Nextcloud im Unternehmen: Wann das Audit zur Pflicht wird – und wann es nur beruhigt

Es ist eine Diskussion, die in fast jedem zweiten Erstgespräch mit IT-Leitern auftaucht, sobald die Rede auf Self-Hosted Collaboration kommt. „Nextcloud? Interessant. Aber ist das auch *ordentlich* auditiert?“ Die Frage ist verständlich, fast schon reflexhaft in einer Zeit, in der Compliance nicht nur ein lästiges Anhängsel ist, sondern zum Kern der digitalen Souveränität gehört. Doch hinter dieser scheinbar simplen Frage verbirgt sich ein ganzes Geflecht aus Missverständnissen, unterschiedlichen Anforderungsniveaus und strategischen Überlegungen.

Fangen wir doch einfach mal mit einer provokanten These an: Die Fixierung auf ein einzelnes Audit-Zertifikat ist oft der falsche Ansatz. Sie verkennt, worum es bei Nextcloud und vergleichbaren Open-Source-Lösungen wirklich geht – nämlich um Kontrolle über einen Prozess, nicht nur über ein statisches Prüfergebnis. Ein Audit ist ein wichtiger Momentaufnahme, eine professionelle Bestätigung. Die eigentliche Datenschutzarbeit findet aber an den 364 anderen Tagen im Jahr statt. Und genau hier liegt die Stärke einer Plattform, deren Code offen liegt und deren Infrastruktur man selbst bestimmt.

Die Grundlage: Mehr als nur „EU-Server“

Reden wir zunächst über das, was viele für den Hauptvorteil halten: die Standortfrage. „Die Daten liegen in Deutschland“ ist der häufigste Marketing-Spruch für Cloud-Dienste hierzulande. Bei einer selbst gehosteten Nextcloud ist das eine technische Trivialität. Entscheidend ist jedoch, dass diese Standortkontrolle nur die erste Stufe der Souveränität darstellt. Die wirklichen Hebel liegen tiefer.

Nextcloud ist im Kern ein Framework für den Dateiaustausch, die Zusammenarbeit und die Kommunikation. Seine Architektur ist darauf ausgelegt, dass jede Komponente – vom Objektspeicher (wie S3-kompatible Backends) über die Datenbank (MySQL, PostgreSQL) bis zum globalen Scale-Out mit `redis` – austauschbar ist. Diese Entkopplung ist aus Datenschutzsicht Gold wert. Sie ermöglicht es, besonders sensitive Teile der Infrastruktur isoliert zu betreiben oder mit spezieller Verschlüsselung zu versehen. Ein Beispiel: Die Talk-Komponente für Videokonferenzen kann so konfiguriert werden, dass der STUN/TURN-Server, der für die Verbindungsvermittlung zuständig ist, strikt getrennt von den eigentlichen Mediendaten agiert, die wiederum Ende-zu-Ende-verschlüsselt fließen können.

Die eingebaute Ende-zu-Ende-Verschlüsselung (E2EE) für Files und Talk ist technisch anspruchsvoll umgesetzt. Sie funktioniert clientseitig, was bedeutet, dass der Server nur mit verschlüsselten Datenblöcken hantiert. Für den Administrator hat das einen signifikanten Nachteil: Er kann nicht mehr ohne weiteres auf die Inhalte zugreifen, etwa für Backups oder zur Fehlersuche. Aus Sicht des Datenschutzes ist das aber exakt das gewünschte Prinzip: Datenminimierung und technische Maßnahmen nach Art. 32 DSGVO par excellence. Es verlagert die Verantwortung für den Schlüssel zum Endnutzer – ein Paradigmenwechsel, den nicht jede Organisation mitgehen kann oder will, der aber für bestimmte Use-Cases unschlagbar ist.

Datenschutz als Feature, nicht als Afterthought

Die DSGVO ist kein Checklisten-Dokument, sondern verlangt ein risikobasiertes Vorgehen. Nextcloud bietet hier eine Fülle von Werkzeugen, die oft übersehen werden. Das sogenannte „Legal Hold“ in der File Retention App verhindert das Löschen von Dateien, die in einem Rechtsfall relevant sein könnten – ein wichtiger Aspekt für die Compliance mit Aufbewahrungspflichten. Die detaillierte Audit-Log- und Reporting-API erlaubt es, jedes Ereignis im System nachzuvollziehen: Wer hat wann auf welche Datei zugegriffen? Wer hat einen externen Share geteilt oder gelöscht?

Spannend wird es bei der Integration in bestehende Identity-Provider. Über LDAP/Active Directory oder via OIDC (OpenID Connect) lässt sich Nextcloud nahtlos in Unternehmens-Verzeichnisse einbinden. Das ist nicht nur komfortabel, sondern auch datenschutzrechtlich sauber: Personenbezogene Daten (Namen, E-Mails, Gruppen) werden zentral verwaltet und müssen nicht redundant in Nextcloud gepflegt werden. Die Berechtigungslogik kann so auf die etablierten Organisationsstrukturen aufsetzen. Für besonders hohe Anforderungen gibt es sogar die Möglichkeit, eine komplette Air-Gapped-Installation zu betreiben, die keinerlei Verbindung zum Internet hat – ein Szenario, das mit SaaS-Anbietern schlicht unmöglich ist.

Ein oft unterschätzter Punkt ist die Lifecycle-Verwaltung von externen Shares. Die Möglichkeit, Links mit Ablaufdatum, Passwortschutz und Download-Limit zu versehen, ist Standard. Die Administration kann jedoch auch globale Policies festlegen, die das Teilen nach außen grundsätzlich reglementieren oder bestimmte Dateitypen blockieren. Diese granulare Policy-Engine ist das, was aus einer einfachen Dateiablage ein governancetaugliches System macht.

Das Audit: Von der freiwilligen Prüfung zur harten Zertifizierung

Kommen wir zum Kernstück. Was bedeutet „Audit“ im Kontext von Nextcloud eigentlich? Man muss hier strikt unterscheiden, denn es gibt mehrere Ebenen, die für einen Entscheider relevant sein können.

1. Das Produktaudit (Code Review & Penetrationstest): Hierbei geht es um die Sicherheit der Software an sich. Nextcloud GmbH lässt den Core-Code und wichtige Apps regelmäßig von unabhängigen Sicherheitsfirmen wie der Cure53 prüfen. Die Ergebnisse dieser Penetrationstests werden transparent in Blogposts veröffentlicht, inklusive der gefundenen Schwachstellen und deren Behebung. Diese Art von Audit ist für jeden Nutzer wertvoll, unabhängig davon, ob er die Community-Edition oder die Enterprise-Version einsetzt. Es ist eine Überprüfung der grundlegenden technischen Sicherheit. Die Lücken, die hier gefunden werden – meistens von mittlerer Schwere, klassische Web-Applikationsprobleme – werden typischerweise schnell gepatched. Der Prozess ist kontinuierlich.

2. Das Zertifizierungsaudit (ISO 27001, BSI C5, TISAX): Das ist der Bereich, in dem es ernst wird. Hier wird nicht (nur) der Code, sondern das gesamte Managementsystem der anbietenden Firma geprüft. Nextcloud GmbH als Unternehmen ist nach ISO 27001 zertifiziert. Das bedeutet, dass ihre Prozesse zur Software-Entwicklung, zum Incident-Management, zum Zugriffscontrolling in ihren eigenen Büros und Rechenzentren einem international anerkannten Standard entsprechen. Für Sie als Kunde, der die Software auf seinen eigenen Servern betreibt, ist diese Zertifizierung aber nur bedingt relevant. Sie sagt etwas über die Zuverlässigkeit des Herstellers aus, nicht über die Sicherheit Ihrer spezifischen Installation.

Für die eigene Installation bräuchten Sie ein Zertifizierungsaudit für *Ihren* Betrieb. Wenn Sie Nextcloud in einer kritischen Infrastruktur oder für besonders schützenswerte Daten einsetzen, kann eine Zertifizierung nach BSI C5 (Cloud Computing Compliance Criteria Catalogue) oder sogar eine Aufnahme in den Verbindungsschutz des BSI (für Behörden) notwendig sein. Das ist ein gewaltiger Aufwand, der weit über die Konfiguration von Nextcloud hinausgeht und den gesamten Betrieb, das Rechenzentrum, die Personalschulungen etc. umfasst. Nextcloud als Software kann in solch ein zertifiziertes Umfeld integriert werden – sie bildet dafür aber nur einen Baustein.

3. Das Vertrags- und Auftragsverarbeitungsaudit (Art. 28 DSGVO): Dies ist die für die meisten Unternehmen relevanteste Prüfebene. Wenn Sie Nextcloud selbst hosten, sind Sie in der Regel alleiniger Verantwortlicher. Spannend wird es, wenn Sie Nextcloud-as-a-Service von einem Hosting-Partner beziehen oder die Enterprise-Supportverträge mit der Nextcloud GmbH abschließen. Dann liegt eine Auftragsverarbeitung vor. Sie müssen ihren Processor (den Hoster oder Nextcloud selbst) überprüfen dürfen. In den Enterprise-Verträgen ist dieses Audit-Recht standardmäßig vereinbart. In der Praxis läuft das so ab: Sie stellen einen Katalog an Fragen zu technischen und organisatorischen Maßnahmen (TOMs), der Anbieter beantwortet diesen – oft gestützt auf seine ISO-27001-Zertifizierung – und auf Wunsch können Sie vor Ort Prüfungen durchführen. Die Tragweite dieser Audits wird häufig überschätzt. Sie dienen vor allem der Dokumentation der Due Diligence und schaffen Vertrauen in die Prozesse des Partners.

Die Gretchenfrage: Brauche ich jetzt ein Audit oder nicht?

Die Antwort ist, wie so oft: Es kommt drauf an.

Für eine interne Kollaborationsplattform einer mittelständischen Firma, auf der keine hochsensitiven Personendaten, sondern vorwiegend Projektdokumente liegen, mag eine gründliche interne Risikoanalyse, eine saubere Konfiguration (Verschlüsselung, Backups, Updates) und ein durchdachtes Berechtigungskonzept völlig ausreichen. Der Nachweis gegenüber der Aufsichtsbehörde wäre im Falle einer Prüfung über diese dokumentierten internen Maßnahmen zu führen. Ein formelles externes Audit wäre hier aus meiner Sicht Overkill.

Anders sieht es aus, wenn Sie als Unternehmen der kritischen Infrastruktur (KRITIS) angehören, als Arztpraxis mit Patientendaten arbeiten oder als Anwaltskanzlei Mandanteninformationen verwalten. Hier steigen nicht nur die regulatorischen Anforderungen, sondern auch das Haftungsrisiko. In diesen Fällen ist ein systematischer, dokumentierter und von externer Seite prüfbarer Ansatz unabdingbar. Ein Audit – sei es als Vor-Ort-Prüfung im Rahmen der Auftragsverarbeitung oder als Teil einer größeren Zertifizierung Ihrer IT – gibt hier nicht nur Sicherheit, sondern ist oft schlicht vorgeschrieben.

Ein interessanter Aspekt ist die psychologische Wirkung. Ein Audit-Zertifikat an der Wand (oder auf der Website) wirkt deeskalierend. Es signalisiert Kunden, Partnern und auch eigenen Mitarbeitern, dass das Thema ernst genommen wird. In Ausschreibungen kann es ein entscheidendes Zuschlagkriterium sein. Diese „License to operate“ sollte man nicht unterschätzen, auch wenn sie fachlich manchmal hinter einer gut durchdachten, aber nicht zertifizierten Lösung zurückbleiben mag.

Die Praxis: Wie bereite ich meine Nextcloud auf eine Prüfung vor?

Sagen wir, Sie haben sich entschieden: Eine Prüfung soll her. Sei es durch einen externen Datenschützer, einen Wirtschaftsprüfer oder im Rahmen einer ISO-Zertifizierung. Worauf wird geschaut? Wo sind die typischen Fallstricke bei Nextcloud?

Dokumentation, Dokumentation, Dokumentation: Der Prüfer will zuerst Papier sehen. Ein Verfahrensverzeichnis für die Nextcloud-Instanz, in dem Zweck, Datenkategorien, Empfänger und Löschfristen festgehalten sind. Er will das Berechtigungskonzept sehen: Wer darf was? Wie werden neue Benutzer angelegt? Wie werden ausscheidende Mitarbeiter deaktiviert? Wie wird mit externen Gästen umgegangen? Ein detailliertes Konzept für die Administration und Wartung (Update-Zyklen, Patch-Management) ist Pflicht.

Technische Konfiguration unter der Lupe: Hier gehen die Prüfer in die Tiefe. Ist TLS 1.3 aktiviert? Wie sind die Cipher-Suites konfiguriert? Werden Security-Headers wie HSTS gesetzt? Ist der Zugriff über starke Passwörter oder besser Zwei-Faktor-Authentifizierung (2FA) abgesichert? Nextcloud bietet hier eine integrierte 2FA mit TOTP, U2F-Keys oder sogar WebAuthn. Die Aktivierung sollte für alle Benutzer, zumindest aber für Administratoren, verpflichtend sein.

Ein absoluter Klassiker in Audits ist das Logging. Nextcloud kann eine Unmenge an Events loggen. Die Frage ist: Werden diese Logs auch zentral gesammelt, vor unberechtigter Veränderung geschützt und für eine angemessene Zeit aufbewahrt? Ein Prüfer wird fragen, wie Sie verdächtige Aktivitäten erkennen wollen. Die Integration in ein SIEM-System (Security Information and Event Management) via syslog oder die integrierte Reporting-API ist hier ein starkes Argument.

Besonderes Augenmerk liegt auf den Third-Party-Apps. Das Nextcloud-Ökosystem lebt von seinen Erweiterungen. Jede zusätzlich installierte App vergrößert aber die Angriffsfläche. Ein Audit wird den Prozess hinterfrischen, nach dem neue Apps ausgewählt und freigegeben werden. Werden nur Apps aus dem offiziellen Nextcloud Store verwendet? Werden sie vor der Installation auf Sicherheitsprobleme gescannt? Gibt es eine Liste erlaubter Apps? Diese Governance für Erweiterungen ist ein häufig vernachlässigter Punkt.

Die Grenzen: Was ein Audit nicht leisten kann

Es ist wichtig, die Erwartungen zu managen. Ein Audit, selbst das umfassendste, ist eine Stichprobe. Es bestätigt, dass zu einem bestimmten Zeitpunkt angemessene Maßnahmen etabliert waren. Es ist kein Freifahrtschein für alle Zukunft. Die dynamische Bedrohungslage und die ständige Weiterentwicklung der Software – Nextcloud bringt im Jahr zwei große Hauptversionen heraus – machen kontinuierliche Arbeit unerlässlich.

Ein Audit kann auch nicht die menschliche Komponente ersetzen. Die beste, zertifizierte Nextcloud-Instanz nützt nichts, wenn Nutzer ihre Passwörter auf Post-Its am Monitor kleben haben oder arglos auf Phishing-Links in geteilten Kalendereinladungen klicken. Sensibilisierung und Schulung sind und bleiben der kritischste Faktor.

Nicht zuletzt: Ein Audit sagt wenig über die praktische Usability und damit die Akzeptanz der Plattform aus. Eine hochsichere, aber ungeliebte und umgangene Lösung ist aus Gesamtbetrachtung unsicherer als eine gut angenommene Plattform mit einem leicht erhöhten, aber kontrollierten Risiko. Diese Abwägung muss jede Organisation selbst treffen.

Fazit: Souveränität heißt, den Prozess zu beherrschen

Die Rückkehr zu selbst kontrollierter Infrastruktur, wie sie Nextcloud ermöglicht, ist keine Nostalgie-Übung. Sie ist eine strategische Antwort auf die zunehmende Komplexität der Compliance-Landschaft und den legitimen Wunsch nach digitaler Souveränität. Ein Audit ist in diesem Kontext ein wertvolles Werkzeug – aber es ist nur eines von vielen.

Die eigentliche Stärke von Open-Source-basierter, selbst gehosteter Software liegt in der Transparenz und der Anpassbarkeit des gesamten Lebenszyklus. Sie können selbst entscheiden, wann Sie updaten, wie Sie backuppen, welche Sicherheitszusatzmodule Sie implementieren und welchem Prüfungsregime Sie sich unterziehen. Diese Kontrolle über den Prozess ist letztlich wertvoller als jedes einzelne Zertifikat, das Ihnen ein externer Cloud-Anbieter vorzeigt. Ein Zertifikat, das übrigens meist nur bescheinigt, dass *sein* Prozess gut ist – über den Sie jedoch keinerlei Kontrolle haben.

Die Entscheidung für oder gegen ein formelles Nextcloud-Audit sollte also nicht aus der Angst vor der Aufsichtsbehörde getroffen werden, sondern aus einer nüchternen Analyse des eigenen Risikoprofils, der regulatorischen Pflichten und des angestrebten Vertrauensniveaus bei Kunden und Partnern. In vielen Fällen wird der Weg in die Mitte führen: zu einer robusten, gut dokumentierten internen Praxis, die durch gezielte, punktuelle externe Prüfungen – etwa eines Penetrationstests oder einer Datenschutz-Folgenabschätzung – ergänzt und abgesichert wird.

Dabei zeigt sich: Die Technik ist längst da. Sie ist ausgereift, leistungsfähig und, bei richtiger Konfiguration, sehr sicher. Die Herausforderung liegt nun in der Organisation, der Dokumentation und der kontinuierlichen Pflege. Genau darin aber liegt auch die Chance, nicht nur Compliance zu erfüllen, sondern ein wirklich souveränes und nachhaltiges Digital-Arbeitsumfeld zu schaffen. Das ist mehr wert als jedes Audit-Siegel.