[English]Kurzer Hinweis für Administratoren in Firmen, die Bitwarden als Passwort-Manager in ihrer Umgebung einsetzen. Durch eine Änderung am Backend kann es zu Problemen mit Bitwarden-Instanzen kommen.
Bitwarden ist ein kostenloser Open-Source-Dienst zur Verwaltung von Passwörtern, der dazu dient, vertrauliche Informationen, wie z. B. Anmeldedaten für Websites, in einem verschlüsselten Tresor zu speichern.
Blog-Leser Julius hat mich zum 16. Juli 2025 per E-Mail kontaktiert und schrieb, dass er in seiner Unternehmensumgebung gerade ein Problem mit deren Bitwarden-Instanzen hatte. Die Sammlung der Firma sei auf einmal nicht mehr in der Bitwarden-Applikation aufrufbar gewesen. Versuchten Nutzer oder Administratoren auf den Firmen-Tresor zuzugreifen, zeigt die App beim Tresor "Organisation deaktiviert" an.
Julius schrieb, dass er anschließend mit dem Hoster des Unternehmens, der Bitwarden für die Firma hostet, Kontakt aufgenommen habe. Die Lösung des Problems war, die Lizenz-Synchronisation mit dem "Unternehmens-Inhaber" neu anzustoßen. Der Hintergrund: Bitwarden hat wohl das Backend umgestellt. Der Hoster merkte beim Kontakt mit dem Blog-Leser an, dass dies mehrere Firmen betroffen habe. Vielleicht für den einen oder anderen Leser von Interesse?
MVP: 2013 – 2016
Deswegen Vaultwarden nutzen :-)
Funktioniert bei mir problemlos.
Bin bei bitwarden.eu
Deswegen ist es auch super wichtig, Passwort Tresore, egal wo sie liegen, auch zu backupen.
@Lukas: Es geht hier um "selbst gehostete" Enterprise-Instanzen (in "" weil das auch als Service bei anderen Anbietern passieren kann – nur halt nicht direkt bei Bitwarden). Bitwarden wird wahrscheinlich ihre eigenen öffentlichen Instanzen (also bitwarden.com und bitwarden.eu) ohne Lizenzprobleme betreiben können ;)
Ok, da war ich scheinbar zu blöd zu lesen…
Passwörter extern speichern? Nicht wirklich! Und mag der Tresor noch so gut sein.
Ein Bank Tresor ist zwar Knackbar, der Aufwand dann aber nicht :)
Welche Alternaitven schlägst Du denn für den 5-Mann-Klempnerbetrieb, den Eisladen oder die Blumenfrau hier um die Ecke vor?
Wenn keine Mobilgeräte genutzt werden (oder sync selber bauen) > Keepass auf einem Netzwerkshare. Geht auch mit mehreren Usern.
KeePassXC
Das setzt aber auch die Installation und Pflege (reduntante Backups, regelmäßige Updates, dauerhafte Erreichbarkeit) einer lokalen Datenbank voraus. Um von Außen darauf zugreifen zu können braucht es zusätzliche Hard- und/oder Software.Da hat meine Eisdielerin keine Ahnung von und will sie auch gar nicht haben.
In der Regel haben die alle einen eigenen physischen Tresor.
Regelmäßig Drucken und ablegen
Ich würde einem physischen Tresor nicht all zu viel anvertrauen. Die praktische Erfahrung mit Tresoren ist, dass auch große Exemplare beim Einbruch rausgerissen und mitgenommen werden.
Habe ich bei einer Arbeit für eine kleine Ladenkette zwei mal gesehen.Der erste wog 300 Kg und der zweite 400 Kg. In beiden lagen weniger als 200 €. Die wurden innerhalb von wenigen Wochen nacheinander aus zwei Filialen aus den Verankerungen rausgerissen und mitgenommen. Aus gut einsehbaren Einkaufszentren übrigens.
dann waren sie nicht von Bär. einer der Gründe, warum man bei Juwelieren/Goldschmieden den Tresor idr sehen kann, ist damit man sehen kann, das es ein Bär ist.
er hat den Ruf, das Aufwand und Kosten in zu knacken in keinem Verhältnis zum Gewinn steht.
Das ist kein technisches Problem von Bitwarden sondern Standardverhalten!
Wenn Bitwarden selber gehostet wird (was hier ja auch der Fall ist) benötigt man eine kostenpflichtige Lizenz. Diese Lizenz wird entweder automatisch mit den Bitwarden-Servern synchronisiert oder bei einem air-gapped System (komplett vom Internet getrennt) muss die Lizenzdatei ein Mal jährlich aktualisiert werden.
Scheinbar hat die externe Firma dies verschlafen. Von der Bitwarden-Webseite: "When your license expires and your organization renews, you have 60 days to apply the updated license file to your self-hosted organization."
Das Problem bestand auch, wenn das erfolgt ist.
Mit dem Newsletter von Bitwarden (release notes 2025.5.0) steht der passus
Self-hosting
Note for Self-hosted administrators: If you encounter license validation messages with your organization after recent updates, re-download your cloud license and upload it to your self-hosted server, and your service should continue uninterrupted. Contact support if you have questions."
Problem tauchte bei jemandem Anfang Juni auch auf – Organisation deaktiviert stand da wohl…
Moin,
unsere Lizenz wird automatisch mit den Bitwarden Servern synchronisiert. Hat gestern bei uns (und auch anderen Firmen) nicht mehr funktioniert.
Bei Bitwarden war die letzte offene freie Version ohne BinärBlob und ohne SDK die "Desktop 2024.09.0".
Danach ist Bitwarden nicht mehr vollständig Open-Source und ist daher nicht mehr vertrauenswürdig, weil man den Inhalt des Binärblobs nicht kennt.
Man sollte sich also den Source von 2024.09.0 sichern und forken und die potentielle Binärblob-Backdoor meiden wie die Pest.
Gibt es dafür nicht Vaultwarden?
Wenn man die nötigen Resourcen und das entsprchende Know-How hat, vielleicht.