Der beliebte Open-Source-Passwortmanager Bitwarden vollzieht derzeit einen strukturellen Wandel, der die bei einem Open-Source-Unternehmen erwartbare Transparenz vermissen lässt. Innerhalb weniger Monate wechselten sowohl CEO als auch CFO, die Preise wurden teilweise verdoppelt und die Community fragt sich, wohin sich das Unternehmen entwickelt und ob man der Software noch vertrauen kann.
Wechsel an der Spitze
Bereits im Februar 2026 wechselte der langjährige CEO Michael Crandell ohne offizielle Mitteilung des Unternehmens in eine beratende Funktion. Dies ergibt sich ausschließlich aus einem LinkedIn-Update, denn Bitwarden Inc. schwieg sich dazu aus. Crandell war seit 2019 CEO, führte Bitwarden von einer Ein-Mann-Software zu einem globalen Unternehmen mit Millionen Nutzern und prägte die offene, gemeinwohlorientierte Unternehmenskultur. Sein Nachfolger ist Michael Sullivan, ein Experte für Fusionen, Übernahmen und Private Equity.
Preiserhöhung: Verdopplung der Premium-Tarife
Im März 2026 verdoppelte Bitwarden die Preise für Premium- und Familientarife. Auch hier ließ das Unternehmen Transparenz vermissen, denn die Ankündigung erfolgte tief verpackt in einem Feature-Update, nicht als separater Blogpost. Der kostenlose Basisplan bleibt zwar derzeit noch bestehen, doch die Warnsignale mehren sich: Mitte April 2026 verschwand der Begriff Always free von der Webseite, wo er zuvor prominent unter dem Plan-Auswahlmenü stand. Erst nachdem die Entfernung im Fediverse die Runde machte, tauchte der Slogan wieder auf. Eine öffentliche Stellungnahme gibt es dazu bisher nicht.
Wandel bei den Unternehmenswerten
Noch beunruhigender für die Open-Source-Community ist die stille Neugestaltung der Unternehmenswerte. Bitwarden definierte seine Kultur lange durch das Akronym GRIT: Gratitude, Responsibility, Inclusion und Transparency. Nach dem 4. Mai 2026 änderte sich dies. GRIT steht nun für Gratitude, Responsibility, Innovation und Trust. Inclusion und Transparency kommen nicht mehr vor. Bitwarden änderte sogar einen vier Jahre alten Blogpost des ehemaligen CEOs, um das GRIT-Akronym anzupassen, ohne diese Anpassung in der Unternehmenskultur zu kommentieren.
Sicherheitsvorfälle
Überdies gab es in letzter Zeit auch einige Sicherheitsvorfälle. Ende April 2026 ereilte das Unternehmen ein schwerwiegender Supply-Chain-Angriff. Das Bitwarden Command Line Interface (CLI) Version 2026.4.0 wurde durch eine manipulierte GitHub Action kompromittiert. Angreifer gelangten an API-Schlüssel und Umgebungsvariablen von Kunden, insbesondere von Entwicklern, die Bitwarden in CI/CD-Pipelines integrierten.
Bitwarden betonte, der Kern-Tresor sei nicht betroffen. Die ETH Zürich hatte bereits im Februar 2026 zwölf verschiedene Angriffsmethoden gegen Bitwarden entdeckt. Mehr als die Hälfte dieser Angriffe erlaubte das Auslesen ganzer Passwort-Tresore. Bitwarden hat die schwerwiegendsten Probleme zwar behoben, doch das Vertrauen in die Zero-Knowledge-Architektur ist erschüttert.
Tresor in offenem Format sichern
Bitwarden steht offenbar an einem Wendepunkt. Ob das Unternehmen seine Open-Source-Werte bewahren kann oder sich zu einem rein kommerziellen Player entwickelt, bleibt zunächst abzuwarten. Ich nutze Bitwarden derzeit selbst gehostet in Vaultwarden, sichere aber den Tresor regelmäßig im unverschlüsselten Json-Format und halte mir damit den Import in andere Passwortmanager wie KeePassXC offen.

Ich nutze bereits KeePassXC und bin damit äußerst zufrieden.
Passt wunderbar, wenn es nur um ein Gerät geht. In allen anderen Fällen braucht’s eine Synchronisationslösung. Bei mir erledigt das eine selbstgehostete Nextcloud und entsprechende Clients auf allen Devices. Das funktioniert seit Jahren problemlos.
Naja kein Grund zur Panik, da wechselt man halt zu einem anderen Tool.
Das ist ja das Schoene an Linux.
Kein Problem auf einer
…vollständig lokalen Workstation. Es geht hierbei wohl eher um öffentliche Infra (bzw. um die Webanbindung). Panik ist ohnehin selten eine gute Idee, aber die Frage sollte man sich schon stellen – so in etwa verstehe ich den Artikel.
Nachtrag: Ich finde die Idee hinter PearPass – https://pass.pears.com/ – sehr spannend.
Liest sich interessant. Das werde ich mir mal näher anschauen. Vor allem die Sicherheit und die Synchronisation.
Leute das ist alles kein Drama. Die Preiserhöhung war die erste seit 10 Jahren. Von extrem niedrigen Niveua hin zu angemessen. Dann wer Vaultwarden selbst hostet, ist vom ganzen Drama um Preise, Werte und PE-CEO ohnehin entkoppelt. Der Server läuft weiter, selbst wenn Bitwarden Inc. morgen verkauft würde. Einzige echte Restrisiko ist die langfristige API-Kompatibilität der Clients, aber dagegen ist der regelmäßige JSON-Export nach KeePassXC die richtige Versicherung. Allerdings verschlüsselt 😉 Und zuletzt zum Vorfall Supply-Chain-Angriff: Bitwarden war da Teil einer größeren Kampagne aber schon nach 1,5 Stunden gab es bereits Version 2026.4.1. Also alles entspannt.
Mich beunruhigt auch eher der neue CEO. Die Preiserhöhung geht von der Summe her in Ordnung, trotzdem würde ich mehr Transparenz erwarten.
Ich vermute sehr stark, dass der Gründer und Ex-CEO Geld von den typischen Investoren beschaffte, die bekamen Mitspracherechte und jetzt gab es einen Richtungsstreit, den der Gründer verlor. Die Investoren wollen aus der Firma eine typische Investment-Milchkuh machen, mit der typischen “Gleichschaltung” zu Trumps Wohlgefallen.
Wenn es so ist, wie Du es schilderst, sind es in erster Linie die Geldgeber der Investoren, deren Wohlgefallen angestrebt wird.
Ich überlege von bitwarden weg zu gehen und richtung passbolt zu gehen
Das wäre für mich leichter Overkill.
Ich mache es genauso wie Du.
Meine Hoffnung ist allerdings, dass es einen Fork des Clients (analog Vaultwarden) geben wird.
Das wäre in der derzeitigen Situation allerdings optimal.