Lokale Passwortsicherheit

KeePassXC Passwortmanager: lokale Tresore sicher nutzen

KeePassXC ist für Menschen gedacht, die Passwortsicherheit wollen, ohne ihren Tresor an einen Anbieter zu senden. Logins, Passkeys, Notizen, TOTP-Codes und SSH-Geheimnisse liegen in einer lokalen KDBX-Datenbank, die nur mit deinem Master-Geheimnis geöffnet wird.

Dieser Guide zeigt, wann KeePassXC wirklich passt, wie du es sicher einrichtest, wie Sync ohne Kontrollverlust funktioniert und wo Browser-Integration, mobile Apps, Backups und Hardware-Schlüssel schnell schiefgehen können.

Mit der Setup-Checkliste starten KeePassXC herunterladen

Die nützliche Kurzfassung

KeePassXC ist stark, wenn du die Kontrolle behalten möchtest. Für Familien, Notfallzugriff oder Team-Sharing ist es nicht immer die bequemste Wahl. Ein sicheres Setup ist simpel: ein starkes Master-Passwort, ein getestetes Backup, automatisches Sperren, bewusst gekoppelte Browser und eine offline abgelegte Notiz zur Wiederherstellung.

KeePassXC passt, wenn du einen lokalen KDBX-Tresor willst und Backups selbst zuverlässig verwalten kannst.
Ein Cloud-Manager passt, wenn du einfaches Teilen, Web-Zugriff, Notfall-Wiederherstellung oder weniger Wartung brauchst.
Zuerst erledigen Tresor erstellen, Recovery-Notiz schreiben, ein Backup testen und erst danach alte Passwörter importieren.
Inhaltsverzeichnis

Wann KeePassXC eine starke Wahl ist

KeePassXC passt am besten, wenn du den Sicherheitsprozess selbst in der Hand behalten willst. Es gibt kein Anbieter-Konto, kein Abo, keine serverseitige Wiederherstellung und keinen erzwungenen Cloud-Sync. Genau das ist der Vorteil, aber dadurch wird deine Backup-Routine wichtig.

Kontrolle

Lokaler Tresor, kein Konto

Deine Passwortdatenbank ist eine Datei, die du kontrollierst. KeePassXC braucht kein Anbieter-Login, kein Abrechnungskonto und keinen gehosteten Sync-Dienst.

Transparenz

Open-Source-Desktop-App

KeePassXC ist Open Source, läuft plattformübergreifend und ist mit dem KDBX-Format kompatibel, das auch andere KeePass-Apps nutzen.

Alltag

Browser, TOTP, Passkeys, SSH

Die Desktop-App unterstützt Browser-Ausfüllen, zeitbasierte Einmalcodes, Passkeys über die offizielle Erweiterung und SSH-Agent-Workflows.

Kein Lock-in

Funktioniert mit kompatiblen Clients

Ein KDBX-Tresor lässt sich auf Android mit gepflegten Apps wie KeePassDX oder KeePass2Android öffnen.

Offline nutzbar

Funktioniert ohne Internet

Du kannst die Datenbank auch auf Reisen, bei Ausfällen oder in eingeschränkten Netzwerken öffnen, solange du Datei und Master-Geheimnis hast.

Sensible Workflows

Wenig Anbieter-Abhängigkeit

Es gibt keinen gehosteten Tresor-Dienst, der angefragt, kompromittiert, gesperrt oder still geändert werden kann. Dafür wird die Sicherheit deiner eigenen Geräte zum Zentrum des Vertrauens.

KeePassXC im Vergleich mit Cloud-Passwortmanagern

Wähle KeePassXC nicht nur, weil es privater klingt. Wähle es, wenn der Kompromiss zu deinem Alltag passt. Ein Cloud-Passwortmanager kann für manche Menschen sicherer sein, weil er Sync, Teilen, Geräteverlust und Wiederherstellung einfacher macht. KeePassXC ist dann stärker, wenn lokale Kontrolle und weniger Anbieter-Abhängigkeit wichtiger sind.

Bedarf Bessere Wahl Warum
Du möchtest maximale lokale Kontrolle KeePassXC Der Tresor kann offline bleiben, Sync ist optional und die Datenbank hängt an keinem Anbieter-Konto.
Du teilst regelmäßig Passwörter mit Familie Cloud-Passwortmanager Teilen, Wiederherstellung, Einladungen und neue Geräte laufen in Bitwarden, Proton Pass, 1Password oder iCloud-Schlüsselbund meist einfacher.
Du bist oft mit unzuverlässigem Internet unterwegs KeePassXC Der Tresor öffnet lokal, auch wenn Anbieter, Browser-Sync oder mobile Verbindung gerade nicht erreichbar sind.
Du könntest dein Master-Passwort vergessen Cloud-Passwortmanager Einige Cloud-Dienste bieten Konto-Wiederherstellung oder Notfallzugriff. KeePassXC kann ein verlorenes Master-Passwort nicht retten.
Du verwaltest Entwickler-Geheimnisse KeePassXC SSH-Agent-Unterstützung, lokale Notizen, Anhänge, benutzerdefinierte Felder und kontrollierte Offline-Exporte sind für technische Workflows sehr nützlich.
Du möchtest Breach-Warnungen und besonders bequemes Autofill Cloud-Passwortmanager Cloud-Manager bieten oft integrierte Breach-Checks, reibungsloseres mobiles Autofill und weniger manuelle Pflege.

Sichere Setup-Checkliste für KeePassXC

Die erste Stunde mit KeePassXC ist wichtig. Richte zuerst die unspektakulären Sicherheitsoptionen ein, bevor du alle Passwörter importierst. Einen chaotischen Tresor später aufzuräumen ist deutlich mühsamer.

Langes Master-Passwort verwenden

Nutze eine merkbare Passphrase, die du auch unter Stress tippen kannst. Wenn du sie vergisst, gibt es keinen Zurücksetzen-Button.

Argon2id aktiviert lassen

Nutze moderne KDBX-Einstellungen mit Argon2id. Erhöhe Speicher und Iterationen nur so weit, dass jedes Gerät den Tresor noch angenehm entsperren kann.

Backups vor dem Import erstellen

Bewahre mindestens ein verschlüsseltes Offline-Backup und eine getrennte Kopie jeder Schlüsseldatei auf. Teste, ob sich das Backup öffnen lässt.

Auto-Lock aktivieren

Sperre den Tresor, wenn der Bildschirm gesperrt wird, das System schläft oder KeePassXC länger ungenutzt ist. Leere auch die Zwischenablage schnell.

Wiederherstellung dokumentieren

Notiere, wo Tresor, Backup, Schlüsseldatei und Ersatz-Hardware-Schlüssel liegen. Bewahre diese Notiz offline auf.

Langsam importieren

Nach dem Import aus einem Browser oder anderen Passwortmanager: Duplikate bereinigen, schwache Passwörter ändern und URLs ergänzen, bevor du Autofill aktivierst.

Browser-Integration, Auto-Type und Passkeys

KeePassXC kann Logins über die offizielle KeePassXC-Browser-Erweiterung in Firefox und Chromium-basierten Browsern ausfüllen. Das ist bequem, sollte aber wie eine Brücke in deinen Tresor behandelt werden: Kopple nur vertrauenswürdige Browser, entferne alte Kopplungen und halte getrennte Browserprofile sauber auseinander.

Browser-Integration nutzen, wenn

  • du ein vertrauenswürdiges Alltags-Browserprofil nutzt und Logins schnell ausfüllen möchtest.
  • du geprüft hast, dass die offizielle KeePassXC-Browser-Erweiterung mit der richtigen Datenbank gekoppelt ist.
  • du Passkey-Unterstützung möchtest und die Konto-Wiederherstellung testen kannst, bevor wichtige Logins umziehen.
  • du alte Browser-Kopplungen entfernst, wenn Profile oder Geräte wechseln.

Auto-Type oder manuelles Kopieren nutzen, wenn

  • du dich aus einem temporären, anonymen, beruflichen oder geteilten Browserprofil anmeldest.
  • die Eingabe außerhalb des Browsers stattfindet, zum Beispiel in einer Desktop-App, SSH-Abfrage oder Admin-Konsole.
  • du ein selten genutztes, sehr wichtiges Passwort eingibst und breiten Erweiterungszugriff vermeiden willst.
  • die Seiten-URL ungewöhnlich aussieht und du den Eintrag vor dem Ausfüllen prüfen möchtest.
Hinweis zu Passkeys: KeePassXC kann Passkeys über die offizielle Browser-Erweiterung speichern und verwenden. Teste aber zuerst die Wiederherstellung, bevor du wichtige Konten umstellst. Manche Websites verhalten sich je nach Browser und Betriebssystem noch unterschiedlich.

Sync und Backup ohne Kontrollverlust

Eine KDBX-Datei ist verschlüsselt, deshalb ist eine Kopie in einem Sync-Ordner nicht automatisch fahrlässig. Das Risiko liegt meist im Ablauf: schwaches Master-Passwort, Datenbank-Konflikte, fehlende Backups oder eine Schlüsseldatei direkt neben dem Tresor.

Geringste Angriffsfläche

Nur lokal plus Offline-Backup

Am besten, wenn du ein Hauptgerät nutzt und keinen sofortigen Mobile-Sync brauchst.

  • Aktive Datenbank auf dem Gerät lassen.
  • Backups auf ein verschlüsseltes USB-Laufwerk oder eine Offline-Festplatte kopieren.
  • Schlüsseldatei getrennt von der KDBX-Datei aufbewahren.

Guter Alltags-Sync

Syncthing

Gut, wenn du Peer-to-Peer-Sync zwischen eigenen Geräten willst, ohne kommerziellen Cloud-Ordner.

  • Nur die Datenbankdatei synchronisieren, nicht einen Ordner voller exportierter Geheimnisse.
  • Dateiversionierung aktivieren, damit versehentliche Löschungen wiederherstellbar sind.
  • Den Tresor nicht gleichzeitig auf zwei Geräten bearbeiten.

Bequem, aber mit Vorsicht

Cloud-Laufwerk

Für viele Nutzer okay, wenn das Master-Passwort stark ist und Backups unabhängig vom Cloud-Konto existieren.

  • Die Schlüsseldatei nicht im selben Cloud-Ordner wie den Tresor speichern.
  • Multi-Faktor-Authentifizierung für das Cloud-Konto verwenden.
  • Eine getrennte Offline-Kopie behalten, falls das Konto gesperrt oder gelöscht wird.

Technischer Workflow

Git

Nützlich für Versionsverlauf, aber nur, wenn du private Remotes verstehst und den Tresor nicht versehentlich veröffentlichst.

  • Ein privates Repository und möglichst signierte Commits verwenden.
  • Nie exportierte CSV-Dateien oder temporäre Klartextnotizen committen.
  • Offengelegte Passwörter sofort ändern, falls ein Remote öffentlich wird.

Android und mobiler Zugriff

KeePassXC ist eine Desktop-App. Auf Android nutzt du einen gepflegten KeePass-kompatiblen Client wie KeePassDX oder KeePass2Android. Entscheidend ist nicht nur der App-Name, sondern der Ablauf: wo die Datenbank liegt, wie sie entsperrt wird und wie schnell die Zwischenablage geleert wird.

F-Droid

KeePassDX

Ein datenschutzfreundlicher Android-Client für KDBX-Dateien. Gut, wenn du F-Droid und einen sauberen lokalen Tresor-Workflow bevorzugst.

KeePassDX öffnen

Google Play

KeePass2Android

Ein weit verbreiteter Android-Client mit starker Cloud-Datei-Integration. Gut, wenn dein Sync-Workflow bereits Android-Dokumentanbieter nutzt.

KeePass2Android öffnen

Desktop

KeePassXC

Nutze die offizielle Desktop-App zum Bearbeiten des Tresors, für Browser-Integration, Passkey-Workflows, SSH-Agent-Setup und größere Aufräumarbeiten.

KeePassXC-Downloads öffnen

Solltest du einen Hardware-Sicherheitsschlüssel nutzen?

Ein Hardware-Schlüssel ist für KeePassXC nicht Pflicht. Am meisten bringt er bei den Konten rund um deinen Tresor: E-Mail, Geräte-Sync, Cloud-Speicher und Recovery-Postfächer. Fortgeschrittene können auch Challenge-Response-Setups prüfen, müssen die Wiederherstellung dann aber sehr sauber dokumentieren.

USB-Sicherheitsschlüssel zum Schutz eines Passwort-Tresors
Optionales Upgrade

Hardware-Sicherheitsschlüssel für Recovery-Konten

Nutze einen FIDO2-Sicherheitsschlüssel für die E-Mail- und Sync-Konten, die deinen Passwort-Tresor schützen. Für wichtige Konten: zwei Schlüssel kaufen, beide registrieren und den Ersatz getrennt aufbewahren.

Sicherheitsschlüssel bei Amazon ansehen

Fehler, die KeePassXC weniger sicher machen

01

Kein getestetes Backup

Du kopierst die Datenbank irgendwohin, prüfst aber nie, ob sie sich öffnen lässt.

Besser: Nach jeder größeren änderung eine Wiederherstellung testen.

02

Schlüsseldatei liegt neben dem Tresor

Wer den Ordner bekommt, hat beide Teile.

Besser: Schlüsseldatei getrennt speichern und den Ort dokumentieren.

03

Browser-Erweiterung überall gekoppelt

Jedes Browserprofil wird zu einem Weg in den Tresor.

Besser: Nur Profile koppeln, denen du wirklich vertraust.

04

Schwaches Master-Passwort

Lokale Verschlüsselung hilft nur, wenn Brute Force teuer genug ist.

Besser: Lange Passphrase und moderne KDBX-Einstellungen nutzen.

05

Konflikte durch Sync-Kopien

Zwei Geräte bearbeiten die Datenbank gleichzeitig und später fehlen Einträge.

Besser: Versionierung nutzen und den Tresor schließen, bevor du das Gerät wechselst.

06

Keine Notfallnotiz

Deine Familie oder dein zukünftiges Ich findet Tresor, Backup oder Ersatzschlüssel nicht.

Besser: Eine klare Recovery-übersicht schreiben, ohne das Master-Passwort offenzulegen.

Recherche

Geprüfte Quellen

Offizielle KeePassXC-Dokumentation, Release Notes und Informationen zur Browser-Erweiterung, die für diesen Guide geprüft wurden.

01 Offizielle KeePassXC-Website keepassxc.org 02 KeePassXC-Downloads keepassxc.org 03 KeePassXC Einstiegsguide keepassxc.org 04 KeePassXC Benutzerhandbuch keepassxc.org 05 KeePassXC 2.7.12 Release Notes keepassxc.org 06 KeePassXC Quellcode-Repository github.com 07 KeePassXC-Browser Erweiterungs-Repository github.com

KeePassXC Passwortmanager FAQ

Ist KeePassXC sicherer als Bitwarden oder 1Password?

Für lokale Kontrolle kann KeePassXC sicherer sein, weil dein Tresor standardmäßig nicht in einem Anbieter-Konto liegt. Es kann aber unsicherer werden, wenn du Backups vernachlässigst, ein schwaches Master-Passwort nutzt oder Funktionen wie Teilen und Wiederherstellung brauchst, die ein Cloud-Passwortmanager besser löst.

Kann ich eine KeePassXC-Datenbank in Dropbox, iCloud, Google Drive oder OneDrive speichern?

Ja, wenn das Master-Passwort stark ist und du unabhängige Backups hast. Die KDBX-Datei ist verschlüsselt, aber die Schlüsseldatei sollte nicht daneben liegen und das Cloud-Konto darf nicht dein einziges Backup sein.

Unterstützt KeePassXC Passkeys?

KeePassXC kann Passkeys über die offizielle KeePassXC-Browser-Erweiterung speichern und verwenden. Teste den Ablauf zuerst mit unwichtigen Konten, weil die Wiederherstellung je nach Website, Browser und Gerät unterschiedlich sein kann.

Was passiert, wenn ich mein Master-Passwort verliere?

Der Tresor kann weder von KeePassXC noch von einem Support-Team zurückgesetzt werden. Du brauchst das Master-Passwort und jede konfigurierte Schlüsseldatei oder ein Challenge-Response-Gerät. Halte deshalb einen Offline-Recovery-Plan bereit.

Gibt es eine offizielle KeePassXC-App für Android?

Nein. KeePassXC ist die Desktop-App. Auf Android nutzt du einen kompatiblen KeePass-Client wie KeePassDX oder KeePass2Android und öffnest dieselbe KDBX-Datenbank.

Sollte ich mit KeePassXC eine Schlüsseldatei verwenden?

Eine Schlüsseldatei kann helfen, aber nur, wenn du sie getrennt speicherst und sicher sicherst. Geht sie verloren, kann der Tresor unrettbar sein; liegt sie neben der Datenbank, bringt sie kaum zusätzlichen Schutz.

Kann KeePassXC einen Team-Passwortmanager ersetzen?

Für nicht technische Teams meistens nicht. KeePassXC ist stark für individuelle Kontrolle und kleine, sorgfältige Workflows. Verwaltetes Teilen, Entzug von Zugriffen, Audits und Wiederherstellung sind in einem echten Team-Passwortmanager einfacher.

Nächste Schritte für sicherere Konten

01 Konto-Privatsphäre

Guide für anonyme Online-Identitäten

Trenne Konten, Recovery-Methoden, Browserstatus und Gewohnheiten, wenn ein Profil nicht mit deinem Alltag verknüpft werden soll.

Guide öffnen 02 Netzwerk-Privatsphäre

Was ist ein VPN?

Verstehe, wann ein VPN zur Passwortsicherheit beiträgt und wann es bei kompromittierten Konten nichts bringt.

Guide öffnen 03 Browser-Risiko

Browser-Fingerprinting-Guide

Lerne, warum ein starker Passwort-Tresor Browser-Tracking oder Geräte-Fingerprinting nicht verhindert.

Guide öffnen 04 Finanzkonten

Toolkit für sicheres Online-Banking

Härte deine wichtigsten Logins mit guter Passwortpflege, Hardware-Schlüsseln und sichereren Gerätegewohnheiten.

Guide öffnen