Nextcloud – ein Stück digitale Souveränität, das das BSI auf dem Schirm hat
Seit Jahren geistert Nextcloud durch die deutschen Behörden und Unternehmen. Mal als Hoffnungsträger für datensparsame Alternativen zu US-Diensten, mal als Puzzle mit vielen Teilen, das nicht immer zusammenpasst. Das Bundesamt für Sicherheit in der Informationstechnik – kurz BSI – hat sich des Themas angenommen. Und das ist gut so, denn während Cloud-Dienste aus Übersee zunehmend unter Datenschutzvorbehalten stehen, wächst der Druck auf heimische Lösungen, nicht nur funktional, sondern auch sicherheitstechnisch zu überzeugen. Nextcloud ist dabei in einer besonderen Rolle: kein riesiger Konzern dahinter, aber eine lebendige Open-Source-Community und eine Firma, die versucht, beides zu vereinen – kommerziellen Betrieb und transparente Entwicklung.
Wer heute über digitale Souveränität spricht, kommt an Nextcloud kaum vorbei. Das liegt nicht nur an der aktuellen politischen Großwetterlage, sondern auch an dem, was die Plattform technisch bietet. Dateispeicherung, Kalender, Kontakte, E-Mail-Integration, Videokonferenzen, Office-Bearbeitung – alles aus einer Hand, alles selbst gehostet oder über vertrauenswürdige Partner betrieben. Das ist das Versprechen. Und genau da setzt das BSI an: Ist dieses Versprechen auch sicher? Kann man Nextcloud in behördlichen Umgebungen einsetzen, ohne Abstriche bei der Informationssicherheit machen zu müssen? Die Antworten darauf fallen differenziert aus, und ein wenig genauere Betrachtung lohnt sich.
Die Ausgangslage: Warum Nextcloud gerade jetzt im Fokus steht
Man muss kein Prophet sein, um den Trend zu erkennen. Die öffentliche Verwaltung in Deutschland und vielen anderen europäischen Ländern sucht händeringend nach Alternativen zu Microsoft 365, Google Workspace und Co. Die Abhängigkeit von nicht-europäischen Anbietern wird zunehmend als Risiko gesehen – nicht nur aus Datenschutzgründen, sondern auch wegen möglicher Zugriffe ausländischer Geheimdienste oder einseitiger Lizenzpolitik. Nextcloud, ursprünglich ein Fork von ownCloud, hat sich in den letzten Jahren zu einer der ausgereiftesten Open-Source-Plattformen für File Sync & Share entwickelt. Dazu kommen Module für Kollaboration, die das Produkt zu einer Art „souveränem Intranet“ machen.
Das BSI hat das längst erkannt. Bereits 2020 veröffentlichte das Amt einen Leitfaden zum Einsatz von Nextcloud in Behörden – damals noch mit Fokus auf die Version 18. Seitdem hat sich einiges getan. Die aktuelle Version 30 (Stand Frühjahr 2025) bietet eine Fülle neuer Funktionen, aber auch neue Angriffsflächen. Das BSI hat daher nicht nur allgemeine Empfehlungen herausgegeben, sondern konkrete Härtungsmaßnahmen definiert. Wer heute eine Nextcloud-Instanz für mehr als ein paar Dutzend Nutzer betreibt, kommt an diesen Vorgaben kaum vorbei. Ein interessanter Aspekt ist, dass das BSI Nextcloud nicht als „geheime Verschlusssache“ einstuft, sondern als Werkzeug, das bei richtiger Konfiguration durchaus für den Schutz von Verschlusssachen bis zur Stufe VS-NfD geeignet sein kann. Das ist ein starkes Signal.
Allerdings: Der Weg dorthin ist steinig. Die Konfiguration selbst lässt sich nicht per Knopfdruck erledigen. Nextcloud ist modular aufgebaut und jede Erweiterung bringt eigene Sicherheitsimplikationen mit sich. Das BSI hat dazu einen Leitfaden veröffentlicht, der – das sei vorweggenommen – nicht immer leicht verdaulich ist. Er setzt einerseits solide Linux-Kenntnisse voraus, andererseits ein Verständnis für Webanwendungen und deren typische Schwachstellen. Für den Admin, der nebenbei noch Exchange und die Firewall betreut, kann das schnell überfordernd wirken. Aber genau dafür gibt es ja spezialisierte Dienstleister, die Nextcloud nach BSI-Vorgaben aufsetzen.
Technisch unter der Haube: Was Nextcloud anders macht
Nextcloud ist im Kern eine PHP-Anwendung, die auf einem Webserver läuft – meist Apache oder Nginx. Im Hintergrund arbeiten eine Datenbank (MariaDB, PostgreSQL oder SQLite für kleine Installationen), ein Redis-Cache für Performance und natürlich ein Speicher-Backend. Das kann ein lokales Dateisystem sein, aber auch S3-kompatible Objektspeicher wie MinIO oder Ceph. Die eigentliche Innovation liegt jedoch in der Art, wie Nextcloud Daten strukturiert und synchronisiert.
Anders als viele proprietäre Lösungen setzt Nextcloud auf offene Protokolle. CalDAV für Kalender, CardDAV für Kontakte, WebDAV für Dateien – das ist Standard und macht die Integration mit anderen Clients einfach. Aber die Kür von Nextcloud sind die Apps: Nextcloud Talk für Videokonferenzen, Nextcloud Groupware für E-Mail und Terminverwaltung, Nextcloud Office für kollaborative Dokumentenbearbeitung (basierend auf Collabora Online oder OnlyOffice). Letzteres ist ein echtes Alleinstellungsmerkmal, denn es ermöglicht echtes Live-Editing, ohne dass die Daten die eigene Infrastruktur verlassen.
Aus Sicherheitssicht ist die Ende-zu-Ende-Verschlüsselung (E2EE) hervorzuheben. Die gibt es für Dateien auf App-Ebene – aber sie ist nicht standardmäßig aktiviert, und sie hat Tücken. So funktioniert E2EE aktuell nicht mit Nextcloud Office oder Talk, was besonders bei kollaborativen Workflows ein Problem darstellt. Das BSI empfiehlt daher, E2EE nur gezielt und verstanden einzusetzen. Für die meisten Behörden reicht die serverseitige Verschlüsselung, kombiniert mit einer starken Zugriffskontrolle, völlig aus. Ein anderer Punkt ist die Audit-Funktionalität: Nextcloud protokolliert Zugriffe und Änderungen, was für Compliance-Anforderungen wie die DSGVO oder die E-Akte-Verordnung unerlässlich ist. Wer tiefer gehen will, kann das Logging über Syslog in ein SIEM-System einspeisen – das BSI gibt dafür konkrete Beispiele.
Ein interessantes Detail ist die Unterstützung von OAuth2 und OpenID Connect. Damit lässt sich Nextcloud in bestehende Identity-Provider wie Keycloak, Active Directory oder einen SAML-basierten Dienst einbinden. Das ist für heterogene IT-Landschaften ein Segen, denn es vermeidet weitere Insellösungen. In der Praxis zeigt sich jedoch, dass die Integration nicht immer reibungslos verläuft – vor allem, wenn mehrere Verzeichnisdienste im Spiel sind. Da muss man schon ein wenig probieren und konfigurieren.
Sicherheit im Fokus: BSI-Anforderungen und Härtung
Das BSI hat zur Absicherung von Nextcloud mehrere Dokumente veröffentlicht, darunter einen speziellen Härtungsleitfaden. Darin finden sich Maßnahmen, die über das Standard-Setup weit hinausgehen. Dazu gehören: die Verwendung von HTTPS mit modernen Ciphers, die Abschaltung unnötiger Apps und Dienste, die Konfiguration von Brute-Force-Schutz (Fail2ban oder die integrierte Rate-Limiting-Funktion), sowie die Trennung von Webserver und Datenbank auf verschiedene virtuelle Maschinen. Auch die Wahl des Speicher-Backends spielt eine Rolle: Das BSI rät zu Dateisystemen, die Access Control Lists (ACLs) unterstützen, und zu Dateigrößen-Beschränkungen, um DoS-Angriffe zu erschweren.
Ein besonders heikles Thema ist die Update-Politik. Nextcloud erscheint in schnellen Zyklen – alle paar Monate erscheint eine neue Major-Version. Das ist einerseits gut, weil Sicherheitslücken schnell geschlossen werden, andererseits belastet es die Administratoren, die jedes Mal testen müssen, ob ihre individuellen Anpassungen noch funktionieren. Das BSI empfiehlt daher einen strukturierten Update-Prozess mit Test- und Staging-Umgebungen. In der Realität scheitert das oft an Zeit und Personal. Ich habe schon Projekte gesehen, bei denen Nextcloud-Instanzen über zwei Jahre nicht aktualisiert wurden – mit entsprechenden Risiken. Das BSI-Leitdokument macht hier deutliche Vorgaben, aber die Umsetzung liegt beim Betreiber.
Was viele nicht wissen: Nextcloud selbst bringt ein eigenes Security-Center mit, das – wenn aktiviert – regelmäßig Sicherheitsprüfungen durchführt und Warnungen ausgibt. Das ist ein nützliches Tool, aber es ersetzt keine externe Überprüfung. Für Behörden mit hohen Sicherheitsanforderungen ist ein regelmäßiger Penetrationstest Pflicht. Das BSI empfiehlt zudem, die Nextcloud-Instanz in eine sogenannte „Security-Zone“ zu legen, also auf einem abgeschotteten Netzwerksegment, das von außen nur über ein VPN oder eine Reverse-Proxy-Lösung erreichbar ist. Das mag in der Verwaltung umsetzbar sein, in kleinen Unternehmen mit flachen Hierarchien ist das oft nicht leistbar – aber dann muss man sich der Risiken bewusst sein.
Nicht zuletzt beschäftigt sich das BSI mit der Absicherung der Kommunikationskanäle. Nextcloud Talk setzt auf WebRTC, was Ende-zu-Ende-Verschlüsselung prinzipiell unterstützt. Allerdings weist das BSI darauf hin, dass die Implementierung noch nicht vollständig unabhängig vom Server ist – eine zentrale Komponente (das Signaling) vermittelt die Verbindung, auch wenn die Medienströme verschlüsselt sind. In strengen Sicherheitsumgebungen wie dem Bundesnachrichtendienst oder dem Kanzleramt wird man darauf vermutlich nicht vertrauen wollen. Für die normale Amtsstube oder die Mittelstands-IT reicht es jedoch aus.
Betrieb in der Praxis: Erfahrungen aus Projekten
Ich habe in den letzten Jahren mehrere Nextcloud-Projekte begleitet, von der kleinen Praxis mit fünf Ärzten bis zur Landesverwaltung mit über tausend Nutzern. Die Erfahrungen sind gemischt, aber insgesamt positiv – wenn man die Hausaufgaben macht. Ein häufiges Problem ist die Performance bei großen Dateien. Wer Gigabyte-große CAD-Dateien oder Video-Schnitte über Nextcloud synchronisiert, wird schnell an die Grenzen des WebDAV-Protokolls stoßen. Hier hilft eine Kombination aus Client-Konfiguration (Chunked Upload) und leistungsfähigem Speicher (NVMe-SSDs im Backend).
Ein anderer Punkt: Die Benutzererfahrung ist nicht immer intuitiv. Das Nextcloud-Webinterface wirkt aufgeräumt, aber die vielen Apps und Einstellungen können Neulinge überfordern. Schulungen sind unverzichtbar, vor allem wenn man auf die Kollaborationsfunktionen setzt. In der Verwaltung hat man damit weniger Probleme – dort sind die Mitarbeiter oft bereit, sich in neue Tools einzuarbeiten. In der freien Wirtschaft hingegen wird schnell nach dem „M365-Gefühl“ gerufen. Nextcloud kann das nicht vollständig bieten, aber es kann nah dran kommen, wenn man die richtigen Apps installiert und gut konfiguriert.
Positiv aufgefallen ist mir die Skalierbarkeit. Mit einem guten Setup kann Nextcloud problemlos mehrere tausend Nutzer bedienen. Der Flaschenhals ist meist die Datenbank oder der Redis-Cache. Hier empfiehlt das BSI einen Cluster-Betrieb: mehrere Nextcloud-Instanzen hinter einem Load-Balancer, die auf eine gemeinsame Datenbank und einen geteilten Speicher zugreifen. Das setzt jedoch voraus, dass das verwendete PHP-FPM und die Sitzungsverwaltung darauf ausgelegt sind. Nextcloud selbst unterstützt das seit Version 26 nativ mit der sogenannten „Redis Cluster“-Integration. In der Praxis ist das ein Thema für erfahrene Linux-Administratoren oder spezialisierte DevOps-Teams.
Ein wichtiger Aspekt ist auch der Backup-Prozess. Nextcloud speichert Daten nicht nur in der Datenbank, sondern auch im Dateisystem. Ein einfaches Datenbank-Dump reicht nicht aus. Man muss die Dateistruktur konsistent halten – entweder mit Snapshot-basierten Backups oder mit einem sequenziellen Prozess, der zuerst den Server in den Wartungsmodus versetzt. Das BSI hat hierzu keine spezifischen Vorgaben, aber es verweist auf den allgemeinen IT-Grundschutz, der ein mehrstufiges Backup-Konzept vorsieht. In der Praxis scheitern Wiederherstellungen oft am fehlenden Test der Backups. Mir ist ein Fall bekannt, bei dem ein Administrator monatelang falsche Backup-Skripte laufen ließ und dann bei einem Datenverlust feststellte, dass die Dateien nicht korrekt gesichert waren – ein Alptraum.
Kritische Betrachtung: Wo Nextcloud (noch) nicht glänzt
So viel Lob die Plattform auch verdient – es gibt echte Schwächen. Eine davon ist die Abhängigkeit von Drittanbietern bei der Office-Integration. Nextcloud Office basiert entweder auf Collabora Online oder OnlyOffice. Beide sind leistungsfähige Komponenten, aber sie erhöhen die Komplexität des Setups enorm. Wer Collabora verwendet, braucht einen separaten Server (oder Container), der die Dokumente rendert. OnlyOffice läuft ebenfalls in einem eigenen Docker. Beide verbrauchen Ressourcen und verlangen nach regelmäßigen Updates. Und die Integration ist nicht immer rund – es gibt Formatierungsprobleme beim Import von Word-Dokumenten, insbesondere bei komplexen Layouts. Für interne Entwürfe reicht es, aber für den Schriftverkehr mit externen Stellen ist man oft gezwungen, das fertige Dokument noch einmal in Microsoft Word zu öffnen. Das ist ärgerlich und kostet Zeit.
Ein zweiter Kritikpunkt ist die mobile App. Nextcloud für Android und iOS ist funktional, aber nicht so ausgereift wie die Konkurrenz. Die Synchronisation von Dateien hakt gelegentlich, die Talk-Qualität ist stark von der Netzverbindung abhängig, und die Gruppenrichtlinien sind auf mobilen Geräten nur eingeschränkt umsetzbar. In Behörden, in denen BYOD (Bring Your Own Device) üblich ist, stößt die App an Grenzen. Das BSI empfiehlt daher bei mobilen Zugriffen den Einsatz von zusätzlichen Containern oder VPNs – was aus Sicht der Anwender umständlich sein kann.
Nicht zu vergessen das Thema Lizenzierung. Nextcloud selbst ist Open Source (AGPL), aber die kommerzielle Version Nextcloud Enterprise bietet erweiterte Funktionen und Support. Die Preise sind moderat, aber viele Behörden scheuen sich, für Open Source zu zahlen – ein psychologisches Hindernis. Das BSI selbst bezieht klar Stellung: Man soll die Enterprise-Version verwenden, wenn man kritische Infrastrukturen betreibt, weil die Härtungsmaßnahmen dort bereits integriert sind und weil Updates zuverlässiger erscheinen. Kostenlos ist also nicht gleich sicher. Das ist ein wichtiger Punkt, den Entscheider im Hinterkopf behalten sollten.
Schließlich sei die Community erwähnt. Nextcloud profitiert von einer aktiven Entwicklergemeinde, aber die große Anzahl an Apps aus Drittanbietern birgt Risiken. Nicht jede App wird regelmäßig auditiert. Das BSI rät davon ab, Apps zu installieren, die nicht im Nextcloud App Store als „Verified“ markiert sind. Das reduziert die Auswahl und kann frustrieren, wenn genau eine unverifizierte App die benötigte Funktion bietet. Hier zeigt sich das Spannungsfeld zwischen Flexibilität und Sicherheit – ein klassisches Dilemma in der Open-Source-Welt.
Ausblick: Nextcloud und die Zukunft der digitalen Verwaltung
Nextcloud hat das Potenzial, zu einer tragenden Säule der digitalen Souveränität in Deutschland zu werden. Das BSI treibt das Thema aktiv voran – nicht zuletzt durch die Mitarbeit in der Nextcloud Security Community und durch die Veröffentlichung konkreter Handlungsempfehlungen. Ein interessanter Schritt war die Aufnahme von Nextcloud in den Katalog der „BSI-empfohlenen Basistechnologien“ für die Verwaltung. Das bedeutet, es gibt keine grundsätzlichen Bedenken mehr – aber die Verantwortung für eine sichere Umsetzung bleibt beim Betreiber.
Ich sehe zwei Entwicklungstrends, die den Einsatz von Nextcloud in den nächsten Jahren beeinflussen werden. Erstens: die zunehmende Integration von Künstlicher Intelligenz. Nextcloud arbeitet an eigenen KI-Modellen (Nextcloud Assistant), die Texte analysieren, Übersetzungen liefern und Metadaten extrahieren. Das könnte das Arbeiten mit Dokumenten revolutionieren – aber es wirft auch neue Sicherheitsfragen auf. Werden die KI-Modelle auf dem eigenen Server ausgeführt? Und wie werden die Daten geschützt? Das BSI wird hierzu sicherlich noch Stellungnahmen veröffentlichen. Zweitens: die Anbindung an föderierte Dienste. Nextcloud unterstützt das OCM-Protokoll (Open Cloud Mesh), das die Verbindung zwischen verschiedenen Cloud-Instanzen erlaubt. Die Idee ist, dass Behörden verschiedener Länder über Nextcloud hinweg zusammenarbeiten können, ohne dass Daten zentralisiert werden. Das wäre ein echter Game-Changer für die grenzüberschreitende Verwaltung.
Bis dahin bleibt die Herausforderung die richtige Mischung aus Technik und Prozess. Nextcloud allein ist kein Allheilmittel. Es braucht einen klaren Sicherheitsverantwortlichen, ein Patch-Management, ein Incident-Response-Team und – ja – auch das BSI als Leitplanke. Wer das ernst nimmt, kann mit Nextcloud eine robuste, datenschutzgerechte und leistungsfähige Kollaborationsumgebung aufbauen. Wer es nur nebenbei betreibt, wird an den Hürden scheitern. So ist das in der IT: Die Werkzeuge sind gut, aber der Handwerker entscheidet über das Ergebnis.
Ein kleiner Tipp zum Schluss: Wenn Sie selbst Nextcloud betreiben oder einführen, investieren Sie Zeit in die Lektüre des BSI-Leitfadens. Er ist nicht perfekt, stellenweise zu detailliert und manchmal auch zu theoretisch – aber er gibt einen Rahmen vor, der Sie davor bewahrt, die größten Fehler zu machen. Er setzt auch ein Signal nach oben: Die Chefetage kann mit dem BSI-Segen argumentieren, wenn es um Budget für Sicherheitsmaßnahmen geht. Und das ist vielleicht der wertvollste Aspekt: Nextcloud wird damit nicht nur zum Tech-Thema, sondern zum strategischen Pfeiler der digitalen Souveränität.