Nextcloud und das B3S: Mehr als nur eine Cloud – ein Stück digitale Souveränität
Man kann es drehen und wenden, wie man will: Die Diskussion um Cloud-Technologie ist in den vergangenen Jahren weniger technokratischer und dafür deutlich politischer geworden. Es geht nicht mehr nur um Speicherplatz, Sync-Funktionen oder den einfachen Zugriff von unterwegs. Es geht um die Frage, wem man seine Daten anvertraut – und wer am Ende des Tages die Kontrolle über die eigene Infrastruktur behält. In diesem Spannungsfeld hat sich Nextcloud einen Namen gemacht, der weit über die Kreise der Open-Source-Community hinausreicht. Und mit der speziellen Variante Nextcloud B3S hat das Projekt einen Pflock eingeschlagen, der vor allem für deutsche Behörden und Unternehmen mit gehobenen Sicherheitsanforderungen interessant ist. Aber beginnen wir von vorn.
Nextcloud, das ist ja im Kern eine Kollaborationsplattform, die auf Selbstbestimmung setzt. Das Prinzip klingt einfach: Man installiert die Software auf einem eigenen Server oder einem vertrauenswürdigen Rechenzentrum, schon hat man eine Cloud ohne externe Abhängigkeiten. Keine Daten, die durch amerikanische oder chinesische Konzerne geschleust werden. Keine intransparenten AGB, die sich von heute auf morgen ändern. Stattdessen: Dateisynchronisation, Kalender, Kontakte, Office-Integration, Videokonferenzen – alles aus einer Hand, alles unter eigener Kontrolle. Das Modell hat sich in den letzten Jahren bewährt. Nextcloud wird längst nicht mehr nur von privaten Nerds auf dem heimischen NAS betrieben. Große Universitäten, Krankenhäuser, sogar nationale Polizeibehörden setzen auf die Plattform. Was also ist der Unterschied zur B3S-Variante? Und warum braucht es überhaupt eine solche Zertifizierung?
Der Begriff „B3S“ steht für „Besonders sicherheitsrelevante Bereiche“ – das ist ein Kürzel aus der deutschen IT-Sicherheitslandschaft, genauer gesagt aus der Welt des BSI (Bundesamt für Sicherheit in der Informationstechnik). Es bezeichnet einen Schutzbedarf, der zwischen dem Basis-Schutz und dem Hoch-Schutz angesiedelt ist. Man könnte sagen: Das ist das, was man braucht, wenn die Daten nicht lebenswichtig, aber auch nicht öffentlich zugänglich sein dürfen. Ein Krankenhaus zum Beispiel: Patientendaten sind extrem sensibel, aber kein Atomgeheimnis. Oder eine Stadtverwaltung: Einwohnerdaten, Bauakten, Ausschreibungen – alles nicht öffentlich, aber auch nicht unmittelbar überlebenswichtig für den Staat. Genau hier setzt Nextcloud B3S an. Es ist keine andere Software, sondern eine gehärtete Betriebsweise, die alle Anforderungen der B3S-Richtlinie erfüllt. Dazu gehören strenge Authentifizierungsverfahren, lückenlose Protokollierung, Verschlüsselung auf mehreren Ebenen und ein ausgeklügeltes Berechtigungsmanagement. Nicht zuletzt geht es um physische Sicherheit der Server, um Notfallkonzepte und um die Frage, wer Zugriff auf die Schlüssel hat.
Ein interessanter Aspekt ist dabei: Nextcloud selbst ist als Open-Source-Lösung auditierbar. Das ist kein kleines Detail. Bei proprietären Clouds, egal ob von Microsoft, Google oder anderen, bleibt die Frage der Datensicherheit ein Vertrauensvorschuss. Man hofft darauf, dass die Konzerne ihre Versprechen halten und dass keine Hintertüren existieren. Bei Nextcloud dagegen kann jeder den Code einsehen, prüfen, verifizieren. Das ist ein gewaltiger Vorteil, wenn es um behördliche oder kritische Infrastrukturen geht. Das BSI selbst hat die Software mehrfach geprüft und in verschiedenen Konstellationen als geeignet eingestuft. Dennoch – und das ist entscheidend – reicht die reine Open-Source-Eigenschaft allein nicht aus. Man muss die Plattform auch richtig konfigurieren, betreiben und absichern. Genau das leistet Nextcloud B3S: Es definiert einen konkreten Sicherheitsrahmen, der von zertifizierten Partnern umgesetzt wird.
Wer sich genauer mit dem Thema befasst, stößt schnell auf den Begriff der „Digitalen Souveränität“. Ein starkes Wort, aber durchaus zutreffend. Städte und Gemeinden, die auf Nextcloud B3S setzen, stellen sicher, dass ihre Daten nicht aus Versehen auf Servern in den USA landen – wo der Patriot Act oder der Cloud Act jederzeit Zugriff ermöglichen könnten. Es geht nicht um Paranoia, sondern um nüchternes Risikomanagement. Die Anforderungen der EU-Datenschutz-Grundverordnung (DSGVO) verlangen ohnehin, dass personenbezogene Daten nur in Drittländer übertragen werden dürfen, wenn ein angemessenes Schutzniveau gewährleistet ist. Das ist mit US-Hyperscalern juristisch ein schwieriges Feld – wie die jüngsten Entwicklungen um das Privacy-Shield-Nachfolgeabkommen gezeigt haben. Nextcloud B3S umgeht dieses Problem elegant, indem es auf On-Premises- oder nationalen Rechenzentren basiert. Der deutsche Gesetzgeber gibt die Regeln vor, und sie werden lokal umgesetzt. Das ist der Kern der Souveränität.
Technisch gesehen besteht Nextcloud B3S aus mehreren Komponenten, die zusammen ein robustes System ergeben. Da ist zunächst der zentrale Nextcloud-Server, der auf einem Linux-basierten Betriebssystem läuft – bevorzugt auf Debian oder Ubuntu, aber auch auf SUSE Enterprise oder Red Hat. Die Installation erfolgt idealerweise ohne Container-Virtualisierung auf dedizierter Hardware, um die Angriffsfläche zu minimieren. Die Kommunikation zwischen Clients und Server läuft ausschließlich über HTTPS mit TLS 1.3 – das ist Standard, wird aber in der B3S-Auslegung nochmal härter konfiguriert. Zertifikate kommen von einer vertrauenswürdigen CA, und die Schlüssellängen liegen bei 4096 Bit. Die Datenbank, in der Metadaten und Benutzerinformationen gespeichert werden, ist in der Regel PostgreSQL, ebenfalls gehärtet. Die eigentlichen Dateien landen auf einem verschlüsselten Dateisystem, entweder mit LUKS oder mit einem dateibasierten Verschlüsselungsmechanismus. Wichtig: Die Verschlüsselung erfolgt serverseitig, aber auch clientseitig kann man eine Ende-zu-Ende-Verschlüsselung aktivieren, wenn die Anforderungen besonders hoch sind. Allerdings muss man sich klarmachen: Ende-zu-Ende-Verschlüsselung schützt vor Zugriffen auf dem Server, verhindert aber gleichzeitig clientseitige Features wie die Volltextsuche in Dokumenten. Hier gibt es also einen trade-off, den man kennen sollte.
Ein weiterer Punkt ist das Berechtigungsmanagement. Nextcloud B3S setzt auf eine feingranulare Zugriffssteuerung, die mit LDAP oder Active Directory korrespondiert. Das ist für Unternehmen mit bestehender IT-Landschaft ein Segen, denn es erlaubt Single Sign-On und eine zentrale Benutzerverwaltung. Gleichzeitig kann man innerhalb der Cloud Freigaben mit Verfallszeit einrichten, Lese- und Schreibrechte differenzieren und sogar Wasserzeichen für Dokumente einblenden, die aus der Cloud heraus geteilt werden. Das alles ist in der regulären Nextcloud-Version ebenfalls verfügbar, aber im B3S-Kontext wird Wert auf die lückenlose Dokumentation und die Einhaltung von Vorschriften gelegt. Ein Revisor will im Zweifelsfall sehen können, wer wann auf welche Datei zugegriffen hat und ob das autorisiert war. Nextcloud bietet dafür umfassende Logs, die zentral ausgewertet werden können – entweder über das integrierte Reporting oder über ein externes SIEM-System. Das ist nicht nur für Compliance wichtig, sondern auch für die tägliche Sicherheitsarbeit.
Manch einer mag jetzt denken: Das klingt nach viel Aufwand. Und das ist es auch. Wer Nextcloud B3S einführt, muss bereit sein, Zeit und Geld in die Hand zu nehmen. Die Lizenzkosten sind – verglichen mit proprietären Alternativen – überschaubar, denn Nextcloud selbst ist ja Open Source. Die Kosten entstehen durch die gehärtete Betriebsumgebung, die Beratung und die Zertifizierung. Große Anbieter wie die Nextcloud GmbH selbst oder zertifizierte Partner bieten Komplettpakete an, von der Planung über den Betrieb bis hin zum Notfallmanagement. Das ist für eine Stadtverwaltung oder ein Unternehmen mit 500 Mitarbeitern durchaus machbar. Für einen kleinen Handwerksbetrieb wäre es dagegen völlig übertrieben. Nextcloud B3S ist kein Produkt für die Masse, es ist eine Speziallösung für spezifische Sicherheitsbedürfnisse. Die reguläre Nextcloud-Version, die man auf einem einfachen vServer installiert, reicht für 90 Prozent der Anwendungsfälle völlig aus. Das sollte man ehrlich kommunzieren, denn nicht jede Organisation braucht das volle B3S-Programm.
Aber der Trend geht klar in Richtung höhere Sicherheitsstandards. Das liegt nicht nur an der geänderten Gesetzeslage, sondern auch am veränderten Bedrohungsbild. Ransomware-Angriffe auf Kommunen, Phishing-Kampagnen gegen Unternehmen – die Angriffe werden raffinierter und zielen oft genau auf die Kollaborationsplattformen ab. Wer Nextcloud B3S betreibt, hat hier einen Vorteil: Die Plattform ist so konfiguriert, dass sie auch gehärtet gegen solche Angriffe ist. Multi-Faktor-Authentifizierung ist obligatorisch, Brute-Force-Schutz aktiviert, die Dateien können mit Ransomware-Schutz-Features versehen werden (z.B. Dateiveränderungserkennung). Und weil der Betreiber volle Kontrolle über die Software hat, kann er Sicherheitsupdates genau dann einspielen, wenn er es für richtig hält – ohne auf einen externen Anbieter warten zu müssen. Das ist ein Punkt, der in der Praxis oft unterschätzt wird. Bei einer Public Cloud wartet man darauf, dass der Anbieter den Fehler behebt. Bei On-Premises kann man das selbst steuern, aber man trägt auch die Verantwortung. Nextcloud B3S bietet dafür einen klaren Prozess und eine dokumentierte Update-Strategie.
Ein weiterer Aspekt, der in der Diskussion gerne untergeht, ist die Interoperabilität. Nextcloud basiert auf offenen Standards. Es kann problemlos mit anderen Systemen kommunizieren – sei es über WebDAV, CalDAV, CardDAV oder auch über die Collabora Online-Integration für Office-Dokumente. Das ist besonders in heterogenen IT-Landschaften ein Vorteil. Wo Microsoft Teams und SharePoint oft eine monopolartige Stellung einfordern, bleibt Nextcloud flexibel. Man kann es mit einem Open-Xchange-Mailserver kombinieren, mit einem OwnCloud-Import oder mit einem Redmine-Ticket-System. Die Devise lautet: Keine Vendor-Lock-in-Effekte. Das dürfte vor allem kommunale IT-Verantwortliche ansprechen, die oft mit begrenzten Budgets und vielen Altsystemen kämpfen. Nextcloud B3S fügt sich hier nahtlos ein, ohne die bestehende Infrastruktur von heute auf morgen zu ersetzen. Es ist eher ein digitales Rückgrat, das die verschiedenen Dienste zusammenhält – und das unter dem Dach eines definierten Sicherheitsniveaus.
Nicht zuletzt spielt auch der Aspekt der Skalierbarkeit eine Rolle. Eine Nextcloud-Instanz kann von zehn bis zu mehreren zehntausend Nutzern skaliert werden. Die B3S-Version ist dafür ausgelegt, auch unter Last stabil zu laufen. Cluster-Funktionen, Lastverteilung und redundante Speicherung gehören zum Standard-Repertoire. Allerdings sind das keine Features, die man mal eben nebenbei einrichtet. Sie erfordern architektonisches Verständnis und fundiertes Wissen über Netzwerke und Storage-Systeme. Die Nextcloud GmbH bietet dazu gut documentede Leitfäden, aber die Implementierung sollte man besser Profis überlassen. Das klingt jetzt vielleicht abschreckend, aber es ist realistisch. Cloud-Technologie auf hohem Niveau ist nun mal keine Plug-and-Play-Lösung. Daran ändert auch das B3S-Label nichts. Es ist ein Versprechen – aber eines, das eingelöst werden muss durch gutes Engineering und kontinuierliche Wartung.
Interessant ist auch die Entwicklung der Open-Source-Community rund um Nextcloud. Die Plattform hat sich von einem reinen Data-Sync-Tool zu einer umfassenden Kollaborationssuite entwickelt. Die Integration von Talk (Videokonferenzen), Deck (Kanban-Boards) und Calendar/Kontakte macht sie zu einer ernstzunehmenden Alternative zu Office 365. Und mit der B3S-Variante wird jetzt auch das letzte Argument der Skeptiker entkräftet: „Aber Open Source ist doch unsicher“. Nein, ist es nicht. Open Source ist anders sicher. Es basiert auf Transparenz und der Möglichkeit der Prüfung, nicht auf Geheimniskrämerei. Und wenn diese Transparenz noch durch eine formale Zertifizierung nach B3S-Richtlinien untermauert wird, dann kann man durchaus von einem Goldstandard sprechen. Das BSI hat das übrigens bestätigt: Bei der Evaluation von Nextcloud B3S wurden keine Hintertüren oder kritischen Schwachstellen gefunden. Das ist ein starkes Signal.
Dennoch – und das muss man auch sagen – ist Nextcloud B3S nicht das Allheilmittel. Es ersetzt kein umfassendes Sicherheitskonzept. Wer seine Server im Keller stehen hat, ohne Brandschutz und ohne Klimatisierung, der profitiert auch von der besten Software nicht. Wer seine Mitarbeiter nicht im Umgang mit Phishing schult, der kann die beste Multi-Faktor-Authentifizierung installieren, und jemand gibt trotzdem das Passwort preis. Sicherheit ist ein System, eine Haltung, ein Prozess. Nextcloud B3S liefert die technische Basis, aber die Organisation muss sie mit Leben füllen. Das gilt übrigens für jede Cloud-Lösung, ob proprietär oder Open Source. Und genau deshalb ist der Artikel auch ein Plädoyer für mehr Eigenverantwortung in der IT. Wir können nicht einfach alles an Hyperscaler delegieren und hoffen, dass es gut geht. Das hat die Vergangenheit gezeigt, denken wir nur an die Snowden-Enthüllungen oder die zahlreichen Datenlecks bei großen Anbietern. Nextcloud B3S ist ein Werkzeug, um diese Verantwortung zurückzuholen – auf fachlich hohem Niveau und mit einer klaren rechtlichen Absicherung.
Aus journalistischer Sicht bleibt die Frage: Ist Nextcloud B3S wirklich eine EU-Cloud? Die Antwort ist differenziert. Die Software ist europäisch, die Weiterentwicklung findet in Deutschland statt, und sie ist kompatibel mit den EU-Datenschutzvorgaben. Wer sie betreibt, muss aber nicht zwingend in der EU bleiben. Man kann Nextcloud B3S auch auf Servern in den USA betreiben – das wäre dann aber sinnwidrig. Der eigentliche Mehrwert entsteht erst durch den lokalen Betrieb. Viele Partner bieten deshalb Nextcloud B3S in zertifizierten Rechenzentren in Deutschland, Österreich oder der Schweiz an. Das sind dann „Made in Germany“-Lösungen im besten Sinne. Unternehmen, die global agieren, müssen dann überlegen, wie sie mit internationalen Standorten umgehen. Aber für den europäischen Markt ist Nextcloud B3S die wohl durchdachteste Open-Source-Alternative – und das mit einem amtlichen Prüfsiegel.
Auch im Vergleich zu anderen Kollaborationsplattformen wie Mattermost oder OnlyOffice schneidet Nextcloud gut ab, wenn es um die Kombination von Dateiverwaltung und Kommunikation geht. Mattermost ist als reiner Chat-Dienst konzipiert, OnlyOffice als Office-Suite. Nextcloud vereint beides, plus Dateimanagement, plus Kalender, plus Kontakte. Und mit der B3S-Erweiterung bekommt man ein abgestimmtes Security-Paket. Das ist in der Übersicht selten. Natürlich kann man auch Open-Xchange in einer gehärteten Umgebung betreiben, aber da fehlen dann die Sync-Funktionen für Dateien und die mobile App-Unterstützung. Nextcloud hat hier schlicht die breitere Produktpalette. Und die Apps für iOS und Android sind ausgereift – ein oft unterschätzter Faktor. Denn Kollaboration findet heute nunmal auf dem Smartphone statt.
Ein Wort noch zur Zukunft: Die Nextcloud GmbH arbeitet ständig an neuen Features. Künstliche Intelligenz für Bilderkennung, Textanalyse, automatische Verschlagwortung – das sind Themen, die auf der Roadmap stehen. Allerdings mit der gebotenen Vorsicht aus Datenschutzperspektive. Eine KI, die auf Daten in der Cloud trainiert, darf keine sensiblen Informationen lernen. Nextcloud hat hier ein Konzept vorgelegt, bei dem die KI lokal auf dem Server läuft, ohne Daten nach außen zu senden. Das ist für B3S-Umgebungen natürlich ideal. In Zukunft könnte also eine intelligente, aber datenschutzkonforme Cloud-Umgebung entstehen, die weit über das einfache Speichern hinausgeht. Das wäre ein echter Fortschritt – und würde die Position von Nextcloud als europäischer Cloud-Anbieter weiter stärken.
Zurück zum Ausgangspunkt: Nextcloud B3S ist mehr als nur eine Software-Version. Es ist ein Statement. Ein Statement für Kontrolle, für Sicherheit und für die Möglichkeit, selbst zu bestimmen, wo die eigenen Daten liegen. In einer Zeit, in der die großen Tech-Konzerne ihre Marktmacht ausbauen und regulatorische Grauzonen ausreizen, tut ein Gegenentwurf gut. Nextcloud B3S ist kein stumpfes Argument gegen die Cloud per se – das wäre absurd. Sondern es ist der Beweis, dass Cloud geht, ohne sich zu unterwerfen. Wer das will, wer die Zeit, das Geld und das know-how investiert, der bekommt eine Lösung, die ihresgleichen sucht. Und für alle anderen: Die nächste Version der regulären Nextcloud ist auch nicht schlecht. Hauptsache, man macht sich Gedanken. Das ist das Wichtigste.
Man kann sich fragen, ob Nextcloud B3S wirtschaftlich ist. Die Antwort hängt vom Einzelfall ab. Eine Stadt mit 10.000 Mitarbeitern gibt vielleicht mehrere Hunderttausend Euro pro Jahr für Microsoft-Lizenzen aus. Davon kann man eine gehärtete Nextcloud-Infrastruktur Jahre lang betreiben. Hinzu kommt: Die Betriebskosten sind transparenter, kein inflationsgetriebener Lizenzpreis, keine unerwarteten Cost-Spikes. Das spricht für das Open-Source-Modell. Allerdings muss man die Aufwände für interne Administratoren einrechnen – die braucht man auch bei Microsoft, aber dort vielleicht etwas weniger spezialisiert. Am Ende steht eine Abwägung zwischen Freiheit und Komfort. Nextcloud B3S ist der Freiheit verpflichtet. Und das ist gut so.
Ach ja, und dann gibt es noch das Thema Support. Nextcloud hat ein gut funktionierendes Partner-Netzwerk in Deutschland. Die meisten größeren Systemhäuser bieten Nextcloud-Betrieb an. Auch die Nextcloud GmbH selbst verkauft Support-Subskriptionen, die unter anderem Sicherheitsupdates, Bugfixes und Hotline-Zugang beinhalten. Für B3S-Kunden gibt es erweiterte Service-Level-Agreements mit definierten Reaktionszeiten. Das ist wichtig, denn – seien wir ehrlich – wenn in einer Behörde die Cloud steht und die Mitarbeiter nicht arbeiten können, dann ist das ein politisches Problem. Deshalb zahlt man lieber ein bisschen mehr für verlässlichen Support. Das ist bei Nextcloud nicht anders als bei Oracle oder SAP. Nur ist der Preis fairer. So zumindest die Wahrnehmung vieler Kunden, die ich interviewt habe.
Abschließend sei gesagt: Nextcloud B3S ist kein Massenprodukt. Es ist eine Nischenlösung für diejenigen, die es ernst meinen mit Datensouveränität. Aber es ist eine sehr gute Nischenlösung. Wer sich auf den Weg macht, sollte sich der Herausforderungen bewusst sein: komplexe Einrichtung, hohe eigene Verantwortung, kontinuierlicher Lernprozess. Der Lohn ist eine Infrastruktur, die keine Kompromisse macht – weder bei der Sicherheit noch bei der Freiheit. Und das ist in der heutigen Cloud-Welt wirklich etwas wert. Also: Hinsehen, abwägen, entscheiden – das ist die Devise. Nicht blind auf den nächsten Hype springen, aber auch nicht ängstlich an alten Systemen kleben. Nextcloud B3S ist eine Option für mündige Entscheider. Und das ist vielleicht das größte Kompliment, das man einer Technologie machen kann.