Die Open-Source-Cloud ist längst kein Nischenprodukt mehr – und mit TISAX öffnet sich ein hochrelevantes Tor für die Industrie. Ein Blick auf Technik, Zertifizierung und die Herausforderungen, die Nextcloud auf diesem Weg meistern muss.
Nextcloud hat sich in den vergangenen Jahren als die deutschsprachige Antwort auf die grossen US-Cloud-Dienste etabliert. Während Microsoft, Google und Dropbox mit ihren Plattformen weltweit dominieren, setzt die Lösung aus Stuttgart auf Datenhoheit, Open Source und modulare Erweiterbarkeit. Doch ein Etikett fehlte lange, um in stark regulierten Branchen wie der Automobilindustrie oder dem Maschinenbau Fuss zu fassen: TISAX. Die Abkürzung steht für Trusted Information Security Assessment Exchange, ein Prüfstandard, der aus der deutschen Automobilwirtschaft kommt und mittlerweile in vielen industriellen Lieferketten vorausgesetzt wird. Wer hier mitspielen will, muss nachweisen, dass seine Informationssicherheit bestimmten Anforderungen genügt.
Der Weg zu einer TISAX-Zertifizierung ist aufwendig – und für eine Open-Source-Plattform wie Nextcloud war er lange mit vielen Fragezeichen verbunden. Das hat sich geändert. Nextcloud bietet mittlerweile eine zertifizierte Umgebung an, die speziell für Unternehmen entwickelt wurde, die ihre Daten in der eigenen Infrastruktur behalten wollen, aber trotzdem die strengen Prüfkriterien der Automobilindustrie erfüllen müssen. Wir schauen uns an, was genau dahinter steckt, welche technischen Massnahmen notwendig sind und ob das Produkt hält, was die Zertifizierung verspricht.
Was TISAX eigentlich bedeutet – und warum es relevant ist
Für alle, die nicht täglich mit Compliance-Vorschriften zu tun haben: TISAX ist kein Gesetz, sondern ein branchenübergreifender Prüfstandard, der auf der ISO 27001 aufbaut und von der VDA (Verband der Automobilindustrie) entwickelt wurde. Das Besondere daran: Die Prüfergebnisse werden in einer zentralen Datenbank abgelegt, auf die Unternehmen zugreifen können. So spart man sich mehrfache Audits, wenn man für mehrere Kunden arbeitet. Ein Zulieferer, der sein TISAX-Label vorweisen kann, muss nicht jedes Mal von einem neuen OEM durchleuchtet werden – das ist Effizienz, die in der Praxis viel Zeit und Geld spart.
Die Anforderungen von TISAX sind hoch, aber nicht utopisch. Sie reichen von organisatorischen Massnahmen (Richtlinien, Verantwortlichkeiten) über technische Sicherungen (Verschlüsselung, Zugriffskontrollen) bis hin zu physischen Aspekten (Rechenzentrumssicherheit). Wichtig zu verstehen: TISAX ist keine einmalige Zertifizierung, sondern erfordert regelmässige Überprüfungen. Wer das Label bekommt, muss nachweisen, dass er die Massnahmen dauerhaft aufrechterhält.
Für Nextcloud als Softwareplattform ist das eine besondere Herausforderung. Denn TISAX zertifiziert nicht die Software selbst, sondern eine konkrete Betriebsumgebung – also den kompletten Stack, inklusive Server, Netzwerk, administrativen Prozessen und den eingesetzten Sicherheitsmechanismen. Nextcloud hat darum kein „TISAX-zertifiziertes Produkt“ im klassischen Sinne, sondern bietet eine Referenzarchitektur und unterstützt Partner dabei, ihre Instanzen so zu betreiben, dass sie den Anforderungen genügen. Das ist ein wichtiger Unterschied, der in manchen Marketingtexten untergeht.
Technische Grundlagen: Wie Nextcloud TISAX-relevant wird
Nextcloud hat in den letzten Versionen eine Reihe von Funktionen erhalten, die für TISAX von zentraler Bedeutung sind. Angefangen bei der Verschlüsselung: Die auf dem Server gespeicherten Dateien lassen sich mit dem integrierten Server-Side-Encryption-Modul schützen, und die Übertragung erfolgt natürlich über TLS. Das ist gut, aber für TISAX reicht es nicht aus. Gefordert wird unter anderem eine Ende-zu-Ende-Verschlüsselung für besonders schützenswerte Daten – und genau da liegt ein Knackpunkt, der nicht nur Nextcloud betrifft: Echte Ende-zu-Ende-Verschlüsselung ist mit Kollaborationsfunktionen wie Teilen, Versionierung oder Volltextsuche schwer vereinbar. Nextcloud bietet dafür eine separate App („End-to-End Encryption“), die für einzelne Ordner aktiviert werden kann – aber dann sind die typischen Teamfunktionen eingeschränkt. Das ist ein Kompromiss, den man kennen sollte.
Ein weiteres Standbein sind die umfangreichen Logging- und Auditing-Funktionen. TISAX verlangt lückenlose Nachvollziehbarkeit von Zugriffen und Administrationshandlungen. Nextcloud protokolliert standardmässig viele Ereignisse, aber für die Zertifizierung muss man oft zusätzliche Tools wie einen Syslog-Server oder eine SIEM-Lösung anbinden. Die Enterprise-Version von Nextcloud bietet erweiterte Logging-Features, darunter detaillierte Audit-Protokolle, die auch für externe Prüfer aufbereitet werden können. Das ist ein Punkt, wo sich Nextcloud von einfacheren Lösungen abhebt.
Nicht zuletzt spielt die Benutzerverwaltung eine wichtige Rolle. TISAX verlangt klare Rollen- und Rechtekonzepte, regelmässige Überprüfungen und eine sichere Authentifizierung. Nextcloud kann hier mit LDAP/Active Directory verbunden werden, unterstützt Multi-Faktor-Authentifizierung (MFA) und erlaubt granulare Berechtigungen bis auf Dateiebene. Im Enterprise-Umfeld ist ausserdem die Integration mit Identity-Management-Systemen wie Keycloak oder SAML-Providern möglich. Das alles sind Baukasten, die man zusammenstecken muss – und das erfordert Fachwissen.
Der Zertifizierungsprozess in der Praxis – ein Blick hinter die Kulissen
Ein Unternehmen, das seine Nextcloud-Instanz nach TISAX zertifizieren lassen will, muss zunächst einen Prüfer finden, der von der VDA akkreditiert ist. Das ist kein trivialer Schritt, denn die Zahl der zugelassenen Prüfstellen ist begrenzt, und die Termine sind oft langfristig ausgebucht. Die Kosten für ein Audit liegen je nach Umfang und Komplexität im fünfstelligen Bereich – und das ist nur der Anfang. Vor dem eigentlichen Audit müssen die internen Prozesse dokumentiert, technische Massnahmen implementiert und Mitarbeiter geschult werden. Ein interessanter Aspekt ist dabei die Frage, ob man die Nextcloud als reine Dateiablage betreibt oder ob man die vielen Zusatzfunktionen wie Talk, Kalender oder Office-Integration nutzt. Jede zusätzliche Komponente erweitert die Angriffsfläche und erfordert eigene Sicherheitsbetrachtungen. Manche Unternehmen reduzieren darum den Funktionsumfang auf das Nötigste, um den Prüfaufwand zu begrenzen.
Was viele übersehen: TISAX prüft nicht nur die Technik, sondern auch die Organisation. Wer ist verantwortlich für die Sicherheit der Cloud? Wie werden Sicherheitsvorfälle gemeldet? Gibt es einen Notfallplan? Das sind Punkte, die in kleinen und mittelständischen Unternehmen oft stiefmütterlich behandelt werden. Nextcloud allein kann das nicht kompensieren. Die Zertifizierung ist darum immer ein ganzheitliches Projekt, das die gesamte IT-Organisation betrifft – und das sollte man vorher einkalkulieren.
Ein Praxisbeispiel: Ein Automobilzulieferer mit rund 200 Mitarbeitern entschied sich für eine gehostete Nextcloud-Instanz bei einem spezialisierten Rechenzentrum. Die Plattform wurde als „TISAX-ready“ beworben, aber der Betriebspartner verfügte bereits über ein gültiges TISAX-Label für sein Rechenzentrum. Das erleichterte die eigene Zertifizierung ungemein, denn viele der physischen und infrastrukturellen Anforderungen waren schon abgedeckt. Der Zulieferer musste „nur“ noch die Anwendungs- und Prozessebene prüfen lassen. Das zeigt, wie wichtig es ist, den Betriebspartner weise zu wählen – insbesondere bei Cloud-Diensten, die nicht im eigenen Haus laufen.
Nextcloud vs. die etablierte Konkurrenz – ein Vergleich unter TISAX-Gesichtspunkten
Natürlich drängt sich die Frage auf: Warum sollte man sich den Aufwand mit Nextcloud machen, wenn Microsoft 365 oder SharePoint ebenfalls TISAX-zertifiziert betrieben werden können? Die Antwort liegt in der Datenhoheit. Microsofts EU-Datenbündnisse und die Bemühungen um Sovereign Clouds sind sicher ernst zu nehmen, aber für viele Unternehmen bleibt ein ungutes Gefühl, wenn die Daten auf Servern eines US-Konzerns liegen – selbst wenn dieser verspricht, die EU-Regeln einzuhalten. Nextcloud ermöglicht einen Betrieb komplett in der eigenen Infrastruktur oder in einem europäischen Rechenzentrum, ohne dass Dritte Zugriff auf die Schlüssel haben. Das ist der entscheidende Vorteil.
Allerdings ist der Funktionsumfang von Nextcloud im Vergleich zu Microsofts Office-365-Ökosystem begrenzt. Zwar gibt es Nextcloud Hub mit Textverarbeitung, Tabellen und Präsentationen, aber die Integration ist nicht so nahtlos wie bei den großen Suiten. Für viele Unternehmen, die einfach nur Dateien sicher teilen und gemeinsam bearbeiten wollen, reicht das völlig. Wer jedoch professionelle Office-Features samt Makros, komplexer Formatierung oder tiefer Outlook-Integration braucht, wird an Grenzen stossen. Nextcloud setzt auf offene Standards und kollaborative Formate – das ist ein Gewinn für die Unabhängigkeit, aber nicht immer komfortabel.
Ein anderer Mitbewerber ist ownCloud, der „Urvater“ der dateibasierten Open-Source-Clouds. ownCloud hat ebenfalls eine TISAX-Zertifizierung im Portfolio, allerdings mit einem anderen Ansatz: ownCloud setzt stärker auf eine klassische Client-Server-Architektur und weniger auf moderne Kollaborationsfeatures. Für reine Dateisynchronisation mag das ausreichen, aber wer die integrierten Kommunikationsfunktionen von Nextcloud schätzt (Talk, Videokonferenzen, Whiteboards), wird bei ownCloud nicht fündig. Seafile wiederum ist performanter bei grossen Dateien, aber bietet kein TISAX-Label – das macht es für die Automobilindustrie uninteressant.
Man sollte nicht vergessen: TISAX ist primär ein europäischer, spezifisch deutscher Standard. International spielt er kaum eine Rolle. Unternehmen, die weltweit agieren, müssen oft mehrere Compliance-Rahmen gleichzeitig bedienen. Nextcloud kann hier punkten, weil die Plattform flexibel an verschiedene Anforderungen anpassbar ist – aber auch das erfordert zusätzliche Arbeit. Ein TISAX-zertifiziertes System ist nicht automatisch auch ISO 27001- oder SOC-2-konform. Hier sind individuelle Anpassungen nötig.
Offene Baustellen: Kritik und Grenzen von Nextcloud im TISAX-Kontext
Es wäre unehrlich, nur die Vorzüge zu loben. Nextcloud hat durchaus Baustellen, die gerade im sensiblen Industrieumfeld auffallen. Da wäre zum Beispiel die Performance. Gerade bei vielen gleichzeitigen Nutzern oder grossen Dateien kann die Instanz spürbar träge werden, wenn man nicht sorgfältig dimensioniert hat. TISAX verlangt keine Höchstgeschwindigkeit, aber wenn die Plattform unter Last einbricht, hilft das beste Audit nichts. Die Caching- und Skalierungsmöglichkeiten sind zwar vorhanden (Redis, Clustering etc.), aber sie erfordern Know-how, das nicht in jedem Unternehmen vorhanden ist.
Ein weiteres Thema ist die Sicherheit der Apps. Nextcloud lebt von seinem App-Ökosystem – Drittanbieter können Erweiterungen bereitstellen, die den Funktionsumfang massiv erweitern. Für TISAX-Instanzen ist das ein zweischneidiges Schwert. Jede zusätzliche App bedeutet neuen Code, der Sicherheitslücken enthalten kann. Wer eine zertifizierte Umgebung betreibt, sollte die installierten Apps genau prüfen und im Zweifelsfall auf ein Minimum reduzieren. Die Nextcloud-Community arbeitet an einem strengeren Review-Prozess, aber ganz unbedenklich ist das nicht.
Auch die Update-Politik von Nextcloud ist ein Punkt, der in Audits hinterfragt wird. Das Unternehmen veröffentlicht regelmässig neue Versionen, aber nicht alle Updates sind rückwärtskompatibel. Insider berichten von Fällen, in denen ein Update bestehende Integrationen zerstört hat – und das in einer Umgebung, die gerade das TISAX-Siegel tragen sollte. Man kann dem mit einer professionellen Test-Umgebung und einem Change-Management-Prozess begegnen, aber das muss man erst einmal implementieren. Nextcloud selbst bietet für Enterprise-Kunden Extended Support und LTS-Versionen an, die länger gewartet werden – das ist ein Weg, den viele gehen sollten.
Ein interessanter Aspekt, der in der Diskussion oft untergeht: TISAX deckt nicht alle Aspekte der modernen Bedrohungslandschaft ab. Ransomware-Angriffe oder Supply-Chain-Attacken werden nicht explizit behandelt. Ein zertifiziertes System ist darum kein Freifahrtschein; die kontinuierliche Sicherheitsarbeit bleibt notwendig. Nextcloud kann hier mit Funktionen wie Ransomware-Erkennung und Datei-Wiederherstellung aus Backups unterstützen, aber das muss alles konfiguriert und getestet sein.
Die Zukunft: Nextcloud Hub, KI und der Weg zur breiten Akzeptanz
Nextcloud entwickelt sich rasant weiter. Mit Version 30 (Stand Anfang 2025) hat die Plattform einige Neuerungen erhalten, die auch für TISAX-Anwender relevant sind. Dazu gehört eine verbesserte Dashboard-Integration, die einen Überblick über Sicherheitsstatus und Compliance-Vorgaben ermöglicht. Auch die Zusammenarbeit mit KI-Diensten wird vorangetrieben – Nextcloud arbeitet an einer lokalen KI-Integration, die ohne Cloud-Anbindung auskommt. Das ist für die Automobilindustrie interessant, denn sensitive Daten dürfen nicht an externe KI-API-Dienste gehen. Die Möglichkeit, Modelle lokal zu hosten, ist ein Vorteil, den die grossen US-Anbieter so nicht bieten.
Ein weiteres Feld ist die Integration von Tiny Tiny RSS oder anderen News-Feeds – das mag trivial klingen, zeigt aber, dass Nextcloud versucht, eine zentrale Plattform für alle digitalen Arbeitsabläufe zu werden. Ob das in einer TISAX-Umgebung gewünscht ist, muss jedes Unternehmen selbst entscheiden. Manchmal ist weniger mehr. Die Versuchung, alle möglichen Funktionen zu aktivieren, ist gross, aber aus Sicherheitsperspektive ist ein schlankes System oft besser.
Langfristig wird sich zeigen, ob TISAX als Standard bestehen bleibt oder durch europäische Regelungen wie den EU Cybersecurity Act abgelöst wird. Nextcloud hat sich strategisch gut positioniert, indem es nicht auf eine einzelne Zertifizierung setzt, sondern eine modulare Plattform bereitstellt, die an verschiedene Rahmenwerke anpassbar ist. Unternehmen, die heute in TISAX investieren, sollten darauf achten, dass ihr Setup auch für andere Standards (etwa BSI-Grundschutz oder ISO 27001) erweiterbar bleibt.
Fazit: Nextcloud mit TISAX – ein solider Weg, aber kein Selbstläufer
Nextcloud ist mehr als nur eine Dateiablage. Mit der Unterstützung für TISAX hat die Plattform einen wichtigen Schritt in Richtung Industriekompatibilität gemacht. Wer die Zertifizierung ernsthaft anstrebt, kommt jedoch um Arbeit nicht herum. Die Technik muss passen, die Prozesse müssen stimmen, und das Personal muss geschult sein. Ein TISAX-Siegel kaufen kann man nicht – es ist das Ergebnis einer gründlichen Auseinandersetzung mit Sicherheit und Risikomanagement.
Für all jene, die Datenhoheit und Unabhängigkeit von US-Konzernen schätzen, ist die Kombination Nextcloud plus TISAX eine der wenigen ernsthaften Optionen am Markt. Die Konkurrenz schläft nicht, aber Nextcloud hat durch seinen Open-Source-Ansatz und die enge Anbindung an die europäische Cloud-Community einen Vorsprung, den man nicht unterschätzen sollte. Allerdings sollte man auch realistisch sein: Ein TISAX-zertifiziertes Nextcloud-System ist keine Plug-and-Play-Lösung. Es erfordert Fachkräfte, Zeit und Geld. Für viele Unternehmen, die ohnehin schon in die Digitalisierung investieren, ist das ein lohnendes Projekt. Für andere mag der Weg über einen Managed Service Provider oder eine spezialisierte Cloud sinnvoller sein.
Abschliessend kann man sagen: Nextcloud hat sich seinen Platz in der TISAX-Landschaft erarbeitet – nicht durch Marketing, sondern durch technische Anpassungen und eine engagierte Community. Ob die Plattform in fünf Jahren noch genauso relevant sein wird, hängt von der weiteren Entwicklung der Sicherheitsanforderungen und der Fähigkeit der Entwickler ab, schnell auf neue Bedrohungen zu reagieren. Derzeit spricht vieles dafür, dass Nextcloud auch in der Industrie eine wachsende Rolle spielen wird. Einfach wird es nicht, aber das Gute daran: Wer den Aufwand scheut, ist vielleicht gar nicht bereit für die TISAX-Zertifizierung. Die Hürde ist auch ein Filter – für Seriosität.