KeePassXC Passwortmanager: Open Source und ohne Bindung

Q: Kann ich denselben KDBX-Tresor auf allen Plattformen öffnen?

Ja. Das KDBX-Format ist plattformübergreifend, sodass dieselbe Datenbank auf Linux, Windows, macOS und Android ohne Konvertierung funktioniert.

Q: Wie sichere ich meinen KeePassXC-Tresor ab?

Verwenden Sie Argon2id mit mehr Speicher und Iterationen, fügen Sie eine offline Schlüsseldatei hinzu und aktivieren Sie automatische Sperre bei Inaktivität oder Ruhezustand.

Q: Brauche ich Cloud-Synchronisation für KeePassXC?

Nein. Sie können die Datenbank lokal halten, per Syncthing oder Git synchronisieren oder manuell auf verschlüsselten Medien übertragen.

Q: Welchen Android-Client soll ich wählen?

KeePassDX auf F-Droid ist die datenschutzfreundliche Wahl; KeePass2Android ist im Play Store zuverlässig. Beide öffnen dieselbe KDBX-Datei.

Q: Was passiert, wenn ich mein Master-Passwort verliere?

Ohne Master-Passwort (und ggf. Schlüsseldatei) kann der Tresor nicht wiederhergestellt werden. Bewahren Sie eine Offline-Sicherung beider Geheimnisse auf.

Letzte Aktualisierung 29.01.2026

KeePassXC ist ein lokal orientierter Open-Source-Passwortmanager, der alle Zugangsdaten in einem offline gespeicherten KDBX-Tresor verwaltet, den Sie vollständig kontrollieren.

Nutzen Sie ihn als Passwortmanager auf dem Linux-Desktop und entsperren Sie denselben Tresor auf Android mit vertrauenswürdigen Apps wie KeePassDX oder KeePass2Android.

KeePassXC Passwortmanager zeigt einen verschlüsselten Offline-KDBX-Tresor mit ausschließlich lokaler Anmeldeinformationen-Speicherung — KeePassXC speichert Passwörter in einem lokal verschlüsselten Tresor, ganz ohne Cloud-Abhängigkeit oder Abonnements.

Inhaltsverzeichnis

Warum KeePassXC die sicherste Wahl bleibt

Sicherheitsprüfung leicht gemacht

KeePassXC ist vollständig Open Source, sodass Sie den Code prüfen und versteckte Telemetrie vermeiden können.

Lokal gespeicherte Tresore

Ihr KDBX-Tresor bleibt offline, außer Sie synchronisieren ihn bewusst nach Ihren Vorgaben.

Plattformübergreifender Zugriff

Eine portable KDBX-Datenbank funktioniert auf Linux, Windows, macOS und Android.

Starke Standardverschlüsselung mit Argon2id und modernen Algorithmen.
Unterstützung von Hardware-Token (YubiKey, Nitrokey) für Schlüsseldatei oder Challenge-Response.
Keine Abos oder Paywalls – Sicherheit ohne Zusatzkosten.

Empfohlener Hardware-Key für KeePassXC

Sicherheits-Tipp

Nitrokey 3A USB Sicherheitsschlüssel

Ein Hardware-Key fügt deinem Vault eine zusätzliche Schutzschicht hinzu und unterstützt Offline-Workflows.

Bei Amazon shoppen

Eine portable Tresordatei für alle Geräte

Ihre KeePass-Datenbank ist eine einzelne .kdbx Datei. Speichern Sie den KDBX-Tresor auf einem verschlüsselten USB-Stick, einem privaten Git-Repository oder einem selbst gehosteten Speicher.

Das Öffnen auf einem anderen Gerät erfordert kein Konto – nur Ihr Master-Passwort (und ggf. eine Schlüsseldatei).

Verwenden Sie versionsfreundliche Synchronisation (Syncthing oder Git), um Konflikte zu vermeiden und eine schreibgeschützte Sicherung offline zu behalten. Die Entschlüsselung erfolgt lokal, sodass Ihr Offline-Passwortmanager keine Daten an Dritte weitergibt.

Offizielle Apps und vertrauenswürdige Begleiter

Nutzen Sie diese gepflegten Clients, die dem offenen KeePass-Standard folgen.

KeePassXC (Windows & Linux) KeePassDX (Android) KeePass2Android (Android)

Plattform	Paket oder Quellcode	Anmerkungen
Linux	Distributions-Repositories, Flatpak, AppImage	Bevorzugen Sie Distributionspakete für Updates; Flatpak bietet Sandbox-Schutz.
Windows	Signierter Installer, portable Version	Automatische Sperre beim Fortsetzen aktivieren und Windows Hello nur als Komfortfunktion nutzen.
Android	KeePassDX (F-Droid) oder KeePass2Android	Zwischenablage automatisch löschen, Biometrie nur für lokale Entsperrung aktivieren.
Browser	KeePassXC-Browser (Firefox/Chromium)	Verwendet den laufenden Desktop-Client – keine Cloud-Brücke nötig.

Checkliste zur Absicherung des Tresors

Erstellen Sie ein langes, einzigartiges Master-Passwort und fügen Sie optional eine offline gespeicherte Schlüsseldatei hinzu.
Nutzen Sie Argon2id mit hohem Speicherbedarf (64–128 MB) und vielen Iterationen, um Brute-Force-Angriffe zu erschweren.
Gruppieren Sie Einträge, fügen Sie Tags hinzu und speichern Sie TOTP-Geheimnisse, um Codes offline zu generieren.
Aktivieren Sie automatische Sperre bei Inaktivität, Systemruhe oder Bildschirmsperre.
Sichern Sie die .kdbx-Datei und die Schlüsseldatei an einem verschlüsselten, externen Ort.

Empfohlene Arbeitsabläufe

Linux- und Windows-Desktop

Führen Sie KeePassXC mit aktivierter Browserintegration nur für vertrauenswürdige Profile aus.
Nutzen Sie SSH-Agent-Weiterleitung von KeePassXC für Git oder Serverzugriff, um Schlüssel nicht auf der Festplatte zu speichern.
Speichern Sie Infrastruktur-Geheimnisse (API-Tokens, Datenbankzugänge) in separaten Eintragsgruppen pro Projekt.

Android

Installieren Sie aus F-Droid, um zusätzliche Tracker zu vermeiden und reproduzierbare Builds zu gewährleisten.
Bewahren Sie die Datenbank im geräteverschlüsselten Speicher auf; vermeiden Sie Cloud-Ordner von Drittanbietern.
Aktivieren Sie die schnelle Entsperrung per Biometrie erst, nachdem die App pro Sitzung einmal das Master-Passwort abgefragt hat.

Synchronisations- und Sicherungsstrategien

Wählen Sie ein Synchronisationsmodell, das die KDBX-Datei unter Ihrer Kontrolle hält:

Syncthing: Peer-to-Peer, Ende-zu-Ende-verschlüsselt, ideal für Familie oder Team.
Git : Versionsverlauf mit signierten Commits; vermeiden Sie öffentliche Remotes und wechseln Sie regelmäßig Zugangsdaten.
Selbst gehosteter Speicher: WebDAV oder SFTP auf einem eigenen Server, nur mit schlüsselbasierter Authentifizierung.
Offline-Rotation: Periodische Kopie auf ein verschlüsseltes Laufwerk an einem externen Ort zur Wiederherstellung nach Ransomware-Angriffen.

Apps, die ich nicht empfehle

Diese Dienste erschweren die Nutzung, sperren Kernfunktionen hinter Paywalls oder haben eine problematische Historie:

LastPass: Mehrere Sicherheitsvorfälle und wichtige Funktionen nur in der Pro-Version.
Dashlane: Nur Cloud-Modell mit eingeschränkter Kontrolle über die Tresorspeicherung.
1Password: Geschlossener Sync-Backend und nur mit Abo-Zugang.
Bitwarden: Nur Cloud-Pläne: praktisch, aber selbst gehostete Lösungen oder KeePassXC bieten mehr Kontrolle.

Häufig gestellte Fragen

01 Kann ich denselben KDBX-Tresor auf allen Plattformen öffnen?

02 Wie sichere ich meinen KeePassXC-Tresor ab?

03 Brauche ich Cloud-Synchronisation für KeePassXC?

04 Welchen Android-Client soll ich wählen?

05 Was passiert, wenn ich mein Master-Passwort verliere?

Weiterführende Informationen und interne Ressourcen

Stärken Sie Ihre Privatsphäre mit diesen Anleitungen weiter: