Mehr als nur ein Häkchen: Warum Virenscannen in der eigenen Cloud kein Feature, sondern eine Pflicht ist

Die Diskussion um Nextcloud-Sicherheit dreht sich oft um Verschlüsselung, Zwei-Faktor-Authentifizierung und korrekte Berechtigungen. Alles zentrale Punkte, keine Frage. Dabei gerät ein grundlegender Aspekt manchmal in den Hintergrund: die Integrität der gespeicherten Inhalte selbst. Eine Nextcloud-Instanz ist kein isoliertes System. Sie ist ein lebendiger Datenaustauschpunkt. Mitarbeiter erhalten E-Mail-Anhänge von externen Partnern und laden sie in den gemeinsamen Workspace. Kunden senden Dokumente via Public-Link-Upload. Homeoffice-Nutzer synchronisieren Dateien von potenziell kompromittierten Privatrechnern.

Jede dieser Dateien ist ein potentielles Einfallstor. Ein getarnter Makro-Virus in einer Excel-Datei, Ransomware in einem scheinbaren PDF – die Bedrohungsvektoren sind vielfältig. Während bei Public-Cloud-Anbietern diese Scans oft still im Hintergrund der globalen Infrastruktur ablaufen, muss die Verantwortung in der eigenen Nextcloud aktiv übernommen und implementiert werden. Hier kommt ClamAV ins Spiel. Die freie Antiviren-Engine ist seit Jahren der De-facto-Standard für serverseitiges Scannen auf Unix-Systemen. Ihre Integration in Nextcloud via das files_antivirus-App-Plugin ist naheliegend, doch der Teufel steckt, wie so oft, im Detail.

Symbiose aus PHP und C: So koppelt Nextcloud den ClamAV-Daemon

Technisch betrachtet ist die Verbindung zwischen Nextcloud (größtenteils in PHP) und ClamAV (in C geschrieben) eine klassische Client-Server-Architektur. ClamAV läuft als eigenständiger Daemon-Prozess – clamd – im Hintergrund. Die Nextcloud-App fungiert als Client, der über einen Socket (entweder ein Unix Domain Socket oder ein Netzwerk-Socket) mit diesem Daemon kommuniziert. Bei einem Upload oder einer geplanten Dateiprüfung schickt Nextcloud den Dateipfad oder den Datenstrom an clamd und erhält eine Rückmeldung: OK, FOUND oder ein Fehler.

Diese Entkopplung hat einen großen Vorteil: Die rechenintensive Aufgabe der Mustererkennung liegt außerhalb des PHP-FPM-Prozesses. Sie blockiert nicht die Webanwendung selbst. Allerdings wird diese Architektur auch zur ersten Stolperfalle. Wenn der clamd-Daemon nicht läuft, nicht korrekt konfiguriert ist oder der Socket-Zugriff aufgrund von Permission-Problemen fehlschlägt, bleibt die Antiviren-Funktion stumm. Nextcloud loggt dann zwar Fehler, aber für den normalen Nutzer geschieht das Upload scheinbar problemlos. Eine regelmäßige Überprüfung, ob der Scanner aktiv und die Virensignaturen aktuell sind, ist daher unabdingbar.

Ein interessanter Aspekt ist der Scan-Modus. Standardmäßig arbeitet das Plugin im „On-Upload“-Modus. Jede neu hochgeladene oder versionierte Datei wird sofort geprüft. Das ist sicher, kann aber bei großen Dateien zu spürbaren Verzögerungen führen. Alternativ gibt es den „Daemon-Modus“, bei dem Nextcloud die Datei zunächst akzeptiert und ein Hintergrund-Job (via Cron) die Prüfung nachholt. Das ist performanter, öffnet aber ein kurzes Zeitfenster, in dem eine schädliche Datei bereits im System liegt – auch wenn sie später gelöscht wird. Die Entscheidung hängt von der Risikobewertung und den Performance-Anforderungen ab.

Konfiguration: Vom Basissetup zur feinjustierten Sicherheitspolitik

Die Grundinstallation der App ist trivial: App-Store aktivieren, ClamAV auf dem System installieren, Daemon starten. Für eine produktive Umgebung ist das jedoch nur der Anfang. Die wirkliche Arbeit beginnt in den Konfigurationsdateien von ClamAV selbst (clamd.conf, freshclam.conf) und den Einstellungen der Nextcloud-App.

Eine kritische Frage ist die nach den Scan-Grenzwerten. ClamAV erlaubt es, maximale Dateigrößen für Scans festzulegen. Was geschieht mit einer 50 GB großen Videodatei? Soll sie gescannt werden? Der Prozess würde ewig dauern und den Daemon blockieren. Pragmatischerweise setzt man hier oft eine Obergrenze, beispielsweise bei 500 MB. Alles darüber wird nicht geprüft – in dem Bewusstsein, dass reine Mediendateien ein geringeres Risiko bergen als ausführbare Dateien oder Office-Dokumente. Diese Abwägung muss dokumentiert und kommuniziert werden.

Noch wichtiger ist die Signatur-Aktualisierung. Ein Virenscanner mit veralteten Signaturen ist wie ein Wachhund, der nur auf alte Uniformen reagiert. Der Dienst freshclam kümmert sich um Updates. In der Standardkonfiguration prüft er alle zwei Stunden auf neue Signaturen. In Zeiten zero-day-Exploits und rasend schneller Malware-Verbreitung kann das zu langsam sein. Viele Administratoren setzen hier auf einen stündlichen oder sogar häufigeren Update-Zyklus, kombiniert mit Monitoring, das bei ausbleibenden Updates alarmiert.

Innerhalb von Nextcloud lässt sich zudem das Verhalten bei einem Fund definieren. Soll die Datei nur für den Benutzer gesperrt (Only log) oder gleich für alle unzugänglich gemacht und gelöscht werden (Delete file)? Die härtere Variante ist klar, kann aber in seltenen Fällen zu Datenverlust führen, etwa bei falsch-positiven Treffern. Eine gute Praxis ist, zunächst nur zu loggen, die Treffer in einer Testphase zu analysieren und dann auf „Löschen“ umzustellen, sobald man Vertrauen in die Signaturqualität hat.

Performance, Skalierung und der Flaschenhals am Socket

Jedes Sicherheitsfeature hat seinen Preis, und bei ClamAV bezahlt man ihn in Latenz und Systemressourcen. Der Scan-Vorgang ist I/O- und CPU-intensiv. Auf einem gut ausgelasteten Nextcloud-Server kann ein konkurrierender ClamAV-Daemon bei vielen parallelen Uploads zum Nadelöhr werden. Die Warteschlange am Socket wächst, Uploads werden langsam oder brechen ab.

Hier sind Optimierungen gefragt. Eine Möglichkeit ist die Installation von ClamAV auf einem separaten Server. Nextcloud kann via Netzwerk-Socket (TCP) auf einen entfernten clamd-Daemon zugreifen. Das entlastet den App-Server und erlaubt es, die Scan-Leistung horizontal zu skalieren. Allerdings kommt nun die Netzwerklatenz und die Bandbreite für die Dateiübertragung zum Scanner hinzu. Bei großen Dateien ist das oft keine gute Idee.

Eine andere Taktik ist die Feinjustierung des ClamAV-Daemons selbst. Parameter wie MaxThreads, MaxQueue und ReadTimeout können an die Hardware und die Last angepasst werden. Die Verwendung des On-Access-Scanning (OAS)-Moduls von ClamAV, das auf Kernel-Ebene arbeitet, wird oft diskutiert, ist für die Nextcloud-Integration jedoch nicht direkt kompatibel. Das Plugin erwartet die Kommunikation mit dem Daemon.

Nicht zuletzt zeigt sich: Die Performance ist ein starkes Argument für eine kluge Dateipolitik. Muss wirklich jedes temporäre Upload, jeder Mini-Thumbnail gescannt werden? Über Dateiendungen und Pfadmuster lassen sich in der Nextcloud-App Scan-Ausnahmen definieren. Das reduziert die Last erheblich, ohne das Sicherheitsniveau für kritische Dateitypen zu senken.

Die Grenzen der Signaturerkennung und ergänzende Maßnahmen

ClamAV ist primär ein signaturbasierter Scanner. Er erkennt, was er kennt. Gegen völlig neue, individuell gehärtete Malware (so-called „zero-day“) ist er in dem Moment machtlos. Das ist keine Schwäche von ClamAV, sondern eine Limitierung des Ansatzes. Daher sollte die ClamAV-Integration nie als alleinige Sicherheitsmaßnahme verstanden werden, sondern als eine essentielle Schicht in einem mehrschichtigen Verteidigungskonzept (Defense in Depth).

Welche Schichten kommen infrage? Zunächst einmal Nextcloud selbst. Die File Access Control-App erlaubt es, Uploads nach Dateityp, Größe und sogar nach Mustern innerhalb der Datei zu verbieten. So kann man prinzipiell die Upload von .exe– oder .ps1-Dateien blockieren, bevor ClamAV überhaupt aktiv wird. Eine Whitelist erlaubter Office-Formate ist eine effektive Vorfilterung.

Auf Systemebene kommen zusätzliche Werkzeuge wie rkhunter oder chkrootkit für die Integritätsprüfung des Servers in Betracht. Ein Intrusion Detection System (IDS) wie Wazuh oder Suricata überwacht Netzwerkaktivitäten und kann verdächtige Verbindungen – etwa die eines eingeschleusten Remote-Access-Trojaners – erkennen, der es trotz aller Scans ins System geschafft hat.

Ein interessanter, wenn auch komplexerer Ansatz ist die Kombination mit Content Disarm and Reconstruction (CDR)-Technologien, wie sie etwa in spezialisierten Mail-Gateways zu finden sind. Diese „sanieren“ Dateien, indem sie aktive Inhalte (Makros, JavaScript) aus Dokumenten entfernen und ein neutrale, sichere Version erstellen. Für Nextcloud gibt es hier erste experimentelle Ansätze, die allerdings oft auf proprietären Engines basieren.

Praktische Tipps aus der Admin-Praxis: Fallstricke und Lösungen

Nach vielen Installationen und Troubleshooting-Sessions kristallisieren sich immer wieder ähnliche Probleme heraus. Eines der häufigsten: Der Scanner läuft, findet aber nie etwas. Das kann tatsächlich an einer sauberen Umgebung liegen, aber oft ist die Ursache simpler. Sind die Virensignaturen aktuell? Ein Blick in /var/log/clamav/freshclam.log gibt Aufschluss. Hat der Nextcloud-Webserver-Benutzer (z.B. www-data) Leseberechtigung für alle zu scannenden Dateien? Das ist besonders relevant, wenn Dateien in externen Speichern oder verschlüsselt abgelegt werden.

Ein klassischer Fallstrick ist auch die Verschlüsselung auf Server-Seite. Wenn die Nextcloud-Server-Side-Encryption aktiviert ist, liegen die Dateien auf dem Datenträger in verschlüsselter Form vor. ClamAV sieht dann nur einen undurchdringlichen Datenbrei. Die Lösung: Das Scannen muss vor der Verschlüsselung stattfinden. Glücklicherweise hakt das files_antivirus-Plugin in den Upload-Prozess genau an der richtigen Stelle ein, sodass die unverschlüsselte Datei im Arbeitsspeicher an ClamAV übergeben werden kann. Voraussetzung ist, dass der Socket-Daemon (clamd) unter dem gleichen User läuft wie der PHP-Prozess oder der Socket entsprechend freigegeben ist.

Bei Performance-Problemen lohnt ein Blick auf die Log-Level. Setzt man die ClamAV-App auf „Debug“, protokolliert sie jede gescannte Datei und die Dauer. So identifiziert man schnell die großen Bremsklötze. Manchmal hilft es auch, den Scan-Algorithmus in der clamd.conf anzupassen, etwa das Bytecode-Scanning für sehr kleine Dateien zu deaktivieren.

Und zu guter Letzt: Dokumentation. Welche Dateigrößen-Limits gelten? Welche Dateitypen sind ausgenommen? Wie ist die Reaktion bei einem Fund? Diese Policies sollten nicht nur in einer Konfigurationsdatei versteckt, sondern Teil des Sicherheitskonzepts der Nextcloud-Instanz sein.

Rechtliche und organisatorische Implikationen: Die Compliance-Frage

Die technische Implementierung ist die eine Seite. Doch warum scannt man überhaupt? Oft treiben nicht nur technische Risiken, sondern auch Compliance-Vorgaben das Projekt. Branchenvorschriften, die DSGVO mit ihrer Forderung nach „geeigneten technischen Maßnahmen“ oder interne Audits verlangen einen Nachweis für Schutzmaßnahmen gegen Schadsoftware.

Die Nextcloud-ClamAV-Kombination kann hier einen wertvollen Beitrag leisten. Die Logs der Antiviren-App liefern einen auditfähigen Nachweis, dass Uploads systematisch geprüft werden. Wichtig ist, diese Logs zu schützen und vor unberechtigten Änderungen zu sichern – sie sind im Zweifelsfall ein forensisches Dokument.

Interessant wird es bei Funden. Ein positiver Treffer ist ein Sicherheitsvorfall. Es braucht einen Prozess: Wer wird alarmiert (Admin, CISO)? Wie wird die betroffene Datei isoliert? Wie wird der Ursprung des Uploads untersucht (User-Account, IP-Adresse)? Und wie kommuniziert man das an den betroffenen Nutzer, ohne Panik zu verbreiten? „Ihre hochgeladene Rechnungskopie enthielt einen Virus“ ist eine heikle Nachricht.

Hier offenbart sich, dass die Installation eines Tools wie ClamAV nicht nur eine technische, sondern auch eine organisatorische Entscheidung ist. Sie zieht Prozesse nach sich. Diesen Schritt von vornherein mitzudenken, spart später viel Ärger.

Ausblick: Die Zukunft des Scans – KI, Sandboxing und tiefere Integration

Die Antiviren-Technologie steht nicht still, auch nicht im Open-Source-Umfeld. ClamAV integriert zunehmend heuristische und verhaltensbasierte Erkennungsmethoden, um die Lücke zu zero-day-Bedrohungen zu verkleinern. Die Nutzung von maschinellem Lernen zur Malware-Erkennung ist ein aktives Forschungsfeld, von dem auch ClamAV langfristig profitieren wird.

Spannend für Nextcloud wäre eine native Integration von Sandboxing-Techniken. Statt nur statisch nach Signaturen zu suchen, könnte eine verdächtige Datei in einer isolierten Umgebung (Container, VM) geöffnet und ihr Verhalten analysiert werden. Das ist ressourcenhungrig, aber für hochsensible Umgebungen eine Überlegung wert. Erste Proof-of-Concepts, die ClamAV mit Cuckoo Sandbox koppeln, gibt es, sind aber nichts für Standardinstallationen.

Ein Wunsch vieler Administratoren wäre zudem eine tiefere Integration in die Nextcloud-Benutzeroberfläche. Etwa ein Dashboard, das den Scanner-Status, die letzten Funde und die Signaturaktualität anzeigt. Bisher erfordert das den Blick in Logdateien oder die Kommandozeile. Auch granulare, benutzer- oder gruppenbasierte Scan-Policies wären ein Fortschritt – vielleicht scannen die Dateien der Buchhaltung strenger als die des Betriebsrats-Newsletters.

Bis dahin bleibt die Kombination Nextcloud und ClamAV eine robuste, erprobte und unverzichtbare Basisabsicherung. Sie ist vielleicht nicht die glänzendste Technologie im Stack, aber wie ein guter Türsteher: Wenn sie ihre Arbeit perfekt macht, bemerkt man sie kaum. Erst ihr Fehlen würde schmerzhaft auffallen. In einer Welt, in der Daten das neue Gold sind, ist eine solche unsichtbare Wache kein Nice-to-have, sondern die Grundhygiene für jede ernstzunehmende On-Premises- oder Private-Cloud-Infrastruktur. Man sollte sie pflegen, überwachen und wertschätzen – auch wenn sie nur im Logfile zu Wort meldet.