Nextcloud Two-Factor TOTP: Mehr als nur ein zweiter Schlüssel

Es ist ein vertrautes Ritual geworden: Nach dem Passwort folgt der zweite Schritt. Ein Code aus der App, der alle dreißig Sekunden neu generiert wird. Was bei Banken längst Standard ist, hält nun auch vermehrt Einzug in die unternehmenseigene Cloud-Infrastruktur. Nextcloud, die populäre Open-Source-Lösung für File-Sharing und Kollaboration, setzt hierbei konsequent auf den TOTP-Standard – Time-based One-Time Password. Doch was verbirgt sich technisch dahinter? Und wie robust ist diese Methode im harten Unternehmensalltag?

Dabei zeigt sich: TOTP ist mehr als nur eine lästige Hürde. Es ist eine ausgereifte Technologie, die bei korrekter Implementierung ein beachtliches Sicherheitsniveau bietet. Allerdings mit einigen Tücken, die Administratoren kennen sollten.

Das Fundament: Was TOTP von anderen Verfahren unterscheidet

Bevor man sich in die Tiefen der Nextcloud-Konfiguration begibt, lohnt ein Blick auf die Grundlagen. TOTP ist ein offener Standard, definiert in RFC 6238. Im Kern handelt es sich um einen Algorithmus, der aus einem gemeinsamen Geheimnis und der aktuellen Zeit einen Einmal-Code berechnet. Dieses Geheimnis wird einmalig während der Einrichtung zwischen dem Server – in diesem Fall Nextcloud – und der Authenticator-App auf dem Smartphone des Nutzers ausgetauscht.

Ein interessanter Aspekt ist die Zeitabhängigkeit. Der Code ändert sich typischerweise alle dreißig Sekunden, unabhängig davon, ob er abgefragt wird oder nicht. Das schafft eine kurze Gültigkeitsdauer, die Angriffe mit abgefangenen Codes deutlich erschwert. Verglichen mit statischen Backup-Codes oder gar SMS-basierten Verfahren, die anfällig für SIM-Swapping-Angriffe sind, bietet TOTP eine inherent höhere Sicherheit. Es erfordert keine Netzverbindung zum Empfang des Codes, lediglich eine grobe Zeitsynchronisation zwischen Server und Client.

„Das Schöne an TOTP ist seine Einfachheit und Portabilität“, bemerkt ein Administrator aus der Finanzbranche, der namentlich nicht genannt werden möchte. „Der Nutzer kann jede beliebige App verwenden, von FreeOTP bis Google Authenticator. Wir sind nicht an einen spezifischen Anbieter gebunden. Das gibt uns Flexibilität und reduziert die Abhängigkeit.“

Nextclouds Implementierung: Unter der Haube

Nextcloud integriert TOTP nicht als nachträglichen Flickenteppich, sondern als fundamentalen Baustein seines erweiterbaren Zwei-Faktor-Authentifizierungs-Frameworks. Die Aktivierung erfolgt pro Benutzer in den persönlichen Sicherheitseinstellungen. Ein QR-Code wird angezeigt, der das Geheimnis sowie Metadaten wie den Kontonamen kompakt überträgt. Der Nutzer scannt diesen mit seiner App – und die Verbindung ist hergestellt.

Technisch gesehen generiert der Nextcloud-Server bei der Aktivierung ein zufälliges, hoch-entropisches Geheimnis. Dieses wird verschlüsselt in der Datenbank gespeichert. Ein kritischer Punkt, denn der Schutz dieses Secrets ist paramount. Nextcloud nutzt hierfür seine verschlüsselte Speicherung für App-spezifische Einstellungen. Bei der Verifikation eines eingehenden Codes berechnet der Server parallel seinen eigenen Code aus dem gespeicherten Geheimnis und der aktuellen Serverzeit. Stimmen die Codes überein, ist die Authentifizierung erfolgreich.

Nicht zuletzt wegen der Zeitabhängigkeit ist eine korrekte Zeitsynchronisation via NTP auf dem Nextcloud-Server unabdingbar. Abweichungen von mehr als etwa dreißig Sekunden können zu fehlgeschlagenen Anmeldungen führen. Nextclouds Implementierung ist hier tolerant und akzeptiert Codes aus einem Fenster von通常 mehreren Zeiteinheiten vor und nach der aktuellen Zeit, um kleine Uhrabweichungen auszugleichen. Doch bei größeren Diskrepanzen hilft nur eines: Die Systemuhr korrigieren.

Die praktische Einrichtung: Eine Schritt-für-Schritt-Betrachtung

Für den Administrator beginnt die Arbeit in der Nextcloud-Admin-Oberfläche. Das Two-Factor-TOTP-Plugin ist standardmäßig enthalten, muss aber nicht zwangsläufig aktiviert sein. Ist es das, können Nutzer es in ihren persönlichen Einstellungen selbstständig einrichten. Für eine unternehmensweite Pflicht muss der Administrator jedoch etwas nachhelfen.

Nextcloud selbst erzwingt Zwei-Faktor-Authentifizierung nicht global. Hier kommen externe User-SAML-Provider oder eine manuelle Policy über die Benutzerverwaltung ins Spiel. Alternativ kann mit der Nextcloud-API gearbeitet werden, um die 2FA-Einstellungen der Nutzer zentral zu steuern. Ein kleines Manko, das aber bewusst so gestaltet sein dürfte, um Flexibilität für verschiedene Einsatzszenarien zu bieten.

Aus Anwendersicht ist der Prozess denkbar einfach: Unter „Sicherheit“ in den persönlichen Einstellungen findet sich der Punkt „Zwei-Faktor-Authentifizierung“. Ein Klick auf „TOTP aktivieren“, der QR-Code erscheint, wird gescannt – und schon ist man dabei. Zur Sicherheit muss der Nutzer einmalig einen generierten Code eingeben, um die Funktionsweise zu verifizieren. Ein essentieller Schritt, der verhindert, dass ein falsch konfiguriertes Setup den Account unbrauchbar macht.

Dabei sollte man den Schulungsaspekt nicht unterschätzen. Die bloße Bereitstellung der Technologie reicht nicht aus. Nutzer müssen verstehen, warum diese zusätzliche Sicherheit notwendig ist und was im Fall eines verlorenen oder defekten Smartphones zu tun ist. Die Ausgabe von Backup-Codes, die Nextcloud ebenfalls vorsieht, ist hier kritisch. Diese Codes müssen sicher, aber dennoch zugänglich aufbewahrt werden – am besten nicht zusammen mit dem Passwort des Accounts.

Sicherheitsanalyse: Stärken und Schwächen von TOTP im Unternehmenseinsatz

Die offensichtliche Stärke von TOTP liegt in der Abwehr von Phishing-Angriffen. Selbst wenn ein Angreifer es schafft, das Passwort eines Nutzers abzugreifen, ist dieses alleine wertlos. Der zweite Faktor müsste zeitgleich mitgestohlen werden. Da der Code nur kurzlebig ist, ist ein erfolgreicher Replay-Angriff praktisch unmöglich.

Doch die Technologie ist nicht allmächtig. Ein besonders tückischer Angriffsvektor sind real-time Phishing-Kits. Dabei leitet der Angreifer den Nutzer auf eine gefälschte Nextcloud-Anmeldeseite, fängt das Passwort und den eingegebenen TOTP-Code ab und verwendet beide sofort, um sich auf der echten Seite anzumelden. Da der Code für etwa dreißig Sekunden gültig ist, bleibt ein kleines Zeitfenster für diesen Missbrauch. Moderne Authenticator-Apps versuchen, diesem Problem mit Code-Überprüfung zu begegnen, indem sie den Domain-Namen der Seite prüfen, für die der Code generiert wird. Diese Funktion ist jedoch nicht im TOTP-Standard definiert und daher nicht universell verfügbar.

Ein weiterer Schwachpunkt ist das initial ausgetauschte Geheimnis. Wird der QR-Code während der Einrichtung abgefangen oder kompromittiert, ist die Zwei-Faktor-Authentifizierung von Beginn an wertlos. Daher sollte dieser Schritt in einer vertrauenswürdigen Umgebung durchgeführt werden, nicht über unsichere öffentliche WLAN-Netze.

Für Hochsicherheitsumgebungen mag TOTP alleine nicht ausreichen. Hier bieten sich hardwarebasierte FIDO2-Security-Keys an, die physisch präsent sein müssen und gegen Phishing resistent sind. Nextcloud unterstützt auch diese Methode. TOTP bleibt jedoch die pragmatische Lösung für die breite Masse der Nutzer, da es keine zusätzliche Hardware erfordert und mit den Geräten funktioniert, die ohnehin jeder bei sich trägt.

Die Gretchenfrage: Zentralisierte Verwaltung vs. Nutzerautonomie

Eine der größten Herausforderungen für IT-Abteilungen ist die Balance zwischen Sicherheit und Benutzerfreundlichkeit. Sollte die Zwei-Faktor-Authentifizierung verpflichtend für alle sein? Oder nur für bestimmte Gruppen, etwa Administratoren oder Nutzer mit besonderen Zugriffsrechten? Nextcloud überlässt diese Entscheidung dem Administrator.

Die Einführung einer Pflicht sollte wohlüberlegt sein. Es braucht Prozesse für Ausnahmesituationen: Was passiert, wenn ein Mitarbeiter sein Smartphone verliert? Ohne die zuvor generierten Backup-Codes oder einen umständlichen Reset-Prozess durch den Admin ist der Account gesperrt. Ein zentral verwalteter, notfallmäßiger Zugang für Administratoren, um die 2FA eines Benutzers zurückzusetzen, ist unerlässlich. Dieser Reset-Mechanismus selbst muss natürlich besonders geschützt werden.

Interessant ist der Ansatz, 2FA nur dann zu erzwingen, wenn sich der Nutzer von einem nicht vertrauenswürdigen Netzwerk aus anmeldet. Nextclouds Trusted Devices-Funktionalität, oft in Kombination mit dem Global Site Selector, kann hier helfen. Einmal von einem vertrauenswürdigen Gerät aus mit 2FA authentifiziert, muss der zweite Faktor für eine gewisse Zeit oder auf diesem spezifischen Gerät nicht erneut eingegeben werden. Das erhöht die Akzeptanz bei den Nutzern erheblich, ohne die grundlegende Sicherheit zu opfern.

Beyond TOTP: Der Blick auf die Alternativen im Nextcloud-Ökosystem

TOTP ist nur eine von mehreren Zwei-Faktor-Methoden, die Nextcloud unterstützt. Für Administratoren lohnt es sich, die Landschaft zu überblicken.

Da wären zunächst die bereits erwähnten FIDO2-Security-Keys. Sie bieten den höchsten Sicherheitsstandard, sind aber mit Anschaffungskosten und dem physischen Management der Schlüssel verbunden. Ideal für Administratoren und Power-User.

Dann gibt es Backup-Codes. Sie dienen primär als Notfalllösung, wenn der primäre zweite Faktor nicht verfügbar ist. Ihre Verwaltung ist kritisch: Werden sie unsicher gespeichert, werden sie zum Einfallstor. Werden sie zu sicher weggeschlossen, sind sie im Notfall wertlos.

Eher exotisch, aber in bestimmten Szenarien nützlich, sind E-Mail- oder SMS-basierte Verfahren

Die Entscheidung für oder gegen eine Methode – oder besser: für eine Kombination von Methoden – hängt stark vom Bedrohungsmodell und den spezifischen Anforderungen der Organisation ab. Eine Bank wird anders entscheiden als ein kreatives Kollektiv.