password manager

KeePassXC vs Bitwarden

KeePassXC ist ein vollständig offline nutzbarer, quelloffener Passwortmanager, der von einem europäischen Community-Team entwickelt wird. Anders als Bitwardens Cloud-abhängiges Modell gibt Ihnen KeePassXC die volle Kontrolle über Ihre verschlüsselte Datenbank — keine Server, keine Abonnements, keine Daten, die Ihr Gerät verlassen.

🏢 KeePassXC Team 📍 Deutschland DSGVO-konform Open Source
Unsere Bewertung
4.3/5
Ihre Bewertung
🛡️ Datenschützer </> Entwickler 🎓 Student

Warum von Bitwarden zu KeePassXC wechseln?

Bitwarden hat sich einen guten Ruf als quelloffener, erschwinglicher Cloud-Passwortmanager erarbeitet. Doch seine Architektur erfordert weiterhin das Vertrauen in ein US-amerikanisches Unternehmen, dessen verschlüsselte Tresordaten auf Servern gespeichert werden, die Sie nicht kontrollieren. Wenn Sie Bitwarden nutzen, wird Ihre verschlüsselte Passwortdatenbank in Bitwardens Cloud-Infrastruktur hochgeladen (gehostet auf Microsoft Azure), was ein zentralisiertes Angriffsziel schafft und eine Exposition gegenüber US-rechtlichen Mechanismen wie dem CLOUD Act darstellt.

KeePassXC verfolgt einen grundlegend anderen Ansatz: Ihre Passwörter verlassen niemals Ihr Gerät. Die gesamte Passwortdatenbank ist eine einzelne verschlüsselte Datei, die lokal auf Ihrem Computer gespeichert wird, und gibt Ihnen absolute Kontrolle darüber, wo Ihre sensibelsten Zugangsdaten gespeichert werden. Es gibt keine Konten zu erstellen, keine Server, denen man vertrauen muss, keine Abogebühren zu zahlen und kein Unternehmen, das unter Druck gesetzt werden kann, Zugang zu Ihren Daten zu gewähren.

Entwickelt von einem europäischen Community-Team mit starken Wurzeln in Deutschland, baut KeePassXC auf dem legendären KeePass-Ökosystem auf — dem weltweit meistverwendeten Open-Source-Passwortformat. Es verbindet das bewährte KDBX-Datenbankformat mit einer modernen, plattformübergreifenden Desktop-Anwendung, Browser-Integration, SSH-Agent-Unterstützung und TOTP-Authentifizierung — alles ohne ein einziges Byte Ihrer Daten über das Internet zu senden.

Funktionsvergleich

FunktionKeePassXCBitwarden
Offline-Fähigkeit✅ Standardmäßig vollständig offline⚠️ Erfordert Internet für Synchronisierung
Open Source✅ GPLv2/GPLv3✅ GPLv2 (Clients), AGPLv3 (Server)
Cloud-Abhängigkeit✅ Keine — nur lokale Datei⚠️ Azure Cloud (US-gehostet)
Desktop-App✅ Nativ (Windows, macOS, Linux)✅ Electron-basiert (alle Plattformen)
Browser-Erweiterung✅ KeePassXC-Browser✅ Vollwertige Erweiterung
Mobile App⚠️ Über KeePassDX / Strongbox✅ Native iOS- und Android-Apps
SSH-Agent✅ Integriert❌ Nicht verfügbar
TOTP-Unterstützung✅ Integriert✅ Nur Premium
Passwortfreigabe⚠️ Datenbankdatei teilen✅ Organisationsfunktion
Web-Tresor❌ Keine Weboberfläche✅ Vollständiger Web-Tresor
Preis✅ Komplett kostenlos⚠️ Kostenlose Stufe / 10 $/Jahr Premium
Datenspeicherort✅ Nur auf Ihrem Gerät⚠️ US-Cloud (Microsoft Azure)

Preise

Das Preismodell von KeePassXC ist erfrischend einfach — es ist komplett kostenlos:

  • KeePassXC: Kostenlos, für immer, mit allen Funktionen. Keine Premium-Stufen, keine Funktionseinschränkungen, keine Abonnements. Jede Fähigkeit — TOTP, SSH-Agent, Browser-Integration, YubiKey-Unterstützung, Datenbankzusammenführung — steht jedem Nutzer kostenlos zur Verfügung.
  • Bitwarden Free: Kostenlos — unbegrenzte Passwörter, 2 Geräte, grundlegende 2FA
  • Bitwarden Premium: 10 $/Jahr — TOTP-Authentifikator, erweiterte 2FA (YubiKey), 1 GB Dateispeicher, Notfallzugang
  • Bitwarden Families: 40 $/Jahr — bis zu 6 Nutzer, geteilte Sammlungen
  • Bitwarden Teams: 4 $/Nutzer/Monat — Teamfreigabe, Ereignisprotokolle
  • Bitwarden Enterprise: 6 $/Nutzer/Monat — SSO, Verzeichnisintegration, Richtlinien

KeePassXC liefert Funktionen, die Bitwarden seiner Premium-Stufe vorbehält (TOTP, YubiKey-Unterstützung), vollständig kostenlos. Der Kompromiss ist, dass Sie Ihre eigene Synchronisierungs- und Backup-Infrastruktur verwalten, aber für Nutzer, die Souveränität über Komfort stellen, ist das ein Feature, keine Einschränkung.

Datenschutz & Datensouveränität

Das Datenschutzmodell von KeePassXC ist architektonisch unerreicht:

  • Keine Server, keine Cloud, keine Konten — Ihre verschlüsselte Datenbank existiert nur dort, wo Sie sie ablegen
  • Keine Telemetrie, keine Analysen, keine Absturzberichte — KeePassXC sendet null Daten irgendwohin
  • Kein Unternehmen kann für Ihre Passwörter vorgeladen werden, weil kein Unternehmen sie besitzt
  • Nicht dem US CLOUD Act, FISA Section 702 oder einem anderen ausländischen Datenzugriffsgesetz unterworfen
  • AES-256- oder ChaCha20-Verschlüsselung mit Argon2id-Schlüsselableitung — branchenführende kryptographische Primitive
  • Das KDBX-Format ist ein offener Standard, der seit über 20 Jahren von der Sicherheits-Community geprüft und überprüft wird
  • Europäische Community-getriebene Entwicklung mit starkem deutschen Open-Source-Erbe
  • Vollständiger Quellcode auf GitHub unter GPLv2/GPLv3-Lizenzen zur Prüfung verfügbar
  • Keine kommerzielle Einheit mit finanziellen Anreizen, die mit dem Datenschutz der Nutzer in Konflikt stehen könnten

Bitwarden ist zwar quelloffen und generell datenschutzfreundlich, speichert Ihren verschlüsselten Tresor aber dennoch auf US-basierten Microsoft-Azure-Servern. Dies schafft eine jurisdiktionelle Exposition — ein US-Gericht könnte Bitwarden Inc. dazu zwingen, seine Software zu modifizieren oder verschlüsselte Daten unter Versiegelung herauszugeben. KeePassXC eliminiert diesen gesamten Bedrohungsvektor, indem es keinerlei Server-Infrastruktur gibt.

Migrationsleitfaden

Die Migration von Bitwarden zu KeePassXC erfordert minimalen Aufwand:

  1. Exportieren Sie Ihren Bitwarden-Tresor, indem Sie sich im Bitwarden-Web-Tresor anmelden, zu Werkzeuge > Tresor exportieren navigieren und als unverschlüsselte JSON-Datei herunterladen. Bewahren Sie diese Datei nur vorübergehend auf — sie enthält alle Ihre Passwörter im Klartext. (5 Minuten)
  2. Installieren Sie KeePassXC von keepassxc.org. Laden Sie die offizielle Version für Ihr Betriebssystem herunter. Unter Linux ist es über die meisten Paketmanager (apt, flatpak, snap) verfügbar. (5 Minuten)
  3. Erstellen Sie eine neue KeePassXC-Datenbank — starten Sie KeePassXC, klicken Sie auf „Neue Datenbank erstellen”, wählen Sie ein starkes Master-Passwort und fügen Sie optional eine Schlüsseldatei oder einen Hardware-Schlüssel für zusätzliche Sicherheit hinzu. Wählen Sie Argon2id als Schlüsselableitungsfunktion. (5 Minuten)
  4. Importieren Sie Ihre Bitwarden-Daten — gehen Sie zu Datenbank > Importieren > Bitwarden (JSON) und wählen Sie Ihre exportierte Datei. Alle Passwörter, Notizen, URIs und die Ordnerstruktur werden in Ihre neue KeePassXC-Datenbank importiert. (5 Minuten)
  5. Installieren Sie die KeePassXC-Browser-Erweiterung für Firefox, Chrome oder Edge. Öffnen Sie KeePassXC Desktop, gehen Sie zu Werkzeuge > Einstellungen > Browser-Integration, aktivieren Sie die Integration und verbinden Sie die Erweiterung. Testen Sie das Auto-Ausfüllen auf einigen Websites. (10 Minuten)
  6. Synchronisierung einrichten (optional) — kopieren Sie Ihre .kdbx-Datei in einen synchronisierten Ordner (Nextcloud, Syncthing, Tresorit) für den Zugriff auf mehreren Geräten. Installieren Sie KeePassDX (Android) oder Strongbox (iOS) für mobilen Zugriff. Löschen Sie den Bitwarden-Export sicher und deaktivieren Sie Ihr Bitwarden-Konto. (20 Minuten)

Geschätzte Gesamtzeit: 45 Minuten bis 1 Stunde. Schwierigkeitsgrad: Einfach bis mittel — grundlegende Dateiverwaltungskenntnisse erforderlich.

Praxisbeispiele

  • Ein Systemadministrator an einer Hamburger Universität hat die IT-Abteilung von Bitwarden Teams auf KeePassXC mit geteilten Datenbanken auf der universitätseigenen Nextcloud-Instanz umgestellt. Die Migration beseitigte wiederkehrende SaaS-Kosten und befriedigte den Datenschutzbeauftragten der Universität, der Bedenken geäußert hatte, dass Zugangsdaten auf US-Cloud-Infrastruktur gespeichert werden. Die SSH-Agent-Funktion wurde beim Team besonders beliebt, da sie den Serverzugriff optimierte, ohne private Schlüssel preiszugeben.

  • Eine Informatikstudentin in München hat KeePassXC als ihren primären Passwortmanager eingeführt, nachdem sie in einem Sicherheitskurs über das KeePass-Ökosystem gelernt hatte. Das komplett kostenlose Modell ohne Funktionseinschränkungen war ideal für ein Studentenbudget, und die rein lokale Architektur diente als praktische Lektion in kryptographischer Speicherung. Sie synchronisiert ihre Datenbank zwischen Laptop und Handy mit Syncthing und bewahrt so null Cloud-Exposition bei gleichzeitigem mobilen Zugriff über KeePassDX.

  • Ein freiberuflicher Journalist, der EU-Politik in Brüssel berichtet, migrierte von Bitwarden zu KeePassXC, nachdem er digitale Sicherheitstrainer konsultiert hatte. Der Quellenschutz erforderte, dass kein Dritter — einschließlich eines Passwortmanager-Unternehmens — potenziell auf Zugangsdaten für sensible Kommunikation zugreifen kann. Die rein lokale Speicherung von KeePassXC, kombiniert mit einem YubiKey als zweitem Faktor für die Datenbankentsperrung, bot den stärkstmöglichen Schutz für Zugangsdaten, die mit verschlüsselten E-Mail-Konten und sicheren Einreichungsdiensten verknüpft sind.

Unternehmenshintergrund

KeePassXC ist ein Community-getriebenes Open-Source-Projekt, kein kommerzielles Produkt. Es entstand als Fork von KeePassX, das selbst eine plattformübergreifende Portierung des ursprünglichen KeePass-Passwortmanagers war, der 2003 von Dominik Reichl in Deutschland erstellt wurde. Als die Entwicklung von KeePassX um 2016 ins Stocken geriet, forkten Community-Entwickler das Projekt, um KeePassXC zu schaffen — die KeePass Cross-Platform Community Edition.

Das KeePassXC-Team ist eine verteilte Gruppe freiwilliger Entwickler, viele mit Sitz in Deutschland und anderen europäischen Ländern, die die Software ausschließlich als Open-Source-Vorhaben pflegen und verbessern. Das Projekt wird auf GitHub gehostet, akzeptiert Beiträge von jedem und wird vollständig durch freiwillige Spenden finanziert. Es gibt kein Unternehmen hinter KeePassXC, kein Risikokapital, keine kommerzielle Lizenzierung — nur eine Community, die sich dem Bau des bestmöglichen Offline-Passwortmanagers verschrieben hat.

Das breitere KeePass-Ökosystem ist eines der beständigsten in der Open-Source-Sicherheitssoftware. Das KDBX-Datenbankformat wird seit über zwei Jahrzehnten verwendet, wird von Dutzenden Anwendungen auf jeder Plattform unterstützt und hat umfangreicher kryptographischer Prüfung standgehalten. Diese Ökosystem-Reife bedeutet, dass die Wahl von KeePassXC Sie nicht an eine einzige Anwendung bindet — sollte die Entwicklung von KeePassXC jemals eingestellt werden, bleiben Ihre Passwörter über jede der Dutzenden anderer KeePass-kompatibler Anwendungen zugänglich.

Sicherheit & Compliance

KeePassXC implementiert rigorose Sicherheitsmaßnahmen in seiner lokal-orientierten Architektur:

  • AES-256- oder ChaCha20-Verschlüsselung — wählen Sie zwischen zwei branchenüblichen Chiffren für die Datenbankverschlüsselung
  • Argon2id-Schlüsselableitung — der Gewinner des Password Hashing Competition, bietet starken Widerstand gegen GPU- und ASIC-basierte Brute-Force-Angriffe
  • Hardware-Schlüssel-Unterstützung — YubiKey Challenge-Response und OnlyKey für Zwei-Faktor-Datenbankschutz
  • Schlüsseldatei-Unterstützung — verwenden Sie eine zusätzliche Schlüsseldatei neben Ihrem Master-Passwort für Multi-Faktor-Datenbankentsperrung
  • Speicherschutz — sensible Daten werden im RAM verschlüsselt gehalten und gelöscht, wenn sie nicht mehr benötigt werden
  • Auto-Sperre und Zwischenablage-Löschung — Datenbank sperrt sich nach Inaktivität, Zwischenablage wird nach einem konfigurierbaren Timeout gelöscht
  • Kein Netzwerkzugriff — KeePassXC stellt standardmäßig null Netzwerkverbindungen her und eliminiert so Remote-Angriffsvektoren
  • Open-Source-Prüfpfad — jede Codeänderung ist öffentlich auf GitHub einsehbar; mehrere Community-Sicherheitsüberprüfungen wurden durchgeführt
  • KDBX-4.0-Format — neuestes Datenbankformat mit authentifizierter Verschlüsselung (HMAC-SHA256), die unerkannte Manipulationen verhindert
  • Eintragshistorie — pflegt eine versionierte Historie von Passwortänderungen für Wiederherstellungszwecke

Integrationsökosystem

KeePassXC integriert sich über lokale Werkzeuge und Standards in Ihren Workflow:

  • KeePassXC-Browser-Erweiterung für Firefox, Chrome, Edge und Brave — Auto-Ausfüllen, Auto-Speichern und Passwortgenerierung über sicheres natives Messaging mit der Desktop-App
  • SSH-Agent-Integration — speichern Sie SSH-Schlüssel in Ihrer KeePassXC-Datenbank und verwenden Sie sie zur Server-Authentifizierung, ohne Schlüsseldateien auf der Festplatte offenzulegen
  • TOTP-Authentifikator — generieren Sie zeitbasierte Einmalpasswörter für 2FA-aktivierte Konten direkt in KeePassXC
  • YubiKey Challenge-Response — hardwarebasierter zweiter Faktor für die Datenbankentsperrung mit YubiKey oder OnlyKey
  • KeePass-Datenbankformat (KDBX) — kompatibel mit KeePassDX (Android), Strongbox (iOS), KeePassium (iOS), KeeWeb und Dutzenden anderen Anwendungen
  • Kommandozeilenschnittstelle (keepassxc-cli) — skriptfähiger Zugriff auf Datenbankeinträge für Automatisierung und CI/CD-Pipelines
  • Import von großen Managern — direkter Import von Bitwarden, 1Password, LastPass, Chrome, Firefox und CSV-Formaten
  • FreeDesktop.org Secret Service — Integration mit Linux-Desktop-Umgebungen für systemweite Zugangsdatenspeicherung
  • Auto-Type — plattformnative Tastatureingabe-Injektion zum Ausfüllen von Zugangsdaten in jeder Anwendung, nicht nur in Browsern
  • Datenbank-Zusammenführung — mehrere Datenbanken für kollaborative Workflows zusammenführen, ohne einen zentralen Server

Wer sollte wechseln?

KeePassXC ist ideal für:

  • Datenschutz-Befürworter, die null Cloud-Exposition für ihre sensibelsten Zugangsdaten wollen
  • Entwickler und Systemadministratoren, die SSH-Agent-Integration, CLI-Zugang und skriptfähiges Passwortmanagement schätzen
  • Studierende, die einen voll funktionsfähigen Passwortmanager ohne jegliche Kosten benötigen
  • Sicherheitsbewusste Nutzer, die eine lokal-orientierte Architektur dem Vertrauen in einen Cloud-Dienst vorziehen
  • Linux-Nutzer, die einen nativen, gut integrierten Passwortmanager wollen, der das Open-Source-Ökosystem respektiert
  • Organisationen mit strengen Datensouveränitätsanforderungen, die die Speicherung von Zugangsdaten auf Drittanbieter-Servern untersagen

Fazit

KeePassXC und Bitwarden stehen für zwei philosophisch unterschiedliche Ansätze des Passwortmanagements. Bitwarden priorisiert Komfort — nahtlose Synchronisierung, Web-Tresor-Zugang, verwaltete Infrastruktur. KeePassXC priorisiert Souveränität — Ihre Passwörter existieren nur dort, wo Sie es bestimmen, ohne Vermittler, ohne Abonnement und ohne Unternehmen im Spiel.

Bitwarden bleibt eine ausgezeichnete Wahl für Nutzer, die Cloud-Synchronisierung ohne die Komplexität selbstverwalteter Infrastruktur wollen, und seine Organisationsfunktionen machen es besser geeignet für Teams, die zentralisierte Passwortfreigabe benötigen.

Aber für Einzelpersonen und Organisationen, die davon überzeugt sind, dass das sicherste Passwort das ist, das niemals Ihre Kontrolle verlässt, ist KeePassXC der Goldstandard — kampferprobte Verschlüsselung, ein 20 Jahre altes Ökosystem und vollständige Freiheit von Cloud-Abhängigkeiten, Abogebühren und jurisdiktionellem Risiko.

Häufig gestellte Fragen

Ist KeePassXC dasselbe wie KeePass?

Nein. KeePass ist der originale Windows-only-Passwortmanager, der von Dominik Reichl in Deutschland erstellt wurde. KeePassXC (KeePass Cross-Platform Community Edition) ist ein Community-getriebener Fork, der in C++ mit dem Qt-Framework neu geschrieben wurde, um native Unterstützung für Windows, macOS und Linux zu bieten. KeePassXC verwendet dasselbe KDBX-Datenbankformat wie KeePass, sodass Ihre Datenbanken vollständig kompatibel sind. Allerdings bietet KeePassXC eine modernere Oberfläche, bessere plattformübergreifende Unterstützung und Funktionen wie Browser-Integration und SSH-Agent, die im Basis-KeePass nicht verfügbar sind.

Wie synchronisiere ich meine KeePassXC-Datenbank über mehrere Geräte?

Da KeePassXC Ihre Passwörter in einer lokalen verschlüsselten Datei (KDBX) speichert, können Sie diese mit jedem Dateisynchronisierungsdienst Ihres Vertrauens synchronisieren. Gängige Ansätze umfassen das Speichern der Datenbankdatei in einem Nextcloud-, Syncthing-, Tresorit- oder sogar Dropbox-Ordner. Die Datenbank ist AES-256-verschlüsselt, sodass selbst bei einer Kompromittierung des Synchronisierungsdienstes Angreifer Ihre Passwörter nicht ohne Ihren Hauptschlüssel lesen können. Viele datenschutzbewusste Nutzer bevorzugen Syncthing für Peer-to-Peer-Synchronisierung ohne Cloud-Vermittler.

Kann ich KeePassXC auf meinem Handy nutzen?

KeePassXC selbst ist nur für den Desktop (Windows, macOS, Linux). Da es jedoch das standardmäßige KeePass-KDBX-Format verwendet, können Sie dieselbe Datenbank auf Mobilgeräten mit kompatiblen Apps öffnen. Auf Android ist KeePassDX eine hervorragende Open-Source-Option, verfügbar auf F-Droid und Google Play. Auf iOS sind Strongbox und KeePassium beliebte Alternativen. Alle diese Apps können KDBX-Dateien öffnen, die über Ihren bevorzugten Cloud- oder Dateisynchronisierungsdienst synchronisiert wurden.

Wie funktioniert die Browser-Integration von KeePassXC?

KeePassXC enthält eine begleitende Browser-Erweiterung namens KeePassXC-Browser, verfügbar für Firefox, Chrome, Edge und Brave. Die Erweiterung kommuniziert mit der KeePassXC-Desktop-Anwendung über einen sicheren nativen Messaging-Kanal. Einmal verbunden, kann sie Benutzernamen und Passwörter auf Websites automatisch ausfüllen, neue Anmeldedaten speichern und Passwörter generieren — ähnlich wie bei Cloud-basierten Passwortmanagern, aber mit allen Daten, die auf Ihrem lokalen Rechner verbleiben.

Ist KeePassXC weniger sicher als Bitwarden, weil es Passwörter lokal speichert?

Lokale Speicherung ist in vielen Bedrohungsmodellen tatsächlich ein Sicherheitsvorteil. Mit KeePassXC verlässt Ihre verschlüsselte Datenbank niemals Ihr Gerät, es sei denn, Sie entscheiden sich ausdrücklich dafür, sie zu synchronisieren. Es gibt keinen zentralen Server, der gehackt werden kann, keine Cloud-Infrastruktur zum Angreifen und kein Unternehmen, das zur Herausgabe Ihrer Daten gezwungen werden kann. Die Datenbank wird mit AES-256 (oder ChaCha20) verschlüsselt, wobei der Schlüssel aus Ihrem Master-Passwort über Argon2 abgeleitet wird. Die Angriffsfläche ist grundlegend kleiner als bei jeder Cloud-basierten Lösung.

War das hilfreich?

Entdecken Sie mehr europäische Alternativen

150 datenschutzfreundliche, DSGVO-konforme Alternativen zu US-Technologiediensten.

Alle Alternativen ansehen → Europa vs USA: Die Fakten →