Wie wir bei sec73 den Passwortmanager Vaultwarden im eigenen Netzwerk einsetzen
Jeder kennt das Problem: zu viele Zugangsdaten, zu wenig Überblick.
Der Zugang zum Warenwirtschaftssystem, das Passwort für den Onlineshop-Anbieter, die Zugangsdaten zum Steuerberater-Portal, der gemeinsame Zugang zur Versicherungsplattform – und dann noch die privaten Accounts. In vielen Unternehmen landen diese Passwörter in Excel-Tabellen, auf Klebezetteln am Monitor oder im besten Fall im Kopf einer einzigen Person. Was passiert, wenn diese Person im Urlaub ist, krank wird oder das Unternehmen verlässt?
Wir haben uns bei sec73 für einen anderen Weg entschieden: einen selbstverwalteten Passwortmanager, der auf unseren eigenen Servern läuft. Keine Cloud, keine Abhängigkeit von einem externen Anbieter, volle Kontrolle über unsere Zugangsdaten. Die Software heißt Vaultwarden – und in diesem Beitrag beschreiben wir, wie wir sie konkret einsetzen.
Was ist Vaultwarden?
Vaultwarden ist eine schlanke, quelloffene Alternative zum bekannten Passwortmanager Bitwarden. Die Software ist vollständig kompatibel mit allen offiziellen Bitwarden-Apps und Browser-Erweiterungen, benötigt aber deutlich weniger Ressourcen. Das macht sie ideal für den Einsatz auf eigenen Servern – auch in kleineren Unternehmen, die keinen eigenen Serverraum mit dutzenden Maschinen betreiben.
Entscheidend für uns: Vaultwarden läuft ausschließlich in unserem internen Netzwerk. Kein externer Dienstleister hat Zugriff auf unsere Passwort-Datenbank. Die Daten verlassen unser Netzwerk nicht. Und weil der Quellcode offen ist, können wir jederzeit nachvollziehen, was die Software tut – und was nicht.
Verfügbar auf allen Geräten
Ein Passwortmanager ist nur dann nützlich, wenn er immer erreichbar ist – egal ob am Schreibtisch, im Homeoffice oder unterwegs. Genau das war eine unserer Anforderungen: Jedes Gerät im Unternehmen sollte Zugriff auf den gemeinsamen Passwort-Tresor haben.
Auf Arbeitsplatzrechnern und Notebooks nutzen wir die Bitwarden-Browsererweiterung. Sie füllt Zugangsdaten automatisch in Log-in-Formulare ein und schlägt sichere Passwörter vor, wenn neue Accounts angelegt werden. Wer nicht im Browser arbeitet, kann alternativ die Desktop-Anwendung verwenden.
Auf Smartphones und Tablets – ob Android oder iOS – kommt die mobile Bitwarden-App zum Einsatz. Die App synchronisiert sich über unser internes Netzwerk mit dem Vaultwarden-Server und stellt alle Zugangsdaten auch mobil bereit. Über die Autofill-Funktion des jeweiligen Betriebssystems werden Passwörter direkt in Apps und mobile Browser eingetragen, ohne dass man sie manuell abtippen muss.
Der Zugriff von unterwegs erfolgt über eine gesicherte VPN-Verbindung. So bleibt der Vaultwarden-Server jederzeit erreichbar, ohne dass er öffentlich im Internet stehen muss.
Das Ergebnis: Egal, ob jemand am Rechner in der Firma sitzt, das Firmenhandy nutzt oder im Homeoffice arbeitet – die Zugangsdaten sind immer aktuell und verfügbar. Und wenn ein neues Passwort angelegt oder geändert wird, steht es sofort auf allen Geräten zur Verfügung.
Anmeldung über Keycloak Single Sign-On
Einen Passwortmanager mit einem weiteren Passwort abzusichern, das man sich merken muss – das klingt erst einmal nach einer zusätzlichen Hürde. Deshalb haben wir die Anmeldung an Vaultwarden in unser zentrales Zugangssystem eingebunden: Keycloak.
Keycloak ist eine Open-Source-Lösung für Identity und Access Management, die wir bei sec73 als zentrale Anlaufstelle für alle internen Dienste betreiben. Meldet sich eine Mitarbeitende oder ein Mitarbeiter bei einem Dienst an, geschieht das über Keycloak – einmal anmelden, Zugang zu allen freigegebenen Anwendungen. Das nennt sich Single Sign-On, kurz SSO.
Für Vaultwarden bedeutet das: Wer sich am Passwortmanager anmeldet, wird zunächst an unsere Keycloak-Instanz weitergeleitet. Dort findet die eigentliche Authentifizierung statt – mit allen Sicherheitsmaßnahmen, die wir dort eingerichtet haben. Erst nach erfolgreicher Anmeldung wird der Zugriff auf den Passwort-Tresor freigegeben. Ein separates Vaultwarden-Passwort, das man sich zusätzlich merken müsste, entfällt für den täglichen Gebrauch.
Das hat auch einen handfesten organisatorischen Vorteil: Wenn eine Mitarbeiterin oder ein Mitarbeiter das Unternehmen verlässt, wird ihr/sein Zugang zentral in Keycloak deaktiviert. Damit ist automatisch auch der Zugriff auf den Passwortmanager gesperrt – und auf alle anderen internen Dienste gleich mit. Kein Nachfragen, kein Vergessen, kein Risiko, dass ein alter Account noch wochenlang aktiv bleibt.
Passkeys und Hardware-Schlüssel statt Passwort
Passwörter sind besser als gar kein Schutz – aber sie haben Schwächen. Sie können erraten, gestohlen oder durch Phishing abgefangen werden. Deshalb setzen wir bei sec73 auf eine Kombination, die deutlich sicherer ist: Passkeys in Verbindung mit physischen Hardware-Schlüsseln.
Ein Passkey ist ein digitaler Schlüssel, der auf einem Gerät gespeichert wird und das klassische Passwort ersetzt. Statt ein Passwort einzutippen, bestätigt man die Anmeldung durch eine kurze Aktion – etwa das Berühren eines Hardware-Schlüssels oder die Eingabe einer PIN.
Als Hardware-Schlüssel nutzen wir Token2 FIDO2 Security Keys. Das sind kleine USB-Sticks, die den FIDO2-Standard unterstützen und als physischer Schlüssel für die Anmeldung dienen. Konkret funktioniert der Ablauf so: Eine Mitarbeiterin oder ein Mitarbeiter steckt ihren/seinen Token2-Schlüssel in den USB-Port des Rechners, gibt ihre/seine PIN ein und bestätigt die Anmeldung durch Berühren des Schlüssels. Damit ist die Identität in Keycloak bestätigt und der Zugang zum Passwort-Tresor – und zu allen anderen internen Diensten – steht offen.
Warum Hardware-Schlüssel und nicht einfach eine App auf dem Smartphone? Drei Gründe:
Erstens ist ein Hardware-Schlüssel phishing-resistent. Auch wenn jemand eine täuschend echte Log-in-Seite baut – der Schlüssel kommuniziert nur mit der echten Gegenstelle. Ein Angreifer kann den Schlüssel nicht aus der Ferne kopieren oder umleiten.
Zweitens ist der Schlüssel ein eigenständiges Gerät, das nicht von einem Smartphone oder einem bestimmten Betriebssystem abhängt. Er funktioniert an jedem Rechner mit USB-Anschluss und bei vielen Modellen auch per NFC am Smartphone.
Drittens sind die Token2-Schlüssel wirtschaftlich. Sie kosten einen Bruchteil dessen, was größere Anbieter für vergleichbare Produkte verlangen – bei vollem Funktionsumfang nach dem offenen FIDO2-Standard.
Jede/jeder Mitarbeitende der IT-Administration erhält bei uns zwei Schlüssel: einen für den täglichen Gebrauch und einen als Backup, der sicher verwahrt wird. Geht ein Schlüssel verloren, wird er zentral in Keycloak gesperrt und durch den Ersatzschlüssel ersetzt. Andere Mitarbeitende bekommen aus Kostengründen nur einen Schlüssel. Sollte der verloren gehen, kann ein Admin umgehend einen Einmalcode erstellen, mit dem sich der Mitarbeitende vorübergehend einen Passkey auf dem Smartphone ausrollen kann.
Passwörter gemeinsam nutzen – sicher und nachvollziehbar
In jedem Unternehmen gibt es Zugangsdaten, die von mehreren Personen genutzt werden: den Zugang zum Hosting-Anbieter, das Passwort für den gemeinsamen Social-Media-Account, die Zugangsdaten für einen externen Dienstleister. Genau hier zeigt Vaultwarden eine seiner Stärken.
Über sogenannte Organisationen und Sammlungen lassen sich Passwörter gezielt mit bestimmten Personengruppen teilen. Die Geschäftsführung sieht andere Zugangsdaten als die Buchhaltung, und die Werkstatt wiederum andere als der Vertrieb. Wer welche Passwörter sehen und bearbeiten darf, wird zentral verwaltet – transparent und jederzeit nachvollziehbar.
Das ersetzt die Excel-Tabelle auf dem Netzlaufwerk, den Klebezettel unter der Tastatur und die E-Mail mit dem Betreff „Hier das Passwort“. Und wenn ein Passwort geändert wird, haben alle Berechtigten sofort die aktuelle Version – ohne Rückfragen, ohne Verwechslungen.
Warum ein selbstverwalteter Passwortmanager?
Die großen Cloud-Passwortmanager wie LastPass, 1Password oder Bitwarden Cloud sind bequem. Aber sie bedeuten auch: Ihre sensibelsten Unternehmensdaten – sämtliche Zugangsdaten – liegen auf Servern eines Drittanbieters. In den USA, nach US-amerikanischem Recht, außerhalb Ihrer Kontrolle.
Mit einem selbst-verwalteten Vaultwarden auf eigenen Servern sieht das anders aus:
Ihre Passwort-Datenbank bleibt physisch bei Ihnen – auf Ihrer eigenen Hardware, in Ihrem eigenen Netzwerk, in Deutschland. Kein externer Anbieter kann auf Ihre Daten zugreifen, sie weitergeben oder im Falle einer Sicherheitslücke in seiner eigenen Infrastruktur kompromittieren. Sie entscheiden, wann Updates eingespielt werden, wie Backups organisiert sind und wer administrativen Zugriff hat.
Es gibt keine laufenden Lizenzkosten pro Benutzerkonto. Bei kommerziellen Anbietern zahlen Sie oft mehrere Euro pro Person und Monat – bei 20 Mitarbeitenden summiert sich das schnell auf über tausend Euro im Jahr. Vaultwarden ist Open Source und kostenlos nutzbar. Was Sie investieren, ist die einmalige Einrichtung und die laufende Wartung – und das ist bei einer einzelnen Vaultwarden-Instanz auf einem vorhandenen Server überschaubar.
Und schließlich: Sie sind unabhängig. Kein Anbieter kann die Preise erhöhen, Funktionen hinter eine Bezahlschranke verschieben oder den Dienst einstellen. Die Software gehört Ihnen – heute, morgen und übermorgen.
Backup: verschlüsselt, verteilt, automatisch
Ein selbst verwalteter Passwortmanager bringt nur dann echte Sicherheit, wenn auch die Datensicherung stimmt. Deshalb sichern wir die Vaultwarden-Datenbank automatisch mit Restic – einem Open-Source-Backup-Werkzeug, das die Daten bereits vor dem Versand verschlüsselt. Die Sicherung landet in einem S3-kompatiblen Objekt-Speicher bei einem deutschen Cloud-Anbieter. Die Daten verlassen also weder unverschlüsselt unser Netzwerk noch die Bundesrepublik.
Durch die verteilte Replikation im S3-Speicher sind die Backups zusätzlich gegen den Ausfall einzelner Speicherknoten geschützt. Auch wenn unsere lokale Hardware einmal komplett ausfallen sollte, lässt sich der gesamte Passwort-Tresor innerhalb kurzer Zeit aus dem verschlüsselten Backup wiederherstellen. Die Wiederherstellung testen wir regelmäßig – denn ein Backup, das im Ernstfall nicht funktioniert, ist keins.
Was das konkret für den Arbeitsalltag bedeutet
Für unsere Mitarbeitenden hat sich der Umgang mit Passwörtern grundlegend vereinfacht. Niemand muss sich mehr dutzende Zugangsdaten merken, auf Zetteln notieren oder per E-Mail verschicken. Die Browser-Erweiterung füllt Felder automatisch aus, die mobile App macht Zugangsdaten auch unterwegs verfügbar, und die Anmeldung funktioniert über den Hardware-Schlüssel in wenigen Sekunden.
Gleichzeitig ist die Sicherheit deutlich höher als vorher: Alle Passwörter sind stark und einzigartig, der Zugang ist durch Hardware-Schlüssel abgesichert, und wenn jemand das Unternehmen verlässt, wird der Zugriff zentral und sofort entzogen.
Passwortmanagement für Ihr Unternehmen
Was wir bei sec73 intern einsetzen, richten wir auch für unsere Kundeinnen und Kunden ein. Von der Ersteinrichtung eines Vaultwarden-Servers über die Anbindung an Keycloak bis hin zur Ausstattung mit Hardware-Schlüsseln – alles aus einer Hand, auf Open-Source-Basis und ohne laufende Lizenzkosten.
Sie möchten wissen, ob ein selbst verwalteter Passwortmanager für Ihr Unternehmen sinnvoll ist? Sprechen Sie uns an – das Erstgespräch ist kostenlos.
