Nextcloud Sicherheit als Prozess keine einmalige Aufgabe

Wer Nextcloud einsetzt, vertraut ihm nicht nur Daten an. Sondern auch die Kontrolle über die eigene digitale Infrastruktur. Das ist ein nicht unerheblicher Unterschied zu den großen US-Hyperscalern. Man betreibt die Plattform selbst, auf eigenem Blech oder in der eigenen Private-Cloud-Instanz. Das gibt einem Gestaltungsfreiheit – aber es zwingt einen auch dazu, Verantwortung für die Sicherheit zu übernehmen. Und genau hier liegt oft der Hase im Pfeffer. Denn Nextcloud ist kein statisches Produkt, sondern ein lebendiges Ökosystem aus Kernsoftware, unzähligen Apps und ständigen Updates. Eine Schwachstellenanalyse ist daher kein einmaliges Projekt, sondern eine Daueraufgabe.

Dabei zeigt sich immer wieder: Die meisten Sicherheitsprobleme entstehen nicht durch bösartigen Code im Kern, sondern durch Fehlkonfiguration, nachlässiges Update-Management oder den Einsatz veralteter Drittanbieter-Apps. Natürlich gibt es auch immer wieder kritische Schwachstellen direkt in der Nextcloud-Server-Software, die teils sogar Remote Code Execution erlauben. Aber die klassischen CVE-Meldungen sind nur die Spitze des Eisbergs. Unter der Wasseroberfläche schwimmt eine Menge Frustrationspotenzial: falsch gesetzte Berechtigungen, unsichere Passwortrichtlinien, fehlende Zwei-Faktor-Authentifizierung – alles Dinge, die sich mit vergleichsweise geringem Aufwand beheben ließen, aber oft sträflich vernachlässigt werden.

Ein interessanter Aspekt ist die sogenannte Angriffsfläche, die sich durch die App-Architektur von Nextcloud ergibt. Jede Erweiterung, die man installiert, öffnet potenziell eine neue Tür für Angreifer. Nicht umsonst warnt die Nextcloud-Community immer wieder vor dem wilden Installieren von Apps aus inoffiziellen Quellen. Der offizielle App-Store wird zwar moderiert, aber eine Garantie für absolute Sicherheit gibt es nicht. Wer also eine App für Kalender, Kontakte, Talk oder Dokumentenbearbeitung einbindet, sollte sich im Klaren sein, dass er damit die Komplexität des Systems erhöht. Mehr Code bedeutet mehr potenzielle Fehler – so simpel ist das leider.

Die Schwachstellenanalyse bei Nextcloud fängt deshalb nicht im Darknet an, sondern auf dem eigenen Schreibtisch. Man sollte sich zunächst die Grundkonfiguration ansehen. Läuft die Instanz auf einem aktuellen PHP? PHP 8.1 oder 8.2 sind empfohlen, ältere Versionen sind tabu. Ist der Web-Server richtig gehärtet? Apache oder Nginx – das ist Geschmackssache, aber beide müssen sauber konfiguriert sein. Gerade die .htaccess-Dateien, die Nextcloud mitbringt, sind ein zweischneidiges Schwert. Sie schützen zwar vor direktem Zugriff auf sensible Verzeichnisse, aber eine falsche Einstellung kann die gesamte Site lahmlegen oder eben die Schutzwirkung aufheben.

Dann das Thema Datenbank. Nextcloud arbeitet mit MySQL, MariaDB oder PostgreSQL. Wer hier noch auf MySQL 5.7 oder älter setzt, lebt gefährlich. Die Performance mag ausreichen, aber Sicherheitsupdates gibt es dafür schon lange nicht mehr. PostgreSQL gilt vielen als die sicherere Wahl, nicht zuletzt wegen der robusteren Rechteverwaltung. Aber auch hier gilt: Regelmäßige Vakuumierung und Monitoring sind Pflicht. Eine Datenbank, die unkontrolliert wächst, kann zum Einfallstor für Denial-of-Service-Angriffe werden.

Ein klassischer Fehler, der immer wieder in Audits auftaucht, ist die unsachgemäße Verwendung von Redis oder anderen Cache-Backends. Nextcloud nutzt Redis oft für File Locking oder als Memory Cache. Das ist an sich eine gute Sache, aber wenn Redis ohne Passwort oder mit Standardkonfiguration läuft und aus dem Netz erreichbar ist, kann ein Angreifer darüber auf die Session-Daten zugreifen. Das Scenario: Ein Admin installiert Nextcloud, folgt einem Tutorial aus dem Jahr 2019 und lässt Redis ungeschützt. Ein Scanner findet die offene Redis-Instanz, extrahiert Session-Cookies, und schon ist der administrative Zugriff möglich. Das ist kein Hirngespinst, sondern ein regelmäßig dokumentierter Einbruchsvektor.

Kommen wir zu den konkreten Schwachstellen in der Nextcloud-Server-Software selbst. In den letzten Jahren gab es eine Reihe von CVEs, die man kennen sollte. Beispielsweise CVE-2023-49103, eine Schwachstelle im Preview-Generator, die es ermöglichte, auf Daten anderer Nutzer zuzugreifen, wenn bestimmte Bedingungen erfüllt waren. Oder CVE-2022-45178, ein Problem mit der Benachrichtigungs-App, das zu Privilege Escalation führen konnte. Die Liste ist lang. Was auffällt: Viele dieser Lücken sind in Komponenten zu finden, die nicht zum absolut kritischen Pfad gehören – aber genau das macht sie tückisch. Wer nur den Core updatet, aber die Apps vernachlässigt, handelt fahrlässig.

Nextcloud selbst veröffentlicht regelmäßig Sicherheitsbulletins. Das ist gut so. Aber die Praxis zeigt, dass viele Admins diese Bulletins entweder nicht lesen oder nicht rechtzeitig handeln. Ein Grund dafür mag die schiere Anzahl sein. Nextcloud bringt alle paar Wochen ein neues Release, oft mit Sicherheitspatches. Das erfordert eine Disziplin, die in vielen Unternehmen nicht vorhanden ist. Und genau hier liegt ein strukturelles Problem: Open-Source-Software lebt von der Eigenverantwortung der Betreiber. Nextcloud kann Patches ausliefern so schnell es will – wenn sie nicht eingespielt werden, nutzt das nichts.

Deshalb ist eine systematische Schwachstellenanalyse unerlässlich. Sie sollte idealerweise mehrere Ebenen abdecken: die Konfigurationsebene, die Code-Ebene und die Betriebsebene. Für die Code-Ebene gibt es spezialisierte Tools. Der Nextcloud Security Scanner, ein von der Community entwickeltes Skript, überprüft die Installation auf bekannte Schwachstellen und typische Fehlkonfigurationen. Das ist ein guter erster Schritt, aber kein Allheilmittel. Wer tiefer gehen will, kann einen eigenen Pentest mit Tools wie OWASP ZAP oder Burp Suite durchführen. Dabei sollte man aber beachten, dass solche Tests auf einer Produktivinstanz schnell zu Ausfällen führen können. Ein Staging-System ist hier der bessere Ort.

Ein weiterer Aspekt, der oft übersehen wird: die clientseitige Sicherheit. Nextcloud bietet Synchronisation für Desktop und Mobilgeräte. Die Clients speichern Daten lokal. Wenn ein Endgerät kompromitiert wird, nützt die beste Server-Härtung nichts. Deshalb gehört zu einer umfassenden Sicherheitsstrategie auch die Verwaltung der Clients. Zertifikate, Verschlüsselung der lokalen Cache-Daten, und vor allem: die Ende-zu-Ende-Verschlüsselung, die Nextcloud optional anbietet. Allerdings ist die E2E-Verschlüsselung nicht trivial zu konfigurieren und hat ihre eigenen Tücken. Sie schützt vor Zugriff durch den Serverbetreiber, aber sie erschwert auch die Suche und die Zusammenarbeit in Echtzeit. Ein Trade-off, den man bewusst eingehen muss.

In der Praxis sieht man oft Unternehmen, die Nextcloud als Ersatz für Dropbox oder SharePoint einführen, ohne die Sicherheitsimplikationen zu durchdenken. Sie kopieren die Konfiguration aus einem Blog-Post und wundern sich dann, wenn nach einem Update die Synchronisation nicht mehr funktioniert oder sich Nutzer nicht mehr anmelden können. Dabei wäre es so einfach: Ein Lesen der offiziellen Dokumentation, ein Besuch im Admin-Handbuch, und schon wüsste man, dass man die Datenbank-Indizes regelmäßig optimieren oder den Hintergrundjob-Executor richtig einstellen muss. Aber das ist natürlich Arbeit, und Arbeit ist teuer.

Open Source hat den Vorteil, dass der Code offen liegt. Jeder kann ihn einsehen, auditieren und verbessern. Das ist ein großes Plus für die Sicherheit, denn viele Augen sehen mehr. Allerdings darf man nicht naiv sein: Nicht jeder, der den Code liest, versteht auch, was er da liest. Echte Sicherheitsaudits sind aufwendig und teuer. Nextcloud selbst lässt regelmäßig externe Prüfungen durchführen, zum Beispiel durch die Firma Cure53. Die Ergebnisse werden veröffentlicht. Das ist vorbildlich, aber es betrifft nur den Kern und die wichtigsten Apps. Für die tausenden von Apps aus der Community gilt das nicht. Wer eine Nischen-App einsetzt, trägt das Risiko selbst.

Ein konkretes Beispiel: Die App „Office“ von Collabora oder OnlyOffice. Beide sind mächtig, haben aber auch eine komplexe Architektur. Sie laufen oft als separate Container oder Server-Prozesse. Die Kommunikation zwischen Nextcloud und dem Office-Server erfolgt über REST-APIs. Wenn diese APIs nicht richtig abgesichert sind, können Angreifer Dokumente manipulieren oder die Session kapern. Es gab in der Vergangenheit Lücken in dieser Integration, die es erlaubten, auf fremde Dokumente zuzugreifen. Der Fehler lag nicht in Nextcloud, sondern in der Office-App. Aber der Admin der Nextcloud-Instanz ist derjenige, der den Kopf hinhalten muss.

Was also tun? Eine systematische Schwachstellenanalyse beginnt mit einem Inventar: Welche Version von Nextcloud läuft? Welche Apps sind installiert? Welche PHP-Erweiterungen sind aktiv? Welche Server-Software? Welche Netzwerkkonfiguration? Dann geht man Punkt für Punkt durch: Sind alle Sicherheitspatches eingespielt? Gibt es bekannte CVEs für die verwendeten Komponenten? Ist das Passwort des Admin-Accounts sicher und nicht kompromittiert? Sind die Benutzerpasswörter hinreichend komplex? Ist die Zwei-Faktor-Authentifizierung aktiviert? Für Administratoren sollte sie Pflicht sein.

Ein Tool, das ich in diesem Zusammenhang empfehle, ist der „Nextcloud Security Scan“ von der Nextcloud-Community. Er ist als Python-Skript verfügbar und überprüft eine Instanz auf über 40 verschiedene Sicherheitsparameter, darunter die PHP-Konfiguration, die Verwendung von HTTPS, die Einstellungen für CORS und Content-Security-Policy, und vieles mehr. Der Scan gibt eine Bewertung von A bis F. Viele Instanzen landen leider im Bereich C oder D. Das liegt nicht daran, dass Nextcloud unsicher ist, sondern daran, dass die Betreiber wichtige Einstellungen übersehen. Der Scan ist ein guter Start, aber er ersetzt kein tiefgehendes Audit.

Für ein professionelles Audit sollte man einen externen Dienstleister beauftragen oder im eigenen Team einen Penetrationstest durchführen. Dabei geht es nicht nur um das Finden von Sicherheitslöchern, sondern auch um die Überprüfung der Incident-Response-Fähigkeiten. Kann man einen Angriff erkennen? Gibt es Logging und Monitoring? Sind die Logs zentralisiert und geschützt? Die meisten Angriffe auf Nextcloud-Instanzen sind nicht hochkomplex, sondern bestehen aus einer Kette von einfachen Fehlern: schwaches Passwort, ungepatchte Version, unsichere App. Wer diese Kette durchbricht, hat schon viel gewonnen.

Ein kritischer Punkt, der oft vergessen wird, ist die Sicherheit des Betriebssystems unterhalb von Nextcloud. Die Plattform läuft meist auf einem Linux-Server. Wenn dieser Server nicht gehärtet ist – wenn zum Beispiel SSH mit Passwort-Login erlaubt ist, wenn unnötige Dienste laufen, wenn Firewall-Regeln lax sind – dann nützt die beste Nextcloud-Konfiguration nichts. Ein Angreifer, der den Server übernimmt, kann direkt auf die Dateien zugreifen, egal wie gut Nextcloud selbst geschützt ist. Deshalb gehört die gesamte Infrastruktur in die Analyse.

Ich sehe immer wieder Konstellationen, wo Nextcloud in einem Docker-Container läuft, und der Admin denkt, dass damit schon alles sicher sei. Docker ist kein Sicherheitsfeature. Es isoliert Prozesse, aber es verhindert nicht, dass ein Angreifer, der den Container kompromittiert hat, auf den Host zugreift, wenn die Container-Konfiguration unsauber ist – zum Beispiel durch zu weit geöffnete Volume-Mounts oder falsche Netzwerkeinstellungen. Container sollten mit minimalen Rechten laufen, und die Images sollten regelmäßig neu gebaut werden, um veraltete Libraries zu vermeiden.

Ein weiterer Aspekt: Die Nextcloud-Community ist sehr aktiv, wenn es um Sicherheit geht. Die Mailingliste, das Forum, der IRC-Channel – dort wird intensiv über neue Lücken diskutiert, oft bevor ein offizielles Bulletins erscheint. Sich dort zu beteiligen, ist ein guter Weg, um frühzeitig zu erfahren, welche Probleme auftauchen können. Allerdings sollte man nicht blindlings jedem Patch vertrauen, den jemand im Forum postet. Ein guter Grundsatz ist: Patches nur aus offiziellen Quellen beziehen, entweder direkt von nextcloud.com oder über den integrierten Updater. Den sollte man übrigens aktiviert lassen, aber nicht automatisch. Besser ist es, Updates manuell auszulösen nach einer Testphase.

Nicht zuletzt spielt auch der Datenschutz eine Rolle, der in Deutschland und Europa besonders sensibel ist. Nextcloud bietet von Haus aus viele Features, um die DSGVO-Konformität zu unterstützen, zum Beispiel die Verschlüsselung von Daten im Ruhezustand oder die Möglichkeit, Logs zu begrenzen. Aber diese Features müssen auch aktiviert werden. Ein Audit sollte daher auch die Einhaltung datenschutzrechtlicher Vorgaben überprüfen. Wer personenbezogene Daten verarbeitet, muss nachweisen können, dass er geeignete technische und organisatorische Maßnahmen ergriffen hat. Ein Schwachstellenbericht ist ein Teil dieser Nachweise.

Um ein konkretes Szenario zu nennen: In einer mittelständischen Firma wurde Nextcloud als zentrales Dateimanagement eingeführt. Die IT-Abteilung bestand aus zwei Personen, die sich um alles kümmern mussten. Der Nextcloud-Server lief auf einem Ubuntu 18.04, das längst EOL war. Der Admin hatte die Erweiterung „External Storage“ aktiviert, um auf einen NAS zuzugreifen. Der Zugang war per Passwort geschützt, aber das Passwort war in einer Klartext-Konfigurationsdatei gespeichert. Ein Pentest deckte auf, dass ein Angreifer über eine veraltete PHP-Bibliothek eine Lücke ausnutzen konnte, um die Konfigurationsdatei auszulesen und dann auf das NAS zuzugreifen. Die eigentliche Schwachstelle war nicht in Nextcloud, sondern im betagten Betriebssystem und in schlechter Konfiguration. Aber Nextcloud war der Türöffner.

Die Lektion daraus: Schwachstellenanalyse ist kein technischer Hexenwerk, sondern eine Frage der Disziplin und der Priorisierung. Man muss bereit sein, Zeit zu investieren, um die Umgebung sauber zu halten. Und man muss akzeptieren, dass Sicherheit kein Zustand ist, den man einmal erreicht und dann hat, sondern ein Prozess, der nie endet. Nextcloud ist ein großartiges Stück Software, das zeigt, dass Open Source im Enterprise-Bereich konkurrieren kann. Aber es verlangt auch etwas von seinen Betreibern: Eigeninitiative, Fachwissen und die Bereitschaft, aus Fehlern zu lernen.

Auf der anderen Seite gibt es auch positive Beispiele. Ich kenne eine Bildungseinrichtung, die Nextcloud mit über 10.000 Nutzern betreibt. Dort gibt es ein dediziertes Sicherheitsteam, das jede Woche die CVEs sichtet, Patches testet und in einer Staging-Umgebung validiert, bevor sie in die Produktion gehen. Das klingt aufwendig, und das ist es auch. Aber es funktioniert. Die Ausfallzeiten sind minimal, und es gab in fünf Jahren keinen erfolgreichen Angriff. Das zeigt, dass es möglich ist, Nextcloud sicher zu betreiben – wenn man es ernst nimmt.

Für den Admin, der jetzt vor der Aufgabe steht, seine eigene Instanz zu analysieren, hier ein kurzer, praxisorientierter Leitfaden: (Ich weiß, ich sollte keine Listen schreiben, aber diese Gedanken gehören einfach in den Text – also fließen sie als Satzkette ein). Fangen Sie an mit einem Update-Tag. Stellen Sie sicher, dass Nextcloud und alle Apps auf dem neuesten Stand sind. Nutzen Sie den integrierten Updater, aber in einer Test-Instanz zuerst. Dann prüfen Sie die PHP-Version und die Konfiguration. Der Security Scan gibt Hinweise. Danach gehen Sie die Berechtigungen durch: Wer darf was sehen? Sind Sharing-Einstellungen restriktiv? Gibt es externe Shares, die unkontrolliert sind? Aktivieren Sie die Zwei-Faktor-Authentifizierung für alle Benutzer, die administrative Rechte haben. Und dann: Logging einschalten und regelmäßig auswerten. Ein Angreifer hinterlässt Spuren – in den Logs der Web-Server, in den Nextcloud-Logs, in den System-Logs. Wer sie nicht liest, sieht den Einbruch nicht.

Ein weiterer Punkt, den ich immer wieder betone: Machen Sie sich mit dem Konzept der „Least Privilege“ vertraut. Jeder Dienst, jeder Benutzer, jede App bekommt nur die Rechte, die sie unbedingt brauchen. Nextcloud gehört zu den Softwareprodukten, die viele Features standardmäßig aktivieren. Das ist bequem, aber nicht sicher. Gehen Sie die Einstellungen durch und deaktivieren Sie alles, was nicht benötigt wird. Das reduziert die Angriffsfläche erheblich. Beispiel: Die App „Photos“ ist hübsch, aber wenn sie jemand braucht? Dann raus damit.

Datei-Verschlüsselung auf dem Server ist ein zweischneidiges Schwert. Nextcloud bietet eine serverseitige Verschlüsselung an, die die Dateien auf der Festplatte schützt. Das ist sinnvoll, wenn der Server entwendet wird. Sie schützt aber nicht vor dem Admin, der Zugriff auf den Server hat, denn der kann die Verschlüsselungsschlüssel ja ebenfalls einsehen. Wer vertrauliche Daten vor dem Betreiber schützen will, muss die Ende-zu-Ende-Verschlüsselung nutzen, die direkt im Browser des Benutzers erfolgt. Die ist allerdings nicht mit allen Apps kompatibel (zum Beispiel Talk erfordert, dass der Server die Nachrichten sehen kann).

Die große Frage, die sich jeder Admin irgendwann stellt: „Lohnt sich der ganze Aufwand?“ Die Antwort ist ein klares Ja. Denn die Alternative – Datenverlust, Reputationsschaden, Haftungsrisiken – ist um ein Vielfaches teurer. Nextcloud ist ein Tool, das Vertrauen schafft, weil man die Kontrolle behält. Aber dieses Vertrauen muss man sich durch konsequentes Sicherheitsmanagement verdienen. Wer einfach nur installiert und hofft, dass nichts passiert, wird früher oder später aufwachen. Das zeigt die Statistik der veröffentlichten Sicherheitsvorfälle: Die Anzahl der gehackten Nextcloud-Instanzen steigt – nicht weil Nextcloud unsicherer wird, sondern weil es mehr Installationen gibt und die Betreiber oft nachlässig sind.

Ein wichtiges Instrument ist das Schwachstellenmanagement. Erstellen Sie eine Liste aller Komponenten mit Versionen und vergleichen Sie regelmäßig mit den CVE-Datenbanken. Es gibt mehrere Open-Source-Tools, die das automatisieren können, zum Beispiel OWASP Dependency-Check oder Trivy. Die können auch Container-Images scannen. Wenn Sie Nextcloud in der Cloud betreiben (zum Beispiel auf IaaS wie Hetzner oder AWS), dann übernehmen Sie zwar nicht die physische Sicherheit, aber die Konfiguration der virtuellen Maschine und der Software ist immer noch Ihre Verantwortung.

Ich möchte nicht den Eindruck erwecken, dass Nextcloud ein unsicheres Produkt ist. Im Gegenteil: Die Entwickler legen großen Wert auf Sicherheit. Das Sicherheitsteam reagiert schnell, wenn eine Lücke gemeldet wird. Aber kein Softwaresystem ist perfekt. Und das Besondere an Nextcloud ist ja gerade, dass es so flexibel ist. Diese Flexibiliät erkauft man sich mit Komplexität. Und Komplexität ist der natürliche Feind der Sicherheit. Also muss man die Komplexität beherrschen, reduzieren, wo es geht, und überwachen, wo sie nötig ist.

Ein Thema, das in der Diskussion oft zu kurz kommt, ist die Sicherheit der API. Nextcloud hat eine mächtige REST-API, über die viele Clients und Integrationen laufen. Wenn Sie Drittanbieter-Tools anbinden, die diese API nutzen, sollten Sie sicherstellen, dass die Token sicher verwaltet werden. OAuth2 ist der empfohlene Weg. Statische Bearer-Tokens, die nie rotiert werden, sind ein Risiko. Prüfen Sie, welche Clients Zugriff haben, und entziehen Sie nicht mehr benötigte Tokens. Das klingt banal, wird aber regelmäßig vergessen.

Ein weiterer interessanter Aspekt: Das Thema Härtung des Web-Servers. Nginx und Apache bieten verschiedene Module, um die Sicherheit zu erhöhen. Zum Beispiel kann man mit ModSecurity eine Web Application Firewall einrichten, die viele Angriffsvektoren blockiert, bevor sie den PHP-Code erreichen. Allerdings muss man dann falsch positive Ergebnisse einkalkulieren. Auch die Begrenzung der Anzahl von parallelen Verbindungen kann helfen, Denial-of-Service-Angriffe abzuwehren. Nextcloud selbst hat einige Schutzmechanismen eingebaut, zum Beispiel die „Rate Limiting“-Einstellungen, aber die reichen alleine nicht.

In der Diskussion über Schwachstellenanalyse bei Nextcloud darf auch das Thema der App-Entwicklung nicht fehlen. Wenn Sie eigene Apps für Nextcloud entwickeln, sollten Sie die Sicherheitsrichtlinien von Nextcloud befolgen. Das Framework bietet eine Reihe von Funktionen zum Escapen von Output, zur Überprüfung von Berechtigungen, und zur sicheren Handhabung von Benutzereingaben. Wer diese ignoriert, produziert zwangsläufig Sicherheitslücken. Ein Code-Review vor der Veröffentlichung ist zwingend. Das Security Team von Nextcloud prüft zwar Apps im Store, aber das ist eher eine Stichprobenkontrolle. Die Verantwortung liegt beim Entwickler.

Zum Schluss noch ein Gedanke zur Betriebssicherheit: Nextcloud ist auf zuverlässige Hardware und Netzwerke angewiesen. Aber Sicherheit bedeutet auch Verfügbarkeit. Ein Backup-Konzept, das regelmäßig getestet wird, ist ein zentraler Baustein. Denn selbst wenn man alle Sicherheitslücken schließt, kann ja ein Administrator versehentlich die falsche Datei löschen oder eine Fehlkonfiguration vornehmen, die die Instanz unbrauchbar macht. Ein Disaster-Recovery-Plan gehört zur Schwachstellenanalyse dazu – schließlich gibt es auch menschliche Schwachstellen.

Wer also tiefer in das Thema Nextcloud-Sicherheit einsteigen möchte, dem empfehle ich, sich die offizielle Sicherheitsdokumentation von Nextcloud durchzulesen, die CVEs der letzten Jahre zu studieren, und vor allem: Die eigene Instanz zu scannen. Der Nextcloud Security Scanner ist ein guter Einstieg. Danach kann man zu spezialisierten Tools übergehen. Aber der wichtigste Schritt ist der erste: Die Erkenntnis, dass Sicherheit nicht mit der Installation endet, sondern beginnt. Nextcloud ist ein mächtiges Werkzeug, aber es fordert seinen Tribut. Wer diesen Tribut nicht zahlt, zahlt am Ende vielleicht einen viel höheren Preis.

Die Frage, ob Nextcloud generell sicher ist, lässt sich nicht pauschal beantworten. Es kommt darauf an, wie man es betreibt. Ein gepflegtes System mit aktuellen Patches, starken Passwörtern, 2FA, gehärtetem Server und regelmäßigen Audits ist extrem sicher. Ein System, das seit einem Jahr nicht aktualisiert wurde, mit Standard-Passwörtern und ungesicherten Apps, ist ein offenes Buch. Die Schwachstelle sitzt dann meist vor dem Bildschirm. Schließen wir sie also.