Dein eigener Passwort-Tresor: Vaultwarden mit Docker

LastPass gehackt. 1Password in der Cloud. Bitwarden braucht einen teuren Server. Was, wenn du deinen eigenen Passwort-Manager hosten könntest – mit voller Kontrolle, ohne Abo, und in unter 5 Minuten aufgesetzt?

Vaultwarden (ehemals Bitwarden_RS) macht genau das möglich. Es ist eine leichtgewichtige, inoffizielle Implementierung der Bitwarden-Server-API – kompatibel mit allen offiziellen Bitwarden-Apps und Browser-Extensions.

🤔 Vaultwarden vs. Bitwarden: Was ist der Unterschied?

🛠️ Setup: Vaultwarden mit Docker Compose

1. Projektordner erstellen

mkdir my-vaultwarden && cd my-vaultwarden

2. Docker Compose Konfiguration

my-vaultwarden/docker-compose.yml:

version: '3.8'
services:
  vaultwarden:
    image: vaultwarden/server:latest
    container_name: vaultwarden
    restart: unless-stopped
    ports:
      - "8080:80"
    environment:
      DOMAIN: "https://vault.deine-domain.de"
      SIGNUPS_ALLOWED: "true"
      ADMIN_TOKEN: "dein-sicherer-admin-token"
    volumes:
      - ./vw-data:/data

3. Starten

docker compose up -d

Dein Passwort-Tresor läuft jetzt unter:

http://localhost:8080

🔐 Erster Login: Account erstellen

1. Öffne http://localhost:8080 im Browser.
2. Klicke auf "Konto erstellen".
3. Wähle ein starkes Master-Passwort (das einzige, das du dir merken musst).
4. E-Mail eingeben und registrieren.

⚠️ Wichtig: Setze nach der Registrierung SIGNUPS_ALLOWED auf "false" in der docker-compose.yml, um fremde Registrierungen zu verhindern. Dann docker compose up -d erneut ausführen.

📱 Apps & Browser-Extension verbinden

Da Vaultwarden die Bitwarden-API implementiert, kannst du die offiziellen Bitwarden-Apps verwenden:

Server-URL einstellen

In jeder Bitwarden-App gibt es die Option "Self-Hosted" oder "Server-URL". Dort trägst du deine Vaultwarden-URL ein:

https://vault.deine-domain.de

💡 Für lokale Tests (ohne Domain) kannst du auch http://192.168.1.100:8080 verwenden – allerdings funktionieren Browser-Extensions meist nur mit HTTPS.

🛡️ HTTPS einrichten (Produktion)

Für den produktiven Einsatz brauchst du HTTPS. Am einfachsten geht das mit einem Reverse Proxy. Hier ein erweitertes Setup mit Caddy:

my-vaultwarden/docker-compose.yml (erweitert):

version: '3.8'
services:
  vaultwarden:
    image: vaultwarden/server:latest
    container_name: vaultwarden
    restart: unless-stopped
    environment:
      DOMAIN: "https://vault.deine-domain.de"
      SIGNUPS_ALLOWED: "false"
      ADMIN_TOKEN: "dein-sicherer-admin-token"
    volumes:
      - ./vw-data:/data

  caddy:
    image: caddy:2-alpine
    container_name: caddy
    restart: unless-stopped
    ports:
      - "80:80"
      - "443:443"
    volumes:
      - ./Caddyfile:/etc/caddy/Caddyfile
      - ./caddy-data:/data
      - ./caddy-config:/config

my-vaultwarden/Caddyfile:

vault.deine-domain.de {
    reverse_proxy vaultwarden:80
}

Caddy kümmert sich automatisch um Let's Encrypt Zertifikate – kein manuelles SSL-Setup nötig.

⚙️ Admin-Panel

Vaultwarden hat ein verstecktes Admin-Panel unter:

http://localhost:8080/admin

Dort kannst du:

• Benutzer verwalten und einladen
• Server-Einstellungen ändern
• Organisation erstellen
• SMTP für E-Mail-Benachrichtigungen konfigurieren

Der Login erfolgt mit dem ADMIN_TOKEN aus der docker-compose.yml.

📋 Nützliche Befehle

Backup erstellen

# Stoppe Vaultwarden kurz für konsistentes Backup
docker compose down
tar -czf vaultwarden-backup.tar.gz vw-data/
docker compose up -d

💡 Tipp: Automatisiere das Backup mit einem Cronjob oder übertrage es auf einen externen Speicher.

📈 Erweiterungs-Ideen

Fazit

Vaultwarden ist das perfekte Self-Hosting-Projekt: Klein, sicher, mächtig. Du bekommst alle Premium-Features von Bitwarden – kostenlos und unter deiner Kontrolle. Kein Cloud-Anbieter, dem du vertrauen musst. Keine Abo-Gebühren. Nur dein Server, deine Daten, dein Tresor.

Das einzige Passwort, das du dir noch merken musst, ist dein Master-Passwort. Den Rest erledigt Vaultwarden. 🔐