Raspberry Pi Passwort Manager: sichere lokale Lösung

Ein eigener Raspberry Pi Passwort Manager bietet maximale Datenhoheit, starke Sicherheit und niedrige Kosten. In dieser Anleitung richten wir eine praxistaugliche, lokale Lösung mit Vaultwarden (Bitwarden-kompatibel) ein – verständlich für Einsteiger und geeignet für kleine Unternehmen.

Was bedeutet „Raspberry Pi Passwort Manager“?

Statt deine Passwörter einem Cloud-Dienst anzuvertrauen, betreibst du einen Passwort-Tresor im eigenen Netzwerk – auf einem stromsparenden Raspberry Pi. Vaultwarden ist eine schlanke, Open-Source-Implementierung der Bitwarden-Server-API. So nutzt du die vertrauten Bitwarden-Apps (Desktop, Browser-Add-ons, Mobile), aber speicherst alles lokal.

Voraussetzungen: Hardware, Netzwerk, Zeit

• Raspberry Pi 4 oder 5 (2–4 GB RAM genügen), stabile Stromversorgung
• MicroSD (mind. 16 GB, besser SSD für Zuverlässigkeit)
• LAN-Anschluss empfohlen, statische IP oder DHCP-Reservierung
• 60–90 Minuten Einrichtungszeit

Modell	Empfehlung	Hinweise
Raspberry Pi 4 (2–4 GB)	Sehr geeignet	Guter Sweet-Spot aus Leistung und Preis; ideal für Vaultwarden
Raspberry Pi 5	Optimal	Mehr Reserven, schneller I/O; empfehlenswert mit SSD

Schritt-für-Schritt: Vaultwarden auf dem Raspberry Pi

1) System vorbereiten

• Installiere Raspberry Pi OS (64-bit, Lite empfohlen) und führe Updates durch.

sudo apt update && sudo apt full-upgrade -y && sudo reboot

• Optional: DHCP-Reservierung oder feste IP am Router setzen, damit der Pi immer unter derselben Adresse erreichbar ist.

2) Docker und Compose installieren

curl -fsSL https://get.docker.com | sh
sudo usermod -aG docker $USER
sudo apt install -y docker-compose-plugin
# Danach neu anmelden (oder: newgrp docker)

3) Vaultwarden mit Docker Compose starten

sudo mkdir -p /opt/vaultwarden
sudo chown -R $USER:$USER /opt/vaultwarden
cd /opt/vaultwarden

# Sicheren Admin-Token erzeugen und in .env speichern
echo "ADMIN_TOKEN=$(openssl rand -base64 48)" >> .env

# docker-compose.yml erstellen
cat > docker-compose.yml <<'YAML'
version: "3.8"
services:
  vaultwarden:
    image: vaultwarden/server:latest
    container_name: vaultwarden
    ports:
      - "8080:80"
    environment:
      - SIGNUPS_ALLOWED=false
      - WEBSOCKET_ENABLED=true
      - ADMIN_TOKEN=${ADMIN_TOKEN}
    volumes:
      - ./data:/data
    restart: unless-stopped
YAML

# Starten
docker compose up -d

# Logs prüfen (optional)
docker compose logs -f

Aufruf im Browser: http://<pi-ip>:8080 – Admin-Konsole unter /admin. Melde dich dort mit dem ADMIN_TOKEN an, aktiviere Organisationen für Teams und halte Selbstregistrierung deaktiviert (nur Einladungen).

Optional: Lokales HTTPS mit Caddy

Für interne Netze reicht HTTP oft aus. Wenn du TLS im LAN möchtest, ist Caddy eine einfache Option mit interner CA.

# Verzeichnis und Caddyfile anlegen
sudo mkdir -p /opt/caddy
sudo chown -R $USER:$USER /opt/caddy
cat > /opt/caddy/Caddyfile <<'CADDY'
vault.local {
  tls internal
  reverse_proxy 127.0.0.1:8080
}
CADDY

# Caddy starten
docker run -d --name caddy --restart unless-stopped \
  -p 80:80 -p 443:443 \
  -v /opt/caddy/Caddyfile:/etc/caddy/Caddyfile \
  -v caddy_data:/data -v caddy_config:/config caddy:2

• Ergänze auf Clients einen lokalen DNS-Eintrag (oder Hosts-Datei), der vault.local auf die Pi-IP zeigt.
• Die Clients vertrauen Caddys interner CA automatisch, wenn Caddy die Zertifikate selbst ausstellt. Andernfalls Zertifikatvertrauen einmalig hinzufügen.

Sicherheit: Best Practices

• Starke Master-Passwörter und 2FA in den Bitwarden-Clients aktivieren.
• Admin-Token geheim halten, Anmeldungen nur für eingeladene Nutzer erlauben.
• System aktuell halten: OS, Docker-Images regelmäßig aktualisieren.
• Firewall im LAN: nur benötigte Ports freigeben (80/443 oder 8080).
• Backups testen (siehe unten) und bei Pi-4/5 eine SSD bevorzugen.
• Optional: Fail2ban am Reverse Proxy, wenn aus dem Internet erreichbar.

Backup und Restore: So sicherst du deinen Tresor

Backup (täglich, 7 Versionen behalten)

sudo mkdir -p /opt/backup
sudo tar -czf /opt/backup/vaultwarden-$(date +%F).tgz -C /opt/vaultwarden data
# Alte Backups löschen (Beispiel: nur 7 behalten)
ls -1t /opt/backup/vaultwarden-*.tgz | tail -n +8 | xargs -r rm --

In die Crontab aufnehmen:

crontab -e
# Beispiel: täglich um 03:10 Uhr
10 3 * * * tar -czf /opt/backup/vaultwarden-$(date +\%F).tgz -C /opt/vaultwarden data && ls -1t /opt/backup/vaultwarden-*.tgz | tail -n +8 | xargs -r rm --

Restore

cd /opt/vaultwarden
docker compose down
rm -rf data
sudo tar -xzf /opt/backup/vaultwarden-YYYY-MM-DD.tgz -C /opt/vaultwarden
docker compose up -d

KMU-Tipps: Zusammenarbeit und Richtlinien

• Organisationen in Vaultwarden anlegen: geteilte Tresore (Collections) für Teams.
• Rollen definieren: Admins, Manager, Nutzer; Rechte sparsam vergeben.
• Richtlinien: 2FA-Pflicht, Mindestlänge und Komplexität für Passwörter.
• Onboarding: Einladungen versenden, kurze Einführung für Mitarbeitende.

Kosten- und Datenschutz-Vergleich

Option	Kosten	Datenschutz
Cloud-Passwortmanager	ca. 3–7 € pro Nutzer/Monat	Daten extern, vertrags- und standortabhängig
Raspberry Pi + Vaultwarden	Einmalig 60–120 € Hardware, Strom < 2 €/Monat	Daten bleiben im eigenen Netzwerk

Fehlerbehebung: schnelle Lösungen

• Port belegt (80/443/8080): Prüfen mit sudo lsof -i :80, Dienst stoppen oder Port anpassen.
• Admin-Login schlägt fehl: .env prüfen, Container neu starten, kein Leerzeichen im Token.
• Langsamkeit/Abstürze: SSD statt SD-Karte verwenden, Pi mit aktivem Kühler betreiben.
• Kein Zugriff per Name: DNS/Hosts-Eintrag für vault.local setzen oder IP direkt nutzen.

Wartung: kleiner Plan, große Wirkung

• Monatlich: Updates einspielen, Backup-Log prüfen, Test-Restore durchführen.
• Quartalsweise: Nutzerberechtigungen und geteilte Tresore überprüfen.
• Jährlich: Hardware-Check (SD/SSD SMART), USV/Netzteil testen.

Mit diesem Setup erhältst du einen schnellen, privaten und kosteneffizienten Passwort-Manager auf Raspberry Pi-Basis – ideal für zu Hause und für kleine Teams, die Datenhoheit und Compliance schätzen.