Werkzeuge

Einen Passwortmanager selbst zu hosten bedeutet, dass der verschlüsselte Tresor auf einer Infrastruktur liegt, die Sie kontrollieren, statt in der Cloud eines Anbieters. Für Entwickler und datenschutzbewusste Nutzer kann das zutiefst reizvoll sein: Kein Dritter besitzt Ihre Daten, Sie legen Ihre eigene Backup- und Zugriffsrichtlinie fest, und Sie hängen nicht vom Fortbestand eines Unternehmens oder seinen Preisentscheidungen ab. Es ist die wörtlichste Auslegung davon, die eigene Sicherheit zu besitzen.

Der Reiz ist real, doch er kommt mit einem nüchternen Tauschgeschäft. Wenn Sie den Tresor hosten, erben Sie auch jede Verantwortung, die ein Anbieter normalerweise abnimmt: Verfügbarkeit, Software-Updates, Transportsicherheit und vor allem Backups. Die Verschlüsselung schützt Ihre Daten im Ruhezustand weiterhin, aber die Verfügbarkeit und Beständigkeit dieser Daten sind nun Ihr Problem. Dieses Tauschgeschäft von Anfang an zu verstehen, macht den Unterschied zwischen Ermächtigung und einer künftigen Aussperrung von Ihren eigenen Daten.

Vaultwarden, der beliebte Mittelweg

Vaultwarden ist der beliebteste Weg zum Selbsthosting. Es ist eine leichtgewichtige, kompatible Neuimplementierung des Bitwarden-Servers, geschrieben, um bequem in einem einzigen Container auf einem kleinen VPS oder Heimserver zu laufen. Entscheidend ist: Es funktioniert mit den offiziellen Client-Apps von Bitwarden, sodass Sie ein ausgefeiltes, gut gepflegtes Nutzererlebnis auf jedem Gerät behalten und zugleich das Backend besitzen, das die Daten speichert. Diese Kombination hat es zur Standardempfehlung für Selbsthosting-Anhänger gemacht.

Vaultwarden gut zu betreiben bedeutet trotzdem, die unscheinbaren Teile richtig zu machen. Sie müssen es hinter HTTPS stellen, statt es im Klartext freizulegen, das Container-Image aktuell halten, wenn neue Versionen erscheinen, und den Zugriff einschränken – viele Leute greifen nur über ein privates Netzwerk oder ein VPN darauf zu statt über das offene Internet. Nichts davon ist exotisch, aber jeder Schritt ist eine Stelle, an der eine nachlässige Konfiguration den Schutz, den Sie erreichen wollten, still schwächen kann.

KeePassXC und der dateibasierte Weg

KeePassXC stellt die denkbar einfachste Form des Selbsthostings dar, so sehr, dass es fast gar keinen Server beinhaltet. Der Tresor ist nur eine verschlüsselte Datei. Sie synchronisieren sie mit dem Speicher, dem Sie ohnehin vertrauen – Ihrem eigenen Dateiserver, einem verschlüsselten Laufwerk oder einem privaten Repository – und es gibt keinen Dienst, der aktuell oder online gehalten werden muss. Für einen einzelnen Nutzer, der Minimalismus schätzt, kann dies die robusteste Option sein, gerade weil sie so wenige bewegliche Teile hat.

• Vaultwarden – leichter selbstgehosteter Server, kompatibel mit den offiziellen Bitwarden-Apps
• KeePassXC – verschlüsselte Datei, die Sie selbst synchronisieren, ohne Server zu pflegen
• Proton Pass – verwaltete, Ende-zu-Ende-verschlüsselte Alternative, ohne operative Last
• Was immer Sie betreiben: automatisierte, getestete und ausgelagerte Backups sind nicht verhandelbar

Der Kompromiss des dateibasierten Ansatzes liegt in der Synchronisierung und der Konfliktbehandlung. Wenn Sie den Tresor auf zwei Geräten ändern, bevor sie synchronisieren, können Sie mit auseinanderlaufenden Kopien enden, die abgeglichen werden müssen. Werkzeuge und Erweiterungen existieren, um dies abzumildern, aber es ist eine manuelle Disziplin statt der automatischen, konfliktlösenden Synchronisierung eines gehosteten Dienstes. Für manche ist diese Einfachheit ein Vorzug; für andere eine Reibung, auf die sie lieber verzichten würden.

Die wahren Kosten des Selbsthostings

Selbsthosting ist also nicht kostenlos, selbst wenn kein Geld den Besitzer wechselt. Sie werden verantwortlich für Verfügbarkeit, Updates und vor allem Backups. Wenn Sie die Datei oder den Server ohne Backup verlieren, sind die Daten schlicht weg – es gibt keine Hotline, die sie für Sie wiederherstellt. Wer diesen Weg geht, sollte automatisierte, getestete und ausgelagerte Backups einrichten, bevor er dem System irgendetwas Wichtiges anvertraut.

Auch die Verantwortung für die Sicherheit verlagert sich auf subtilere Weise zu Ihnen. Ein selbstgehosteter Server ist nur so sicher wie der Host, auf dem er läuft, das Netzwerk dahinter und die Sorgfalt, mit der Sie Updates einspielen. Eine vernachlässigte, dem Internet ausgesetzte Instanz kann gefährlicher sein als ein renommierter verwalteter Dienst, denn die Schutzmaßnahmen, die ein professionelles Team pflegen würde, müssen nun Sie bedenken. Selbsthosting belohnt die Sorgfältigen und bestraft die Unaufmerksamen.

Wann ein verwalteter Dienst sinnvoller ist

Wenn Ihnen diese Verantwortung schwerer erscheint, als Ihnen lieb ist, bietet ein Ende-zu-Ende-verschlüsselter verwalteter Dienst wie Proton Pass den Großteil der Datenschutzvorteile ohne die operative Last. Ihre Geheimnisse werden auf Ihrem Gerät verschlüsselt, bevor sie es überhaupt verlassen, sodass der Anbieter sie nicht lesen kann, und doch werden Synchronisierung, Backups und Updates für Sie erledigt. Es ist ein pragmatischer Mittelweg für alle, die Datenschutz wollen, aber keinen Zweitjob als Sysadmin.

Das ehrliche Fazit lautet, dass Selbsthosting hervorragend ist für jene, die Infrastruktur wirklich schätzen und pflegen, und eine Last für jene, die sie einmal einrichten und vergessen. Seien Sie ehrlich zu sich, zu welcher Gruppe Sie gehören. Ob Sie Vaultwarden betreiben, eine KeePassXC-Datei synchronisieren oder Proton Pass die Mechanik überlassen, das Ziel ist dasselbe: verschlüsselte Zugangsdaten, auf die Sie sich verlassen können, wenn Sie sie brauchen.