Der beliebte Open-Source-Passwortmanager Bitwarden vollzieht derzeit einen strukturellen Wandel, der die bei einem Open-Source-Unternehmen erwartbare Transparenz vermissen lässt. Innerhalb weniger Monate wechselten sowohl CEO als auch CFO, die Preise wurden teilweise verdoppelt und die Community fragt sich, wohin sich das Unternehmen entwickelt und ob man der Software noch vertrauen kann.
Wechsel an der Spitze
Bereits im Februar 2026 wechselte der langjährige CEO Michael Crandell ohne offizielle Mitteilung des Unternehmens in eine beratende Funktion. Dies ergibt sich ausschließlich aus einem LinkedIn-Update, denn Bitwarden Inc. schwieg sich dazu aus. Crandell war seit 2019 CEO, führte Bitwarden von einer Ein-Mann-Software zu einem globalen Unternehmen mit Millionen Nutzern und prägte die offene, gemeinwohlorientierte Unternehmenskultur. Sein Nachfolger ist Michael Sullivan, ein Experte für Fusionen, Übernahmen und Private Equity.
Preiserhöhung: Verdopplung der Premium-Tarife
Im März 2026 verdoppelte Bitwarden die Preise für Premium- und Familientarife. Auch hier ließ das Unternehmen Transparenz vermissen, denn die Ankündigung erfolgte tief verpackt in einem Feature-Update, nicht als separater Blogpost. Der kostenlose Basisplan bleibt zwar derzeit noch bestehen, doch die Warnsignale mehren sich: Mitte April 2026 verschwand der Begriff Always free von der Webseite, wo er zuvor prominent unter dem Plan-Auswahlmenü stand. Erst nachdem die Entfernung im Fediverse die Runde machte, tauchte der Slogan wieder auf. Eine öffentliche Stellungnahme gibt es dazu bisher nicht.
Wandel bei den Unternehmenswerten
Noch beunruhigender für die Open-Source-Community ist die stille Neugestaltung der Unternehmenswerte. Bitwarden definierte seine Kultur lange durch das Akronym GRIT: Gratitude, Responsibility, Inclusion und Transparency. Nach dem 4. Mai 2026 änderte sich dies. GRIT steht nun für Gratitude, Responsibility, Innovation und Trust. Inclusion und Transparency kommen nicht mehr vor. Bitwarden änderte sogar einen vier Jahre alten Blogpost des ehemaligen CEOs, um das GRIT-Akronym anzupassen, ohne diese Anpassung in der Unternehmenskultur zu kommentieren.
Sicherheitsvorfälle
Überdies gab es in letzter Zeit auch einige Sicherheitsvorfälle. Ende April 2026 ereilte das Unternehmen ein schwerwiegender Supply-Chain-Angriff. Das Bitwarden Command Line Interface (CLI) Version 2026.4.0 wurde durch eine manipulierte GitHub Action kompromittiert. Angreifer gelangten an API-Schlüssel und Umgebungsvariablen von Kunden, insbesondere von Entwicklern, die Bitwarden in CI/CD-Pipelines integrierten.
Bitwarden betonte, der Kern-Tresor sei nicht betroffen. Die ETH Zürich hatte bereits im Februar 2026 zwölf verschiedene Angriffsmethoden gegen Bitwarden entdeckt. Mehr als die Hälfte dieser Angriffe erlaubte das Auslesen ganzer Passwort-Tresore. Bitwarden hat die schwerwiegendsten Probleme zwar behoben, doch das Vertrauen in die Zero-Knowledge-Architektur ist erschüttert.
Tresor in offenem Format sichern
Bitwarden steht offenbar an einem Wendepunkt. Ob das Unternehmen seine Open-Source-Werte bewahren kann oder sich zu einem rein kommerziellen Player entwickelt, bleibt zunächst abzuwarten. Ich nutze Bitwarden derzeit selbst gehostet in Vaultwarden, sichere aber den Tresor regelmäßig im unverschlüsselten Json-Format und halte mir damit den Import in andere Passwortmanager wie KeePassXC offen.
