Ein Local-first-Passwortmanager namens Bramble speichert alle Zugangsdaten verschlüsselt auf den eigenen Geräten, ohne Konto und ohne zwingenden Cloud-Server. Wo darf der Passwort-Tresor liegen, damit weder ein Anbieter-Hack noch die DSGVO zum Problem werden?
drweb.de als bevorzugte Quelle auf Google hinzufügenQualitätsgeprüfte Inhalte direkt in Google News & DiscoverJetzt hinzufügenIm Dezember 2022 kopierten Angreifer bei LastPass eine Sicherung mit rund 30 Millionen verschlüsselten Passwort-Tresoren. Bis 2025 flossen daraus laut TRM Labs etwa 35 Millionen US-Dollar an Kryptowerten ab, im Februar 2026 folgte ein Vergleich über 24,5 Millionen US-Dollar. Genau an diesem zentralen Datenberg setzt der Local-first-Gedanke an.
Das Wichtigste in Kürze
- Local-first bedeutet: Der verschlüsselte Tresor liegt auf Ihren Geräten, an einem selbst gewählten Ort, nicht auf dem Server eines Anbieters.
- Bramble nutzt Argon2id zur Schlüsselableitung und AES-256-GCM pro Eintrag, der Krypto-Kern läuft in Rust.
- Die Synchronisierung läuft direkt zwischen Ihren Geräten über eine Ende-zu-Ende-verschlüsselte Verbindung, ohne zentralen Tresor-Server.
- Für KMU verlagert das die Angriffsfläche vom Anbieter zurück auf die eigene Backup-Disziplin und den Geräteschutz.
Was bedeutet „local-first“ sicherheitstechnisch?

Local-first heißt: Es gibt keinen zentralen Tresor-Server, den ein Angreifer erbeuten könnte. Die verschlüsselte Datenbank liegt auf Ihren Geräten, die Angriffsfläche verschiebt sich vom Anbieter zu Ihrem Endpunkt und Ihrem Backup.
Klassische Cloud-Manager bündeln Millionen Tresore an einem Ort. Dieser Datenberg ist ein lohnendes Ziel, wie der LastPass-Vorfall zeigt: Die verschlüsselten Sicherungen selbst waren zwar stark geschützt, doch offline hatten die Angreifer beliebig viel Zeit, schwache Master-Passwörter durchzuprobieren. Wo kein solcher Berg existiert, entfällt dieses Muster.
Bramble verschlüsselt nach Angaben des Anbieters jeden Eintrag einzeln, inklusive Website-Namen und Benutzernamen, und wickelt die Schlüssel über ein Verfahren im Stil von LUKS-Key-Slots ab. Das Master-Passwort verlässt den Rust-Kern nicht. Die entscheidende Verlagerung: Ihr Endgerät wird zum wertvollsten Ziel, nicht mehr die Anbieter-Wolke.
Brambles Sicherheitsbausteine
Argon2id leitet den Schlüssel aus dem Master-Passwort ab
AES-256-GCM verschlüsselt jeden Eintrag einzeln
P2P-Sync spiegelt Ende-zu-Ende, ohne Tresor-Server
GPLv3: quelloffen, prüfbar, kostenlose Basisversion
Wie funktioniert die Synchronisierung ohne Cloud-Zwang?
Bramble spiegelt den Tresor direkt zwischen Ihren eigenen Geräten über eine Ende-zu-Ende-verschlüsselte Verbindung. Ein Relay vermittelt nur den Kontakt, sieht die Daten nie im Klartext und speichert keinen Tresor.
Technisch koppelt der Anbieter Geräte über WebRTC-Direktverbindungen, den Kontakt stellen Nostr-Relays her. Wer will, betreibt diesen Vermittlungspunkt selbst. Alternativ genügt auf dem Desktop eine geteilte Cloud-Datei etwa in einem Dropbox- oder Google-Drive-Ordner, weil die Datei bereits verschlüsselt vorliegt.
Diese Freiheit hat einen Preis. In der Diskussion auf Hacker News warnte ein Nutzer vor Datenverlust durch die Konfliktlösung nach dem Prinzip „letzter Schreibzugriff gewinnt“ und nannte jeden stillen Verlust „einen Dealbreaker“. Der Entwickler beschreibt seine Sync-Engine als eigenständig gebaut, weil fertige Bibliotheken auf Klartext zielen. Ohne Anbieter-Backup tragen Sie die Verantwortung für Sicherungskopien selbst.
Was heißt das für Passwort-Hygiene und DSGVO im KMU?
Local-first stärkt die Datenhaltung, weil Zugangsdaten das eigene Gerät nicht verlassen müssen. Der Ansatz vereinfacht die DSGVO-Bewertung, verlagert aber Backup, Geräteschutz und Wiederherstellung klar in Ihre Verantwortung.
Wer den Tresor selbst hält, umgeht eine Auftragsverarbeitung mit einem Cloud-Anbieter und die Frage nach dem Serverstandort. Die Grundlagen dazu ordnet unser Überblick zu den Cybersecurity-Grundlagen für KMU ein, und wie sensibel Standort- und Metadaten inzwischen behandelt werden, zeigt der Fall, in dem Virginia den Verkauf von Standortdaten verbietet. Ein starkes Master-Passwort bleibt Pflicht, ergänzt um Zwei-Faktor-Authentifizierung.
Local-first bedeutet auch, Sie müssen selbst für Ihre Backups sorgen.
— Markus Seyfferth, Chefredakteur Dr. Web
Vor einem Wechsel lohnt der nüchterne Blick auf die Kehrseite. Bramble ist jung, die Firefox-Unterstützung steht noch aus, und die selbst gebaute Konfliktlösung ist kein geprüfter Standard. Auch bei Verschlüsselungs-Werkzeugen gilt: Nicht jedes Versprechen hält, was der Name andeutet, wie unser Realitätscheck zu VPNs zwischen Tarnkappe und Aluhut zeigt.
Prüfen Sie zudem, ob die Endgeräte selbst gehärtet sind, etwa über eine bewusste Wahl im Browser-Vergleich für den DACH-Raum. Für langfristige Sicherheit zählt außerdem, wie robust die Kryptografie gegen künftige Angriffe ist, ein Thema, das die Debatte um die NSA und den ML-KEM-Standard aufwirft.
Mehr Newshunger?
- Cybersecurity-Grundlagen 2026: Was KMU jetzt umsetzen müssen
- Virginia verbietet den Verkauf von Standortdaten
- NSA schwächt den ML-KEM-Standard? Was das für Post-Quanten-Kryptografie bedeutet
- Zwei-Faktor-Authentifizierung: Grundlagen für den Alltag
- Tarnkappe oder Aluhut? Was VPNs können, und was nicht
- Browser-Vergleich 2026: 20 Webbrowser für Unternehmen im DACH-Raum