fairlane.systems

BITWARDEN · TECH

Bitwarden: Password-Manager, Secrets-Manager und Passkey-Authentificator mit EU-Cloud

Bitwarden ist die GPL-3-OSS-Lösung für Passwörter und Secrets-Mgmt. Self-host und EU-Cloud Frankfurt. Plus Passkey-Native-Auth.

Recherche & Faktencheck: · Stand: 2026-05

Was ist Bitwarden?

Bitwarden ist eine Open-Source-Password-Manager-Plattform unter GPL-3-Lizenz, die seit 2016 von der US-Firma Bitwarden Inc. (früher 8bit Solutions) entwickelt wird. Sie ist Mai 2026 die führende Open-Source-Alternative zu LastPass, 1Password und Dashlane und gilt im CH-KMU-Bereich als pragmatische Wahl für Passwort- und Secrets-Management mit voller EU-Datenresidenz-Option.

Das Produkt-Portfolio umfasst Mai 2026 drei Hauptlinien. (1) Bitwarden Password Manager -- der klassische Password-Manager mit Browser-Erweiterungen (Chrome, Firefox, Safari, Edge), Mobile-Apps (iOS, Android), Desktop-Apps (Windows, macOS, Linux), CLI-Tool. Speichert Passwörter, Notizen, Identitäten, Kreditkarten, Passkeys. Familien-, Teams-, Enterprise-Pakete. (2) Bitwarden Secrets Manager -- ein separates Produkt für DevOps-Secrets (API-Keys, DB-Passwörter, Zertifikate) mit Service-Account-Auth, CLI-Integration, Webhook-Trigger. Sehr ähnlich zur Vault-KV-Engine, aber pragmatischer für kleinere Setups. (3) Bitwarden Passwordless -- ein Passkey-Authentificator-as-a-Service für Web-Apps, die FIDO2-Login implementieren wollen ohne eigenen IdP zu bauen.

Die Lizenz-Struktur ist Mai 2026 zweigleisig. Der Core-Server-Code (Authentication, Vault-Sync, Browser-Extension, Mobile-Apps) ist unter GPL-3 OSS verfügbar -- voll selbst hostbar, voll auditierbar. Bestimmte Enterprise-Features (SSO via SAML/OIDC, Cross-Org-Policies, erweiterte Audit-Logs, Bitwarden Send mit Auto-Delete) sind in einer separaten Enterprise-Edition unter Commercial-Lizenz. Self-Hosted-Enterprise-Lizenzen sind ab USD 36 pro User pro Jahr verfügbar; Cloud-Variante (EU-Region Frankfurt) ab USD 4 pro User pro Monat für Family und USD 60 pro User pro Jahr für Enterprise.

Verschlüsselung: Bitwarden verwendet Zero-Knowledge-Architektur. Der Master-Key wird lokal aus dem Master-Passwort via PBKDF2 (default 600.000 Iterationen) oder Argon2id abgeleitet -- Bitwarden Server sieht den Master-Key nie. Alle Vault-Daten werden lokal mit AES-256-CBC verschlüsselt, bevor sie zum Server hochgeladen werden. Selbst bei einem Server-Compromise sehen Angreifer nur verschlüsselte Blobs.

EU-Cloud Frankfurt: Bitwarden Cloud hat seit 2023 eine EU-Region in Frankfurt (AWS eu-central-1). Daten verlassen die EU nicht. Für Schweizer KMU mit DSG-Anforderungen, die kein strenges CH-Hosting verlangen, ist das Mai 2026 die pragmatische Wahl gegenüber US-Cloud-Anbietern (LastPass, 1Password).

Passkey-Support Mai 2026: Bitwarden hat seit 2024 native Passkey-Speicherung. Mai 2026 mit Bitwarden 2025.3+ funktionieren Passkeys cross-device synchronisiert -- der Mitarbeiter loggt sich auf dem Laptop einmal in Bitwarden ein, der Passkey ist auf dem Phone, Desktop und im Browser-Extension verfügbar. Ersatz für Passwörter strukturell möglich.

Warum es für CH-KMU und Treuhand zählt

Bitwarden ist Mai 2026 für CH-KMU aus vier Gründen eine pragmatische Wahl.

Pflicht-Schicht für Passwort-Management ab 2-Personen-Setup: sobald mehr als ein Mitarbeiter Zugriff auf gemeinsame Accounts hat (Stripe-Dashboard, Brevo-Console, Hetzner-Robot, OpenAI-API), ist ein gemeinsames Passwort-Management Pflicht. Geteilte Passwörter in Slack, E-Mail oder Notion verstösst gegen Art. 8 revFADP. Bitwarden Organizations bieten Sharing mit Berechtigungs-Klassen (read/write/manager/admin) und Audit-Trail darüber, wer wann welches Passwort abgerufen hat.

EU-Cloud als pragmatische Alternative zu Self-Hosting: Vault- oder OpenBao-Self-Hosting braucht 5-15 Tage Setup und 1-2 Tage Wartung pro Quartal. Für eine 5-Personen-Treuhand ist das überdimensioniert. Bitwarden Cloud EU-Region Frankfurt ist ab CHF 4 pro User pro Monat verfügbar -- bei 5 Personen also CHF 240 pro Jahr für voll-managed Password-Management plus Secrets-Manager. Daten bleiben in der EU, AWS-Datenraum-Vertrag dokumentiert.

Passkey-Migration als Mai-2026-Trend: mit Bitwarden 2025.3+ können Mitarbeiter Passkeys cross-device speichern. Ein Mitarbeiter loggt sich am Mandantenportal einmal mit FIDO2 ein, der Passkey wird in Bitwarden gespeichert, auf Phone, Laptop, Browser-Extension verfügbar. Damit funktioniert Passkey-Auth ohne Hardware-Key-Pflicht -- wichtig für Mitarbeitende, die unterwegs sind und ihren YubiKey vergessen.

Berufsgeheimnis nach StGB Art. 321: Anwaltskanzlei muss verhindern, dass Dritte Mandantenakten-Logins erlangen. Geteilte Passwörter in Slack sind ein direkter Verstoss -- jeder, der Slack-Zugang hat, sieht das Passwort, und Slack-History ist 90 Tage retained. Bitwarden mit Audit-Trail dokumentiert, wer wann welchen Mandanten-Zugang abgerufen hat -- das ist die Grundlage einer forensischen Untersuchung bei Compromise.

Secrets-Manager als Vault-Alternative für kleine Setups: Bitwarden Secrets Manager (separates Produkt, ab USD 3 pro User pro Monat) liefert DevOps-Secrets-Management mit Service-Account-Auth, CLI-Tool (bws), Webhook-Trigger. Funktional etwa 40-50 Prozent von Vault, ohne dessen Setup-Komplexität. Für ein 5-Personen-Treuhand-Büro mit 10-20 API-Keys ist das die pragmatische Wahl.

Regulatorischer Bezug: revFADP Art. 8 verlangt Schutzmassnahmen nach dem Stand der Technik -- zentralisiertes Passwort-Management mit Audit-Trail ist 2026 Stand der Technik. ISO 27001 Annex A.9 (Access Control) wird abgedeckt. Cyber-Versicherungen verlangen ab 2025 Password-Manager-Einsatz als Pflicht-Massnahme.

Cloud-Setup und Self-Host-Variante

Bitwarden gibt es in zwei Betriebsmodellen, die wir beide bei Fairlane für Mandanten einsetzen.

Modell 1: Bitwarden Cloud EU-Region (empfohlen für KMU unter 50 Mitarbeitenden). Account anlegen auf https://vault.bitwarden.eu (wichtig: .eu-Domain, nicht .com -- letztere ist US-Region). Organization anlegen "Treuhand Müller", Mitarbeiter einladen via Email. Master-Passwort jedes Mitarbeiters lokal -- Bitwarden sieht es nie.

Browser-Extension Chrome/Firefox installieren, mit Account verbinden, Auto-Fill aktivieren. Mobile-App iOS/Android installieren, mit Account verbinden, Touch-ID/Face-ID aktivieren. Vorgang pro Mitarbeiter dauert 10 Minuten.

Modell 2: Self-Hosted Bitwarden (für compliance-strenge Setups mit CH-Hosting-Pflicht). Docker-Compose mit Bitwarden-Unified-Container (Mai 2026 Standard):

```yaml version: "3.8" services: bitwarden: image: bitwarden/self-host:2025.3 container_name: bitwarden restart: unless-stopped environment: - BW_DOMAIN=vault.treuhand-müller.ch - BW_DB_PROVIDER=postgresql - BW_DB_SERVER=postgres - BW_DB_DATABASE=bitwarden - BW_DB_USERNAME=bitwarden - BW_DB_PASSWORD=<postgres-pass> - BW_INSTALLATION_ID=<from-bitwarden.com/host> - BW_INSTALLATION_KEY=<from-bitwarden.com/host> - BW_ENABLE_SSL=true - BW_PORT_HTTPS=443 ports: - "443:443" volumes: - ./bitwarden-data:/etc/bitwarden postgres: image: postgres:16-alpine restart: unless-stopped environment: POSTGRES_USER: bitwarden POSTGRES_PASSWORD: <postgres-pass> POSTGRES_DB: bitwarden volumes: - ./postgres-data:/var/lib/postgresql/data ```

Installation-ID und Installation-Key via https://bitwarden.com/host generieren (kostenlos für Self-Host bis 1 Million Items). nginx oder Caddy als Reverse-Proxy mit Let's-Encrypt-TLS.

Bitwarden Secrets Manager Setup (separates Tool für DevOps-Secrets): ```bash # Service-Account in Bitwarden anlegen # Access-Token generieren export BWS_ACCESS_TOKEN=<token> bws secret list bws secret create stripe_key sk_live_xyz "Stripe Live API Key" bws secret get <id> ```

Integration in Node.js-App: ```javascript const { BitwardenClient, DeviceType } = require('@bitwarden/sdk-napi'); const client = new BitwardenClient({ apiUrl: 'https://api.bitwarden.eu' }); await client.auth().loginWithAccessToken(process.env.BWS_ACCESS_TOKEN); const secret = await client.secrets().get(secretId); console.log(secret.value); ```

Passkey-Sync Mai 2026 mit Bitwarden 2025.3+: jeder Mitarbeiter aktiviert Passkey-Save in Browser-Extension-Settings. Beim nächsten Login-Flow mit FIDO2 (z.B. an Authentik) wird der Passkey automatisch in Bitwarden gespeichert. Cross-Device-Sync läuft via Standard-Vault-Sync.

SSO-Integration (Enterprise-Feature): Bitwarden Organization mit SAML 2.0 oder OIDC gegen Authentik/Authelia konfigurieren. Mitarbeiter loggt sich an Authentik ein, Bitwarden Token wird automatisch ausgestellt. Mitarbeiter-Offboarding in Authentik führt zu Auto-Deaktivierung in Bitwarden.

Bitwarden-Einführung in 5 Schritten

  1. 01Modell-Entscheidung: Cloud EU-Region Frankfurt (95 Prozent der CH-KMU) oder Self-Host (FINMA-Hochrisiko, strikte CH-Hosting-Pflicht); Bitwarden-Plan wählen (Teams, Enterprise).
  2. 02Organization anlegen, Master-Passwörter pro Mitarbeitenden (mindestens 20 Zeichen Passphrase); Browser-Extension und Mobile-App pro Mitarbeitenden installieren.
  3. 03Existierende Passwörter migrieren: Import aus LastPass/1Password/Browser-Speicher; in Collections strukturieren (Buchhaltung, Mandanten, Server, persönlich).
  4. 04SSO-Integration (Enterprise-Plan): SAML 2.0 oder OIDC gegen Authentik/Authelia konfigurieren; Self-Service-Reset aktivieren; Notfall-Admin-Account mit getrennten Credentials einrichten.
  5. 05Passkey-Support aktivieren (v2025.3+): Browser-Extension-Setting "Save Passkeys"; pro Mitarbeitenden Passkey-Migration durchführen; YubiKey-2FA für Bitwarden-Login-Zugang verbindlich machen.

Wann Bitwarden einsetzen

Bitwarden ist Mai 2026 in fünf Konstellationen die richtige Wahl für CH-KMU.

Pflicht-Schicht ab 2-Personen-Setup: jedes KMU mit mehr als einem Mitarbeitenden braucht zentrales Passwort-Management. Bitwarden Cloud EU oder Self-Host. Geteilte Passwörter in Slack/E-Mail/Notion ist 2026 nicht mehr akzeptabel.

EU-Cloud als pragmatische Alternative zu Self-Host-Vault: 5-50-Personen-Setup mit DSG-Anforderungen, aber ohne strikten CH-Hosting-Anspruch. Bitwarden Cloud EU-Region Frankfurt ab CHF 4 pro User pro Monat ist deutlich pragmatischer als Vault-/OpenBao-Self-Host. Daten bleiben in der EU, Zero-Knowledge-Verschlüsselung.

Passkey-Migration ohne Hardware-Key-Pflicht: KMU, die Passkey-Auth einführen wollen, ohne jedem Mitarbeitenden einen YubiKey zu kaufen. Bitwarden synct Passkeys cross-device, Mitarbeitende können über alle Geräte Passkey-Login nutzen. YubiKey bleibt für Admin-Accounts empfehlenswert, Mitarbeiter-Standard-Accounts brauchen das nicht zwingend.

DevOps-Secrets-Manager ohne Vault-Aufwand: kleine Setups mit 10-30 API-Keys und Service-Account-Bedarf. Bitwarden Secrets Manager (separates Produkt, ab USD 3 pro User pro Monat) liefert DevOps-Secrets-Management ohne Vault-Cluster-Komplexität. Funktional etwa 40-50 Prozent von Vault, ausreichend für KMU-Standard-Setups.

Mandanten-Sharing für Anwaltskanzleien: Bitwarden Send (Enterprise-Feature) erlaubt sicheres Teilen einzelner Items mit externen Mandanten -- Mandant bekommt eine URL mit Passwort-Schutz, sieht das Passwort einmal, kann es nicht extrahieren. Auto-Delete nach Anschauen oder Zeit. Ersatz für unsichere E-Mail-Mandanten-Kommunikation.

Die Cloud-Variante ist Mai 2026 die Default-Empfehlung. Self-Host nur, wenn strikte CH-Hosting-Pflicht besteht (FINMA-Hochrisiko-Mandate, bestimmte Banken-/Pharma-Mandanten). Cloud Frankfurt ist für 95 Prozent der CH-KMU-Anforderungen ausreichend.

Wann Bitwarden nicht reicht

Drei Fälle, in denen Bitwarden Mai 2026 nicht ausreicht.

Hoch-volumige DevOps-Secrets mit Dynamic-Secrets-Bedarf: ab etwa 50+ Anwendungen mit Datenbank-Zugängen, AWS-IAM-Tokens, kurzlebigen Zertifikaten ist Bitwarden Secrets Manager nicht mehr ausreichend. Vault- oder OpenBao-Database-Engine erzeugt pro Job-Lauf einen DB-User mit 1h TTL -- das ist Stand-der-Technik für Mandanten-Daten-Zugriff. Bitwarden hat keine Dynamic-Secrets-Funktionalität.

Hardware-Security-Module (HSM) Pflicht: FINMA-Banken-Treuhand mit HSM-Auto-Unseal-Pflicht. Bitwarden Self-Host hat keinen HSM-Integration-Pfad. Hier bleibt Vault Enterprise die Wahl.

Strikte CH-Hosting-Pflicht ohne Self-Host-Bereitschaft: wer CH-Hosting verlangt, aber kein Self-Host-Setup pflegen kann/will, ist mit Bitwarden in einer Sackgasse. Cloud-Region ist Frankfurt (EU), nicht Schweiz. Alternativen: Infomaniak kProtect (CH-gehostet), Threema Work (CH-gehostet, primär Messenger aber mit Secrets-Funktion).

Generelle Fallen bei Bitwarden-Deployments: (a) Master-Passwort-Schwäche -- ein Mitarbeiter mit "Sommer2026!" als Master-Passwort macht den ganzen Vault angreifbar. Empfehlung: mindestens 20 Zeichen, mit Passphrase aus 5+ Wörtern. (b) PBKDF2-Iterationen auf Default 600.000 lassen -- ausreichend Mai 2026, aber regelmässig anpassen, wenn NIST-Empfehlungen steigen. (c) Browser-Extension-Sync zwischen privaten und beruflichen Accounts -- Datenleck-Gefahr. Bitwarden hat "Account-Wechsel"-Feature, das das verhindert. (d) Self-Host ohne Backup-Strategie -- Postgres-Snapshot täglich, off-site replicieren. (e) SSO einrichten ohne Notfall-Admin-Account -- bei Authentik-Ausfall sind alle Mitarbeitenden ausgesperrt.

Vor- und Nachteile

STÄRKEN

  • GPL-3-Core-OSS, voll self-host-bar und auditierbar
  • EU-Cloud Frankfurt -- DSG-konform ohne Self-Host-Aufwand
  • Zero-Knowledge-Architektur, Server sieht Master-Key nie
  • Native Passkey-Synchronisation cross-device seit v2025.3

SCHWÄCHEN

  • Keine Dynamic-Secrets-Funktionalität -- nicht für 50+ Anwendungen mit DB-Rotation
  • Cloud-Region Frankfurt, nicht CH -- bei strikter CH-Hosting-Pflicht Self-Host nötig
  • Kein HSM-Integration-Pfad -- nicht für FINMA-Hochrisiko mit HSM-Pflicht
  • Enterprise-Features (SSO, Bitwarden Send) extra lizenziert

Häufige Fragen

Bitwarden Cloud EU oder Self-Host -- was wählen?

Mai 2026 für 95 Prozent der CH-KMU Cloud EU-Region Frankfurt. Zero-Knowledge-Verschlüsselung schützt vor Server-Compromise, EU-Datenresidenz erfüllt revFADP. Setup 10 Minuten pro Mitarbeitenden, Kosten ab CHF 4 pro User pro Monat. Self-Host nur bei FINMA-Hochrisiko, strikter CH-Hosting-Pflicht oder Compliance-Vorgabe "alle Daten auf eigenen Servern". Self-Host kostet 1-2 Tage Setup plus monatlich 2-4 Stunden Wartung.

Bitwarden vs Vault für Secrets-Management?

Bitwarden Secrets Manager bis 30 API-Keys und kleine Service-Account-Setups -- pragmatisch, einfach, EU-Cloud. Vault/OpenBao ab 50+ Anwendungen mit Dynamic-Secrets-Bedarf (DB-User mit 1h TTL, AWS-IAM-Tokens). Beide können parallel laufen: Bitwarden für Passwörter plus statische API-Keys, Vault für Dynamic-Secrets-DB-Zugriff.

Wie funktioniert die Passkey-Synchronisation?

Mai 2026 mit Bitwarden 2025.3+. Mitarbeitender aktiviert "Save Passkeys" in Browser-Extension-Settings. Beim FIDO2-Registrieren an Authentik/anderen Web-Apps wird der Passkey lokal generiert und in Bitwarden-Vault gespeichert. Vault-Sync verteilt ihn auf Phone/Laptop/Browser-Extension. Beim nächsten Login zeigt jedes Gerät den Passkey-Login an. Ersetzt strukturell Passwörter ohne Hardware-Key-Pflicht.

Was kostet Bitwarden Enterprise für 20 Mitarbeitende?

Mai 2026 Cloud-Enterprise-Plan USD 60 pro User pro Jahr = USD 1200 pro Jahr für 20 Mitarbeitende (CHF 1100). Beinhaltet SSO via SAML/OIDC, Cross-Org-Policies, Bitwarden Send, erweiterte Audit-Logs, Premium-Support. Self-Host-Enterprise-Lizenz USD 36 pro User pro Jahr = USD 720 pro Jahr (CHF 660), zusätzlich Hosting-Kosten (Hetzner Dedicated ca. CHF 80/Monat). Cloud lohnt sich bei kleinen Setups, Self-Host ab ca. 50 Nutzern wirtschaftlich.

Verwandte Themen

SECURITY-VERGLEICH · TOOL-VERGLEICHSecurity-Hardening-Tools im Vergleich: CrowdSec, Fail2ban, Wazuh, UFW, Vault, Authentik, WireGuard, Lynis, rkhunter, ClamAVSECRETS · SICHERHEITSecrets-Management mit Vault: API-Keys, DB-Passwörter und JWT-Secrets richtig verwaltenHASHICORP VAULT · TECHHashiCorp Vault: Industrie-Standard für Secrets-Management seit 2015OPENBAO · TECHOpenBao: Linux-Foundation-Fork von HashiCorp Vault unter MPL-2.0AUTHELIA · TECHAuthelia: leichter SSO- und 2FA-Authorization-Proxy für nginx und TraefikrevDSG · COMPLIANCErevDSG / revFADP und KI: Was das revidierte Schweizer Datenschutzgesetz für LLM-Nutzung bedeutet

Quellen

  1. Bitwarden -- official documentation · 2026-05
  2. Bitwarden GitHub -- v2025.3 release notes · 2026-04
  3. Bitwarden -- security whitepaper · 2026-03
  4. FIDO Alliance -- Passkey specifications · 2026-03
  5. EDÖB -- Technische und organisatorische Massnahmen · 2026-04

PASSEND ZU IHREM STACK?

Wie das in Ihrem Betrieb konkret aussieht – 30 Minuten Erstgespräch.

Erstgespräch buchen