Was Vaultwarden ist – und warum die Bitwarden-Apps dazu passen
Vaultwarden ist eine schlanke, selbst gehostete Variante des Bitwarden-Servers. Der entscheidende Vorteil: Vaultwarden spricht dieselbe Schnittstelle wie der offizielle Server. Damit kannst du alle offiziellen Bitwarden-Apps weiterverwenden – die Handy-App für Android und iOS, die Browser-Extension für Chrome, Firefox, Edge oder Safari, den Desktop-Client und das Web-Vault. Deine Passwörter werden Ende-zu-Ende verschlüsselt, der Server sieht nur verschlüsselte Daten.
Der einzige Unterschied zur Standardnutzung: Statt dich gegen bitwarden.com anzumelden, zeigst du den Apps deine eigene Server-Adresse. Das nennt sich in jeder Bitwarden-App "Selbst gehostet" beziehungsweise "Self-hosted". Genau diesen Schritt schauen wir uns jetzt der Reihe nach an.
Vorbereitung: Server-URL und HTTPS
Bevor du irgendeine App konfigurierst, brauchst du zwei Dinge: die vollständige URL deiner Vaultwarden-Instanz und ein gültiges Zertifikat. Die Bitwarden-Apps bestehen aus gutem Grund auf HTTPS – über unverschlüsseltes HTTP verweigern die meisten Clients schlicht den Dienst.
Notiere dir die genaue Adresse, zum Beispiel https://vault.deine-domain.de. Wichtig ist das https:// am Anfang. Ob deine Instanz erreichbar ist, prüfst du am schnellsten im Browser oder per Kommandozeile:
curl -I https://vault.deine-domain.de– liefert dir den HTTP-Status und zeigt, ob das Zertifikat akzeptiert wird.- Ein Aufruf im Browser sollte die Bitwarden-Weboberfläche ohne Zertifikatswarnung zeigen.
Wenn du dir bei der Adresse unsicher bist: Es ist immer die Basis-URL ohne Pfade wie /admin. Genau diese Basis-URL tragen die Apps später ein.
Browser-Extension einrichten
In der Extension landest du beim ersten Start auf dem Login-Bildschirm. Bevor du E-Mail und Master-Passwort eingibst, klickst du auf das Zahnrad- oder Einstellungssymbol (je nach Version oben links oder als Punkt "Region/Self-hosted"). Dort wählst du die Region "Selbst gehostet".
Im Feld Server-URL trägst du deine Basis-Adresse ein, also https://vault.deine-domain.de. Die weiteren Felder (API, Identity, Web-Vault) lässt du in der Regel leer – Vaultwarden leitet alles über die eine Adresse. Speichern, danach erst meldest du dich mit deinem Konto an.
Ein häufiger Stolperstein: Wenn du die Server-URL erst einträgst, nachdem du dich schon eingeloggt hast, greift sie nicht. In dem Fall meldest du dich ab, setzt die URL und meldest dich neu an.
Handy-App und Desktop-Client
Bei der mobilen App ist der Ablauf identisch: Auf dem Anmeldebildschirm tippst du oben auf das Feld "Region" beziehungsweise direkt auf "Selbst gehostet". Es öffnet sich eine Eingabemaske, in die du dieselbe Server-URL einträgst. Speichern, dann anmelden.
Der Desktop-Client verhält sich genauso. Vor dem Login auf "Anmelden" gibt es die Auswahl der Region; dort wählst du "Selbst gehostet" und hinterlegst die URL. Praktisch: Hast du die App einmal eingerichtet, merkt sie sich den Server. Erst beim kompletten Abmelden oder bei einer Neuinstallation musst du die Adresse erneut setzen.
Mein Tipp: Trage die URL überall exakt gleich ein – inklusive oder konsequent ohne abschließenden Schrägstrich. Das erspart dir später Sync-Verwirrung über mehrere Geräte hinweg.
Synchronisation verstehen und auslösen
Nach dem ersten Login zieht sich jede App den kompletten Tresor einmal herunter. Danach gleicht sie Änderungen automatisch ab, sobald du sie öffnest oder einen Eintrag bearbeitest. Wenn ein neuer Eintrag auf einem anderen Gerät nicht auftaucht, kannst du den Abgleich manuell anstoßen:
- Browser-Extension: Einstellungen, dann ganz unten "Tresor jetzt synchronisieren".
- Handy-App: unter Einstellungen, Bereich Synchronisierung, "Jetzt synchronisieren".
- Desktop: über das Menü "Datei" oder den Sync-Eintrag in den Einstellungen.
Bleibt der Sync hängen, liegt es fast immer an der Erreichbarkeit des Servers oder am Zertifikat – nicht an der App. Prüfe in dem Fall, ob die Instanz online ist und das Zertifikat noch gültig.
Zwei-Faktor-Authentifizierung aktivieren
Dein Master-Passwort schützt den Tresor – mit 2FA sicherst du zusätzlich den Login ab. Das richtest du im Web-Vault deiner Instanz ein, nicht in der Extension. Öffne dazu https://vault.deine-domain.de im Browser, melde dich an und gehe in die Kontoeinstellungen zum Punkt "Zwei-Faktor-Anmeldung".
In Vaultwarden funktionieren typischerweise TOTP-Apps wie Aegis, andOTP oder ein beliebiger Authenticator. Du scannst den QR-Code, gibst den erzeugten Code zur Bestätigung ein und bewahrst die Wiederherstellungscodes sicher auf – am besten ausgedruckt und getrennt vom Tresor. Beim nächsten Login fragt jede Bitwarden-App nach dem zweiten Faktor. Welche 2FA-Methoden konkret bereitstehen, hängt von der Konfiguration deiner Instanz ab; im Web-Vault siehst du genau, was aktiviert ist.
Organisationen für Teams und Familie
Willst du Einträge teilen – etwa WLAN-Passwörter mit der Familie oder Zugänge im Team – nutzt du Organisationen. Eine Organisation ist ein gemeinsamer Bereich mit eigenen Sammlungen ("Collections"), auf die mehrere Nutzer Zugriff bekommen.
Das legst du im Web-Vault an: Organisation erstellen, Mitglieder per E-Mail einladen, Sammlungen anlegen und Rechte vergeben. Eingeladene Personen brauchen ein eigenes Konto auf derselben Vaultwarden-Instanz und müssen ihre App ebenfalls auf "Selbst gehostet" mit deiner Server-URL stellen. Geteilte Einträge erscheinen danach automatisch in ihrem Tresor – sauber getrennt von den privaten Passwörtern.
Mit Nytrix umsetzen
Wenn du noch keine eigene Instanz hast, kannst du Vaultwarden bei Nytrix als fertig vorbereiteten, selbst gehosteten Dienst buchen – aktuell im Alpha-Tarif für 2,99 EUR. Du bekommst einen Bitwarden-kompatiblen Passwort-Manager mit Ende-zu-Ende-Verschlüsselung, der mit allen offiziellen Bitwarden-Apps zusammenarbeitet. Genau die Server-URL aus diesem Artikel trägst du dann in deinen Apps ein.
Nytrix arbeitet auf Prepaid-Basis: Guthaben aufladen, Dienst buchen, keine Mindestlaufzeit und keine Vertragsbindung. Aufgeladen wird über das hauseigene Enjyn-PayNow-System per PayPal, Kreditkarte, Sofortüberweisung/GiroPay, Banküberweisung oder Bitcoin. DDoS-Schutz ist bei allen Tarifen inklusive, der Login ins Dashboard läuft über Enjyn Auth mit 2FA.
Wenn du deinen Passwort-Tresor zusätzlich auf eigener Hardware absichern willst, lohnt ein Blick auf den FTP Storage (ab 2,99 EUR/TB) als externes Backup-Ziel. Weitere selbst gehostete Tools wie Gitea findest du ebenfalls im Sortiment – und mehr Anleitungen rund ums Self-Hosting gibt es im Nytrix-Blog.