Skip to main content
server.camp Docs
Wechsel zwischen Dunkel/Hell/Auto Modus Wechsel zwischen Dunkel/Hell/Auto Modus Wechsel zwischen Dunkel/Hell/Auto Modus Zurück zur Startseite
  1. Dokumentation
  2. /
  3. Dienste
  4. /
  5. Vaultwarden
  6. /
  7. Erste Schritte

Erste Schritte

Du hast ein managed Vaultwarden bei server.camp bestellt – herzlichen Glückwunsch! Vaultwarden ist ein Open-Source Passwort-Manager, der vollständig mit der Bitwarden-App kompatibel ist. Du und dein Team könnt Passwörter sicher verwalten, teilen und automatisch ausfüllen – alles verschlüsselt, alles auf sicherer, DSGVO-konformer Infrastruktur in Deutschland. Diese Anleitung richtet sich an Freelancer, kleine bis mittlere Unternehmen und Vereine, die ihre Passwort-Sicherheit endlich professionell angehen wollen.

Warum ein Passwort-Manager?

In KMU sieht die Passwort-Realität oft erschreckend aus: Passwörter werden in Excel-Tabellen gespeichert, per E-Mail geteilt oder stehen auf einem Post-it neben dem Bildschirm. Das ist ein ernstes Sicherheitsrisiko – und ein operatives Problem beim Mitarbeiterwechsel.

Vaultwarden löst beides: Passwörter werden sicher verschlüsselt, lassen sich einfach im Team teilen, und wenn jemand das Unternehmen verlässt, reicht es, den Zugang zur Passwort-Sammlung zu entziehen.

Typische Einsatzszenarien:

  • Shared Accounts verwalten: Social-Media-Zugänge, Admin-Konten, Dienst-E-Mail-Adressen
  • Sichere Passwörter generieren statt überall dasselbe einfache Passwort zu nutzen
  • Team-Sammlungen für Abteilungen: Buchhaltung hat Zugang zu Steuerportal-Zugängen, Vertrieb zu CRM-Zugängen
  • Kunden-Zugänge sicher aufbewahren (Hosting-Panel, etc.)
  • Notizen und Dokumente verschlüsselt speichern (API-Keys, Zertifikate, Notfallkontakte)
  • Onboarding vereinfachen: ein neues Teammitglied bekommt Zugang zur passenden Sammlung oder Gruppe
  • Verschlüsselte Bibliotheks-Passwörter sicher aufbewahren (z. B. für Seafile-Bibliotheken)

Grundkonzept: Tresore, Organisationen, Sammlungen und Gruppen

Vaultwarden / Bitwarden trennt sich in zwei Ebenen:

  • Persönlicher Tresor – Passwörter, die nur dir gehören (privat)
  • Organisation – ein gemeinsamer Bereich für das gesamte Unternehmen oder den Verein

In beiden Ebenen gibt es Sammlungen: ein Unterbereich für ein Thema (z. B. “Buchhaltung”, “Marketing”, “IT-Admin”), dem du Einträge zuordnen kannst. Sammlungen sind die zentrale Struktur, um Passwörter zu organisieren und den Zugang zu steuern.

Um innerhalb einer Organisation den Zugang zu Sammlungen zu verwalten, gibt es Gruppen: eine Menge von Mitgliedern, denen gemeinsam Zugang zu Sammlungen gewährt wird (z. B. “Team Vertrieb”, “Buchhaltung”, “Geschäftsführung”). So kannst du den Zugang effizient steuern, ohne bei jeder Sammlung einzeln festlegen zu müssen, wer Zugriff hat.

Praxistipp: Sammlungen und Gruppen erleichtern die Zugriffssteuerung
Lege eine Organisation für dein Unternehmen an, unterteile sie in Sammlungen nach Themen und nutze Gruppen, um den Zugang effizient zu steuern.

Erste Schritte: App installieren und einrichten

Browser-Erweiterung

Die Bitwarden-Erweiterung fügt sich nahtlos in deinen Browser ein und füllt Passwörter automatisch aus:

  1. Bitwarden-Erweiterung im Browser-Store installieren:
  1. In der Erweiterung: auf das Zahnrad klicken → unter “Selbst gehosteter Server” deine Vaultwarden-URL eintragen
  2. Mit Benutzername und Master-Passwort einloggen

Desktop-App

Bitwarden-Desktop-App für Windows, macOS und Linux herunterladen. Vor dem Login in den Einstellungen die Server-URL auf deine Vaultwarden-Instanz umstellen.

Mobile App

Bitwarden-App im App Store (iOS) oder Play Store (Android) installieren. In den Einstellungen “Selbst gehosteter Server” aktivieren und die URL eintragen.

Alle Geräte anbinden
Installiere die Bitwarden-Erweiterung und -App auf allen Geräten, die du nutzt – Arbeitsrechner, Laptop, Smartphone. Passwörter werden automatisch zwischen allen Geräten synchronisiert. So musst du ein Passwort nur einmal speichern und hast es überall griffbereit.

Organisation einrichten

Organisation erstellen

  1. Im Vaultwarden-Webinterface (deine Vaultwarden-URL) einloggen
  2. Oben links auf dein Profil → “Neue Organisation erstellen”
  3. Organisationsnamen vergeben (z. B. Firmenname oder Vereinsname)

Mitglieder einladen

Unter Organisation → Mitglieder → Einladen:

  1. E-Mail-Adresse des neuen Mitglieds eingeben
  2. Rolle auswählen:
Rolle Rechte Empfohlen für
Benutzer Kann zugewiesene Sammlungen sehen und nutzen Mitarbeitende, Vereinsmitglieder
Manager Kann Sammlungen und deren Inhalte verwalten Teamleiter, Abteilungsleiter
Admin Kann Mitglieder, Sammlungen und Gruppen verwalten IT-Verantwortliche
Inhaber Vollständiger Zugriff, kann die Organisation verwalten Geschäftsführung, Vereinsvorstand
  1. Sammlungen auswählen, auf die das Mitglied Zugriff haben soll
  2. Eingeladene Mitglieder erhalten eine E-Mail und müssen die Einladung bestätigen
  3. Nach der Bestätigung muss ein Admin oder Inhaber die Mitgliedschaft bestätigen (Invite → Accept → Confirm)
Drei-Schritte-Onboarding
Vaultwarden nutzt einen dreistufigen Prozess: Einladen → Annehmen → Bestätigen. Das dient der Sicherheit – kein Mitglied erhält Zugang zu geteilten Passwörtern, bevor ein Admin die Mitgliedschaft aktiv bestätigt hat. Vergiss den letzten Bestätigungsschritt nicht, sonst sieht das neue Mitglied keine geteilten Einträge.

Sammlungen anlegen

Sammlungen sind die zentrale Struktur, um Passwörter thematisch zu organisieren und den Zugang zu steuern. Jeder Eintrag in der Organisation muss mindestens einer Sammlung zugeordnet sein.

Unter Organisation → Sammlungen:

  1. “Neue Sammlung” klicken
  2. Namen vergeben
  3. Mitglieder oder Gruppen auswählen, die Zugriff haben sollen
  4. Berechtigungen festlegen:
  • Kann verwalten – Mitglieder können Einträge hinzufügen, bearbeiten und löschen
  • Kann bearbeiten – Mitglieder können vorhandene Einträge bearbeiten, aber nicht löschen
  • Nur anzeigen – Mitglieder können Einträge sehen und Passwörter kopieren, aber nichts ändern
  • versteckte Passwörter – Mitglieder können das Passwort zum Ausfüllen nutzen, aber nicht im Klartext sehen
Berechtigungen bewusst setzen
Nutze “Nur anzeigen” für Sammlungen, in denen Mitarbeitende Zugangsdaten nur verwenden, aber nicht ändern sollen (z. B. Social-Media-Accounts). “versteckte Passwörter” ist besonders nützlich für Accounts, bei denen Mitarbeitende sich einloggen können sollen, ohne das eigentliche Passwort zu kennen – ideal für Shared Accounts bei externen Diensten.

Gruppen: Zugangsverwaltung skalierbar machen

Was sind Gruppen?

Ohne Gruppen musst du bei jeder neuen Sammlung oder jedem neuen Mitglied einzeln festlegen, wer Zugang zu welcher Sammlung hat. Bei 5 Mitgliedern und 3 Sammlungen ist das noch überschaubar – bei 20 Mitgliedern und 10 Sammlungen wird es schnell unübersichtlich.

Gruppen lösen dieses Problem: Du erstellst eine Gruppe (z. B. “Buchhaltung”), weist ihr die relevanten Sammlungen zu und fügst Mitglieder zur Gruppe hinzu. Wenn ein neues Teammitglied kommt, fügst du es einfach der Gruppe hinzu – die Sammlungszugriffe werden automatisch übernommen.

Ohne Gruppen:

  • Neuer Mitarbeiter → manuell jede einzelne Sammlung zuweisen (3 Klicks × Anzahl Sammlungen)
  • Neue Sammlung → manuell jeden berechtigten Benutzer hinzufügen (3 Klicks × Anzahl Benutzer)

Mit Gruppen:

  • Neuer Mitarbeiter → einer oder zwei Gruppen zuweisen → fertig
  • Neue Sammlung → den relevanten Gruppen zuweisen → alle Gruppenmitglieder haben sofort Zugang
Gruppen-Feature aktivieren
Das Gruppen-Feature ist in Vaultwarden als Beta-Feature verfügbar und muss serverseitig aktiviert werden. Bei server.camp kannst du die Aktivierung über unser Dashboard in den Einstellungen deiner Vaultwarden-Instanz vornehmen. Das Feature funktioniert in der Praxis stabil und wird von vielen Unternehmen produktiv eingesetzt, auch wenn es offiziell noch als Beta gekennzeichnet ist.

Gruppe erstellen

Nach Aktivierung des Features:

  1. Navigiere zu Organisation → Gruppen
  2. Klicke auf “Neue Gruppe”
  3. Vergib einen Namen (z. B. “Buchhaltung”, “IT-Admin”, “Vorstand”)
  4. Wähle die Mitglieder aus, die zur Gruppe gehören
  5. Wähle die Sammlungen aus, auf die die Gruppe Zugriff haben soll, und lege die Berechtigungsstufe fest

Empfohlene Gruppen- und Sammlungsstruktur

Die Kombination aus Gruppen und Sammlungen ist am effektivsten, wenn du eine klare Struktur planst. Hier sind Empfehlungen für verschiedene Szenarien:

Für Freelancer (ab 2–3 Personen / mit Externen oder Subunternehmern):

Gruppe Sammlungen Berechtigung
Intern Allgemein, Hosting, Domains Kann verwalten
Auftragnehmer Kunden-Zugänge (nur relevante) Nur anzeigen
Sammlung Inhalte
Allgemein E-Mail, Banking, Steuerberater-Portal
Hosting & Domains Server-Zugänge, Registrare, DNS
Kunden / Kunde A Zugänge, die für Kundenprojekte nötig sind
Social Media LinkedIn, X, Instagram (geschäftlich)

Für KMU (10–50 Mitarbeitende):

Gruppe Sammlungen Berechtigung
Alle Mitarbeiter Allgemein, WLAN, VPN-Konfiguration Nur anzeigen
Geschäftsführung Alle Sammlungen Kann verwalten
Buchhaltung Finanzen, Steuer, Banking Kann verwalten
Vertrieb CRM, Social Media, Kunden-Portale Kann bearbeiten
IT / Admin Server, Cloud, Monitoring, Admin-Konten Kann verwalten
Marketing Social Media, CMS, Analytics, Newsletter Kann bearbeiten
Extern Nur projektspezifische Sammlungen Passwort ausblenden
Sammlung Inhalte
Allgemein WLAN-Passwort, VPN-Zugang, allgemeine Dienste
Finanzen Banking, DATEV, Steuerberater, Elster
Server & Cloud Hosting, AWS/Azure, Monitoring, DNS
CRM & Vertrieb CRM-System, LinkedIn Sales Navigator
Social Media Unternehmensprofile, Buffer, Hootsuite
Kunden / Kunde A Kundenprojekt-spezifische Zugänge
Admin-Konten Root-Zugänge, Notfall-Passwörter

Für Vereine:

Gruppe Sammlungen Berechtigung
Vorstand Alle Sammlungen Kann verwalten
Kassenwart Finanzen Kann verwalten
Öffentlichkeitsarbeit Website, Social Media Kann bearbeiten
Trainer / Übungsleiter Allgemein, Sportstätten Nur anzeigen
Sammlung Inhalte
Allgemein Vereins-E-Mail, Cloud-Speicher, Mitgliederverwaltung
Finanzen Vereinskonto, Finanzamt, Fördermittel-Portale
Website & Social Media CMS, Instagram, Facebook, Newsletter
Sportstätten / Räume Buchungsportale, Schlüsselcodes, Alarm-PINs
Verbände LSB-Portal, Verbandslogins
Gruppen sparen Zeit beim On- und Offboarding
Wenn ein neues Vorstandsmitglied gewählt wird, fügst du es zur Gruppe “Vorstand” hinzu – sofort hat es Zugang zu allen relevanten Sammlungen. Wenn jemand den Vorstand verlässt, entfernst du ihn aus der Gruppe. Kein manuelles Durchgehen einzelner Sammlungen nötig.

Passwörter sicher verwalten

Einen neuen Eintrag erstellen

Im Browser-Plugin: Wenn du dich auf einer neuen Website einloggst, fragt Bitwarden automatisch, ob das Passwort gespeichert werden soll.

Manuell: Im Web-Interface oder der App auf “Neuer Eintrag”:

  • Name – erkennbarer Name (z. B. “Stripe Dashboard”)
  • Benutzername / E-Mail
  • Passwort – oder direkt einen sicheren generieren lassen
  • URI – die URL der Website (für automatisches Ausfüllen)
  • Notiz – zusätzliche Informationen (z. B. “Konto-Nr. 12345”, “Support: 0800-123456”)
  • Sammlung – in welche Sammlung soll der Eintrag?
Standardmäßige immer privat
Wenn du einen neuen Eintrag erstellst, wirst du standardmäßig als Eigentümer (“Owner”) hinterlegt. Damit hast nur du Zugriff auf diesen Eintrag. Um ihn in deiner Organisation sichtbar zu machen, kannst du direkt beim Anlegen (oder auch später) deine Organisation als “Owner” hinterlegen und passende Sammlungen auswählen.

Eintragstypen

Neben Logins unterstützt Vaultwarden auch:

Typ Verwendung Beispiel
Login Website- und App-Zugänge CRM-Login, E-Mail-Konto
Karte Zahlungsmittel Firmenkreditkarte
Identität Persönliche Daten für Formulare Firmenadresse, Steuernummer
Sichere Notiz Freitext, verschlüsselt API-Keys, SSH-Schlüssel, PINs, Notfallkontakte
Sichere Notizen für Nicht-Login-Daten
Nutze “Sichere Notiz” für alles, was kein klassischer Login ist: WLAN-Passwörter, PINs, Lizenzcodes, Bankverbindungen, Wiederherstellungsschlüssel, Server-Konfigurationen. So hast du alle sensiblen Daten an einem Ort.

Sicheres Passwort generieren

Im Passwort-Feld auf das Generieren-Symbol klicken → Passwort-Generator. Empfehlung:

  • Länge: mindestens 20 Zeichen
  • Typ: Passphrase (4–5 zufällige Wörter) für Passwörter, die man sich merken muss; zufällige Zeichenfolge für alles andere
Alle Unternehmenspasswörter sofort umstellen
Ändere alle wichtigen Unternehmenspasswörter auf sichere, generierte Passwörter – direkt beim Anlegen in Vaultwarden. Das ist der wertvollste erste Schritt. Beginne mit den kritischsten Zugängen: E-Mail-Konten, Banking, Hosting und Admin-Accounts.

Passwörter sicher teilen

Eintrag einer Sammlung zuweisen

Beim Erstellen oder Bearbeiten eines Eintrags: Unter Sammlungen auswählen, in welchen gemeinsamen Bereich der Eintrag gehört.

Alle Mitglieder (oder Gruppen) mit Zugriff auf diese Sammlung sehen den Eintrag sofort – und können ihn über ihre Browser-Erweiterung oder App nutzen.

Was geteilt wird – und was nicht

  • Einträge im persönlichen Tresor sind nur für dich sichtbar
  • Einträge in einer Organisationskollektion sind für alle berechtigten Sammlungsmitglieder und Gruppenmitglieder sichtbar
  • Du kannst Berechtigungen pro Sammlung differenziert vergeben (anzeigen, bearbeiten, verwalten, Passwort ausblenden)
Persönliche vs. Organisationseinträge
Trenne klar zwischen persönlichen Passwörtern (privater Tresor) und Unternehmenspasswörtern (Organisationskollektionen). Private Passwörter (privates E-Mail-Konto, persönliches Banking) gehören in den persönlichen Tresor. Alles, was die Firma betrifft, gehört in die Organisation – so ist sichergestellt, dass Unternehmenszugänge beim Offboarding nicht verloren gehen.

Zwei-Faktor-Authentifizierung (2FA) für Vaultwarden selbst

Dein Passwort-Manager ist das Kronjuwel deiner digitalen Sicherheit – er sollte selbst mit 2FA abgesichert sein.

Jeder Benutzer kann unter Kontoeinstellungen → Sicherheit → Zwei-Schritt-Login 2FA aktivieren:

  • TOTP (Authenticator-App) – empfohlen (Aegis, Google Authenticator, etc.)
  • YubiKey – für maximale Sicherheit bei kritischen Admin-Accounts
Wiederherstellungscodes sicher aufbewahren
Speichere die Wiederherstellungscodes beim Aktivieren von 2FA sicher ab – auf Papier an einem sicheren physischen Ort oder in einem separaten Sicherungsmechanismus. Wenn du den 2FA-Zugang und die Wiederherstellungscodes verlierst, ist der Zugang zum Tresor unwiederbringlich gesperrt.
2FA für alle Mitglieder empfehlen
Mache 2FA zur Pflicht für alle, die Zugang zur Organisation haben – insbesondere für Inhaber und Admins. In Vaultwarden kann unter Organisation → Einstellungen → Richtlinien eine Richtlinie aktiviert werden, die 2FA für alle Organisationsmitglieder erzwingt.

Master-Passwort: Das wichtigste Passwort

Das Master-Passwort ist der Schlüssel zu deinem gesamten Tresor. Es wird niemals an den Server übertragen – niemand außer dir hat Zugang dazu.

Empfehlungen:

  • Nutze eine Passphrase mit mindestens 5 Wörtern (z. B. “korrekt-pferd-batterie-klammer-hor1zont”)
  • Vermeide gängige Phrasen oder Zitate, die leicht erraten werden können und nutze Zahlen oder Sonderzeichen, um die Sicherheit zu erhöhen
  • Wähle ein Master-Passwort, das du dir merken kannst, aber das niemand erraten kann
  • Verwende das Master-Passwort nirgendwo anders
  • Notiere es einmalig auf Papier und bewahre es an einem physisch sicheren Ort auf (Tresor, Safe)
Das Master-Passwort kann nicht zurückgesetzt werden
Wenn du dein Master-Passwort vergisst und keine Wiederherstellungsoption eingerichtet ist, sind die Daten im Tresor nicht mehr zugänglich – auch nicht durch unseren Support. Vaultwarden nutzt Ende-zu-Ende-Verschlüsselung, bei der niemand außer dir den Schlüssel kennt.

Offboarding: Mitarbeiter entfernen

Wenn ein Mitarbeitender das Unternehmen oder ein Mitglied den Verein verlässt:

  1. In der Organisation unter Mitglieder den Benutzer entfernen
  2. Der ehemalige Mitarbeiter verliert sofort Zugang zu allen Sammlungen
  3. Geteilte Passwörter bleiben erhalten – nur der Zugang wird entzogen
Wichtige geteilte Passwörter nach Offboarding ändern
Ändere nach dem Offboarding alle Passwörter, auf die die Person regelmäßig Zugriff hatte – auch wenn Vaultwarden den Zugang sofort entzieht. Lokal zwischengespeicherte Passwörter oder Browser-Caches könnten noch Zugangsdaten enthalten. Priorisiere dabei kritische Zugänge: E-Mail, Banking, Admin-Accounts und Hosting.
Offboarding mit Gruppen vereinfachen
Wenn du Gruppen nutzt, musst du beim Offboarding nur die Gruppenmitgliedschaft entfernen – alle damit verbundenen Sammlungszugriffe werden automatisch entzogen. Das ist nicht nur schneller, sondern verhindert auch, dass ein einzelner Sammlungszugriff übersehen wird.

Best Practices für Freelancer

  • Erstelle eine Organisation mit wenigen Sammlungen (Allgemein, Hosting, Kunden)
  • Nutze den persönlichen Tresor für private Passwörter und Organisationskollektionen für geschäftliche
  • Wenn du mit Externen oder Subunternehmern arbeitest, erstelle eine Sammlung mit “Passwort ausblenden” für Zugänge, die sie nutzen, aber nicht im Klartext kennen sollen
  • Nutze Sichere Notizen für API-Keys, Lizenzcodes und SSH-Schlüssel

Best Practices für KMU und Agenturen

  • Lege Gruppen an, die eure Teamstruktur abbilden (Buchhaltung, IT, Vertrieb, Marketing)
  • Nutze Sammlungen pro Thema/System und weise sie den passenden Gruppen zu
  • Setze die 2FA-Pflicht per Organisationsrichtlinie durch
  • Halte eine Sammlung “Admin / Notfall” mit kritischen Zugängen, die nur der Geschäftsführung und der IT zugänglich ist
  • Beim Onboarding: Mitglied einladen → relevanten Gruppen zuweisen → fertig
  • Beim Offboarding: Aus Gruppen und Organisation entfernen → kritische Passwörter rotieren
  • Falls du Authentik für SSO nutzt: Vaultwarden unterstützt OpenID Connect (OIDC) für Single Sign-On

Best Practices für Vereine

  • Erstelle eine Organisation mit dem Vereinsnamen
  • Lege Sammlungen nach Verantwortungsbereichen an (Allgemein, Finanzen, Website, Sportstätten)
  • Nutze Gruppen (Vorstand, Kassenwart, Öffentlichkeitsarbeit), um den Zugang bei Vorstandswechseln einfach umzustellen
  • Speichere in einer Notfall-Sammlung alle kritischen Zugänge (Vereinskonto, Domain, E-Mail), die nur der Vorstand kennen sollte
  • Bei Vorstandswechsel: Altes Mitglied aus Gruppe entfernen, neues hinzufügen → alle relevanten Zugänge sind sofort übertragen

Integration mit anderen server.camp-Diensten

Authentik (SSO)

Vaultwarden unterstützt OpenID Connect (OIDC) für Single Sign-On. Bei server.camp brauchst du hierfür das Corporate-Paket. Wenn du Authentik nutzt, können sich deine Mitarbeitenden mit ihrem zentralen Konto bei Vaultwarden anmelden.

Master-Passwort bleibt erforderlich
Auch bei SSO-Nutzung bleibt das Master-Passwort erhalten – es wird für die Verschlüsselung des Tresors benötigt. SSO ersetzt nicht das Master-Passwort, sondern ergänzt den Login-Prozess.

Seafile & Nextcloud

Nutze Vaultwarden, um die Passwörter für verschlüsselte Seafile-Bibliotheken oder Nextcloud-Freigabelinks sicher aufzubewahren und im Team zu teilen.

Node-RED

Wenn du Node-RED nutzt, kannst du hierüber Gruppenberechtigungen in Vaultwarden automatisieren, z.B. um beim Onboarding automatisch die passenden Gruppen zuzuweisen oder beim Offboarding den Zugang zu entziehen. Melde dich bei Interesse gerne bei unserem Support.

Noch Fragen?

Falls du Unterstützung beim Einrichten der Organisation, der Sammlungen, der Gruppen oder der 2FA-Konfiguration brauchst, erreichst du uns jederzeit unter support@server.camp. Wir helfen dir gerne!

Häufig gestellte Fragen zu Vaultwarden findest du auch auf unserer Produktseite.

gdoc_arrow_left_alt Vaultwarden WikiJS gdoc_arrow_right_alt