, deine Verantwortung. Weniger Angriffsfläche.
Was kostet der Wechsel – und was sparst du langfristig?
Hier der direkte Vergleich für ein Team mit 10 Personen über 3 Jahre:
| 1Password Business | Vaultwarden (Hetzner) | |
|---|---|---|
| Monatliche Kosten | ~74 EUR | ~4,49 EUR |
| Kosten über 3 Jahre | ~2.664 EUR | ~162 EUR |
| Datenstandort | AWS USA | Hetzner Deutschland/Finnland |
| CLOUD Act | Ja, betroffen | Nein |
| Ersparnis über 3 Jahre | – | ~2.500 EUR |
Die 4,49 EUR monatlich decken einen Hetzner-Cloud-Server (CX22) ab. Vaultwarden läuft dort neben anderen Diensten. Die Software selbst ist kostenlos – keine Lizenzgebühren, keine Pro-User-Kosten.
Wächst dein Team von 10 auf 50 Personen, bleibt der Serverpreis gleich. Bei 1Password zahlst du dann 370 EUR pro Monat.
Wie läuft die Umstellung in der Praxis?
Wir haben die Umstellung selbst gemacht – von 1Password zu Vaultwarden auf Hetzner mit Coolify. So lief das ab:
- Vaultwarden deployen – In Coolify ist Vaultwarden als One-Click-App verfügbar. Server auswählen, Domain zuweisen, deployen. Dauer: 5 Minuten.
- Admin-Account anlegen und Organisations-Tresore einrichten (z. B. „Entwicklung", „Marketing", „Finanzen"). Dauer: 10 Minuten.
- Daten aus 1Password exportieren – 1Password bietet einen CSV- und 1PUX-Export. In der Bitwarden-App „Import" auswählen, Datei hochladen, fertig. Dauer: 5 Minuten pro Person.
- Bitwarden-Apps installieren – Die offiziellen Bitwarden-Apps aus dem App Store bzw. als Browser-Extension installieren. Server-URL auf deine eigene Domain setzen. Dauer: 2 Minuten pro Gerät.
- Team einladen – Jeder Mitarbeiter bekommt eine Einladung per Mail, erstellt sein Master-Passwort und hat sofort Zugriff auf die geteilten Tresore.
Gesamtdauer für unser Team: unter einer Stunde. Pro Person etwa 10 Minuten. Die Apps sehen nahezu identisch aus – kaum Umgewöhnung.
Seitdem läuft Vaultwarden bei uns über ein Jahr ohne Ausfall. Updates kommen über Coolify mit einem Klick. Backups laufen automatisch.
Fazit
1Password ist kein schlechtes Produkt. Aber warum deine sensibelsten Daten auf US-Servern speichern, wenn eine gleichwertige Alternative auf deinem eigenen Server läuft? Sicherer, günstiger, unabhängig.
Vaultwarden liefert denselben Funktionsumfang, nutzt dieselben Apps und kostet einen Bruchteil. Für uns war der Wechsel Teil einer größeren Strategie: Raus aus der US-Cloud, rein in die Datensouveränität. Der Passwort-Manager war einer der einfachsten Schritte – und einer der wirkungsvollsten.
Häufige Fragen
Ist Vaultwarden dasselbe wie Bitwarden? +
Nicht ganz. Bitwarden ist der offizielle Server (in C# geschrieben) und wird als SaaS-Dienst angeboten. Vaultwarden ist eine inoffizielle, in Rust geschriebene Implementierung der Bitwarden-Server-API. Vaultwarden ist deutlich leichtgewichtiger: ein Container statt vieler Microservices. Premium-Features wie TOTP und Organisations-Tresore sind kostenlos enthalten. Alle offiziellen Bitwarden-Apps funktionieren mit beiden Servern.
Was passiert, wenn mein Server ausfällt – sind dann alle Passwörter weg? +
Nein. Die Bitwarden-Apps speichern eine verschlüsselte Kopie deines Tresors lokal auf jedem Gerät. Bei Server-Ausfall greifst du weiterhin auf alle Passwörter zu. Neue Einträge synchronisieren sich, sobald der Server wieder erreichbar ist. Richte zusätzlich regelmäßige Backups der Vaultwarden-Datenbank ein.
Brauche ich technisches Know-how, um Vaultwarden zu betreiben? +
Grundkenntnisse mit Servern helfen, sind aber nicht zwingend nötig. Mit Coolify deployst du Vaultwarden per One-Click – inklusive SSL-Zertifikat und automatischen Updates. Falls du Unterstützung brauchst: wir helfen Unternehmen regelmäßig bei diesem Schritt.
Kann ich Vaultwarden auch für größere Teams mit 50+ Personen nutzen? +
Ja. Vaultwarden ist ressourcenschonend. Selbst mit 200 Usern braucht der Server kaum mehr RAM als mit 10. Die Organisations-Tresore unterstützen Gruppen und granulare Zugriffsrechte – du behältst auch bei größeren Teams die Übersicht. Für Enterprise-Szenarien mit SSO-Anbindung oder SCIM-Provisioning lohnt sich ein Blick auf den offiziellen Bitwarden-Server.
Bereit für den Wechsel?
Wir richten Vaultwarden auf deinem Server ein – inklusive Coolify-Setup, SSL, Backups und Team-Onboarding. In 30 Minuten bist du live.
Kostenlose Beratung buchen