0
Lizenzkosten pro Nutzer
Open-Source-Kern, Festpreis für Betrieb
<1 Tag
Migrationsdauer
1Password · Keeper · LastPass · Bitwarden
AES-256
End-to-End-Verschlüsselung
Zero-Knowledge, clientseitig entschlüsselt
2
Deployment-Modelle
Managed SaaS oder Managed On-Prem
Warum wechseln

Ihre Passwörter gehören Ihnen – nicht in eine US-Cloud.

Die großen Anbieter machen es Unternehmen zunehmend schwer: steigende Pro-User-Preise, fragwürdige Datenhaltung in Drittländern, wiederkehrende Sicherheitsvorfälle. Nach dem Schrems-II-Urteil ist der Transfer von Identitätsdaten in die USA für regulierte Branchen faktisch unzulässig – und ein kompromittierter Passwort-Tresor ist der direkte Weg in Ihre Kronjuwelen.

Die Managed-Alternative. Dedizierte Vaultwarden-Instanz in Deutschland. Bitwarden-kompatibel, SSO-fähig, revisionssicher. Betrieb, Updates, Backup, Monitoring, Migration – alles inklusive. Zum festen Monatspreis.

Preisspirale

1Password Business kostet 7,99 $/User – x 200 MA = 19.000 € p. a. Tendenz steigend.

LastPass-Hack 2022

Master-Tresore kopiert, Angreifer knacken offline. Okta, Dropbox, Cisco – alle traf es.

US-CLOUD Act

Keeper, LastPass, Dashlane – US-Firmen müssen Daten an US-Behörden herausgeben.

Self-Hosting-Aufwand

Updates, Backups, Monitoring, TLS, Notfall – kein KMU-IT-Team hat Kapazität dafür.

NIS2 & Schrems II

Kritische Identitätsdaten in US-Cloud = verschärftes Haftungsrisiko ab Oktober 2024.

Vendor Lock-in

Proprietäre Formate, künstliche Import-Hürden, geplante Obsoleszenz billiger Tarife.

Deployment-Modelle

Managed. Egal wo die Hardware steht.

Zwei gleichwertige Betriebsmodelle – selber Funktionsumfang, selbes SLA, selbe Bitwarden-App-Kompatibilität. Sie entscheiden, wo die Daten physisch liegen; wir kümmern uns darum, dass Vaultwarden verlässlich läuft.

Schnellster Start

Managed SaaS

In unseren deutschen Rechenzentren

Ihre dedizierte Vaultwarden-Instanz läuft in einem ISO-27001-zertifizierten Rechenzentrum in Deutschland – primär Frankfurt, geo-redundantes Backup in München. Tag-1-Produktivbetrieb in unter zwei Wochen, null Infrastruktur-Investment bei Ihnen.

  • Kein CAPEX – rein OPEX, kalkulierbarer Monatspreis
  • Geo-Redundanz inklusive – zwei DE-Standorte, >300 km Abstand
  • Skalierung per Klick – CPU, RAM, Storage ohne Hardware-Bestellung
  • DDoS-Schutz & WAF aus deutscher Netzanbindung
  • AV-Vertrag nach Art. 28 DSGVO, deutsches Recht
Setup-Zeit
< 1 Arbeitstag
Ideal für
KMU bis 2.000 MA
Abrechnung
Festpreis / Monat
SLA
99,9 % / 99,95 %
Max. Datenhoheit

Managed On-Prem

In Ihrem Rechenzentrum oder Ihrer Private Cloud

Vaultwarden läuft auf Ihrer Hardware, in Ihrem Netzsegment – Proxmox, VMware, Hyper-V, OpenShift, Kubernetes oder Bare-Metal. Wir deployen, patchen, sichern und monitoren remote per gehärtetem SSH/VPN-Zugang. Daten verlassen Ihr Haus nicht.

  • Daten bleiben bei Ihnen – kein Egress, kein Drittanbieter-Zugriff auf Blobs
  • Air-Gap-tauglich – Updates via Artifact-Export, ohne Internet-Zugriff
  • KRITIS / OT-ready – Deployment im internen Security-Zone, BSI-Grundschutz-konform
  • Remote-Betrieb durch uns – Updates, Backups, Monitoring, 24/7 optional
  • Wissenstransfer – Runbooks, Schulung, optionaler 3rd-Level aus unserem Haus
Setup-Zeit
1 – 2 Wochen
Ideal für
KRITIS · Konzerne
Abrechnung
Setup + Monatsgebühr
Plattformen
Proxmox · VMware · K8s
Hybrid-Modell möglich. Produktive Vault-Instanz on-prem, DR-Replikat in unserem DE-Rechenzentrum – oder umgekehrt. Wir passen das Deployment an Ihre Risiko- und Compliance-Architektur an, nicht umgekehrt. Ein Wechsel zwischen den Modellen ist jederzeit ohne Datenverlust möglich.
Plattform-Funktionen

Alles, was ein Enterprise-Passwort-Manager können muss.

Acht Funktionsbereiche, die ein modernes Identity-Vault-System im Unternehmen abdecken muss. Alle Bausteine sind Teil des Managed-Pakets – ohne Zusatzmodul, ohne Upsell.

Dediziert Isoliert

Ihre eigene Vaultwarden-Instanz – nicht shared, nicht multitenant.

Jede Kundin bekommt ihren eigenen Container, ihre eigene PostgreSQL-Datenbank, ihr eigenes TLS-Zertifikat. Keine geteilte Infrastruktur, keine Nachbar-Risiken, keine Ressourcen-Deckelung. Update-Fenster wählen Sie selbst.

  • Eigene Subdomainvault.ihr-unternehmen.de mit Let's-Encrypt oder Ihrem DV/OV/EV-Cert
  • Isolierte DatenbankPostgreSQL-Instanz nur für Sie, verschlüsseltes Volume at rest
  • Ressourcen garantiertCPU, RAM, IOPS reserviert – kein Noisy-Neighbor-Effekt
  • Root-Export jederzeitVoll-Backup Ihrer Daten auf Anforderung – keine Geiseln
Deployment-Blueprint
# Ihr Tenant
tenant: ihre-firma
instance: vaultwarden-ihrefirma
db: postgres-ihrefirma
domain: vault.ihrefirma.de
backup: daily · encrypted · DE-backup-2
sla: 99.9% · 4h-MTTR
SSO SCIM / LDAP

SSO mit Entra ID, AD, Okta oder Keycloak – in 30 Minuten.

Einmal-Anmeldung statt einem weiteren Passwort. Vaultwarden spricht SAML 2.0, OIDC und SCIM 2.0 – damit funktioniert jeder Enterprise-IdP. Für LDAP-reine Umgebungen (klassisches AD) läuft unser LDAP-Bridge-Connector.

  • SAML 2.0 / OIDCEntra ID, Okta, Keycloak, Auth0, Google Workspace, Ping
  • SCIM 2.0 Auto-ProvisioningUser angelegt / deaktiviert – Vault folgt automatisch
  • LDAP-BridgeFür klassisches AD: Gruppen → Collections, kontinuierlicher Sync
  • Just-in-Time-ProvisioningErster SSO-Login legt User automatisch an, Rollen aus Gruppen
Multi-Team RBAC

Organisationen, Collections, granulare Berechtigungen.

Strukturieren Sie Passwörter wie Ihre Organisation: Organisationen bündeln Teams, Collections gruppieren Einträge nach Projekt oder Abteilung, Gruppen erben Rechte. Jeder sieht nur, was er sehen darf.

  • Unlimited OrganisationenMutterkonzern, Tochter, Joint-Ventures sauber getrennt
  • Gruppen & VererbungAD-Gruppen landen 1:1 als Bitwarden-Groups
  • Read / Edit / ManageFeingranular pro Collection – Hide-Passwords-Mode für Shared-Accounts
  • Enterprise-PoliciesMaster-Pass-Mindestlänge, 2FA-Pflicht, Passwort-Generator-Regeln erzwungen
FIDO2 TOTP

Zwei-Faktor-Authentifizierung – bis zu Passkeys und YubiKey.

Jeder Vault-Zugriff darf mit zweitem Faktor abgesichert werden – FIDO2 / WebAuthn mit YubiKey, Passkeys, TOTP (Google Authenticator, Authy), Duo oder E-Mail-OTP. Enterprise-Policies erzwingen 2FA flächendeckend.

  • FIDO2 / WebAuthnYubiKey 5, NitroKey, SoloKey, Windows Hello, Touch ID
  • Passkey-SupportPasswortloser Login per Smartphone, iCloud-Keychain, Google Password Mgr
  • TOTP im VaultTOTP-Codes für andere Dienste werden im Vault generiert
  • Duo & E-Mail-OTPFallback für Umgebungen ohne Hardware-Token
Bitwarden Send Shared Vaults

Secrets sicher teilen – intern und an Externe.

Schluss mit Passwörtern in E-Mails, Chat oder Excel-Tabellen. Bitwarden Send erzeugt zeitlich begrenzte, passwortgeschützte Links – ohne dass Externe einen Account brauchen. Intern werden Credentials über Collections ge-shared.

  • Send-Links mit AblaufNach X Stunden oder Y Zugriffen automatisch gelöscht
  • Dateien + NotizenBis zu 500 MB pro Send – PDF, ZIP, Zertifikate
  • Link-PasswortZusätzlicher PIN-Schutz für heikle Freigaben
  • Audit auf EmpfangWer hat wann geöffnet – protokolliert, filterbar
Audit-Log Revisionssicher

Revisionssichere Audit-Logs – für DSGVO, ISO 27001, NIS2.

Jede Aktion im Vault wird protokolliert: wer hat wann welches Secret gesehen, geändert, geteilt oder exportiert. Logs sind append-only, SHA-256-gehasht und mindestens 3 Jahre retention (konfigurierbar bis 10 Jahre).

  • Vollständiges Event-LogLogin, View, Edit, Share, Export, 2FA-Challenge, Admin-Aktion
  • SIEM-ExportSyslog, Splunk HEC, Elastic, Graylog – JSON-strukturiert
  • Breach-ReportHaveibeenpwned-Abgleich aller gespeicherten Passwörter
  • Weak-Password-ReportSchwache, wiederverwendete oder zu alte Passwörter pro Team
3-2-1 Geo-Redundant

Backup & Disaster Recovery – 3-2-1, zwei deutsche Rechenzentren.

Datenverlust eines Passwort-Manager-Vaults ist ein Existenzrisiko. Unsere Backup-Strategie folgt 3-2-1-Regel: tägliche Snapshots, zwei unabhängige Kopien in zwei RZ-Standorten (Süd & Ost), eine Offsite-Kopie. Alle Backups sind verschlüsselt.

  • Tägliche SnapshotsDB + Attachments, verschlüsselt mit Kunden-Key
  • Geo-Redundanz DERZ Frankfurt + RZ München, > 300 km Abstand
  • Restore-Drills monatlichWiederherstellung wird tatsächlich getestet, dokumentiert
  • Point-in-Time-RecoveryWiederherstellung auf beliebigen Zeitpunkt der letzten 30 Tage
Turnkey < 1 Arbeitstag

Migration ist inklusive – aus jedem Passwort-Manager.

Wir übernehmen den kompletten Wechsel. 1Password, Keeper, LastPass, Dashlane, Bitwarden Cloud, KeePass – alle großen Exports laufen durch unseren Migrations-Workflow. Collections, Gruppenzuordnungen und 2FA-Seeds bleiben erhalten.

  • Alle StandardformateCSV, JSON, 1pux, lpcsv, Dashlane-CSV, KDBX
  • Collections-Mapping1Password-Vaults → Bitwarden-Collections, 1:1 übernommen
  • TOTP-Seeds migriert2FA-Codes wandern mit – kein Re-Enrollment nötig
  • Onboarding-Webinar30 Min. für alle Mitarbeitenden, Frage-Runde inklusive
Architektur

Vom Passwort zum gesicherten Vault-Eintrag – in fünf Schichten.

Zero-Knowledge-Architektur: Der Server sieht niemals Klartext-Passwörter. Verschlüsselung findet ausschließlich im Client statt – auf Ihrem Laptop, Ihrem Handy, im Browser. Selbst bei vollständigem Server-Kompromiss wären alle Daten ohne Master-Passwort wertlos.

STAGE 01

Master-Key

Master-Passwort wird clientseitig mit PBKDF2 / Argon2id zu Schlüssel abgeleitet

argon2id(pw, salt)
STAGE 02

Verschlüsselung

AES-256-CBC je Eintrag, HMAC-SHA256 zur Integritätssicherung

aes256.encrypt()
STAGE 03

Sync-Server

Vaultwarden speichert nur verschlüsselte Blobs – sieht niemals Klartext

store.blob()
STAGE 04

PostgreSQL + Backup

Verschlüsseltes Volume, WAL-Archivierung, tägliche Offsite-Snapshots

pg.replicate()
STAGE 05

Client-Entschlüsselung

Nur Ihr Client mit Master-Passwort kann den Blob lesbar machen

client.decrypt()
Clients & Integrationen

Die offiziellen Bitwarden-Apps – auf jeder Plattform.

Vaultwarden implementiert die Bitwarden-API 1:1. Ihre Mitarbeitenden installieren die offiziellen Bitwarden-Apps aus App Store, Google Play oder Browser-Stores und zeigen sie auf Ihre Vault-URL. Keine exotischen Clients, kein proprietärer Lock-in.

Wn
Windows
Desktop
Mac
macOS
Desktop
Lx
Linux
Desktop
Sn
Snap / Flatpak
Desktop
Ch
Chrome
Browser
Fx
Firefox
Browser
Sf
Safari
Browser
Ed
Edge
Browser
Br
Brave
Browser
Op
Opera
Browser
iOS
iOS
Mobile
An
Android
Mobile
iPd
iPadOS
Mobile
Wr
watchOS
Wearable
bw
bw CLI
Terminal
API
REST API
Automation
Ps
PowerShell
Script
Py
Python SDK
SDK
En
Entra ID
SAML/SCIM
AD
Active Directory
LDAP
Ok
Okta
SAML/SCIM
Kc
Keycloak
OIDC
A0
Auth0
OIDC
Gw
Google Workspace
SAML
1P
1Password
Import
Kp
Keeper
Import
Lp
LastPass
Import
Dl
Dashlane
Import
KP
KeePass
KDBX
Nc
Nordpass
Import
Vergleich

Managed Vaultwarden gegenüber den US-Platzhirschen.

Die wichtigsten Unterschiede auf einen Blick – objektiv, nachvollziehbar, ohne Marketing-Make-up.

Kriterium Managed Vaultwarden 1Password Business Keeper Business LastPass Business
Datenhaltung Deutschland (2 RZ) USA / Kanada USA USA
Schrems-II-sicher Ja Nein Nein Nein
Preis-Modell Festpreis / Monat € pro User € pro User € pro User
Dedizierte Instanz Ja Shared-Cloud Shared-Cloud Shared-Cloud
Open Source Ja (AGPL / GPL) Proprietär Proprietär Proprietär
Eigene Subdomain vault.ihrefirma.de my.1password.com keepersecurity.eu lastpass.com
Bitwarden-Apps kompatibel Alle offiziellen Nein Nein Nein
SSO (SAML/OIDC) Inklusive Nur Enterprise-Tarif Enterprise-Tarif Enterprise-Tarif
SCIM-Provisioning Inklusive Enterprise Enterprise Enterprise
Migration & Onboarding Inklusive Self-Service Self-Service Self-Service
Daten-Export (Lock-in) Standardformate jederzeit Proprietäres 1pux Eingeschränkt Eingeschränkt
Letzter großer Breach Keiner 2022 (Master-Tresore kopiert)
DSGVO-AV-Vertrag Deutscher Standard SCC via US-Mutter SCC via US-Mutter SCC via US-Mutter
Persönlicher Ansprechpartner Fester Account-Manager Ticket-Support Ticket-Support Ticket-Support
Zielgruppen

Passgenau für Ihre Situation.

Vier typische Ausgangslagen, in denen Managed Vaultwarden zum schnellen Return on Investment wird. Wählen Sie Ihr Szenario für detaillierte Pain-Points, Lösung und KPIs.

Aus US-Cloud raus – ohne Workflow-Bruch.

Ihre Mitarbeitenden nutzen heute 1Password, Keeper oder LastPass. Die Verträge laufen aus, die Preise steigen, der Datenschutzbeauftragte wird unruhig – aber niemand will den bestehenden Workflow verlieren. Genau dafür existiert Managed Vaultwarden: gleicher Komfort der Bitwarden-Apps, andere Datenhoheit, bessere AGB.

DSGVO Art. 44–49 Schrems II BDSG CLOUD Act-frei AV-Vertrag DE
Migrationsdauer
< 1 Tag
Savings p.a.
40 – 70 %
User-Retraining
0 Std.
Vertragsbindung
12 Monate

Typische Pains

  • Preiserhöhungen jedes JahrPro-User-Fees klettern 10–20 % pro Renewal – das Budget explodiert.
  • DSB-Veto nach Schrems IIUS-Hosting von Identitätsdaten ist für viele regulierte Kunden nicht mehr tragbar.
  • Breach-HistorieLastPass 2022, OneLogin 2017 – Vertrauensschaden sitzt tief.
  • Enterprise-Features hinter PaywallSSO, SCIM, Reporting nur im teuersten Tarif.

Wie wir das lösen

  • Festpreis statt Pro-UserKalkulierbar, skalierbar ohne Überraschung – Budgetplanung wird wieder einfach.
  • Deutscher AV-VertragDatenschutzbeauftragter hat unterschriftsreifes Papier – Schrems II erledigt.
  • Turnkey-MigrationWir exportieren aus 1P/Keeper/LastPass, importieren strukturerhaltend.
  • Alle Enterprise-Features inklusiveSSO, SCIM, Gruppen, Policies, Audit-Log – kein Upsell.

Passwort-Manager wollen, IT-Team fehlt? Wir übernehmen.

Der Geschäftsführer hat verstanden, dass Passwort-Excel keine Option mehr ist. Der externe IT-Dienstleister ist aber mit Tagesgeschäft ausgelastet. Self-hosted Vaultwarden zu warten – Updates, Backups, TLS-Rotation, Patch-Windows – passt einfach nicht in die Kapazitäten. Managed Vaultwarden schließt genau diese Lücke: enterprise-taugliche Lösung ohne IT-Overhead.

ISO 27001 TISAX BSI-Grundschutz Cyber-Versicherung
Typ. Setup-Zeit
< 1 Arbeitstag
IT-Aufwand intern
0 Std./Monat
Support-Reaktion
< 4 Std.
Verfügbarkeit
99,9 %

Typische Pains

  • Excel- und Klebezettel-ChaosJeder kennt den Zustand – und niemand möchte den Vorfallbericht schreiben.
  • Cyber-Versicherung fordert PWMPrämienrelevant, teils Pflicht – aber die Umsetzung braucht Zeit.
  • Kein eigenes IT-Team für BetriebSelf-hosted = Verantwortung für Updates, Backups, Sicherheit – das Risiko will niemand übernehmen.
  • Mitarbeiter-FluktuationWenn jemand geht, müsste jedes geteilte Passwort neu gesetzt werden.

Wie wir das lösen

  • Einmaliger Rollout mit SchulungGeschäftsführer, Buchhaltung, Vertrieb – alle bekommen ein Onboarding-Webinar.
  • Betrieb komplett bei unsUpdates, Backups, Monitoring, Notfall – Sie haben einen Ansprechpartner, nicht vier.
  • Cyber-Versicherungs-NachweisISO-27001-zertifizierter Betrieb – Versicherer akzeptiert sofort.
  • Offboarding per KlickAustretender Mitarbeiter verliert Vault-Zugriff sofort, Shared-Secrets bleiben bei Collection.

NIS2, DORA, KRITIS – Identitätsschutz ist Compliance-Pflicht.

Ab Oktober 2024 gilt NIS2, ab Januar 2025 DORA – beide fordern explizit starken Identitätsschutz, sichere Verwaltung privilegierter Credentials und revisionssichere Nachweise. Managed Vaultwarden liefert die technische Grundlage: on-prem in Deutschland, audit-fähig, mit dokumentierten Notfallprozessen.

NIS2 §30 DORA Art. 9 BSI-Grundschutz ORP.4 ISO 27001 A.5.17 KRITIS-VO B3S TISAX VDA 5.3 C5-BSI
Audit-Log-Retention
10 Jahre
Verfügbarkeit SLA
99,95 %
Meldefrist NIS2
24 Std.
RTO / RPO
4 / 1 Std.

Typische Pains

  • Privileged Access schlecht dokumentiertAdmin-Passwörter in ehemaligen Admin-Heads, keine Nachweisbarkeit bei Audit.
  • DORA-Meldefristen sind kurz4h-Frühmeldung bei IKT-Vorfall – wer kompromittierte Credentials nicht lokalisieren kann, verfehlt sie.
  • US-Cloud mit KRITIS unvereinbarBSI-Grundschutz und B3S fordern de-facto EU-/DE-Hosting für Identitätsdaten.
  • Zero-Trust-Anforderungen steigenPasswort-Hygiene, 2FA-Pflicht, regelmäßige Rotation – manuell nicht leistbar.

Wie wir das lösen

  • Append-only Audit-LogJede View, jeder Edit, jeder Share – 10 Jahre SHA-256-gehasht revisionssicher.
  • Privileged-Access-CollectionsDomain-Admin, Root, DB-Owner in dedizierten Collections mit Hide-Passwords.
  • SIEM-Export für 24/7-SOCSyslog / Splunk HEC / Elastic – Events fließen in Ihr SOC.
  • Enterprise-Policies erzwungen2FA-Pflicht, Mindest-Master-Pass-Länge, keine Export-Rechte für normale User.

Für IT-Dienstleister: Mandantenfähig, White-Label-tauglich.

Als Managed-Service-Provider verwalten Sie Credentials Ihrer Kunden – plus eigene. Pro-User-Tarife der Platzhirsche machen die Marge kaputt. Unsere MSP-Variante ist pro Mandant dediziert, unter Ihrer Subdomain, mit Ihrem Branding – abrechenbar als Ihre eigene Leistung.

White-Label Multi-Tenant Wiederverkauf Partner-Programm
Min. Tenants
5 Kunden
Marge typisch
50 – 70 %
Setup neuer Tenant
< 30 Min.
Partner-Portal
24/7 API

Typische Pains

  • Pro-User-Fees zerstören MargeBei 1Password oder Keeper bleibt für den MSP kaum Deckungsbeitrag.
  • Keine echte MandantentrennungUS-Anbieter liefern nur "Collections" – juristisch unsauber bei KRITIS-Kunden.
  • White-Label-Optionen fehlenEndkunde sieht immer das Logo des Platzhirschen.
  • Rollout beim Kunden manuellJeder Tenant ein Einzelprojekt – Skalierung schwer.

Wie wir das lösen

  • Festpreis je TenantSie kaufen günstig ein, verkaufen zu Ihrem Preis – Marge bleibt bei Ihnen.
  • Echte dedizierte InstanzJeder Kunde bekommt eigene Vaultwarden-Instanz, eigene DB, eigene Subdomain.
  • White-LabelLogo, Farben, Support-E-Mail anpassbar – Endkunde sieht Ihren Brand.
  • Partner-API für ProvisioningNeuen Tenant per API anlegen, Abrechnung automatisch.

Öffentliche Verwaltung: BSI-Grundschutz-konform, OZG-tauglich.

Kommunen, Landesbehörden, Bundesbehörden – Passwort-Hygiene ist Pflicht nach BSI IT-Grundschutz ORP.4, OZG-kritische Fachverfahren brauchen kontrollierte Credential-Verwaltung. Cloud-Lösungen aus den USA scheiden praktisch aus – der BSI-Mindeststandard fordert EU-/DE-Hosting, AV-Verträge nach deutschem Recht und dokumentierte Mandantenfähigkeit. Managed On-Prem in einem BSI-zertifizierten Verwaltungs-Rechenzentrum ist typischerweise die bevorzugte Variante.

BSI IT-Grundschutz ORP.4 Identitätsmgmt. VS-NfD-Umfeld OZG EGovG NIS2 C5-BSI Vergabe-konform (UVgO)
Vergabe-fähig
UVgO & VgV
BSI-Grundschutz
ORP.4
Hosting
DE-RZ / on-prem
AV-Vertrag
deutsches Recht

Typische Pains

  • Fachverfahrens-ZooHKR, Einwohnermeldewesen, GIS – jedes mit eigenen Admin-Credentials.
  • US-Cloud aus Compliance-Sicht unmöglichBSI, LfDI und RH haben 1Password/LastPass/Keeper faktisch verboten.
  • Budget & VergabePro-User-SaaS passt nicht in Jahreshaushalt, Upsells belastend.
  • Rechenzentrum-KonsolidierungKommunale ITZs fordern Deployment in eigenem RZ (ITZBund, Dataport etc.).

Wie wir das lösen

  • Managed On-Prem im Verwaltungs-RZWir deployen in Ihr Dataport-/ITZBund-/kommunales RZ – Betrieb remote durch uns.
  • Festpreis statt Pro-UserVergabe-konform über UVgO / VgV, Haushaltsplanung transparent.
  • BSI-Grundschutz-BausteinORP.4 dokumentiert, Anforderungen prüfbar erfüllt.
  • Entra-ID/AD-SyncFür Bund- und Länder-AD samt Rolle/Laufbahn-Gruppen.

Kliniken, Praxen, Labore: §203 StGB ist nicht verhandelbar.

§203 StGB (Verletzung von Privatgeheimnissen) macht Ärzte und deren IT-Dienstleister persönlich haftbar für Patientendaten-Lecks. Passwort-Manager-Tresore enthalten de facto Zugänge zu PACS, KIS, Laborinformationssystem, E-Rezept-Konnektor – damit mittelbar Patientendaten. Ein US-Cloud-Hack ist kein Ausrutscher, sondern strafrechtlich relevante Fahrlässigkeit. Krankenhauszukunftsgesetz (KHZG) und B3S Krankenhaus fordern zusätzlich dokumentierte IT-Sicherheit.

§203 StGB BDSG §22 KHZG B3S Krankenhaus KRITIS-VO Gesundheit MDR ISO 27799 gematik TI
Strafnorm
§203 StGB
Förderfähig
KHZG FTZ 10
AV-Vertrag
§203 StGB-fest
Deployment
Klinik-RZ / SaaS

Typische Pains

  • §203 StGB-RisikoEin kompromittierter PACS/KIS-Zugang ist persönliche Strafbarkeit der Geschäftsführung.
  • Notfall-Zugriff bei SchichtwechselEilig geteilte Passwörter auf Notizblock – zertifikatspflichtige Systeme kollabieren daran.
  • Lieferanten-ZugängeRadiologie, Laborsystem, Wartungsaccounts – alle brauchen revisionssichere Freigabe.
  • Ransomware-WelleKliniken sind Top-Ziel (Medatixx, Mediclin etc.) – kompromittierte Admin-Credentials die Einfallstür.

Wie wir das lösen

  • AV-Vertrag §203-festMit Verpflichtungserklärung & Datengeheimnis – DSB-ready.
  • Notfall-Zugriff als CollectionDedizierte "Emergency"-Collection, Zugriff protokolliert mit Begründung.
  • Privileged-Access-Shared-VaultAdmin-Passwörter für PACS/KIS/Lab nur Hide-Passwords-Mode, Auto-Rotation nach Nutzung.
  • KHZG-FörderfähigFTZ 10 (IT-Sicherheit) – zuschussfähig, Antragsunterlagen liefern wir mit.

Berufsgeheimnisträger: Kanzleien, Steuerberater, WP, Notare.

Anwälte (BRAO §2, §43a), Steuerberater (StBerG §57), Wirtschaftsprüfer (WPO §43), Notare (BNotO §18) unterliegen einer berufsrechtlichen Verschwiegenheitspflicht. Cloud-Dienstleister aus den USA sind seit Schrems II nur mit erheblichen Zusatzmaßnahmen tragbar – für Passwort-Tresore mit Zugängen zu DATEV, RA-MICRO, Kanzleisoftware, Gerichtspostfach (beA) ist die Latte besonders hoch. Mit Managed Vaultwarden bleiben Mandantendaten-Zugänge nachweislich in Deutschland.

BRAO §2, §43a StBerG §57, §62 WPO §43 BNotO §18 §203 StGB §43e BRAO (Cloud) beA-Umfeld DSGVO Art. 9
Schweige­pflicht
§203 StGB
§43e BRAO
konform
Datenhoheit
100% DE
AV-Vertrag
berufsrechtsfest

Typische Pains

  • US-Cloud berufsrechtlich fragwürdig§43e BRAO verlangt Schutz von Mandanteninteressen – US-Subpoena widerspricht dem.
  • Verpflichtung Beschäftigter auf VerschwiegenheitJeder Dienstleister mit Datenzugang muss schriftlich verpflichtet sein.
  • beA, DATEV, RA-MICRO-ZugängeZentraler Passwort-Manager ist Pflicht – aber Mandantenakte darf nie verlinkt werden.
  • Haftungskaskade bei BreachKanzlei haftet persönlich, Deckungszusagen der Berufshaftpflicht an IT-Sicherheit gebunden.

Wie wir das lösen

  • AV + Verpflichtung §203Alle bei uns tätigen Personen schriftlich auf Berufsgeheimnis verpflichtet.
  • Mandanten-Trennung per CollectionPro Mandat eine Collection, nur zuständige Sachbearbeiter zugreifbar.
  • Audit-Log für HaftpflichtRevisionssicher dokumentiert – im Schadensfall Entlastungsnachweis.
  • Kleine Paketgröße ab 5 UserAuch 3er-Kanzlei oder StB-Sozietät enterprise-fähig ausstattbar.

DevOps & Entwickler: CI/CD-Secrets, API-Tokens, IaC-Credentials.

Moderne Teams verwalten nicht nur User-Passwörter – sie brauchen einen Ort für AWS-Access-Keys, GitHub-Tokens, Datenbank-Credentials, Kubernetes-Secrets, TLS-Zertifikate. Bitwarden-CLI (bw), REST-API und SDKs machen Vaultwarden zum programmierbaren Secret-Store – nutzbar in GitLab-CI, GitHub Actions, Ansible, Terraform. Kein extra HashiCorp-Vault-Cluster nötig, wenn Ihr Use-Case nicht Dynamic-Secrets fordert.

REST API bw CLI SDK: Python / Node / Go GitHub Actions GitLab CI Ansible-Lookup Terraform K8s External-Secrets
API-Latenz
< 40 ms
Rate-Limit
unlimited
Org-Tokens
scoped · rotatable
Webhooks
on-change

Typische Pains

  • Secrets in .env-FilesLanden in git, in Logs, in Docker-Images – GitHub findet sie zuerst.
  • HashiCorp Vault zu aufwendigClustering, TTL, Unseal-Keys – Overkill für Teams < 50 Developer.
  • Token-Rotation manuellGitHub-PAT, AWS-Keys, DB-Passwörter – alle 90 Tage. Niemand macht's.
  • Compliance fordert TrennungEntwickler-Credentials dürfen nicht im gleichen Vault liegen wie Mandanten-PWs.

Wie wir das lösen

  • bw CLI in Build-Pipelinesbw get password aws-prod – ersetzt .env, wird nie committed.
  • K8s External-Secrets-OperatorSecrets aus Vaultwarden in Kubernetes-Namespaces synchronisiert.
  • Org-Tokens mit ScopeNur Collection "ci-prod" zugreifbar, Token rotierbar per Admin-Klick.
  • Getrennte OrganisationenDev-Team & Company-Admins sauber getrennt, gemeinsame Audit-Sicht.

Hochschulen, Schulen, Forschung: Föderierte Identitäten, DFN-Umfeld.

Hochschulen und Forschungseinrichtungen arbeiten mit DFN-AAI, Shibboleth, eduGAIN – und brauchen einen Passwort-Manager, der sich in diese föderierte Welt einfügt. Vaultwarden spricht SAML 2.0 / OIDC nativ, Mandantenfähigkeit trennt Fakultäten und Institute, Audit-Log erfüllt GDD-Orientierungshilfe und DSGVO-Vorgaben der Landesdatenschutzbeauftragten. Preismodell ohne Pro-User-Lizenzen passt zu akademischen Budgets.

DFN-AAI eduGAIN Shibboleth GDD-Leitfaden LDSG DSGVO Art. 89 HRK-Empfehlung ZKI-Standards
IdP-Anbindung
Shibboleth · SAML
Federation
DFN-AAI · eduGAIN
Preismodell
Festpreis / Sitz
Mandanten
pro Fakultät

Typische Pains

  • Pro-User-Tarife unrealistisch20.000 Studierende × 4 €/Monat sprengt jedes ZIM-Budget.
  • Forschungsdaten-ZugängeHPC-Cluster, Datenbanken, Citrix – zentrale Verwaltung fehlt meist.
  • DSGVO-LDSG-Aufsicht strengLandesdatenschutzbeauftragte verlangen DE-Hosting für Identitätsdaten.
  • FakultätsautonomieJedes Institut will eigene Policies – braucht saubere Mandantentrennung.

Wie wir das lösen

  • Shibboleth/SAML nativAnbindung an Uni-IdP samt eduPersonAffiliation-Rollen.
  • Pro-Sitzplatz-FestpreisNicht pro Matrikel – nur aktive Admins & Forschende zählen.
  • Fakultäts-OrganisationenJede Fakultät eigene Policies, zentral nur Support durch ZIM/RZ.
  • Managed On-Prem im Uni-RZIm campusinternen Rechenzentrum, Betrieb durch uns remote.
Security · Datenschutz · Compliance

Ein Passwort-Manager muss selbst maximal sicher sein.

Zero-Knowledge-Architektur, clientseitige Verschlüsselung, BSI-auditierter Kerncode, gehärteter Betrieb – und nichts, was nach Hause telefoniert. Keine Telemetrie, keine Tracker, keine US-Cloud-Dependencies.

Zero-Knowledge-Architektur

Der Server kennt niemals Klartext-Passwörter. Verschlüsselung findet ausschließlich im Client statt, Master-Key wird via Argon2id aus dem Master-Passwort abgeleitet und verlässt den Client nie.

AES-256Argon2id

BSI-auditierter Kern

Vaultwarden-Codebase wurde 2024 im Auftrag des BSI durch eine unabhängige Sicherheitsprüfung untersucht. Alle gefundenen Issues sind upstream gefixed. Open-Source-Code bleibt dauerhaft auditfähig.

BSI 2024Open Source

Deutsche Rechenzentren

Alle Daten (Live + Backup) in zwei ISO-27001-zertifizierten Rechenzentren in Deutschland. Keine Replikation in die USA, keine CDN-Ausleitung personenbezogener Daten.

ISO 27001DSGVO

Schrems-II-sicher

Kein Datenzugriff durch US-Behörden. Unsere Muttergesellschaft ist deutsch, die Infrastruktur ist deutsch, der AV-Vertrag nach Art. 28 DSGVO ist Standard. CLOUD Act greift nicht.

Schrems IIDE-Recht

Backup 3-2-1 verschlüsselt

Drei Kopien, zwei Medien, eine Offsite. Alle Backups mit kundenspezifischem Key verschlüsselt. Point-in-Time-Recovery für letzte 30 Tage. Monatliche Restore-Drills – dokumentiert.

3-2-1PITR

Audit-Log revisionssicher

Append-only Log jedes Events – Login, View, Edit, Share, Export, Admin-Aktion. SHA-256 verkettet, 3 Jahre Mindest-Retention (bis 10 Jahre konfigurierbar). NIS2-/DORA-fest.

NIS2DORA
So starten wir

In vier Schritten zur produktiven Vault-Instanz.

Vom kostenlosen Erstgespräch bis zum Tag-1-Produktivbetrieb dauert es typischerweise weniger als zwei Wochen. Wir koordinieren den gesamten Rollout – Ihr IT-Team muss maximal 4–6 Stunden investieren.

1

Erstgespräch

Anforderungen klären: Nutzerzahl, IdP, Compliance-Kontext, Ziel-SSO.

30 Min. · kostenlos
2

Setup

Wir deployen Ihre dedizierte Instanz: Container, DB, Subdomain, TLS, Backup, Monitoring.

2 – 3 Arbeitstage
3

Migration & SSO

Import aus 1P/Keeper/LastPass, Entra-ID- oder AD-Anbindung, SCIM-Sync aktiv.

1 Arbeitstag
4

Betrieb & Support

Updates, Backups, Monitoring, fester Ansprechpartner. Rollout-Webinar für Team.

ongoing · SLA 99,9%
Demo & Angebot

30-Minuten-Live-Demo – echte Vault, echte Migration.

Kein Sales-Pitch, kein PowerPoint. Unser Engineering-Team zeigt die Plattform live: Einrichtung, SSO-Anbindung, Migration aus Ihrem bestehenden Passwort-Manager, Audit-Log-Export. Im Anschluss ein unverbindliches Festpreis-Angebot.

  • Live-Demo einer dedizierten Vaultwarden-Instanz
  • SSO-Blueprint für Ihren IdP (Entra / Okta / Keycloak / AD)
  • Migrations-Test mit 5 Beispieleinträgen aus Ihrem Altsystem
  • Unverbindliches Festpreis-Angebot nach Demo
DSGVO-konform Keine Verpflichtung Antwort < 24h
Managed Vaultwarden Live-Demo anfragen
Alle Felder mit * sind Pflicht. Wir melden uns innerhalb von 24 Stunden.

Mit dem Absenden akzeptieren Sie unsere Datenschutzerklärung. Ihre Daten werden ausschließlich zur Kontaktaufnahme verwendet, nicht an Dritte weitergegeben und nach Abschluss der Anfrage gelöscht, sofern kein Vertrag zustande kommt.

Danke — Anfrage ist raus.

Wir melden uns innerhalb von 24 Stunden (Mo–Fr) mit Terminvorschlägen für die Live-Demo.

Häufige Fragen

FAQ zu Managed Vaultwarden

Technisch tief, rechtlich sauber. Weitere Fragen? Sprechen Sie direkt mit unserem Engineering-Team.

Ja – alle offiziellen Bitwarden-Clients (Desktop für Windows/macOS/Linux, Mobile für iOS/Android, Browser-Extensions für Chrome/Firefox/Safari/Edge/Brave, CLI, Apple Watch) sind vollständig kompatibel. Vaultwarden implementiert die Bitwarden-API 1:1. Ihre Mitarbeitenden installieren die App aus dem Store und tragen Ihre Server-URL ein – das ist der einzige Unterschied zum Bitwarden-Cloud-Konto.

Alle Passwörter werden client-seitig mit AES-256 verschlüsselt. Der Master-Key wird per Argon2id (memory-hard) aus dem Master-Passwort abgeleitet und verlässt Ihr Gerät nie. Der Server sieht ausschließlich verschlüsselte Blobs. Das Projekt wurde 2024 im Auftrag des BSI einer unabhängigen Sicherheitsprüfung unterzogen – alle gefundenen Issues sind upstream gefixed und im aktuellen Release enthalten. Als Open-Source-Lösung ist jede Codezeile dauerhaft überprüfbar.

In der Regel weniger als einen Arbeitstag. Alle großen Passwort-Manager können ihre Daten in Standardformaten (CSV, JSON, 1pux, KDBX) exportieren. Unser Migrations-Workflow überträgt Einträge, Collections, Anhänge und TOTP-Seeds strukturerhaltend. Wir begleiten den gesamten Prozess und führen im Anschluss einen Abgleich durch.

Ausschließlich in zwei ISO-27001-zertifizierten Rechenzentren in Deutschland – primäres RZ Frankfurt, geo-redundantes Backup-RZ München. Keine Replikation in andere Länder, kein CDN mit personenbezogenen Daten, kein Offshore-Support. Damit sind DSGVO, BDSG und Schrems-II-Anforderungen lückenlos erfüllt.

Ja. Vaultwarden unterstützt SAML 2.0, OIDC und SCIM 2.0 – damit funktionieren alle Enterprise-IdPs nativ: Microsoft Entra ID, Okta, Keycloak, Auth0, Google Workspace, Ping Identity. Für reine AD-Umgebungen bieten wir zusätzlich unseren LDAP-Bridge-Connector, der Gruppen automatisch auf Bitwarden-Collections mappt. Einrichtungsaufwand: typischerweise 30–90 Minuten.

Sie erhalten einen vollständigen Export in Standardformaten (JSON für Vaultwarden/Bitwarden, CSV für Import in andere Manager). Kein Vendor Lock-in, keine Geiselhaft – Ihre Daten gehören Ihnen. Nach der Übergabe werden alle Daten auf unseren Systemen unwiderruflich gelöscht; die Löschung wird Ihnen schriftlich bestätigt.

Ja. Mit Organisationen, Collections, Gruppen und granularen Berechtigungen skaliert Vaultwarden problemlos auf tausende Nutzer. Alle Enterprise-Features – SSO, SCIM-Provisioning, Enterprise-Policies, Audit-Log, Reporting – sind ohne Zusatzkosten enthalten. Für konzernweite Deployments mit Tochtergesellschaften setzen wir pro Mandant eine eigene dedizierte Instanz auf.

Ja. Unsere Architektur erfüllt NIS2 §30 (starkes Identitätsmanagement) und DORA Art. 9 (IKT-Sicherheits-Grundsätze). Das revisionssichere Audit-Log (Append-only, SHA-256 verkettet, bis zu 10 Jahre Retention) liefert die geforderten Nachweise. Die Verfügbarkeits-SLA (99,95 % in KRITIS-Tarif) und das RTO von 4 Stunden sind DORA-konform. Auf Wunsch liefern wir den passenden Nachweispass für Ihren Auditor.

Ja, Managed On-Prem ist ein gleichwertiges Betriebsmodell. Vaultwarden läuft auf Ihrer Hardware (Proxmox, VMware, Hyper-V, OpenShift, Kubernetes oder Bare-Metal), in Ihrem Netzsegment. Wir deployen, patchen, sichern und monitoren remote über einen gehärteten SSH-/VPN-Jumphost – Daten verlassen Ihr Haus nicht. Air-Gap-Umgebungen werden via Artifact-Export unterstützt. Ideal für KRITIS-Betreiber, BSI-IT-Grundschutz-Anforderungen oder Konzernvorgaben mit "Daten nur im eigenen RZ". Setup typischerweise 1–2 Wochen, danach fester Monatspreis für Betrieb.

Der Funktionsumfang ist identisch – SSO, SCIM, Audit-Log, 2FA, Bitwarden-App-Kompatibilität, alle Enterprise-Policies. Der Unterschied: Bei Managed SaaS läuft Ihre dedizierte Instanz in unseren ISO-27001-RZs in Deutschland (Frankfurt + München), Setup in <1 Tag, reine OPEX. Bei Managed On-Prem läuft sie auf Ihrer eigenen Infrastruktur – maximale Datenhoheit, Air-Gap-tauglich, ideal für KRITIS und Konzerne mit harter "On-Prem-Only"-Policy. Ein Hybrid-Betrieb (produktiv bei Ihnen, DR bei uns oder umgekehrt) ist ebenfalls möglich. Ein Wechsel zwischen den Modellen ist jederzeit ohne Datenverlust machbar.

Wir arbeiten mit Festpreisen pro Instanz und Monat – nicht pro User. Der Preis hängt von SLA-Klasse, gewünschten Zusatzleistungen (SSO-Einrichtung, White-Label, 24/7-Support) und Mandantenzahl ab. Bei 50–500 Mitarbeitenden liegen typische Konstellationen deutlich unter dem Listenpreis von 1Password oder Keeper. Im Erstgespräch nennen wir Ihnen eine konkrete Zahl.

Standard-SLA: 99,9 % Verfügbarkeit, Reaktionszeit < 4 Stunden (Mo–Fr), Wiederherstellzeit < 8 Stunden. KRITIS-SLA: 99,95 % Verfügbarkeit, 24/7-Reaktion, RTO 4h / RPO 1h. Alle Parameter werden vertraglich zugesichert und monatlich per Reporting nachgewiesen. Wartungsfenster stimmen wir mit Ihnen ab – nicht umgekehrt.

Bei SCIM-Anbindung wird der Deprovisioning-Event vom IdP automatisch übernommen – der Account ist innerhalb von Sekunden deaktiviert. Der Admin kann zusätzlich Password-Rotation-Workflows für geteilte Accounts auslösen: alle Credentials, auf die der ausgetretene Mitarbeiter Zugriff hatte, werden automatisch zur Rotation markiert. Audit-Log dokumentiert den kompletten Offboarding-Vorgang revisionssicher.

Ein Passwort-Manager, der zu Ihrer Infrastruktur passt.

30-Minuten-Live-Demo mit echter Migration aus Ihrem aktuellen Passwort-Manager – als Managed SaaS oder Managed On-Prem. Anschließend unverbindliches Festpreis-Angebot. Kein Sales-Pitch, kein PowerPoint.

Demo-Termin anfragen +49 9571 87314-9 Technischer Deep-Dive Weitere Security-Lösungen