Nextcloud und die Illusion der sicheren Cloud: Ein Plädoyer für mehr als nur Verschlüsselung
Wenn man heute über datensouveräne Cloud-Lösungen spricht, fällt unweigerlich der Name Nextcloud. Die Open-Source-Plattform hat sich in den vergangenen Jahren zum Synonym für selbstbestimmtes File-Sharing und kollaboratives Arbeiten entwickelt – jenseits der amerikanischen Hyperscaler. Aber so sehr die Community und zahlreiche Unternehmen auf die Software schwören: Sicherheit ist kein Feature, das man einfach per Update nachreicht. Sie ist ein ständiger Balanceakt zwischen Benutzerfreundlichkeit, technischer Tiefe und organisatorischer Disziplin. Und genau daran scheitern viele Nextcloud-Installationen, vor allem in mittelständischen Umgebungen. Nicht an der Software selbst, sondern an den Rahmenbedingungen, die Administratoren schaffen – oder eben nicht.
Dabei zeigt sich ein wiederkehrendes Muster: Nextcloud wird installiert, schnell konfiguriert, und dann heißt es „Cloud fertig“. Doch Sicherheit ist kein Ziel, sondern ein Prozess. Und dieser Prozess beginnt lange vor dem ersten Login. Wer Nextcloud als Dropbox-Ersatz betrachtet, tut der Plattform unrecht – aber auch sich selbst, denn die eigentliche Stärke von Nextcloud liegt in der Kontrolle über die Daten und der Fähigkeit, Sicherheitsrichtlinien granular abzubilden. Leider wird dieses Potenzial viel zu oft verschenkt.
Die Grundlagen: Wo Nextcloud sicher ist – und wo nicht
Nextcloud ist in seiner Architektur darauf ausgelegt, sensible Daten zu schützen. Die serverseitige Verschlüsselung, die Möglichkeit zur Ende-zu-Ende-Verschlüsselung (E2EE) und die Integration von Hardware-Sicherheitsmodulen sind echte Alleinstellungsmerkmale. Doch die Frage ist nicht, was Nextcloud kann, sondern wie diese Werkzeuge eingesetzt werden. Ein interessanter Aspekt ist etwa das Dateisystem: Nextcloud speichert die Daten standardmäßig auf dem Server und nutzt normales Dateisystem, wenn keine Verschlüsselung aktiviert ist. Wer also glaubt, dass die reine Installation schon Sicherheit garantiert, irrt.
Ein Beispiel aus der Praxis: Viele Adminstratoren aktivieren die serverseitige Verschlüsselung, weil sie glauben, damit alle Bedrohungen abzudecken. Was sie übersehen: Die Verschlüsselung schützt im Wesentlichen vor physischem Zugriff auf die Festplatten, nicht aber vor Angriffen auf laufende Prozesse. Wenn ein Angreifer die Berechtigungen des Nextcloud-Applikationsservers übernimmt, hat er im Klartext Zugriff – denn die Entschlüsselung erfolgt im Arbeitsspeicher. Das ist kein spezifisches Nextcloud-Problem, sondern ein generelles Dilemma serverseitiger Verschlüsselung. Trotzdem wird es oft nicht bedacht.
Nextcloud selbst bietet hier zwar Abhilfe durch E2EE, aber die ist nicht für alle Nutzungsszenarien praktikabel: Sie erfordert Client-seitige Schlüsselverwaltung, schränkt die Volltextsuche ein und macht Kollaboration komplizierter. Der Admin steht also vor der klassischen Abwägung zwischen Sicherheit und Komfort. Eine pauschale Lösung gibt es nicht. Das muss man akzeptieren.
Ende-zu-Ende-Verschlüsselung: starkes Werkzeug, aber kein Allheilmittel
Die Ende-zu-Ende-Verschlüsselung in Nextcloud ist technisch ausgereift: Sie basiert auf dem ECDH-Schlüsselaustausch, jeder Benutzer besitzt ein Schlüsselpaar, und die Dateien werden vor dem Hochladen clientseitig verschlüsselt. Der Server hat nie Zugriff auf die Inhalte. Das klingt nach Paradies für Datenschützer. Und für bestimmte Anwendungsfälle, etwa in Rechtsanwaltskanzleien oder bei medizinischen Dokumenten, ist das der einzig gangbare Weg.
Allerdings: E2EE ist kein Selbstläufer. Der Administrator muss den Auslieferungsmechanismus der Schlüssel sicher gestalten. Wenn der private Schlüssel des Benutzers auf dem Server gespeichert wird – was bei Nextcloud standardmäßig passiert, wenn kein externer Schlüsselserver angebunden ist – dann ist das Ende-zu-Ende-Prinzip faktisch ausgehebelt. Der Server hat dann zwar nicht den Klartext der Dateien, aber den Schlüssel. Und das ist, gelinde gesagt, suboptimal. Die Nextcloud-Dokumentation weist darauf hin, aber viele Betreiber ignorieren es, weil sie den Aufwand scheuen, einen eigenen Schlüsselserver zu hosten.
Ein weiterer Punkt: Die Performanceneinbußen durch E2EE sind nicht zu unterschätzen. Dateien müssen vor dem Upload ver- und nach dem Download entschlüsselt werden. Bei großen Dateien oder vielen Benutzern kann das die Nutzererfahrung massiv beeinträchtigen. Ich habe Fälle gesehen, in denen Unternehmen die E2EE nach kurzer Testphase wieder deaktiviert haben, weil die Mitarbeiter sich über zu lange Ladezeiten beschwerten. Das ist kein Versagen von Nextcloud, sondern ein Zeichen dafür, dass Sicherheitsmaßnahmen immer auch die Akzeptanz der Nutzer berücksichtigen müssen.
Authentifizierung: Mehr als nur Passwort und PIN
Nextcloud bietet eine Reihe von Authentifizierungsmechanismen – von LDAP/Active Directory über SAML bis zu OpenID Connect. Das ist Fluch und Segen zugleich. Fluch, weil die Konfiguration nicht trivial ist. Segen, weil sich die Plattform nahtlos in bestehende Identity-Management-Landschaften integrieren lässt. In der Praxis sieht man oft, dass Unternehmen eine reine Passwort-Anmeldung verwenden, ohne Multi-Faktor-Authentifizierung (MFA). Dabei unterstützt Nextcloud MFA über TOTP, U2F-FIDO2 oder WebAuthn – und das sogar sehr gut.
Ein interessanter Aspekt ist die Integration von Hardware-Sicherheitsschlüsseln. Wer auf einen YubiKey oder ähnliche Token setzt, kann die Sicherheit enorm erhöhen. Leider scheitert die Umsetzung oft an der Benutzerfreundlichkeit: Die Anmeldung wird umständlicher, und Helpdesks werden mit vergessenen oder verlorenen Schlüsseln überflutet. Die Kunst liegt darin, MFA für sensible Bereiche zu erzwingen (etwa Admin-Zugänge oder externe Freigaben) und für normale Dateioperationen optional zu lassen. Das lässt sich mit den Richtlinien von Nextcloud gut abbilden, erfordert aber ein durchdachtes Rollenkonzept.
Nicht zuletzt sollte man die Session-Verwaltung im Auge behalten. Standardmäßig bleiben Benutzer über Browser-Tabs hinweg angemeldet, solange das Session-Cookie gültig ist. Werden Geräte nicht ordnungsgemäß abgemeldet, kann ein Angreifer mit physischem Zugriff auf den Rechner noch Stunden später auf die Daten zugreifen. Nextcloud erlaubt es, Sessions über die App-Administration zu beenden, aber das muss der Admin auch tun – und vorher die nötigen Logs auswerten.
Compliance und DSGVO: Die Verantwortung liegt beim Betreiber
Ein häufiges Missverständnis: Nextcloud sei „DSGVO-konform“ und man müsse sich um nichts mehr kümmern. Das stimmt so nicht. Nextcloud stellt die Werkzeuge zur Verfügung – aber die Konformität herzustellen, ist Aufgabe des Betreibers. Dazu gehören: Protokollierung von Zugriffen, Sicherstellung der Löschfristen, Verschlüsselung am Ruhezustand und bei der Übertragung, Pseudonymisierung von Logdaten und natürlich ein Auftragsverarbeitungsvertrag, wenn Nextcloud im Unternehmen gehostet wird.
Nextcloud bietet hier Funktionen wie den Data-Retention-Scheduler, mit dem sich Dateien nach Ablauf einer Frist automatisch löschen lassen. Oder das Audit-Protokoll, das alle Aktionen der Benutzer und Administratoren aufzeichnet. Aber viele dieser Funktionen sind standardmäßig deaktiviert oder müssen erst feinjustiert werden. Ein Auditor, der eine Nextcloud-Instanz prüft, wird ziemlich sicher fragen: „Wo sind Ihre Logs? Wie lange werden sie gespeichert? Haben Sie ein Konzept für die Datensicherung?“ Wer dann mit den Schultern zuckt, hat ein Problem – nicht mit Nextcloud, sondern mit der eigenen Sorgfalt.
Ein weiterer Punkt ist die Datenhoheit bei der Speicherwahl. Nextcloud unterstützt S3-kompatible Objektspeicher, etwa von Wasabi, Backblaze oder auch selbstgehostet mit MinIO. Wer einen amerikanischen S3-Anbieter wählt, sollte sich bewusst sein, dass der CLOUD Act die US-Behörden berechtigt, auf die dort gespeicherten Daten zuzugreifen – selbst wenn der Server in Europa steht. Technisch lässt sich das abfedern, indem man die clientseitige Verschlüsselung nutzt. Aber viele Betreiber stellen sich diese Frage nicht, bis es zu spät ist.
Update-Management: Der schmale Grat zwischen Stabilität und Sicherheit
Nextcloud veröffentlicht regelmäßig Sicherheitsupdates, oft mit einer hohen Kritikalitätseinstufung. Wer sein System nicht auf dem neuesten Stand hält, riskiert Datenlecks. Klingt banal? Ist es auch. Dennoch begegnen mir immer wieder Unternehmen, die Nextcloud-Instanzen betreiben, die ein Jahr oder älter sind – aus Angst vor Breaking Changes oder weil der Administrator keine Zeit für ein Upgrade findet.
Ein wichtiger Hinweis: Nextcloud springt in der Versionierung nach dem Major.Minor.Patch-Prinzip. Sicherheitspatches werden oft nur für die aktuellste Minor-Version eines Major-Releases ausgeliefert. Wer also auf Nextcloud 27.0.x hängt, während 28.0.x und 29.0.x mit Sicherheitsfixes versorgt werden, kriegt keine Patches mehr. Das ist ärgerlich, aber nachvollziehbar: Der Aufwand, ältere Versionen zu supporten, wäre immens. Also muss der Administrator regelmäßig Major-Upgrades durchführen – und das tut weh, denn sie erfordern oft Anpassungen in der Konfiguration oder bei Apps.
Wie geht man damit um? Am besten durch eine Testinstanz, auf der Updates vor dem Rollout auf die Produktion geprüft werden. Viele Admins scheuen den Aufwand, aber er ist unerlässlich. Und: Nextcloud bietet seit einiger Zeit das sogenannte „Rollback“-Feature in der Enterprise-Version an, das bei fehlgeschlagenen Updates eine Rückkehr zum vorherigen Zustand erlaubt. Die Community-Edition muss sich mit Sicherungspunkten behelfen. Ein Backup des Datenverzeichnisses und der Datenbank vor jedem Update ist das absolute Minimum – und trotzdem wird es oft vernachlässigt.
Härtung des Servers: Mehr als nur die Nextcloud-Konfiguration
Nextcloud selbst ist nur eine Schicht im Sicherheitsmodell. Der darunterliegende Server – meist ein Linux-System – muss gehärtet sein. Dazu gehört die Absicherung des Webservers (Apache oder Nginx), die Konfiguration von HTTPS mit aktuellen TLS-Versionen, die Aktivierung von Sicherheits-Headern wie Content-Security-Policy oder X-Frame-Options und die Trennung der Nextcloud-Instanz von anderen Diensten auf demselben Host.
Ein häufiger Fehler: Nextcloud wird auf einem Server betrieben, auf dem auch andere Webanwendungen laufen, etwa ein Wiki oder ein Ticketsystem. Wenn eine dieser Anwendungen kompromittiert wird, kann der Angreifer auf die Nextcloud-Daten zugreifen, indem er die Dateiberechtigungen ausnutzt oder die gemeinsame Datenbankinfrastruktur attackiert. Besser ist eine dedizierte VM oder ein Container mit minimalen Berechtigungen. Nextcloud selbst liefert hier mit dem Docker-Image eine gute Grundlage, aber die Container müssen ebenfalls gehärtet werden – nicht einfach Standard-Image hochziehen und loslegen.
Ein anderer Punkt ist die Verwendung von Redis oder Memcached für Caching und Locking. Diese Dienste werden oft ohne Authentifizierung betrieben, weil sie nur lokal laufen. Doch wenn ein Angreifer erst einmal auf dem Server ist, kann er über den Redis-Port auf sensible Daten zugreifen, etwa auf Sessions oder Dateisperren. Nextcloud unterstützt Redis-Passwörter, und die sollte man zwingend setzen. Klingt nach Selbstverständlichkeit, wird aber in vielen Installationen vergessen.
Nicht zu vergessen: Die Datenbank – ob PostgreSQL, MySQL oder MariaDB. Sie sollte nicht auf demselben Host wie der Webserver laufen, wenn es die Infrastruktur hergibt. Und die Datenbankverbindung muss abgesichert sein: TLS für die Client-Server-Kommunikation, keine unsicheren Authentifizierungsmethoden, regelmäßige Backups. Nextcloud selbst speichert Metadaten in der Datenbank – Dateinamen, Freigaben, Benutzerlisten – die unter Umständen bereits sensible Informationen enthalten. Die reine Dateiverschlüsselung schützt nicht vor dem Auslesen der Metadaten, wenn die Datenbank kompromittiert ist.
Überwachung und Auditing: Den blinden Fleck beleuchten
Sicherheitsmaßnahmen nützen wenig, wenn man nicht sieht, ob sie greifen. Nextcloud hat ein eingebautes Audit-Log, das alle relevanten Aktionen protokolliert: Datei-Uploads, Löschungen, Freigaben, Login-Versuche, Admin-Aktionen. Dieses Log sollte zentral gesammelt und ausgewertet werden – etwa über einen SIEM-Connector oder einfach per Syslog-Weiterleitung an einen Log-Manager.
Was viele nicht beachten: Das Audit-Log selbst muss geschützt werden. Wenn ein Angreifer die Kontrolle über den Nextcloud-Server erlangt, kann er auch die Logs löschen, um Spuren zu verwischen. Deshalb sollten Logs parallel auf einen separaten, nicht erreichbaren Log-Server geschrieben werden. Nextcloud unterstützt das Senden von Logs über syslog, aber die Konfiguration ist nicht immer intuitv – ein Grund mehr, sie sorgfältig zu dokumentieren.
Ein weiterer Aspekt: Die Überwachung der Systemressourcen. Sind die CPU-Last oder der Speicherverbrauch ungewöhnlich hoch? Das können Anzeichen für einen Crypto-Miner oder eine Brute-Force-Attacke sein. Nextcloud selbst gibt in den Einstellungen Hinweise auf offene Sicherheitslücken (etwa über den „Security & Setup Warnings“-Bereich), aber die müssen regelmäßig gelesen werden. Eine automatisierte Benachrichtigung bei neuen Warnungen wäre wünschenswert – bis dahin bleibt nur der manuelle Blick.
Besondere Bedrohungen und Gegenmaßnahmen
Nextcloud-Instanzen sind ein beliebtes Ziel für Angreifer, gerade weil sie oft von weniger erfahrenen Administratoren betrieben werden. Brute-Force-Angriffe auf die Login-Seite sind an der Tagesordnung. Nextcloud bietet hier eine integrierte Rate-Limiting-Funktion (über die „brute_force_protection“), die nach mehreren Fehlversuchen die IP-Adresse temporär sperrt. Standardmäßig ist sie aktiviert, aber die Schwelle ist recht hoch. Man kann sie anpassen – und sollte es auch tun.
Eine weitere Gefahr: Schadcode in hochgeladenen Dateien. Nextcloud führt keine Virenprüfung standardmäßig durch. Wer Dateien von externen Nutzern erhält, sollte eine Antiviren-App wie ClamAV integrieren. Nextcloud bietet dafür eine offizielle App, aber die Konfiguration ist nicht trivial: Der ClamAV-Daemon muss auf dem Server laufen und die App benötigt eine ausreichende Leistung, um Dateien beim Upload zu scannen. Bei vielen kleinen Dateien kann das den Dienst verlangsamen. Ein Kompromiss: Nur bestimmte Dateitypen oder Upload-Ordner scannen.
Die Freigabe von Dateien über öffentliche Links ist ein weiteres Sicherheitsrisiko. Standardmäßig können Benutzer solche Links erstellen – mit oder ohne Passwort, mit Ablaufdatum. Das ist praktisch, aber auch gefährlich, wenn unbedarfte Mitarbeiter sensible Daten über ungeschützte Links teilen. Nextcloud erlaubt es, als Administrator solche Freigaben einzuschränken: etwa indem man Passwortschutz erzwingt oder die maximale Gültigkeitsdauer auf 24 Stunden setzt. Viele Unternehmen nutzen diese Optionen nicht, weil sie die Einstellungen nicht kennen. Dabei sind sie essenziell, um die Kontrolle zu behalten.
Das große Ganze: Prozesse, nicht Technik
Nach all den technischen Details: Am Ende entscheidet die Organisation über die Sicherheit. Eine perfekt gehärtete Nextcloud-Instanz nützt nichts, wenn Mitarbeiter ihre Passwörter auf Post-its notieren oder Administratoren Standardzugänge verwenden. Nextcloud ist ein Werkzeug – und Werkzeuge können richtig oder falsch eingesetzt werden. Der reflektierte Entscheider wird sich daher nicht nur mit den technischen Möglichkeiten beschäftigen, sondern auch mit den Abläufen drumherum:
Wer hat Zugriff auf die Server? Wie werden Berechtigungen vergeben und regelmäßig reviewed? Wie wird mit Sicherheitsvorfällen umgegangen? Gibt es ein Incident-Response-Team? Das sind Fragen, die weit über Nextcloud hinausgehen, aber die Antworten bestimmen maßgeblich das Risiko.
Ein interessanter Ansatz, den ich in letzter Zeit häufiger sehe: Unternehmen setzen Nextcloud als Teil einer Zero-Trust-Architektur ein. Das bedeutet, dass jeder Zugriff auf Daten unabhängig vom Standort des Nutzers streng authentifiziert und autorisiert wird. Nextcloud kann dabei eine Rolle spielen, indem es die Integration mit Identity-Providern und die Unterstützung von Signed-URLs oder Token-basierten Freigaben bietet. Aber auch hier gilt: Das Konzept muss von Anfang an mitgedacht werden, nicht als nachträglicher Kleister.
Ein leiser Kritikpunkt an Nextcloud selbst: Die Update-Politik für die Community-Edition ist etwas hektisch. Manchmal erscheinen Patches mit hoher Dringlichkeit, aber die Dokumentation hinkt hinterher. Der Administrator muss also selbst aktiv bleiben – und das kostet Zeit, die in vielen IT-Abteilungen knapp ist. Hier wünschte man sich mehr Langfristigkeit, etwa LTS-Versionen mit verlängertem Support. Die Enterprise-Edition bietet das, aber nicht jeder kann oder will das Budget dafür aufbringen.
Fazit: Sicherheit ist ein Prozess, kein Produkt
Nextcloud ist eine der ausgreifsten Open-Source-Plattformen für datensouveränes Cloud-Management. Ihre Sicherheitsfunktionen sind umfangreich, aber sie verlangen dem Betreiber einiges ab. Wer die Werkzeuge nicht nutzt oder falsch konfiguriert, kann sich nicht auf die Software verlassen – der Fehler liegt dann im eigenen Haus. Der Schlüssel liegt in der Kombination aus technischer Härtung, regelmäßigen Updates, durchdachten Authentifizierungsmechanismen und einem klaren Sicherheitskonzept, das die Prozesse rund um die Cloud abdeckt.
Es wäre vermessen zu behaupten, Nextcloud mache jede IT-Sicherheitsabteilung überflüssig. Im Gegenteil: Sie fordert sie heraus. Aber wer die Herausforderung annimmt, wird mit einer Plattform belohnt, die in puncto Datenkontrolle und Flexibilität ihresgleichen sucht. Die Frage ist nicht „Ist Nextcloud sicher?“, sondern „Wie sicher betreiben wir unsere Nextcloud?“. Und die Antwort darauf liegt in den Händen der Administratoren und Entscheider – nicht im Code.