Nextcloud Forensik So sichern Sie Beweise richtig

„`html

Wenn ein Unternehmen seine Nextcloud-Instanz nach einem Sicherheitsvorfall durchleuchtet, wird schnell klar: Die Plattform ist nicht nur ein Dateitausch, sondern ein komplexes Datenarchiv. Metadaten, Versionierungen, Aktionslogs – all das sind Schätze für Forensiker. Doch wie hebt man diese Schätze? Und worauf muss man achten, wenn man Beweise sichert, ohne die Plattform lahmzulegen?

Die Datenstruktur als Ausgangspunkt

Nextcloud speichert Dateien und Metadaten getrennt. Das ist ein entscheidender Vorteil für die forensische Arbeit. Die eigentlichen Dateien liegen im Storage-Backend, während die Metadaten in einer relationalen Datenbank – meist MySQL oder MariaDB – abgelegt werden. Dazu kommen Konfigurationsdateien, Logs und das Benutzerverzeichnis. Ein klassischer Admin greift auf die Nextcloud-Oberfläche zu, um Dateien zu verwalten. Ein Forensiker hingegen interessiert sich für das, was unter der Haube liegt.

Wer eine forensische Analyse plant, sollte zunächst die genaue Deployment-Architektur kennen. Läuft Nextcloud in einem Docker-Container? Oder auf einem dedizierten Server mit Nginx und PHP-FPM? Die Antwort bestimmt, wo Logs landen und wie tief man graben kann. In containerisierten Umgebungen sind Logs flüchtiger – es sei denn, man hat sie an einen zentralen Syslog-Server weitergeleitet. Das ist ein Punkt, den viele Admins erst nach einem Vorfall bedenken.

Metadaten: Die verborgenen Zeugen

Die Datenbank hält weit mehr fest, als man auf den ersten Blick vermutet. In der Tabelle oc_filecache liegen Informationen zu jeder Datei: Pfad, Größe, Erstellungszeit, letzte Änderung, Besitzer und die ETag-Werte, die bei jeder Synchronisation neu generiert werden. Das klingt trocken, ist aber hochrelevant. Denn über die ETags lässt sich nachvollziehen, wann ein Client eine Datei hochgeladen oder verändert hat – selbst wenn der Benutzer später die Datei löscht.

Ein interessanter Aspekt ist die Aktivitätstabelle (oc_activity). Sie protokolliert jede Aktion: Datei angelegt, gelöscht, geteilt, kommentiert. Allerdings läuft diese Tabelle nicht standardmäßig auf Ewig. Nextcloud bereinigt alte Einträge nach einer bestimmten Zeit – standardmäßig 90 Tage. Für die Forensik bedeutet das: Zeit ist ein kritischer Faktor. Wer Monate nach einem Vorfall mit der Analyse beginnt, findet vielleicht keine Aktivitätsspuren mehr. Ein Tipp: Die Aufbewahrungsdauer in der Config erhöhen oder die Logs extern archivieren.

Beweissicherung: System runter oder laufen lassen?

Dass man bei einem Vorfall das System sofort herunterfährt, ist ein Reflex. Bei Nextcloud kann das fatale Folgen haben. Denn die Datenbank puffert Transaktionen, und ein unsanfter Stopp kann Inkonsistenzen erzeugen. Besser ist es, einen Live-Image des Servers zu erstellen – oder zumindest eine konsistente Kopie der Datenbank und des Dateispeichers über den Nextcloud-eigenen occ-Befehl.

Der Befehl occ maintenance:mode –on schaltet die Instanz für Benutzer unsichtbar, erlaubt aber dem Admin weiterhin Zugriff. In diesem Zustand kann man Datenbank-Dumps anfertigen, die Logverzeichnisse sichern und die Storage-Backends klonen. Dabei zeigt sich: Die Nextcloud-Entwickler haben an die Notfälle gedacht. Der maintenance-Mode verhindert neue Schreibzugriffe, während laufende Transaktionen abgeschlossen werden. Das ist ein elegantes Werkzeug für die Beweissicherung.

Nicht zuletzt sollte man auch die Client-Logs der Benutzer erfassen. Nextcloud Desktop- und Mobile-Clients führen eigene Logs, die oft unterschätzt werden. Sie zeigen, wann eine Synchronisation stattfand, welche Dateien fehlschlugen und ob Konflikte auftraten. In einem Fall aus meiner Praxis half ein Desktop-Log dabei, den genauen Zeitpunkt einer unberechtigten Datenexfiltration auf einen USB-Stick zu rekonstruieren – der Server-Log allein war zu ungenau.

Versionierung und Papierkorb: Fluch und Segen

Nextcloud bietet eine integrierte Versionierung und einen Papierkorb. Für den Normalbetrieb bedeutet das zusätzlichen Speicherverbrauch. Für Forensiker ist es ein Geschenk. Denn selbst wenn ein Benutzer eine Datei löscht, bleibt sie im Papierkorb, bis dieser geleert wird. Und die Versionierungs-Engine bewahrt ältere Versionen einer Datei auf – standardmäßig für 30 Tage. So lassen sich nicht nur gelöschte Dateien wiederherstellen, sondern auch die Entwicklung verfolgen: Wer hat wann welche Änderungen vorgenommen?

Ein kleiner Haken: Die Versionierung speichert nur die Unterschiede (Deltas) zwischen den Versionen, nicht die vollständigen Dateien. Das spart Speicher, macht die forensische Analyse aber aufwendiger. Man muss die Deltas rekonstruieren, um den Inhalt einer früheren Version zu erhalten. Es gibt Werkzeuge, die das können – zum Beispiel git-ähnliche Diff-Tools für binäre Dateien sind jedoch rar. Für Office-Dokumente hingegen kann man oft mit speziellen Parsern arbeiten.

Log-Analyse: Die Datenflut kanalisieren

Nextcloud produziert eine Fülle von Logs: Application-Logs, PHP-Fehlerlogs, Webserver-Logs, Datenbank-Logs. Die Kunst besteht darin, die relevanten Einträge zu filtern. Der occ-Befehl occ log:tail liefert live die aktuellen Log-Ausgaben. Für eine historische Analyse greift man auf die Datei nextcloud.log zurück, die standardmäßig im Datenverzeichnis liegt. Das Format ist JSON – maschinenlesbar, aber für Menschen unübersichtlich. Tools wie Logstash oder Graylog helfen, die Einträge zu strukturieren, aber nicht jede Umgebung hat diese Infrastruktur.

Ein praktischer Ansatz ist die Verwendung von jq, um die Einträge nach bestimmten Kriterien zu durchsuchen. Zum Beispiel: jq 'select(.user=="max.mustermann")' nextcloud.log zeigt alle Aktionen eines Benutzers an. Wer tiefer graben will, sucht nach requestIds, die sich über mehrere Log-Einträge ziehen. So lassen sich zeitliche Abläufe rekonstruieren.

Dabei sollte man nicht vergessen, dass Nextclouds eigenes Logging nur die Anwendungsebene abdeckt. Der Webserver (Apache oder Nginx) protokolliert jede HTTP-Anfrage. Diese Logs können zeigen, wann ein Client auf die Nextcloud-API zugegriffen hat, ob Authentifizierungsversuche fehlschlugen und welche Endpunkte genutzt wurden. In einer forensischen Untersuchung kombinieren erfahrene Admins oft die Application-Logs mit den Webserver-Logs, um ein vollständiges Bild zu erhalten.

Datenintegrität und Manipulation

Ein Thema, das in der Lehre oft zu kurz kommt, ist die Prüfung der Datenintegrität. Nextcloud verwendet Prüfsummen (SHA-256) für jede hochgeladene Datei. Diese Checksummen werden in der Datenbank gespeichert. Im Fall einer Manipulation – etwa durch einen Angreifer, der Dateien austauscht – weicht die gespeicherte Checksumme von der aktuellen Datei ab. Der occ-Befehl occ integrity:check überprüft die Integrität des Codes, nicht der Benutzerdaten. Für die Benutzerdaten gibt es occ files:check-legacy-files – ein Befehl, den kaum jemand kennt.

In der Praxis ist es sinnvoll, die Checksummen in regelmäßigen Abständen zu validieren und bei Auffälligkeiten sofort zu reagieren. Allerdings: Die Überprüfung aller Dateien ist zeitaufwendig und kann bei großen Instanzen mit Millionen von Dateien mehrere Tage dauern. Ein interessantes Verfahren ist die Stichprobenprüfung: Man wählt Dateien aus, die bekanntermaßen kritisch sind – etwa solche mit hohen Zugriffszahlen oder aus dem Führungsetagen – und gleicht deren Checksummen ab.

Rechtliche Fallstricke

Forensik an Nextcloud-Instanzen ist nicht nur eine technische, sondern auch eine rechtliche Herausforderung. In Deutschland etwa gilt die DSGVO. Wenn man Logs auswertet, die personenbezogene Daten enthalten (Benutzernamen, IP-Adressen, Zeitstempel), muss man die Prinzipien der Datenminimierung und Zweckbindung beachten. Das heisst: Man darf nicht einfach alle Logs en bloc analysieren, sondern nur die, die für den konkreten Vorfall relevant sind.

Ein Gerichtsbeschluss oder zumindest eine betriebliche Vereinbarung mit dem Betriebsrat ist oft notwendig. In meiner Beratungspraxis habe ich erlebt, dass Admins aus gut gemeintem Eifer Logs aller Benutzer durchforsteten und damit gegen interne Datenschutzrichtlinien verstießen. Die Beweise waren dann vor Gericht unverwertbar. Tipp: Vor der Analyse klären, welche Daten überhaupt erhoben werden dürfen und wer die Verantwortung trägt.

Nicht zuletzt spielt die Löschung von Daten eine Rolle. Nextcloud speichert gelöschte Dateien im Papierkorb. Aus forensischer Sicht ist das praktisch. Aus Datenschutzsicht kann es problematisch sein: Ein Benutzer, der seine Daten löscht, erwartet, dass sie endgültig entfernt werden. Die DSGVO verlangt die Löschung personenbezogener Daten. Nextcloud bietet die Möglichkeit, über eine Administrationseinstellung die Papierkorbleerung nach einer bestimmten Frist zu erzwingen. Wer das nicht konfiguriert, riskiert Abmahnungen.

Werkzeuge für die Tiefenanalyse

Für die reine Nextcloud-Forensik gibt es kein spezialisiertes All-in-One-Tool. Stattdessen setzen Admins auf eine Kombination aus bekannten Werkzeugen. Dazu gehören:

MySQL Workbench oder Adminer für die Datenbankanalyse: Die Tabelle oc_users zeigt alle registrierten Benutzer, deren E-Mail-Adressen und Quotas. oc_share dokumentiert Freigaben – inklusive externer Benutzer und Links. oc_activity wie erwähnt die Aktivitäten.

grep und awk für die Log-Verarbeitung auf der Kommandozeile. Mit einem Einzeiler wie grep "2025-03-15" nextcloud.log | grep "error" | wc -l bekommt man die Anzahl der Fehler an einem Tag.

icat und bulk_extractor aus der Sleuth-Kit-Suite, wenn man Dateien aus einem Dateisystem-Image extrahieren möchte, ohne das laufende System zu beeinflussen. Das ist besonders relevant, wenn Nextcloud auf einem dedizierten Laufwerk läuft und man eine forensische Kopie anfertigt.

PHP-Deserialisierungs-Checker: Nextcloud speichert einige Daten serialisiert in der Datenbank, etwa Konfigurationen von Apps. Angreifer nutzen manchmal unsichere Deserialisierung. Ein Werkzeug wie PHP-Queue-Analyzer kann hier helfen, bösartige Payloads zu identifizieren.

Ein Beispiel aus der Praxis: In einem Unternehmen mit 500 Benutzern wurde eine Datei mit vertraulichen Preisdaten an einen externen Partner geteilt. Der Verdacht fiel auf einen Mitarbeiter, der kurz darauf gekündigt hatte. Mithilfe der oc_share-Tabelle liess sich nachvollziehen, dass der Mitarbeiter einen öffentlichen Link erstellt hatte – mit Passwortschutz. Die Aktivitätstabelle zeigte den genauen Zeitpunkt. Die Client-Logs des Mitarbeiters bestätigten, dass er den Link von seinem privaten Gerät geöffnet hatte. Der Fall war glasklar.

Herausforderungen mit großen Instanzen

Bei Nextcloud-Instanzen mit vielen Terabytes an Daten stößt die manuelle Analyse an Grenzen. Die Datenbankabfragen werden langsamer, die Log-Dateien werden unhandlich. Hier hilft nur eine automatisierte Pipeline: Die Logs werden in eine Elasticsearch-Instanz eingespeist, und die Datenbank wird regelmäßig auf Auffälligkeiten gescannt – zum Beispiel auf plötzliche Anstiege der Speichernutzung oder viele fehlgeschlagene Anmeldeversuche. Die forensische Analyse wird dadurch zu einem Teil des Security Operations Centers (SOC). Nicht jede Organisation hat die Ressourcen dafür, aber für Unternehmen mit hohen Compliance-Anforderungen (etwa nach ISO 27001 oder SOC 2) ist das der einzig gangbare Weg.

Dabei zeigt sich ein grundlegendes Problem: Nextcloud selbst bietet keine integrierte Forensik-Plattform. Die Entwickler konzentrieren sich auf die Funktionen für den Normalbetrieb. Forensik ist ein Nischenthema – bis es zum Vorfall kommt. Wer vorbereitet sein will, muss sich selbst eine Toolchain aufbauen. Das fängt bei der zentralen Log-Sammlung an und hört bei der automatischen Alarmierung bei verdächtigen Aktionen auf.

Fallstudie: Gelöschte Daten wiederherstellen

Ein mittelständisches Unternehmen bat mich um Hilfe, weil ein leitender Angestellter nach seiner Kündigung alle seine Projektdaten in Nextcloud gelöscht hatte. Die Papierkorbfunktion war aktiviert, aber der Mitarbeiter hatte den Papierkorb explizit geleert. Die Daten schienen verloren. Eine forensische Untersuchung des Dateisystems zeigte jedoch, dass die Dateien noch auf der Festplatte vorhanden waren – die Blöcke waren noch nicht überschrieben.

Mit einem Tool wie testdisk konnten Teile der gelöschten Daten rekonstruiert werden. Allerdings fehlten die Verzeichnisstrukturen und Dateinamen. Die Metadaten in der Datenbank waren noch vorhanden? Nein, denn das Löschen einer Datei in Nextcloud entfernt auch die Metadaten aus oc_filecache. Das erschwert die Zuordnung. In diesem Fall konnte ich mithilfe der Aktivitätstabelle den Zeitpunkt der Löschung eingrenzen und dann das Dateisystem auf Änderungen in diesem Zeitraum scannen. Es war aufwändig, aber letztlich erfolgreich.

Die Lehre daraus: Eine reine Nextcloud-Forensik reicht nicht. Man muss auch die darunterliegende Speicherschicht betrachten – ob NFS, Btrfs oder ein Object Store wie S3. Jede Speichertechnologie hat ihre eigenen Forensik-Methoden. S3 etwa bietet Versionierung auf Bucket-Ebene, die oft zusätzlichen Schutz bietet, aber auch Speicherkosten verursacht.

Prävention durch Auditing

Forensik ist immer reaktiv. Besser ist es, von vornherein Spuren zu legen. Nextcloud bietet ein eigenes Auditing-Modul, das über die App „Audit Log“ aktiviert werden kann. Es zeichnet alle Aktionen auf, die für die Compliance relevant sind, darunter Anmeldungen, Dateioperationen, Freigaben und Admin-Aktionen. Die Logs werden entweder in einer separaten Datenbanktabelle oder in einer Datei abgelegt. Wichtig: Das Auditing erzeugt zusätzliche Last. Bei stark frequentierten Instanzen sollte man die Auswirkungen testen.

Ein interessanter Aspekt ist die Möglichkeit, das Audit-Log mit einem SIEM-System zu verbinden. Über Syslog oder einen speziellen Log-Treiber können die Einträge direkt an Splunk, QRadar oder einen Open-Source-Stack wie Wazuh weitergeleitet werden. Das erlaubt Korrelationen: Zum Beispiel könnten fehlgeschlagene Anmeldungen mit späteren Dateilöschungen verknüpft werden. Ein solches Setup ist nicht trivial, aber für Unternehmen mit gehobenen Sicherheitsanforderungen fast ein Muss.

Die Rolle der Community

Nextcloud ist Open Source. Das bedeutet, dass die Community auch an forensischen Werkzeugen arbeitet. Es existieren Skripte und Erweiterungen, die nicht offiziell von Nextcloud unterstützt werden, aber in forensischen Kreisen verbreitet sind. Eines dieser Skripte analysiert die Datenbank und zeigt an, welche Dateien von einem bestimmten Benutzer in den letzten X Tagen bearbeitet wurden – eine Art forensisches Dashboard auf Basis von PHP. Allerdings sind solche Werkzeuge oft nur in Foren oder auf GitHub zu finden und nicht dokumentiert. Wer sie einsetzt, sollte die Ergebnisse kritisch prüfen.

Nicht zuletzt ist der Austausch mit anderen Admins wertvoll. Konferenzen wie die Nextcloud Conference haben oft Sessions zu Sicherheit und Forensik. Da wird erfahrungsgemäß viel Insiderwissen geteilt – etwa über versteckte Datenbankabfragen oder kritische Konfigurationsparameter. Meiner Meinung nach investieren zu wenige Organisationen in dieses Netzwerk. Dabei kann die Community einem Arbeit abnehmen, die man sonst selbst machen müsste.

Zusammenfassung und Ausblick

Nextcloud Forensik ist kein Standardthema in der Ausbildung. Das ist schade, denn die Plattform ist in immer mehr kritischen Infrastrukturen im Einsatz – von Behörden über Krankenhäuser bis zu Forschungseinrichtungen. Die Technik ist da, um Spuren zu sichern. Man muss nur wissen, wo man suchen muss.

Die wichtigsten Punkte sind: Datenbank-Metadaten sichern, Logs zentralisieren, Versionierung und Papierkorb strategisch einsetzen, rechtliche Rahmenbedingungen beachten. Wer das beherzigt, kann im Ernstfall nicht nur Täter überführen, sondern auch den Betrieb schneller wieder aufnehmen. Denn am Ende zählt nicht nur die forensische Wahrheit, sondern auch die Resilienz des Systems.

Nextcloud selbst entwickelt sich weiter – mit Funktionen wie Dateifilterung und File-Firewalls. Die nächste Generation könnte noch umfassendere Forensik-Features bieten, etwa eine integrierte Event-Korrelation. Bis dahin bleiben Admins auf ihre eigene Kreativität und die der Community angewiesen. Und das ist nicht zwangsläufig schlecht. Denn wer sich einmal in die Tiefen der Nextcloud-Architektur gearbeitet hat, versteht das System besser als jeder Zertifikatslehrgang es vermitteln kann.

Ein letzter Gedanke: Forensik ist wie Detektivarbeit. Man sucht nach Spuren, die jemand hinterlassen hat. Bei Nextcloud sind diese Spuren oft deutlich sichtbar – man muss nur wissen, wie man sie liest. Und wenn man sie liest, sollte man sie auch dokumentieren, denn die nächste Frage wird sein: „Können Sie das beweisen?“

„`