Passwortmanager auf dem Pi: Vaultwarden selber hosten

Ein Passwortmanager auf dem Pi: Vaultwarden selber hosten ist für viele Nutzer die ideale Kombination aus Komfort, Datenschutz und Kontrolle. Statt Passwörter und sensible Notizen bei einem externen Cloud-Anbieter abzulegen, betreiben Sie Ihren eigenen Bitwarden-kompatiblen Server im Heimnetz oder auf einem kleinen Homeserver. Vaultwarden ist dabei eine besonders ressourcenschonende, inoffizielle Server-Implementierung, die mit den offiziellen Bitwarden-Apps und Browser-Erweiterungen zusammenarbeitet. Das macht sie attraktiv für Raspberry-Pi-Setups, weil Sie mit wenig Stromverbrauch und überschaubarer Hardware eine zentrale, synchronisierte Passwortverwaltung aufbauen können. Gleichzeitig ist das Thema sicherheitskritisch: Ein selbst gehosteter Passwortmanager ist nur dann ein Gewinn, wenn Netzwerkzugriff, HTTPS, Updates, Backups und Zugangsschutz konsequent umgesetzt werden. In diesem Artikel erfahren Sie Schritt für Schritt, wie Sie Vaultwarden auf einem Raspberry Pi sauber planen, sicher veröffentlichen (oder bewusst nur intern betreiben), Benutzer und Admin-Bereich sinnvoll absichern und den Betrieb wartbar halten – ohne unnötige Komplexität, aber mit einem klaren Fokus auf Sicherheit und Alltagstauglichkeit.

Vaultwarden kurz erklärt: Was Sie bekommen und was nicht

Vaultwarden ist eine Bitwarden-kompatible Serverlösung, die sich vor allem durch geringe Ressourcenanforderungen und flexible Konfiguration auszeichnet. Sie können damit Tresore (Vaults), Passwörter, sichere Notizen, Organisationen und (je nach Plan/Client-Funktion) viele typische Bitwarden-Workflows nutzen – über die offiziellen Bitwarden-Clients. Vaultwarden empfiehlt für den Betrieb in der Regel Container-Images, was Installation und Updates stark vereinfacht. Eine gute Einstiegsquelle ist das Projekt-Repository, inklusive Hinweisen zu Images und Betrieb: Vaultwarden auf GitHub sowie die README-Informationen zur empfohlenen Container-Nutzung: Vaultwarden README.

• Vorteile: geringer Hardwarebedarf, gute Client-Kompatibilität, flexible Konfiguration über Umgebungsvariablen
• Typische Einsatzfälle: persönlicher Tresor, Familien-Tresor, kleines Team, Homelab
• Wichtige Einschränkung: Selbsthosting bedeutet eigene Verantwortung für Updates, Backup und Absicherung

Vorbereitung: Hardware, Netzwerk und Speicher sinnvoll planen

Ein Raspberry Pi eignet sich hervorragend als Always-on-Dienst – vorausgesetzt, Sie planen Stromversorgung und Speicher richtig. Für Vaultwarden selbst ist die Rechenlast moderat, aber die Zuverlässigkeit Ihres Speichers entscheidet über Datenintegrität und Wiederherstellbarkeit.

• Raspberry Pi 4 oder 5: ausreichend Reserven, gute Netzwerk- und USB-Anbindung
• Speicher: Für produktiven Einsatz ist eine SSD (USB 3.0) oft langlebiger als eine microSD-Karte, besonders bei häufigen Schreibzugriffen (Logs, Datenbank, Backups)
• Netzwerk: Ethernet ist stabiler als WLAN, insbesondere wenn Sie externen Zugriff oder mehrere Nutzer planen
• Uhrzeit/Zeitsynchronisation: Korrekte Systemzeit ist für TLS-Zertifikate und Token wichtig

Wenn Sie Vaultwarden zusammen mit anderen Diensten (Reverse Proxy, Home Assistant, Nextcloud) betreiben, ist eine saubere Trennung über Docker und getrennte Volumes besonders empfehlenswert.

Installationsstrategie: Docker als Standard für Wartbarkeit

Für die meisten Raspberry-Pi-Setups ist Docker die pragmatischste Wahl: Sie erhalten reproduzierbare Deployments, klare Updateprozesse und minimieren Konflikte mit Systempaketen. Vaultwarden selbst empfiehlt die Nutzung der Container-Images und beschreibt verfügbare Tags und Varianten. Eine zentrale Referenz ist die Wiki-Seite zur Image-Auswahl: Which container image to use. Zusätzlich finden Sie Informationen auf der Docker-Hub-Seite des Images, inklusive Hinweisen zu HTTPS und Reverse Proxy: vaultwarden/server auf Docker Hub.

Für Einsteiger ist wichtig: Entscheiden Sie früh, wo persistente Daten liegen sollen (z. B. ein Verzeichnis unter /opt oder ein gemountetes SSD-Volume). Dort landen Datenbank, Anhänge und Konfigurationsdateien. Diese Persistenz ist die Grundlage für Backups und einen sauberen Umzug.

HTTPS ist Pflicht: Warum Vaultwarden nicht „einfach so“ ins Internet gehört

Ein Passwortmanager transportiert hochsensible Daten. Deshalb sollte die Weboberfläche nur über HTTPS erreichbar sein, besonders wenn Sie von unterwegs zugreifen möchten. Vaultwarden dokumentiert explizit, dass der sichere Zugriff in der Praxis über einen Reverse Proxy mit TLS umgesetzt wird, und verweist auf Beispiele und Wiki-Anleitungen. In der .env-Vorlage wird außerdem deutlich, dass Funktionen wie U2F/WebAuthn typischerweise HTTPS voraussetzen: Vaultwarden .env.template.

• Empfehlung: Vaultwarden nicht direkt „nackt“ per Portfreigabe veröffentlichen
• Besser: Reverse Proxy (z. B. Caddy, Nginx, Apache) mit TLS-Termination
• Noch besser: Externer Zugriff über VPN statt offene Ports, wenn Sie maximale Angriffsfläche vermeiden möchten

Reverse Proxy auswählen: Caddy als einfacher Weg zu sauberem TLS

Viele Nutzer bevorzugen Caddy, weil es TLS-Zertifikate automatisch verwalten kann (ACME/Let’s Encrypt oder alternative CAs). Das reduziert Konfigurationsaufwand und senkt Fehlerquellen bei der Zertifikatserneuerung. Die offizielle Caddy-Dokumentation zur TLS-Direktive erklärt, warum die Standard-TLS-Settings bewusst sicher sind und wann Anpassungen sinnvoll sind: Caddy TLS Directive. Alternativ können Sie Nginx oder Apache einsetzen, wenn Sie diese Infrastruktur bereits nutzen.

Für ein typisches Heimserver-Setup ist ein Reverse Proxy auch aus organisatorischen Gründen sinnvoll: Sie können mehrere Dienste unter Subdomains bündeln (z. B. vault.example.de, cloud.example.de) und zentral steuern, welche Dienste überhaupt von außen erreichbar sind.

Basis-Konfiguration: Domain, Umgebung und wichtige Variablen

Vaultwarden wird hauptsächlich über Umgebungsvariablen konfiguriert. Die .env-Vorlage ist deshalb nicht nur „Beispiel“, sondern ein sehr guter Leitfaden dafür, welche Stellschrauben relevant sind: Vaultwarden .env.template. Für ein sicheres Grundsetup sollten Sie vor allem diese Kategorien verstehen:

• DOMAIN/URL: Die öffentliche Basis-URL Ihrer Instanz (wichtig für Links, Clients und einige Sicherheitsfunktionen)
• Registrierung/Signups: Ob neue Benutzer sich registrieren dürfen, und ob Einladungen erforderlich sind
• Admin-Zugang: Zugriff auf Admin-Oberfläche über Admin-Token, idealerweise streng abgesichert
• Mail/SMTP: Für Einladungen, Benachrichtigungen und ggf. sicherheitsrelevante E-Mails
• Attachments/Uploads: Speicherorte und Limits für Anhänge

Praxis-Tipp: Aktivieren Sie Registrierungen nur so lange, bis alle benötigten Accounts angelegt sind, und deaktivieren Sie sie anschließend. Das reduziert das Risiko, dass Unbefugte Konten anlegen.

Client-Einrichtung: Offizielle Bitwarden-Apps sicher mit Ihrer Instanz verbinden

Ein großer Vorteil von Vaultwarden ist die Nutzung der offiziellen Bitwarden-Clients. Sie müssen also keine „Spezial-App“ installieren, sondern tragen in den Apps/Browser-Erweiterungen lediglich Ihre Server-URL ein. Bitwarden selbst bietet einen Überblick über Self-Hosting-Optionen und Architekturfragen, der als Orientierung nützlich ist, auch wenn Vaultwarden technisch ein eigenes Projekt ist: Self-host Bitwarden (Bitwarden Help). Wenn Sie später auf die offizielle Bitwarden-Server-Variante migrieren möchten, hilft dieser Kontext ebenfalls.

• Server-URL: exakt die HTTPS-URL verwenden, die auch im Reverse Proxy konfiguriert ist
• Vertrauen in Zertifikate: Für produktiven Einsatz ein gültiges, öffentlich vertrauenswürdiges Zertifikat nutzen
• Mehrgeräte-Sync: Nach dem Login synchronisieren die Clients automatisch über Ihre Instanz

Benutzer- und Zugriffsmodell: Einzelperson, Familie oder kleines Team

Bevor Sie produktiv starten, lohnt ein kurzer Blick auf Ihre Zielstruktur. Viele Nutzer beginnen alleine und erweitern später auf mehrere Personen. Das wirkt sich auf Sicherheit und Administration aus:

• Einzelperson: Fokus auf starke Authentifizierung, regelmäßige Backups, minimale Außenexponierung
• Familie/Haushalt: klare Trennung von Accounts, gemeinsame Sammlung/Organisation, Recovery-Plan definieren
• Kleines Team: Rollen, Zugriff auf gemeinsame Tresore, saubere Offboarding-Prozesse

Gerade bei mehreren Nutzern ist ein sauberer Admin-Workflow wichtig: Wer darf einladen? Wer darf Policies ändern? Wer verwaltet Backups und Updates? Je klarer diese Aufgaben verteilt sind, desto zuverlässiger bleibt das System.

Sicherheits-Checkliste: Diese Punkte sollten Sie vor dem Produktiveinsatz abhaken

Ein selbst gehosteter Passwortmanager ist ein Hochwertziel. Sie sollten deshalb nicht nur „funktionierend“, sondern „härtbar“ denken. Die folgende Checkliste ist bewusst praxisorientiert:

• HTTPS aktiv und erzwungen: Zugriff ausschließlich verschlüsselt über Reverse Proxy
• Admin-Bereich schützen: Admin-Token setzen, Admin-URL nicht öffentlich bewerben, idealerweise per IP-Restriktion oder VPN absichern
• Registrierung deaktivieren: Signups nach dem Anlegen der Benutzer aus
• Starke Passphrasen: Für Vaultwarden-Accounts und Systemzugänge (SSH) nur lange Passphrasen oder Schlüssel
• 2FA aktivieren: Für Benutzerkonten Multi-Faktor-Authentifizierung nutzen
• Updates: Regelmäßige Aktualisierung von Host-System und Container-Images
• Backups: Automatisiert, getestet, offsite (mindestens eine Kopie außerhalb des Pi)

Passwortstärke nachvollziehbar einordnen (MathML)

Bei Passwörtern zählt nicht „kompliziert“, sondern „ausreichend groß“ im Suchraum. Wenn ein Passwort aus einem Alphabet mit A möglichen Zeichen besteht und L Zeichen lang ist, ergibt sich die Anzahl möglicher Kombinationen grob zu A^L.

$\mathrm{Kombinationen}=A^L$

Für alltagstaugliche Sicherheit sind lange Passphrasen (mehrere zufällige Wörter) häufig besser handhabbar als kurze „Sonderzeichen-Passwörter“. Entscheidend ist, dass die Passphrase einzigartig ist und nicht aus bekannten Mustern besteht.

Backups und Wiederherstellung: Der wichtigste Teil des Betriebs

Vaultwarden speichert Ihre Daten in einer Datenbank (häufig SQLite im einfachsten Setup) und optional in zusätzlichen Verzeichnissen (z. B. Anhänge). Das bedeutet: Ein Backup besteht nicht nur aus „einer Datei“, sondern aus dem gesamten persistenten Datenverzeichnis. Ihr Backup-Konzept sollte drei Ziele erfüllen: Konsistenz, Automatisierung und Wiederherstellbarkeit.

• Konsistent: Backups sollten entweder bei gestopptem Container erstellt oder mit einem Verfahren, das konsistente Datenstände sicherstellt
• Automatisiert: Zeitgesteuert (z. B. täglich) und überwacht (Fehler dürfen nicht unbemerkt bleiben)
• Wiederherstellbar: Regelmäßig testen, ob ein Restore auf einem Testsystem gelingt

Ein guter Mindeststandard ist das 3-2-1-Prinzip: drei Kopien, auf zwei unterschiedlichen Medien, eine Kopie extern/offsite. Wenn Sie zusätzlich den Raspberry Pi verschlüsselt betreiben oder Ihre Backup-Platte verschlüsseln, steigt der Schutz bei Diebstahl – aber Sie müssen Schlüsselmanagement ebenso zuverlässig absichern.

Updates ohne Bauchschmerzen: Wartung, Changelog und kontrolliertes Vorgehen

Der sichere Betrieb steht und fällt mit Updates. Bei Container-Installationen bedeutet das in der Regel: Image aktualisieren, Container neu starten, danach Funktion prüfen. Bevor Sie ein Update im Produktivsystem durchführen, lohnt ein Blick in die Projektinformationen und Release-Hinweise. Als Ausgangspunkt dient das Vaultwarden-Repository: Vaultwarden GitHub. Achten Sie auf Änderungen, die Konfigurationsparameter oder Datenmigrationen betreffen.

• Update-Rhythmus: Lieber regelmäßig kleine Updates als selten große Sprünge
• Backup vorher: Vor jedem Update ein frisches Backup erstellen
• Rollback-Plan: Im Notfall zur vorherigen Image-Version zurückkehren können

Externer Zugriff: VPN statt Portfreigabe als Sicherheitsstandard

Auch wenn TLS aktiv ist, bleibt ein öffentlich erreichbarer Passwortmanager ein attraktives Ziel. Für viele Heimnutzer ist deshalb ein VPN die sicherere Lösung: Sie machen Vaultwarden nur im internen Netz erreichbar und greifen von unterwegs über einen verschlüsselten VPN-Tunnel zu. Dadurch reduzieren Sie die Angriffsfläche deutlich, weil Ihre Instanz nicht frei im Internet sichtbar ist. Falls Sie dennoch öffentlich bereitstellen, sollten Sie mindestens Rate-Limits, Fail2Ban-ähnliche Schutzmechanismen auf Proxy-Ebene und eine sehr strikte Benutzerverwaltung einsetzen.

Datenschutz und Protokollierung: Weniger sammeln, besser schützen

Ein selbst gehosteter Passwortmanager sollte datensparsam betrieben werden. Das betrifft vor allem Protokolle, Zugriffsdaten und Monitoring. Logs sind für Fehlerdiagnose wichtig, sollten aber nicht mehr speichern als nötig und nicht ewig aufbewahrt werden. Wenn Sie Monitoring einsetzen, achten Sie darauf, keine sensiblen Inhalte zu erfassen (z. B. komplette URLs oder Header, die Tokens enthalten könnten).

• Log-Rotation: Begrenzen Sie Größe und Aufbewahrungsdauer
• Zugriffskontrolle: Admin- und Systemzugriffe auf wenige Personen reduzieren
• Transportverschlüsselung: Nur HTTPS, keine Ausnahmen für „schnell mal testen“ im Produktivbetrieb

Typische Fehlerquellen und schnelle Diagnosen

Wenn Vaultwarden „läuft, aber nicht richtig“, sind es häufig keine exotischen Ursachen, sondern wiederkehrende Klassiker:

• Falsche DOMAIN/Server-URL: Clients verbinden sich, aber Links und WebVault-Funktionen verhalten sich unerwartet
• HTTPS fehlt oder ist fehlerhaft: Clients warnen, 2FA-Funktionen (z. B. WebAuthn) sind eingeschränkt
• Persistenz nicht korrekt gemountet: Nach Container-Neustart „sind Daten weg“, weil sie im Container statt im Volume lagen
• Registrierungen offen gelassen: Ungewollte Account-Erstellung möglich
• Backups nie getestet: Restore scheitert genau dann, wenn es darauf ankommt

Viele dieser Punkte lassen sich direkt mit der offiziellen .env-Vorlage und den Projekt-Hinweisen abgleichen: Vaultwarden .env.template.

Weiterführende Informationsquellen (Outbound-Links)

• Vaultwarden Projekt (GitHub)
• Vaultwarden Konfiguration (.env.template)
• Vaultwarden: Which container image to use
• Vaultwarden Docker Image (Docker Hub)
• Bitwarden: Self-Hosting Überblick
• Caddy: TLS-Direktive und sichere Standardkonfiguration

IoT-PCB-Design, Mikrocontroller-Programmierung & Firmware-Entwicklung

PCB Design • Arduino • Embedded Systems • Firmware

Ich biete professionelle Entwicklung von IoT-Hardware, einschließlich PCB-Design, Arduino- und Mikrocontroller-Programmierung sowie Firmware-Entwicklung. Die Lösungen werden zuverlässig, effizient und anwendungsorientiert umgesetzt – von der Konzeptphase bis zum funktionsfähigen Prototyp.

Diese Dienstleistung richtet sich an Unternehmen, Start-ups, Entwickler und Produktteams, die maßgeschneiderte Embedded- und IoT-Lösungen benötigen. Finden Sie mich auf Fiverr.

Leistungsumfang:

• IoT-PCB-Design & Schaltplanerstellung

• Leiterplattenlayout (mehrlagig, produktionstauglich)

• Arduino- & Mikrocontroller-Programmierung (z. B. ESP32, STM32, ATmega)

• Firmware-Entwicklung für Embedded Systems

• Sensor- & Aktor-Integration

• Kommunikation: Wi-Fi, Bluetooth, MQTT, I²C, SPI, UART

• Optimierung für Leistung, Stabilität & Energieeffizienz

Lieferumfang:

• Schaltpläne & PCB-Layouts

• Gerber- & Produktionsdaten

• Quellcode & Firmware

• Dokumentation & Support zur Integration

Arbeitsweise:Strukturiert • Zuverlässig • Hardware-nah • Produktorientiert

CTA:
Planen Sie ein IoT- oder Embedded-System-Projekt?
Kontaktieren Sie mich gerne für eine technische Abstimmung oder ein unverbindliches Angebot. Finden Sie mich auf Fiverr.