Vaultwarden auf dem eigenen Mini-Server: Bitwarden komplett selbst hosten 2026

Bitwarden ist die Standardempfehlung für Passwort-Manager – aber wer seine Passwörter nicht in fremde Hände geben möchte, kann den Server-Teil komplett selbst betreiben. Vaultwarden (früher bitwarden_rs) ist eine in Rust geschriebene, quelloffene Implementierung der Bitwarden-Server-API. Kompatibel mit allen offiziellen Bitwarden-Clients, aber so schlank, dass sie auf einem Raspberry Pi 4 läuft. Diese Anleitung zeigt das komplette Setup von Hardware bis HTTPS.

Was du brauchst

• Einen Mini-Server: Raspberry Pi 4/5, ein altes NUC, ein VPS bei Hetzner für 4 €/Monat – alles funktioniert. Mindestens 1 GB RAM, 8 GB Speicher.
• Debian/Ubuntu/Raspberry Pi OS oder eine andere Linux-Distribution mit Docker.
• Eine Domain, die du auf den Server zeigen lässt (für HTTPS unabdingbar). Eine kostenlose .duckdns.org-Subdomain reicht völlig.
• Offene Ports 80 und 443 auf dem Router (für HTTPS-Erreichbarkeit von außen) – oder alternativ einen Cloudflare Tunnel ohne offene Ports.

Schritt 1: Docker installieren

Vaultwarden läuft am bequemsten als Container. Auf einem frischen Debian/Ubuntu/Raspberry Pi OS reicht der offizielle Installer:

curl -fsSL https://get.docker.com | sudo sh
sudo usermod -aG docker $USER
newgrp docker

Kurz docker run hello-world testen – wenn das durchläuft, ist alles bereit.

Schritt 2: Vaultwarden-Container starten

Das offizielle Vaultwarden-Image ist auf Docker Hub verfügbar. Wir legen einen Datenordner an und starten den Container:

mkdir -p ~/vaultwarden/data

docker run -d --name vaultwarden \
  --restart unless-stopped \
  -v ~/vaultwarden/data:/data \
  -e DOMAIN=https://vault.deine-domain.de \
  -e SIGNUPS_ALLOWED=true \
  -p 127.0.0.1:8000:80 \
  vaultwarden/server:latest

Wichtig: SIGNUPS_ALLOWED=true nur für die initiale Account-Erstellung anlassen – später auf false setzen und Container neu starten, sonst kann jeder beliebige Account auf deinem Server anlegen.

Schritt 3: Caddy als HTTPS-Proxy davorschalten

Bitwarden-Clients verlangen zwingend eine HTTPS-Verbindung. Statt manuell mit Let’s-Encrypt-Zertifikaten zu hantieren, nehmen wir Caddy – der Webserver kümmert sich automatisch um Zertifikatsausstellung und -erneuerung.

# Caddy installieren (Debian/Ubuntu)
sudo apt install -y debian-keyring debian-archive-keyring apt-transport-https
curl -1sLf 'https://dl.cloudsmith.io/public/caddy/stable/gpg.key' | sudo gpg --dearmor -o /usr/share/keyrings/caddy-stable-archive-keyring.gpg
curl -1sLf 'https://dl.cloudsmith.io/public/caddy/stable/debian.deb.txt' | sudo tee /etc/apt/sources.list.d/caddy-stable.list
sudo apt update && sudo apt install -y caddy

Dann /etc/caddy/Caddyfile öffnen und ersetzen mit:

vault.deine-domain.de {
    reverse_proxy 127.0.0.1:8000
}

Neustart: sudo systemctl restart caddy. Caddy holt sich beim ersten Aufruf automatisch ein gültiges Let’s-Encrypt-Zertifikat. Nach 30 Sekunden ist deine Vault unter https://vault.deine-domain.de erreichbar.

Schritt 4: Account anlegen und absichern

1. Im Browser https://vault.deine-domain.de aufrufen, auf „Konto erstellen“ klicken.
2. Master-Passwort: mindestens 16 Zeichen, einmalig, niemals verwendet. Wenn du es vergisst, sind alle Daten verloren – es gibt absichtlich keinen Reset.
3. Nach dem Login: in den Einstellungen die Zwei-Faktor-Authentifizierung aktivieren (TOTP-App oder besser ein Hardware-Token).
4. Im docker run-Befehl SIGNUPS_ALLOWED=false setzen und Container neu starten: docker rm -f vaultwarden && docker run … mit angepasster Variable.

Schritt 5: Clients verbinden

Die offiziellen Bitwarden-Clients (Browser-Extension, Desktop, iOS/Android) funktionieren 1:1 mit Vaultwarden – nur die Server-URL muss umgestellt werden:

• In der Login-Maske auf das Zahnrad-Symbol oben links klicken.
• Server-URL auf https://vault.deine-domain.de setzen.
• Speichern und mit deinem Account einloggen.

Browser-Auto-Fill, mobile Apps, Sharing zwischen Geräten – alles funktioniert wie beim offiziellen Bitwarden-Server. Nur dass dein Tresor in deinem Wohnzimmer steht.

Backup-Strategie nicht vergessen

Self-Hosting heißt: du bist allein verantwortlich. Wenn die SD-Karte stirbt und kein Backup existiert, sind alle Passwörter weg. Pflichtprogramm:

• Tägliches Backup von ~/vaultwarden/data auf einen externen Speicher (z. B. via Borg, Restic oder einfach rsync auf ein NAS).
• Ein Offsite-Backup auf einen Cloud-Speicher (verschlüsselt, z. B. via Restic+Backblaze B2).
• Backup regelmäßig testen – ein nicht getestetes Backup ist kein Backup. Siehe dazu unsere 3-2-1-Backup-Strategie 2026.

Häufige Stolperfallen

• WebSocket nicht erreichbar: Live-Sync zwischen Geräten braucht WebSockets. Wenn der Caddy-Proxy davor sitzt, läuft das automatisch – bei nginx muss proxy_set_header Upgrade $http_upgrade rein.
• Selbstsigniertes Zertifikat: funktioniert nicht mit den mobilen Clients. Lass Caddy ein echtes Let’s-Encrypt-Cert holen.
• Mailversand: Für Passwort-Resets und Einladungen brauchst du SMTP-Daten in den Env-Variablen (SMTP_HOST, SMTP_FROM etc.). Ohne läuft Vaultwarden, aber ohne Mail-Funktionen.
• Updates vergessen: docker pull vaultwarden/server:latest regelmäßig – am besten automatisiert per Watchtower.

Fazit

Vaultwarden ist eines der besten Self-Hosting-Projekte überhaupt: schlank, stabil, kompatibel mit den offiziellen Clients und in unter 30 Minuten produktiv. Der Lohn: deine Passwörter liegen auf deinem Server, in deinem Netzwerk, und du zahlst keinen Cent für die Premium-Features (Hardware-Token, Reports, Familie). Wer einen Mini-Server zu Hause stehen hat, sollte das Wochenende dafür einplanen – einmal richtig aufgesetzt, läuft es jahrelang ohne Wartung.

📖 Passende Artikel: Passwort-Manager im Vergleich 2026 · 3-2-1-Backup-Strategie 2026 · WireGuard VPN-Server selbst hosten

Selbst gehostet oder lieber bei Bitwarden in der Cloud? Schreib uns deine Erfahrung in die Kommentare!