RackDiff
Alle Guides

Vaultwarden installieren: Bitwarden selbst hosten 2026

Schritt-für-Schritt: Vaultwarden mit Docker installieren, HTTPS einrichten, Apps konfigurieren. Kostenloser Passwort-Manager mit Premium-Features.

Dirk Hesse
5. Februar 2026
6 Min. Lesezeit

1Password kostet 36$/Jahr. Bitwarden Premium 10$/Jahr. Was, wenn du alle Premium-Features bekommst - für 0€ laufende Kosten?

Die Rechnung: Ein VPS (Virtual Private Server - dein eigener Server in der Cloud) kostet ab 4€/Monat. Vaultwarden braucht nur ~100 MB RAM - der kleinste Server reicht völlig. Die Einmal-Einrichtung dauert 10 Minuten, danach hast du: Alle Bitwarden Premium-Features, volle Datenkontrolle, und deine Passwörter auf deinem Server statt bei US-Unternehmen.

Voraussetzungen

Du brauchst:

VPS-Empfehlung: Vaultwarden braucht nur ~100 MB RAM. Der kleinste VPS reicht völlig!

AnbieterProduktRAMPreis
HetznerCX222 GB4,35€/mo
NetcupRS 10002 GBaktueller Bruttopreis
IONOSVPS S1 GB4€/mo

Hetzner bietet die schnellsten SSDs, Netcup das beste Preis-Leistungs-Verhältnis, IONOS den günstigsten Einstieg.

Günstigen Server für Vaultwarden gesucht?

Vaultwarden braucht nur 100 MB RAM - der kleinste Server reicht. Hier findest du VPS unter 10€/Monat.

Server unter 10€ anzeigen

Schritt 1: Docker Compose Datei erstellen

Erstelle einen Ordner und die docker-compose.yml:

mkdir -p ~/vaultwarden && cd ~/vaultwarden

docker-compose.yml:

version: '3'

services:
  vaultwarden:
    image: vaultwarden/server:latest
    container_name: vaultwarden
    restart: always
    volumes:
      - ./data:/data
    environment:
      - DOMAIN=https://vault.deinedomain.de
      - SIGNUPS_ALLOWED=true  # Nach erstem Account auf false setzen!
      - ADMIN_TOKEN=${ADMIN_TOKEN}
    ports:
      - 8080:80

.env Datei erstellen:

# Generiere sicheres Admin-Token
echo "ADMIN_TOKEN=$(openssl rand -base64 48)" > .env
cat .env  # Token notieren!

Wichtig: Ersetze vault.deinedomain.de mit deiner echten Domain!

Schritt 2: Vaultwarden starten

Container starten:

docker compose up -d

Status prüfen:

docker compose logs -f
# Sollte zeigen: 'Rocket has launched from http://0.0.0.0:80'

Vaultwarden läuft jetzt auf Port 8080. Aber: Ohne HTTPS funktionieren die Apps nicht richtig - also weiter zum nächsten Schritt!

Schritt 3: HTTPS mit Caddy einrichten

Caddy ist der einfachste Weg für automatisches HTTPS. Erweitere deine docker-compose.yml:

version: '3'

services:
  vaultwarden:
    image: vaultwarden/server:latest
    container_name: vaultwarden
    restart: always
    volumes:
      - ./data:/data
    environment:
      - DOMAIN=https://vault.deinedomain.de
      - SIGNUPS_ALLOWED=true
      - ADMIN_TOKEN=${ADMIN_TOKEN}
    # Ports entfernt - Caddy übernimmt

  caddy:
    image: caddy:latest
    container_name: caddy
    restart: always
    ports:
      - 80:80
      - 443:443
    volumes:
      - ./Caddyfile:/etc/caddy/Caddyfile
      - caddy_data:/data
    depends_on:
      - vaultwarden

volumes:
  caddy_data:

Caddyfile erstellen:

vault.deinedomain.de {
    reverse_proxy vaultwarden:80
}

Neu starten:

docker compose down
docker compose up -d

Tipp: Caddy holt automatisch ein SSL-Zertifikat. Stelle sicher, dass deine Domain per DNS auf den Server zeigt und Port 80/443 offen sind.

Schritt 4: Ersten Account erstellen

Öffne https://vault.deinedomain.de im Browser:

  1. Klicke 'Create Account'
  2. Wähle eine E-Mail und ein starkes Master-Passwort
  3. Erstelle den Account

WICHTIG: Nach dem ersten Account die Registrierung deaktivieren!

Schritt 5: Registrierung deaktivieren

Damit sich niemand anders registrieren kann:

In docker-compose.yml ändern:

- SIGNUPS_ALLOWED=false

Container neu starten:

docker compose up -d

Tipp: Falls du später weitere User hinzufügen willst: Nutze die Admin-Oberfläche unter /admin (Passwort ist dein ADMIN_TOKEN).

Schritt 6: Apps konfigurieren

Jetzt verbindest du die offiziellen Bitwarden-Apps mit deinem Server:

Browser Extension

  1. Installiere 'Bitwarden' aus dem Browser Store
  2. Klicke auf das Zahnrad (vor dem Login!)
  3. Unter 'Server URL' eingeben: https://vault.deinedomain.de
  4. Speichern und einloggen

Mobile App

  1. Installiere 'Bitwarden' aus App Store/Play Store
  2. Tippe auf 'Self-hosted' bei der Region-Auswahl
  3. Server URL: https://vault.deinedomain.de
  4. Einloggen

Desktop App

  1. Lade die App von bitwarden.com/download
  2. Menü → Datei → Einstellungen → Server URL
  3. Einloggen

Schritt 7: Admin-Panel erkunden

Vaultwarden hat ein Admin-Panel unter /admin:

https://vault.deinedomain.de/admin
→ Passwort = dein ADMIN_TOKEN aus der .env

Admin-Features:

  • Neue User einladen (auch bei deaktivierter Registrierung)
  • User-Übersicht und Management
  • Server-Statistiken
  • Backup-Optionen
  • Konfigurations-Übersicht

Warnung: Admin-Panel nur aus vertrauenswürdigen Netzwerken nutzen oder zusätzlich absichern (IP-Whitelist, VPN).

Schritt 8: Backup einrichten

Kritisch! Richte automatische Backups ein:

Backup-Script erstellen:

#!/bin/bash
# backup-vaultwarden.sh

BACKUP_DIR="/backup/vaultwarden"
DATE=$(date +%Y%m%d_%H%M%S)

mkdir -p $BACKUP_DIR
tar -czf $BACKUP_DIR/vaultwarden-$DATE.tar.gz ~/vaultwarden/data

# Alte Backups löschen (behalte 30 Tage)
find $BACKUP_DIR -type f -mtime +30 -delete

echo "Backup completed: vaultwarden-$DATE.tar.gz"

Cronjob einrichten (täglich 3 Uhr):

chmod +x backup-vaultwarden.sh
crontab -e
# Zeile hinzufügen:
0 3 * * * /root/backup-vaultwarden.sh

Tipp: Übertrage Backups zusätzlich auf externen Storage (Hetzner Storage Box, rsync zu anderem Server, etc.).

Schritt 9: 2FA für Admin aktivieren

Schütze deinen Admin-Account mit TOTP:

  1. Im Web Vault einloggen
  2. Einstellungen → Sicherheit → Zwei-Faktor-Authentifizierung
  3. Authenticator App einrichten (TOTP)
  4. Recovery Codes sicher aufbewahren!

Highlight: Mit Vaultwarden kannst du auch TOTP-Codes für andere Dienste direkt im Passwort-Manager speichern - ein Premium-Feature!

Von anderen Passwort-Managern migrieren

So importierst du bestehende Passwörter:

VonMigration
BitwardenExport als .json (unverschlüsselt), Import in Vaultwarden: Tools → Import Data
1PasswordExport als .csv, Import als '1Password (csv)'
LastPassExport als .csv, Import als 'LastPass (csv)'
KeePassExport als .xml (KeePass 2.x), Import als 'KeePassX (xml)'

Fazit

Du hast jetzt einen vollständigen Passwort-Manager mit allen Premium-Features - komplett selbst gehostet, DSGVO-konform, und ohne laufende Kosten.

Kosten im Vergleich: 1Password kostet 36$/Jahr, Bitwarden Premium 10$/Jahr. Ein VPS für Vaultwarden kostet ~48€/Jahr - aber du kannst darauf noch Immich für Fotos, Paperless für Dokumente oder dein eigenes VPN laufen lassen.

Häufig gestellte Fragen

Weitere Self-Hosting Guides

n8n Self-Hosting Guide

n8n Self-Hosting Guide

Docker Setup Schritt für Schritt

Lesen
Ollama auf VPS installieren

Ollama auf VPS installieren

Lokale KI mit Open WebUI

Lesen
WireGuard VPN Setup

WireGuard VPN Setup

Eigenes VPN mit wg-easy

Lesen

VPS für deinen Passwort-Manager gesucht?

Vaultwarden braucht nur minimale Ressourcen - der kleinste VPS reicht völlig.

Server unter 10€ anzeigen

Passender VPS-Rechner

Vaultwarden Self-Hosting: Die besten VPS 2026

Finde den perfekten Server für deinen Passwort-Manager

Zum VPS-Rechner

Verwandte Artikel

Warum KI-Tools das falsche Framework für dein Projekt wählen
vergleich

Warum KI-Tools das falsche Framework für dein Projekt wählen

Cloud IDE selbst hosten: code-server, Coder & DevPod auf eigenem VPS (2026)
Tutorial

Cloud IDE selbst hosten: code-server, Coder & DevPod auf eigenem VPS (2026)

GitLab CE selbst hosten: Mit KI zum eigenen Git-Server
Self-Hosting

GitLab CE selbst hosten: Mit KI zum eigenen Git-Server