Im aktuellen c’t Magazin 07/2026 gibt es einen Artikel über selbst-gehostete Passwortmanager. Darin wird beschrieben, wie man im Heimnetzwerk auf einem Raspberry Pi oder Mini-Server den Passwortmanager Passbolt einrichtet.
Zwar wird im Heft auf die Verantwortung hingewiesen, die mit dem Betrieb eines Passwortmanagers auf einem eigenen Server im Internet einhergeht, allerdings werden die Risiken so einer Lösung kaum thematisiert. Was bringt es also für Risiken mit sich, wenn ich meine Passwörter (oder gar die Passwörter anderer Personen) auf einem selbst betriebenem Passwortmanager im Heimnetzwerk verwalte?
Schwachstellen durch unzureichendes Update-Management
Bei einem selbst gehosteten Dienst bist du dein eigener Administrator. Das bedeutet: Sicherheitsupdates müssen manuell oder zumindest bewusst eingespielt werden. Wer das vergisst oder verschiebt, läuft Gefahr, bekannte Schwachstellen offen zu lassen – genau das, was selbst für professionelle Anbieter mit dedizierten Teams eine große Herausforderung bleibt.
Kompromittierter Server und Einfallstor ins Heimnetzwerk
Ein Mini-PC oder ein Raspberry Pi sind keine gehärteten Server. Fehlkonfigurierte Firewalls, schwache Netzwerkpasswörter oder fehlende Updates können als Einfallstor für Angriffe dienen. Wer Passbolt von außen erreichbar machen möchte – etwa per Port-Weiterleitung – erhöht die Angriffsfläche erheblich.
Fehlendes Backup
Wer einen solchen Heim-Server betreibt, verfügt in den seltensten Fällen über eine ausreichend Backup-Infrastruktur. Das bedeutet, dass bei einem Ausfall oder technischen Problemen im schlimmsten Fall alle gespeicherten Passwörter nicht mehr verfügbar sind.
Serverbetrieb bedeutet Verantwortung
Möchte man diese drei aufgeführten Risiken vermeiden, bedeutet dies eine wesentlich höhere Investition an Zeit- und Ressourcen, als im c’t-Artikel suggeriert wird. Ohne den Hinweis auf das langfristige Commitment, das ein solcher Betrieb mit sich bringt, bleibt die Gefahr, dass motivierte Leser der Anleitung des Magazins Schritt für Schritt folgen, den Server initial aufsetzen, aber nicht ausreichend langfristig absichern. Gerade im Fall von aus dem öffentlichen Internet erreichbarer Passwort-Manager ist fraglich, ob sich dieser Aufwand langfristig rechnet. Ich rate davon dringend ab.
Alternativen?
Wer seine Passwörter gar nicht in der Cloud verwalten will, dem sei der Open Source Passwortmanager Keepass in seinen unterschiedlichen Varianten empfohlen. Für alle anderen finden sich im selben c’t als Empfehlung Proton Pass, als europäische Alternative zu US-amerikanischen Anbietern, wie Bitwarden und Co.