Souveränität und Sicherheit: Warum Nextcloud in der IT-Strategie vieler Unternehmen nicht mehr wegzudenken ist
Es gibt Themen, die verfolgen einen über Jahre. Eines davon ist die Frage, wie sich unternehmerische Datenhoheit mit moderner Zusammenarbeit vereinbaren lässt – und zwar ohne jedes Mal ein neues, teures Sicherheitszertifikat kaufen zu müssen. Nextcloud, die Open-Source-Plattform für Filesharing, Kommunikation und Kollaboration, hat sich in diesem Spannungsfeld längst als ernstzunehmende Alternative zu den üblichen Verdächtigen aus den USA etabliert. Doch was steckt wirklich hinter der Sicherheitsarchitektur dieser Lösung? Und wo liegen die Fallstricke, die Admins und Entscheider kennen sollten, bevor sie ihre Infrastruktur darauf aufbauen?
Das Versprechen von Datenhoheit – und was es kostet
Wenn man mit IT-Verantwortlichen spricht, fällt schnell der Begriff der „digitalen Souveränität“. Nextcloud spielt diese Karte sehr bewusst aus. Die Software läuft auf eigenen Servern, in der eigenen Rechenzentrumsumgebung oder bei vertrauenswürdigen europäischen Providern. Keine Daten wandern in die Cloud eines Konzerns, der womöglich Zugriff darauf hat – das ist der Kern des Arguments. Aber ist das bereits Sicherheit? Nein, es ist erst die Grundvoraussetzung. Souveränität ohne technische Sicherheitsmaßnahmen bleibt ein leeres Versprechen. Und hier wird es interessant: Nextcloud hat in den letzten Jahren ein Sicherheitsframework aufgebaut, das sich durchaus sehen lassen kann, aber auch einige Wermutstropfen mitbringt.
Ein Beispiel: Die Ende-zu-Ende-Verschlüsselung. Sie ist optional, aber nicht standardmäßig aktiviert. Wer sie nutzen möchte, muss sie pro Client und pro Ordner konfigurieren. Das klingt erstmal aufwendig – und das ist es auch. Für Administratoren bedeutet das: Sie müssen ihre User schulen, denn ohne Verständnis für die Funktionsweise wird die Verschlüsselung entweder nicht genutzt oder falsch angewendet. Gerade in größeren Organisationen mit vielen weniger technikaffinen Mitarbeitern kann das zum Problem werden. Nextcloud selbst gibt zu, dass die Ende-zu-Ende-Verschlüsselung nicht für alle Anwendungsfälle optimiert ist – etwa für gemeinsame Bearbeitung von Dokumenten in Echtzeit, weil die dazu nötige Transparenz über Dateiinhalte mit Verschlüsselung kollidiert. Das ist ein klassischer Zielkonflikt: Sicherheit vs. Kollaboration.
Interessant ist, dass Nextcloud auf der Serverseite eine sogenannte „Server-Side-Encryption“ anbietet. Diese verschlüsselt die Daten auf der Festplatte, bevor sie gespeichert werden. Der Schlüssel liegt dabei üblicherweise auf dem Server – was bedeutet, dass bei einem Komplettzugriff auf das System (etwa durch einen Administrator oder einen Angreifer mit Root-Rechten) die Daten theoretisch lesbar sind. Das ist kein Bug, sondern ein Design-Entscheid: Wer die Ende-zu-Ende-Verschlüsselung nicht nutzt, vertraut dem Server. Viele Unternehmen tun das auch, weil sie die zentrale Verwaltung und die Funktionen wie Virenscanner, Dateiversionierung und Audit-Logs nutzen möchten, die mit serverseitiger Verschlüsselung besser harmonieren.
Man sollte also genau hinschauen: Welche Daten benötigen wirklich Ende-zu-Ende-Schutz? Personaldaten, vertrauliche Verträge, Geschäftsgeheimnisse – hier ist der Aufwand gerechtfertigt. Für den alltäglichen Dokumentenaustausch im Team reicht oft die Kombination aus Transportverschlüsselung (TLS) plus serverseitiger Verschlüsselung plus einer gehärteten Infrastruktur. Nextcloud selbst liefert die Werkzeuge, aber die Verantwortung für die richtige Konfiguration liegt beim Betreiber.
Authentifizierung und Zugriffskontrolle: Mehr als nur Passwörter
Ein großer Pluspunkt der aktuellen Versionen ist die Integration von Multi-Faktor-Authentifizierung (MFA). Das ist heute kein Luxus mehr, sondern Basis jeder ernsthaften Sicherheitsstrategie. Nextcloud unterstützt TOTP (zeitbasierte Einmalpasswörter), WebAuthn (FIDO2) mit Hardwaretokens wie YubiKey, sowie SMS oder E-Mail als zweite Faktoren. Die Einrichtung ist vergleichsweise einfach und die Benutzeroberfläche macht es den Nutzern recht leicht, ihre Tokens zu hinterlegen. Dennoch: In der Praxis sieht man immer wieder, dass Organisationen die MFA nicht erzwingen, weil sie den Aufwand für Supporttickets fürchten. Dabei zeigt sich: Die meisten Probleme mit MFA treten nur in der Einführungsphase auf. Nach einer Eingewöhnungswoche sinken die Tickets drastisch. Ein Appell also: Die Funktion ist da, nutzen Sie sie.
Feinheiten wie die App-Passwörter für externe Clients (etwa für Mobilgeräte oder Desktop-Clients, die keine WebAuthn unterstützen) sind gut implementiert. Was mir auffällt: Nextcloud bietet eine relativ granulare Rechteverwaltung über Gruppen und Ordnerfreigaben. Man kann festlegen, ob ein externer Gast nur lesen, kommentieren oder selbst Dateien hochladen darf. Das alles ist nicht neu, aber es funktioniert stabil. Ein echtes Highlight ist das „File Access Control“ -Feature: Damit lassen sich Regeln definieren, wer wann auf welche Dateien zugreifen darf – etwa zeitgesteuerte Freigaben oder Einschränkungen basierend auf IP-Adressen. Das ist besonders für Unternehmen mit Compliance-Anforderungen (DSGVO, HIPAA, usw.) ein Segen. Man sollte allerdings nicht unterschlagen, dass die Konfiguration solcher Regeln in der Weboberfläche nicht immer intuitiv ist. Man wünscht sich manchmal eine bessere visuelle Darstellung der Abhängigkeiten, aber es funktioniert – wenn man sich einmal eingearbeitet hat.
Die Infrastruktur als Achillesferse: Wie hart ist Ihr System?
Nextcloud ist nur so sicher wie die darunterliegende Plattform. Das ist eine Binsenweisheit, aber sie wird bei der Diskussion um die eigentliche Software oft übersehen. Wer Nextcloud auf einem Shared-Hosting-Paket betreibt, muss mit erheblichen Einschränkungen rechnen. Die empfohlene Umgebung ist ein eigener Linux-Server (vorzugsweise Debian oder Ubuntu), mit einem aktuellen PHP (8.2 oder 8.3), einer performanten Datenbank (MariaDB, PostgreSQL), einem Redis-Cache (für Transaktionssicherheit und Performance) und einem Webserver wie Apache oder Nginx. Die offizielle Dokumentation gibt sehr gute Hinweise zur Härtung – etwa der Abschaltung unnötiger PHP-Module, der Konfiguration von HTTP-Strict-Transport-Security (HSTS) und der Begrenzung von Upload-Größen.
Ein kritischer Punkt ist die Systemaktualisierung. Nextcloud veröffentlicht regelmäßig Sicherheits-Updates – manchmal auch zwischen den größeren Versionen. Das Unternehmen aus Stuttgart hat einen recht gut organisierten Bug-Bounty-Prozess und meldet Sicherheitslücken transparent im eigenen Advisory-System. Allerdings: Die Verantwortung für das Einspielen dieser Updates liegt allein beim Betreiber. Wer seine Instanz nicht auf dem neuesten Stand hält, öffnet Tür und Tor. Das ist bei einer SaaS-Lösung anders: Dort kümmert sich der Anbieter um die Aktualisierung. Bei Nextcloud – egal ob on-premises oder in einer privaten Cloud – ist das Team des Betreibers gefragt. Es empfiehlt sich, ein automatisiertes Update-Skript zu implementieren und regelmäßig Smoke-Tests durchzuführen. Auch das Installieren von Sicherheits-Patches für die zugrundeliegende Betriebssysteme ist unerlässlich.
Interessant ist die Rolle von Nextclouds sogenanntem „Deck“ – einer Art Kanban-Board, das mit der Software ausgeliefert wird. Auch hier gibt es Sicherheitsimplikationen: Wenn solche Module standardmäßig aktiviert sind, erhöhen sie die Angriffsfläche. Nextcloud hat in den letzten Jahren viel daran gearbeitet, die Architektur zu modularisieren. Nicht benötigte Apps sollten deaktiviert werden. Einige Standard-Apps wie „Comments“ oder „Notifications“ sind harmlos, aber jede zusätzliche Codebasis birgt potenzielle Schwachstellen. Ein guter Tipp: Regelmäßig das „Security Scan“-Tool von Nextcloud selbst laufen lassen, das in der Administration verfügbar ist. Es prüft grundlegende Konfigurationsfehler, etwa offene Verzeichnisse, fehlende Sicherheitsheader oder veraltete Apps.
Compliance und Audit: Wenn der Datenschutz auf die Bühne tritt
Für viele Unternehmen ist Nextcloud die Antwort auf die DSGVO-Frage. Denn wer seine Daten selbst hostet, kann genau nachvollziehen, wo sie liegen und wer Zugriff hat. Aber ist das automatisch DSGVO-konform? Nicht ganz. Die Verordnung verlangt unter anderem „Datenschutz durch Technikgestaltung“ (Privacy by Design) und die Möglichkeit, Daten vollständig zu löschen. Nextcloud bietet hierzu Funktionen wie das Data-Retention-Tool, das automatisch Dateien nach Ablauf einer Frist löscht, und die Audit-Logs, die Zugriffe protokollieren. Diese Logs können mit Tools wie Graylog oder ELK-Stack ausgewertet werden. Allerdings müssen die Logging-Levels richtig gesetzt sein – sonst protokolliert das System entweder zu viel (was selbst datenschutzrechtlich problematisch wird) oder zu wenig.
Eine der oft übersehenen Sicherheitsfunktionen ist die „Legal Hold“-Funktion. Sie erlaubt, bestimmte Dateien vor dem Löschen zu schützen, etwa wenn ein Rechtsstreit anhängig ist. Das klingt trivial, ist aber in der Praxis Gold wert. In größeren Installationen können solche Sperren als Administrator zentral gesetzt werden. Ein Kritikpunkt: Die Integration von externen Rechenzentren oder Cloud-Anbietern (etwa S3-kompatible Objektspeicher) kann die Compliance wieder erschweren, wenn der Speicher selbst nicht im selben Rechtsraum liegt. Nextcloud ermöglicht zwar die Verwendung von „Storage-Backends“ wie Amazon S3, Azure Blob oder Wasabi. Doch dann müssen entsprechende Auftragsverarbeitungsverträge (AVV) mit dem jeweiligen Dienstanbieter bestehen. Die Software kann das nicht abbilden – das müssen die Verantwortlichen selbst regeln.
Ein wirkliches Highlight: Der Integrationstest mit dem „Files Lock“ und dem „Collabora Online“ oder „OnlyOffice“. Wenn man Echtzeit-Kollaboration über ein separates Office-Dokumentenserver-Plug-in nutzt, muss auch dieser Server korrekt gehärtet sein. Nextcloud selbst hat hier wenig Einfluss, gibt aber Hinweise zur Netzwerksegmentierung: Der Office-Server sollte in einem eigenen Subnetz stehen, und die Kommunikation zwischen Nextcloud-Server und Office-Server sollte über TLS und API-Keys geschützt sein. Das ist ein Bereich, der oft vernachlässigt wird, weil man glaubt, Nextcloud sei ja bereits „sicher“. Aber der Office-Server ist ein weiteres Angriffsziel – nicht zuletzt weil er Dokumente in bearbeitbarer Form hält.
Backup und Disaster Recovery: Das unterschätzte Kapitel
Ein Kollege von mir, Admin bei einem Mittelständler, sagte mal: „Nextcloud-Backups sind nicht kompliziert, sie sind nur ein Schmerz.“ Da ist viel Wahres dran. Die Datenbank, die Dateien im Datenverzeichnis, die Konfigurationsdateien (config.php) und die App-Daten müssen regelmäßig gesichert werden. Nextcloud selbst hat keine integrierte Backup-Funktion – das überlässt man dem Betriebssystem oder Drittanbietern. Das ist grundsätzlich in Ordnung, solange die Backups atomar konsistent sind. Eine bewährte Methode: Während der Datensicherung die Nextcloud-Instanz in den Wartungsmodus versetzen (occ maintenance:mode –on). Dadurch werden Schreibzugriffe blockiert, und das Backup ist konsistent. Nachteil: Während dieser Zeit ist die Plattform nicht erreichbar. Für viele Unternehmen ist das nur nachts oder am Wochenende akzeptabel.
Es gibt Ansätze, Backups ohne Downtime durchzuführen – etwa über LVM-Snapshots oder Datenbank-Replikation. Das setzt aber ein recht hohes Know-how voraus und sollte intensiv getestet werden. Nextcloud selbst hat sich in den letzten Jahren etwas in Richtung Hochverfügbarkeit bewegt: Es gibt Anleitungen für einen Cluster-Betrieb mit verteilter Datenbank und verteiltem Speicher (z. B. glusterfs oder Ceph). Das ist nichts für Anfänger, aber für Unternehmen mit 500+ Nutzern und kritischen Workloads durchaus realistisch. Ein interessantes Feature: Seit Version 25 gibt es die „Backup and Restore“ -Integration über die OCC-Befehle, die zumindest das Backup des Datenverzeichnisses und der Datenbank vereinfacht. Eine vollwertige GUI dafür sucht man aber weiterhin.
Was viele nicht bedenken: Bei einem Disaster-Recovery muss nicht nur die Software wiederhergestellt werden, sondern auch die kryptografischen Schlüssel (etwa für Server-Side-Encryption) und die App-spezifischen Konfigurationen. Ein Failover-Test sollte regelmäßig durchgeführt werden – am besten mit einem vollständigen Restore auf einem separaten System. Ich kenne leider mehrere Fälle, wo Unternehmen dachten, sie hätten Backups, und dann beim Test bemerkt haben, dass die Datenbank-Dumps defekt waren oder die config.php fehlte. Ein Tipp: Den Restore-Prozess dokumentieren und die Dokumentation alle paar Monate gegenprüfen.
Nextcloud Security vs. die Großen: Ein realistischer Vergleich
Natürlich stellt sich die Frage: Ist Nextcloud sicherer als die proprietären Wolken? Die pauschale Antwort lautet: Es kommt darauf an. Nextcloud bietet mehr Kontrolle und Transparenz. Aber das bringt auch mehr Verantwortung mit sich. Ein Microsoft 365 oder Google Workspace hat Sicherheitsdienste, die rund um die Uhr von einem globalen Team gemanagt werden – Bedrohungsanalysen, Machine Learning zur Erkennung von Anomalien, automatische Update-Rollouts. Nextcloud hat davon nichts out-of-the-box. Dafür kann man mit Open-Source-Tools wie Fail2ban, ClamAV (Virenscanner) und einem guten SIEM-System ein ähnliches Niveau erreichen, wenn man bereit ist, Zeit und Geld zu investieren.
Ein interessantes Detail: Nextcloud hat seit 2023 mit „Global Scale“ eine Architektur, die es erlaubt, mehrere Instanzen geografisch zu verteilen, um Latenz und Ländergesetze zu optimieren. Das ist ein echter Pluspunkt für international tätige Unternehmen. Die Sicherheit solcher verteilten Systeme ist aber eine komplexe Angelegenheit – die Kommunikation zwischen den Knoten muss verschlüsselt sein, und die Berechtigungen müssen konsistent bleiben. Nextclouds Ansatz ist durchdacht, aber erfordert eine gründliche Planung.
Wer dagegen eine kleine bis mittlere Organisation mit begrenztem IT-Budget betreibt, für den ist Nextcloud oft die sicherere Wahl als eine Billig-Cloud ohne Zertifikate. Denn die Kontrolle über die Firewall, den Speicherort und die Verfahren ist wertvoller als eine Blackbox, die man nicht prüfen kann. Der Haken ist nur: Man muss sie auch richtig aktivieren.
Praktische Empfehlungen für Administratoren
Aus meiner Erfahrung und den Gesprächen mit Kollegen möchte ich noch ein paar konkrete Tipps geben – nicht als Anleitung, sondern als Denkanstoß:
Erstens: Die Konfiguration des PHP-Speicherlimits. Nextcloud benötigt für Uploads eine ausreichende memory_limit-Einstellung. Aber zu hohe Werte öffnen Angriffsfläche für Denial-of-Service. Ein guter Wert ist 512MB, für Uploads bis 2GB kann das erhöht werden – aber dann die PHP-Zeitlimits im Auge behalten. Zweitens: Der Redis-Cache sollte nicht nur für File Locking, sondern auch für die Sitzungsverwaltung genutzt werden. Das entlastet die Datenbank und macht die Plattform resistenter gegen Session-Manipulation. Drittens: Die Verwendung von AppArmor oder SELinux. Ja, das ist aufwendig, aber es verhindert, dass eine kompromittierte Nextcloud-App auf andere Systemteile zugreift. Nextcloud liefert Profile für AppArmor mit, die man nur noch aktivieren muss (und gegebenenfalls anpassen). Viertens: Die Firewall sollte nur die Ports 80/443 und SSH (nicht von überall) erlauben – das ist Standard, wird aber oft vernachlässigt.
Ein weiteres Thema: Die Auslagerung der Virenprüfung an ClamAV. Nextcloud integriert ClamAV über eine App. Aber Achtung: ClamAV kann bei hohen Dateizahlen den Server ausbremsen. Besser ist es, die Virenprüfung über einen eigenen Scanner-Dienst oder über einen separaten Server durchzuführen, der das Ergebnis zurückmeldet. Künftige Versionen sollen „Machine-Learning-basierte“ Erkennung erhalten, aber das ist noch Zukunftsmusik. Vorerst muss man mit Signaturen arbeiten, die nicht immer vor Zero-Day-Bedrohungen schützen. Hier liegt ein echtes Risiko, das man durch andere Maßnahmen wie Dateityp-Blacklists und Begrenzung der ausführbaren Dateien reduzieren kann.
Blick in die Kristallkugel: Wohin entwickelt sich die Sicherheit von Nextcloud?
Die Entwickler haben in den letzten drei Jahren massiv in die Sicherheitsarchitektur investiert. Das Prinzip der „Trusted Server“ – eine Art von Attestierung, dass der Server keinen unerlaubten Zugriff nimmt – wurde eingeführt, findet aber noch wenig praktische Verbreitung. Auch die Integration von WebAuthn für den Share-Link-Schutz ist ein Schritt. Man merkt, dass Nextcloud nicht einfach nur ein Dateisync-Tool sein will, sondern eine Plattform für geschäftskritische Workflows. Die Herausforderung wird sein, die Sicherheit so zu gestalten, dass sie auch für Nicht-Experten zugänglich bleibt. Der Spagat zwischen Flexibilität und Sicherheit wird nie ganz gelingen, aber Nextcloud ist auf einem guten Weg.
In den Release-Notes der letzten Minor-Updates fielen Begriffe wie „Audit-Script für Compliance-Checks“, „automatische Erkennung von unsicheren Konfigurationen“ und „verbesserte Integration von Hardware-Sicherheitsmodulen (HSM)“. Das sind Signale, dass man das Thema ernst nimmt. Allerdings: Der Open-Source-Charakter ist auch eine Schwäche. Jeder kann Code beitragen, aber nicht jeder Beitrag wird gleich gut geprüft. Nextcloud hat ein Team von Sicherheitsmitarbeitern, aber bei der Größe des Projekts bleibt das eine Mammutaufgabe. Es ist daher ratsam, nicht nur auf die Core-Apps zu vertrauen, sondern jedes zusätzliche Plugin kritisch zu prüfen. Ein schönes Beispiel: Die App „Rich Documents“ (OnlyOffice) hat in der Vergangenheit Sicherheitslücken gehabt, die durch schnelle Updates geschlossen wurden. Aber nur, wenn man aktualisiert.
Fazit: Chancen nutzen, aber nicht blind vertrauen
Nextcloud ist kein Allheilmittel, aber es ist ein mächtiges Werkzeug in den Händen von Verantwortlichen, die wissen, was sie tun. Die IT-Sicherheit dieser Plattform hängt nicht an einem Feature, sondern an der Gesamtarchitektur und der Betriebsdisziplin. Wer sich die Zeit nimmt, die Basis richtig aufzusetzen – aktuelles Betriebssystem, Härtung nach Checkliste, MFA, regelmäßige Backups, aktive Überwachung –, der bekommt eine Lösung, die in puncto Datenhoheit und Flexibilität kaum zu übertreffen ist. Wer dagegen Nextcloud einfach installiert und dann sich selbst überlässt, der riskiert nicht weniger als beim Betrieb jeder anderen Software – vielleicht mehr, weil die Aufmerksamkeit der Angreifer auf bekannte Open-Source-Systeme hoch ist.
Ein kleines Bonmot zum Schluss: Nextcloud selbst veröffentlicht jährlich einen „Security Report“, der die gemeldeten Schwachstellen und deren Behebungszeiten dokumentiert. Die Zahlen sind respektabel: Die durchschnittliche Zeit zur Behebung kritischer Lücken liegt unter 24 Stunden. Das ist ein Wert, den viele kommerzielle Anbieter nicht vorweisen können. Insofern ist das Vertrauen in die Fähigkeiten des Teams berechtigt. Aber Vertrauen allein reicht nicht – die Prüfung der eigenen Konfiguration muss jeder selbst durchführen. Nextcloud gibt die Werkzeuge dafür. Ob man sie nutzt, ist die Frage der Verantwortung.
In diesem Sinne: Bleiben Sie wachsam, halten Sie Ihre Instanz aktuell und hinterfragen Sie jede Einstellung. Die Cloud, die Sie selbst verwalten, ist die, der Sie am wenigsten misstrauen müssen – aber nur, wenn Sie sie gut verwalten. Genau das ist der Kern der Sache.