Passwort-Manager auf dem eigenen Server bereitstellen: Eine Anleitung

Die sichere Verwaltung von Passwoertern ist eine der wichtigsten Herausforderungen fuer moderne Unternehmen. Cloud-basierte Loesungen bringen Abhaengigkeiten von Drittanbietern mit sich, waehrend einfache Tabellen und gemeinsam genutzte Dokumente ein Sicherheitsrisiko darstellen. Die Loesung? Die Bereitstellung eines selbst gehosteten Passwort-Managers auf einer Infrastruktur, die Sie vollstaendig kontrollieren. In dieser Anleitung fuehren wir Sie durch den gesamten Prozess — von den Serveranforderungen bis zum Team-Onboarding — und erklaeren, warum InPassTo die Self-Hosted-Bereitstellung muehelos macht.

Warum einen Passwort-Manager selbst hosten?

Wenn Ihre Organisation Zugangsdaten in einer Cloud eines Drittanbieters speichert, vertrauen Sie diesem Anbieter die Schluessel zu Ihrer gesamten digitalen Infrastruktur an. Datenlecks bei grossen Passwort-Manager-Anbietern haben wiederholt Schlagzeilen gemacht und Millionen verschluesselter Tresore offengelegt. Self-Hosting beseitigt diesen Single Point of Failure, indem alle Daten auf Servern verbleiben, die Sie besitzen und betreiben.

Compliance ist ein weiterer wichtiger Treiber. Vorschriften wie die DSGVO, HIPAA und SOC 2 verlangen oft, dass Organisationen genau nachweisen, wo sensible Daten gespeichert sind und wer Zugriff darauf hat. Mit einer selbst gehosteten Loesung koennen Sie Pruefern Ihr eigenes Rechenzentrum oder Ihre private Cloud-Instanz vorweisen und so klare Nachweise fuer Datensouveraenitaet und Zugriffskontrollen liefern.

Self-Hosting gewaehrt Ihnen ausserdem die vollstaendige Kontrolle ueber Update-Zeitplaene, Backup-Strategien und Netzwerkarchitektur. Sie entscheiden, wann Patches eingespielt werden, wie Backups verschluesselt und rotiert werden und ob der Dienst nur ueber ein VPN oder das interne Netzwerk erreichbar ist. Dieses Mass an Kontrolle ist mit SaaS-Angeboten auf geteilter Infrastruktur nicht moeglich. Fuer Unternehmen, die mit Finanzdaten, Gesundheitsakten oder Regierungsauftraegen arbeiten, ist Self-Hosting nicht nur eine Praeferenz — es ist eine Anforderung. InPassTo wurde von Grund auf fuer genau dieses Bereitstellungsmodell entwickelt.

Serveranforderungen

Bevor Sie InPassTo bereitstellen, stellen Sie sicher, dass Ihr Server die folgenden Mindestanforderungen erfuellt. Diese Spezifikationen sind darauf ausgelegt, Teams von bis zu 50 Benutzern mit komfortablen Leistungsreserven zu unterstuetzen. Fuer groessere Organisationen empfehlen wir eine proportionale Skalierung der Ressourcen oder die Kontaktaufnahme mit unserem Team fuer eine massgeschneiderte Architekturempfehlung.

Betriebssystem     : Ubuntu 22.04 LTS / Debian 12+
PHP                : 8.2 oder hoeher (Erweiterungen: pgsql, redis, mbstring, openssl, curl)
Datenbank          : PostgreSQL 15+ (empfohlen) oder MySQL 8.0+
Cache / Queue      : Redis 7+
Webserver          : Nginx 1.24+ (mit SSL/TLS-Unterstuetzung)
Arbeitsspeicher    : mindestens 2 GB (4 GB empfohlen)
Speicherplatz      : mindestens 20 GB SSD
CPU                : mindestens 2 vCPU-Kerne
Netzwerk           : Statische IP-Adresse, offene Ports 80/443
SSL-Zertifikat     : Let's Encrypt (kostenlos) oder kommerzielles Zertifikat

Wir empfehlen dringend Ubuntu 22.04 LTS als Betriebssystem, da es langfristige Sicherheitsupdates und hervorragende Kompatibilitaet mit dem restlichen Stack bietet. PostgreSQL wird gegenueber MySQL bevorzugt, da es ueberlegene Verschluesselungsfaehigkeiten, robuste JSON-Unterstuetzung und erweiterte Indexierungsfunktionen bietet, die InPassTo fuer die Tresorspeicherung nutzt. Redis uebernimmt die Sitzungsverwaltung, Warteschlangenverarbeitung und das Caching und sorgt so fuer schnelle Antwortzeiten auch unter hoher Last. Ihr Server sollte mit einer statischen IP-Adresse und einem gueltigem Domainnamen versehen sein, da dies fuer die Ausstellung von SSL-Zertifikaten und den sicheren HTTPS-Zugriff erforderlich ist.

Schritt-fuer-Schritt-Bereitstellungsanleitung

Die Bereitstellung von InPassTo folgt einem strukturierten Prozess, der sicherstellt, dass jede Komponente ordnungsgemaess konfiguriert und gesichert ist. Obwohl das InPassTo-Team die gesamte Bereitstellung fuer Sie uebernehmen kann, finden Sie hier einen Ueberblick ueber den Prozess, damit Sie jeden Schritt verstehen.

1. Servervorbereitung. Der Zielserver wird gehaertet, indem der Root-SSH-Zugang deaktiviert, eine Firewall (UFW oder iptables) konfiguriert, automatische Sicherheitsupdates aktiviert und ein dedizierter Systembenutzer fuer die Anwendung erstellt wird. Alle unnoetigen Dienste werden deaktiviert, um die Angriffsflaeche zu minimieren.

2. Installation des Software-Stacks. PHP 8.2 mit allen erforderlichen Erweiterungen wird installiert und fuer Produktions-Workloads optimiert. PostgreSQL wird mit Connection-Pooling und optimierten Speichereinstellungen konfiguriert. Redis wird mit Passwort-Authentifizierung eingerichtet und an localhost gebunden. Nginx wird als Reverse-Proxy mit HTTP/2-Unterstuetzung installiert und konfiguriert.

3. Anwendungsbereitstellung. Die InPassTo-Codebasis wird auf dem Server bereitgestellt, Umgebungsvariablen werden konfiguriert, Datenbankmigrationen ausgefuehrt und Verschluesselungsschluessel generiert. Der Anwendungs-Queue-Worker und Scheduler werden als systemd-Dienste fuer Zuverlaessigkeit eingerichtet.

4. SSL- und DNS-Konfiguration. Ein Let's-Encrypt-Zertifikat wird mit Certbot ausgestellt, und die automatische Erneuerung wird konfiguriert. DNS-Eintraege werden verifiziert und HSTS-Header aktiviert, um verschluesselte Verbindungen zu erzwingen. Optional: Cloudflare oder ein anderes CDN kann fuer DDoS-Schutz konfiguriert werden.

5. Verifizierung und Tests. Die gesamte Bereitstellung wird End-to-End getestet, einschliesslich Login-Ablaeufe, Tresor-Verschluesselung, Team-Sharing und API-Zugriff. Leistungstests werden durchgefuehrt, um zu bestaetigen, dass der Server die Zielvorgaben fuer Antwortzeiten erfuellt.

Sicherheitskonfiguration: Verschluesselung und 2FA

Sicherheit ist das Fundament jedes Passwort-Managers, und InPassTo implementiert mehrere Schutzschichten, um sicherzustellen, dass Ihre Zugangsdaten selbst bei einem Servereinbruch sicher bleiben. Die Verschluesselungsarchitektur verwendet AES-256-GCM — denselben Standard, der von Regierungen und Finanzinstituten weltweit eingesetzt wird — um jeden Tresoreintrag auf Anwendungsebene zu verschluesseln, bevor er die Datenbank erreicht.

Der Tresor jedes Benutzers wird mit einem eindeutigen Schluessel verschluesselt, der aus seinem Master-Passwort mittels Argon2id abgeleitet wird — einem speicherintensiven Hashing-Algorithmus, der speziell entwickelt wurde, um GPU-basierte Brute-Force-Angriffe abzuwehren. Der Server speichert niemals das Master-Passwort oder den abgeleiteten Verschluesselungsschluessel — die Entschluesselung erfolgt nur in der Benutzersitzung. Das bedeutet, dass selbst wenn ein Angreifer Zugriff auf die Datenbank erlangt, die verschluesselten Daten ohne das Master-Passwort jedes einzelnen Benutzers nutzlos sind.

Zwei-Faktor-Authentifizierung fuegt eine wichtige zweite Schutzschicht hinzu. InPassTo unterstuetzt Telegram-basierte 2FA, die ein nahtloses Erlebnis fuer Teams bietet, die Telegram bereits fuer die Kommunikation nutzen. Wenn sich ein Benutzer anmeldet, wird ein Einmal-Code ueber einen sicheren Bot an sein Telegram-Konto gesendet. Dies eliminiert die Notwendigkeit von Drittanbieter-Authenticator-Apps und vereinfacht die Einfuehrung in der gesamten Organisation. TOTP-basierte Authentifizierung wird ebenfalls fuer Teams unterstuetzt, die traditionelle Authenticator-Apps bevorzugen. Die Erzwingung von 2FA fuer alle Benutzerkonten ist ein einzelner Schalter im Admin-Panel, der Administratoren sofortige Sicherheitskonformitaet ermoeglicht, ohne einzelne Teammitglieder verfolgen zu muessen.

Team-Onboarding und Chrome-Erweiterung

Sobald InPassTo bereitgestellt und gesichert ist, folgt das Onboarding Ihres Teams. Das Admin-Panel bietet eine uebersichtliche Oberflaeche zum Erstellen von Benutzerkonten und Zuweisen von Rollen. InPassTo unterstuetzt granulaere rollenbasierte Zugriffskontrolle: Administratoren haben vollen Systemzugriff, Manager koennen gemeinsame Tresore erstellen und ihre Teams verwalten, und regulaere Benutzer koennen nur auf die ihnen zugewiesenen Tresore zugreifen.

Gemeinsame Tresore sind eine der leistungsfaehigsten Funktionen fuer Teams. Sie koennen projekt- oder abteilungsspezifische Tresore erstellen — beispielsweise einen Tresor fuer Produktionsserver, der nur dem DevOps-Team zugaenglich ist, oder einen Tresor fuer Social-Media-Konten fuer die Marketingabteilung. Berechtigungen werden auf Tresorebene festgelegt, und Audit-Protokolle verfolgen jedes Zugriffsereignis fuer Compliance-Zwecke.

Die InPassTo Chrome-Erweiterung integriert sich direkt mit Ihrer selbst gehosteten Instanz. Nach der Installation der Erweiterung aus dem Chrome Web Store geben Benutzer einfach die URL Ihres InPassTo-Servers ein und melden sich an. Die Erweiterung fuellt Zugangsdaten auf erkannten Websites automatisch aus, generiert starke Passwoerter fuer neue Konten und speichert neue Anmeldedaten direkt im entsprechenden Tresor. Fuer Entwicklungsteams bietet InPassTo auch eine vollstaendige REST-API mit tokenbasierter Authentifizierung, die die Integration mit CI/CD-Pipelines, Bereitstellungsskripten und internen Automatisierungstools ermoeglicht. Die API-Dokumentation ist in jeder Bereitstellung enthalten und direkt von Ihrer Instanz aus zugaenglich.

Warum InPassTo fuer Self-Hosted-Bereitstellung waehlen

Es gibt mehrere selbst gehostete Passwort-Manager auf dem Markt, aber InPassTo ist speziell fuer Unternehmen konzipiert, die eine produktionsreife Loesung ohne den Aufwand der Verwaltung von Open-Source-Software benoetigen. Im Gegensatz zu Community-getriebenen Tools, bei denen Sie Komponenten zusammensetzen, Verschluesselung manuell konfigurieren und Kompatibilitaetsprobleme beheben muessen, liefert InPassTo eine vollstaendig integrierte Plattform auf Enterprise-Niveau.

Jede InPassTo-Lizenz beinhaltet verwalteten Bereitstellungssupport. Das bedeutet, dass Sie kein dediziertes DevOps-Team benoetigen, um loszulegen. Unsere Ingenieure konfigurieren Ihren Server, installieren und optimieren den gesamten Stack, richten SSL ein, konfigurieren Backups und uebergeben Ihnen einen voll funktionsfaehigen Passwort-Manager. Wir bieten auch fortlaufende Unterstuetzung bei Updates, Sicherheitspatches und Skalierung, wenn Ihr Team waechst.

Funktionsparitaet ist ein weiterer entscheidender Vorteil. Im Gegensatz zu vielen Wettbewerbern, die wesentliche Funktionen hinter Enterprise-Tarifen sperren, beinhaltet jeder InPassTo-Plan AES-256-GCM-Verschluesselung, Telegram-2FA, gemeinsame Tresore, rollenbasierte Zugriffskontrolle, die Chrome-Erweiterung, REST-API-Zugriff und Audit-Protokollierung. Sie erhalten die vollstaendige Plattform unabhaengig von Ihrer Teamgroesse. InPassTo basiert auf Laravel und Vue.js — Technologien, die gut dokumentiert, breit unterstuetzt und leicht zu pruefen sind. Ihre Daten verbleiben auf Ihrem Server, verschluesselt mit Schluesseln, die nur Ihr Team kontrolliert, und zugaenglich nur ueber die von Ihnen autorisierten Schnittstellen.