Bitwarden

password manager von Bitwarden, Inc.

Open Source (GPLv3 / AGPLv3), unabhängig geprüftZero-Knowledge mit AES-256Kostenlose Version mit unbegrenzten GerätenPasskeys speichern und Login per PasskeySelf-Hosting (offiziell + Vaultwarden)US-Anbieter (CLOUD Act gilt)

Bitwarden ist ein quelloffener Passwort-Manager der US-Firma Bitwarden, Inc. mit Hauptsitz in Kalifornien. Deine Einträge werden mit Zero-Knowledge und AES-256 verschlüsselt, Bitwarden kann sie also nicht lesen. Seine grössten Stärken sind eine ungewöhnlich starke kostenlose Version und ein vollständig offener, unabhängig geprüfter Code. Der wichtigste Vorbehalt für den DACH-Raum ist der US-Hauptsitz, der den CLOUD Act ins Spiel bringt.

Was ist Bitwarden?

Apps, Browser-Erweiterungen und Server-Code stehen unter offenen Lizenzen (GPLv3 und AGPLv3). Lediglich einzelne Funktionen für grosse Unternehmen sind kostenpflichtig und proprietär. Diese Offenheit ist das stärkste Argument für Bitwarden. Der Code lässt sich unabhängig prüfen. Technisch versierte Privatpersonen oder Unternehmen können den Dienst bei Bedarf auf eigener Infrastruktur selbst hosten (müssen sich dann aber auch um Themen wie Backup und Betrieb kümmern). Laut eigenen Angaben nutzen ihn über 10 Millionen Menschen und mehr als 50’000 Unternehmen.

Wie sicher ist Bitwarden?

Bitwarden arbeitet nach dem Zero-Knowledge-Prinzip, einer Form der Zero-Access-Verschlüsselung. Deine Einträge werden mit AES-256 auf deinem Gerät verschlüsselt, bevor sie den Server erreichen. AES-256 ist der etablierte und am breitesten geprüfte Verschlüsselungsstandard. Manche Anbieter wie NordPass setzen auf das neuere XChaCha20, beide Verfahren gelten als sicher. Den Schlüssel leitet Bitwarden aus deinem Master-Passwort ab, speichert ihn aber nie. Bitwarden selbst kann deine Passwörter also nicht lesen.

Diese Sicherheit ist durch externe Audits belegt. Bitwarden lässt seinen Code jährlich von unabhängigen Firmen wie Cure53 prüfen. 2025 hat eine Forschungsgruppe der ETH Zürich die Verschlüsselung sogar unter der Annahme analysiert, dass der Bitwarden-Server selbst bösartig ist. Du musst dich also nicht auf Bitwardens eigene Aussagen verlassen, sondern kannst dich auf unabhängige Prüfungen stützen. Schon in der kostenlosen Version unterstützt Bitwarden 2FA per Authenticator-App, FIDO2/WebAuthn und die Verwaltung von Passkeys. Ähnlich wie andere Passwort-Manager kann Bitwarden auf Wunsch starke Passwörter oder gut merkbare Passphrasen erzeugen.

Bitwarden-Passwortgenerator im Passphrase-Modus mit Optionen für Wortanzahl, Trennzeichen und Grossschreibung — Der integrierte Generator erstellt zufällige Passwörter oder gut merkbare Passphrasen, zum Beispiel Fantasy-Bobcat-Device-Calzone-Unrivaled2-Stallion.

Was bedeutet der US-Hauptsitz für die nDSG?

Hier liegt der wichtigste Punkt für Unternehmen in der Schweiz. Bitwarden bietet zwar eine EU-Region an (bitwarden.eu), in der die Daten auf europäischen Servern liegen. Als US-Unternehmen unterliegt Bitwarden aber dem US CLOUD Act, der US-Behörden unter bestimmten Voraussetzungen Zugriff auf die Daten eines US-Anbieters erlaubt, unabhängig vom Serverstandort.

Bitwarden-Anmeldeseite mit Auswahl der Datenregion: bitwarden.com für die USA oder bitwarden.eu für die EU — Bei der Anmeldung wählst du zwischen der US-Region (bitwarden.com) und der EU-Region (bitwarden.eu). Deine Daten liegen danach auf Servern in der gewählten Region.

Entscheidend ist die Unterscheidung zwischen Inhalt und Metadaten. Deine Passwörter und Notizen sind Ende-zu-Ende-verschlüsselt und bleiben auch bei einer behördlichen Anfrage unlesbar. Verwaltungsdaten wie E-Mail-Adresse, Abo-Status oder (bei Teams- und Enterprise-Konten) Anmelde-Logs mit IP-Adressen kann ein US-Anbieter dagegen herausgeben müssen. Für die Übermittlung von Personendaten ist Bitwarden im EU-US- und im Swiss-US Data Privacy Framework registriert. Für deine nDSG-Bewertung zählt vor allem diese Unterscheidung zwischen Inhalt und Metadaten.

Was kostet Bitwarden?

Die kostenlose Version von Bitwarden ist ungewöhnlich grosszügig. Sie erlaubt unbegrenzt viele Einträge auf unbegrenzt vielen Geräten, inklusive Passkey-Verwaltung und 2FA. Für die meisten Einzelpersonen reicht das aus. Premium kostet knapp 20 USD pro Jahr (Stand: Mai 2026) und ergänzt verschlüsselte Datei-Anhänge, TOTP-Codes direkt im Tresor sowie erweiterte 2FA-Optionen. Anfang 2026 hat Bitwarden die Preise für Premium und die Family-Version spürbar erhöht und im Gegenzug Speicher und Sicherheitsfunktionen ausgebaut. Auch danach bleibt Bitwarden deutlich günstiger als 1Password. Für Teams gibt es Versionen ab etwa 4 USD pro Person und Monat (Enterprise rund 6 USD) mit Nutzerverwaltung, SSO und Verzeichnis-Anbindung, abgerechnet pro Person. Die aktuellen Preise stehen auf der Preisseite von Bitwarden.

Wo stösst Bitwarden an seine Grenzen?

Bitwarden ist funktional und sicher, in der Bedienung aber nüchterner als die Konkurrenz. In Vergleichstests gelten 1Password und NordPass bei Einrichtung und Oberfläche als zugänglicher, gerade für weniger technische Teammitglieder. Auch die Admin-Konsole und das Reporting fallen schlanker aus als bei diesen Anbietern. Der deutschsprachige Support läuft überwiegend über Tickets, und die Antworten kommen erfahrungsgemäss oft auf Englisch.

Im April 2026 gab es einen Sicherheitsvorfall rund um die Bitwarden-CLI, das Kommandozeilen-Werkzeug, mit dem sich Bitwarden in Skripte und Build-Pipelines einbinden lässt. Für rund anderthalb Stunden wurde eine manipulierte Version dieser CLI über den Paketmanager npm verteilt. Der Passwort-Manager selbst war hier nicht betroffen. Nutzerdaten und der gehostete Dienst blieben unberührt, betroffen war allein das npm-Paket der CLI. Bitwarden zog die manipulierte Version innerhalb weniger Stunden zurück und ersetzte sie durch eine bereinigte Version (2026.4.1). Was passiert ist und wer reagieren musste, steht in unserer Analyse des CLI-Vorfalls.

Für wen lohnt sich Bitwarden?

Für preisbewusste KMUs und technisch versierte Founder, die Wert auf Open Source legen oder selbst hosten wollen, ist Bitwarden eine der stärksten Optionen am Markt. Auch für datenschutzbewusste Einzelpersonen liefert die kostenlose Version eine solide Sicherheit.

Zu Bitwarden →

Wenn der Serverstandort und der Schweizer Bezug für dich im Vordergrund stehen, etwa bei Mandaten aus Recht, Medizin oder dem öffentlichen Sektor, ist Proton Pass die naheliegende Alternative. Proton hat seinen Hauptsitz in der Schweiz und unterliegt nicht dem CLOUD Act. Wer dagegen eine besonders einfache Bedienung und ausgereifte Admin-Werkzeuge sucht, ist mit 1Password oder NordPass gut bedient. Einen direkten Vergleich findest du in unserem Passwort-Manager-Vergleich für KMU.

Häufige Fragen (FAQ) zu Bitwarden

Was passiert, wenn ich mein Master-Passwort vergesse?

Bitwarden kann dein Master-Passwort nicht zurücksetzen, weil es nach dem Zero-Knowledge-Prinzip arbeitet und den Schlüssel nicht kennt. Ohne Master-Passwort bleibt der Tresor verschlossen. Bewahre dein Master-Passwort daher an einem sicheren Ort ausserhalb von Bitwarden auf, hinterlege den Wiederherstellungscode für die 2FA und richte, sofern verfügbar, Emergency Access für eine Vertrauensperson ein.

Soll ich bitwarden.com oder bitwarden.eu wählen?

Wenn du im DACH-Raum sitzt, ist die EU-Region (bitwarden.eu) meist die naheliegende Wahl, weil deine Daten dann auf europäischen Servern liegen. Wichtig ist, dass du die Region schon bei der Kontoerstellung festlegst; ein späterer Wechsel ist nur über einen manuellen Export und Re-Import möglich. Entscheide dich also bewusst von Anfang an.

Wie sicher ist Bitwarden im Vergleich zum Passwort-Manager im Browser?

Ein eigenständiger Passwort-Manager wie Bitwarden bietet mehr als die in Chrome, Firefox oder Edge eingebauten Passwort-Speicher. Du bekommst eine geräte- und browserübergreifende Synchronisation, geprüfte Ende-zu-Ende-Verschlüsselung, sicheres Teilen (z. B. das Netflix-Passwort innerhalb der Familie) und Funktionen wie die Passkey-Verwaltung. Die Browser-Lösungen sind bequem, aber an das jeweilige Ökosystem gebunden und im Funktionsumfang deutlich eingeschränkter.

Sollte ich meine 2FA-Codes in Bitwarden speichern?

Bitwarden kann auch TOTP-Codes für die Zwei-Faktor-Authentifizierung erzeugen und speichern. Das ist bequem und immer noch sicherer als gar keine 2FA, bündelt aber Passwort und zweiten Faktor an einem Ort. Für besonders sensible Konten wie E-Mail oder Banking ist es daher sinnvoll, den zweiten Faktor in einer separaten App oder auf einem Hardware-Key (z. B. YubiKey oder Nitrokey) zu halten.

Bitwarden oder Vaultwarden selbst hosten?

Bitwarden lässt sich offiziell per Docker selbst hosten. Vaultwarden ist eine inoffizielle, ressourcenschonende Alternative in Rust, die mit den Bitwarden-Apps kompatibel ist und sich für Heimserver oder kleine Setups eignet. In beiden Fällen liegt die Verantwortung für Backups, Updates und die Absicherung des Servers vollständig bei dir. Vaultwarden wird zudem nicht von Bitwarden gepflegt und steht ausserhalb von dessen Audits und Zertifizierungen; für regulierte Umgebungen ist die offizielle Variante die sichere Wahl.

Quellen

Bitwarden: Annual third-party security audits
Bitwarden: Compliance (ISO 27001, SOC 2/3)
Bitwarden Hilfe: Server-Regionen (US/EU)
Bitwarden Hilfe: Administrative Daten (welche Metadaten gespeichert werden)
Bitwarden Hilfe: Emergency Access (Notfallzugriff)
Bitwarden: Privacy Policy (EU-US & Swiss-US Data Privacy Framework)
BusinessWire: Bitwarden enhances Premium and Families plans (Januar 2026)
NordPass: Security (XChaCha20)
Vaultwarden: GitHub-Repository

Bitwarden testen →