Ein eigener Server, der Dienste wie Dropbox, OneDrive oder Google Drive überflüssig macht und daheim die eigene Datenhoheit ermöglicht, klingt verführerisch. Auch lässt sich ein Nextcloud-Server schnell und kostenlos aufsetzen. Mit dem Raspberry Pi 4 und seinen USB3.0 Schnittstellen, geht das sogar mit dem beliebten Bastelrechner und damit extrem preiswert. Schnelle DSL- oder sogar Glasfaser-Anbindungen daheim bringen heutzutage auch die notwendigen Bandbreiten mit und viele Netz-Provider bieten statische IPs an.
Auch ich hatte auf meinem Heimserver eine Nextcloud-Installation unter OMV (Open Media Vault) auf einem HP Microserver Gen 8 im Einsatz. Nun habe ich den Stecker gezogen und den Nextcloud-Dienst deaktiviert. Warum? Einmal ist der Einsatz eines eigenen Nextcloud-Servers für nur zwei Personen ein absoluter Overkill. Der Server will gepflegt und regelmäßig mit Updates versehen werden. Das ist essenziell wichtig. Dabei sind die Updates leider nicht mit einem einfachen Klick auf einen Button erledigt. Zumindest unter OMV muss man sich auf dem Server einloggen und zuerst eine .well-known Dateil verschieben, damit das Nextcloud-Update überhaupt startet.
Unter OMV klappt leider auch die automatische Erneuerung des Lets-Encrypt-Zertifikates nicht, sodass man dieses alle 3 Monate manuell anstoßen muss. Das ist alles in die Kategorie „nervig“ einordenbar, aber noch kein K.O.-Kriterium.
Heimserver als beliebtes Angriffsziel
Wirklich geschockt ist man aber, wenn man sich mal den fremden Traffic ansieht, der beim eigenen Nextcloud-Server anklopft. Mit einem nach außen erreichbaren Server am DSL-Anschluss ist man unter Dauerbeschuss. Die Anfälligkeit betrifft ja nicht nur den eigentlichen Nextcloud-Server, sondern auch die Infrastruktur dahinter. Sicherheitslücken in OMV, ein ungepatchter Linux-Server, auf dem Nextcloud läuft, oder einfach Sicherheitslücken durch zu geringe Absicherung, die meist von Unwissenheit rührt führen dazu, dass man ein beliebtes Ziel für Hacker wird.
Gerade ein Raspberry Pi verleitet schnell dazu, ihn nach außen zu öffnen, um irgendwelche Dienste freizugeben. Als sehr verbreitetes System ist er aber ein willkommener Angriffspunkt, nachdem das Internet automatisiert durchforstet wird und der das heimische Netzwerk sperrangelweit öffnen kann. Unter Umständen erlangen die Angreifer so auch Zugriff auf eine Smarthome-Steuerung etc.
Man muss sich bei einem eigenen Nextcloud-Server aber auch selbst um die regelmäßigen Backups kümmern und Ransomware-Angriffe zeigen, warum das kein Luxus, sondern absolute Mindestvoraussetzung ist. Das Problem sieht man an den noch immer regelmäßigen Hacks bei diversen NAS-Systemen. Es ist einfach keine gute Idee als Privatanwender einen öffentlich im Netz erreichbaren Server am DSL-Anschluss zu betreiben.
Nextcloud bei professionellen Hostern
Ich schätze das Risiko eines solchen Angriffs um Größenordnungen höher ein, als einen Dienst wie Google Drive zu nutzen. Zudem gibt es auch dedizierte Hoster, die Nextcloud-Server mit professioneller Betreuung und Sicherheitsmanagement anbieten, wie z. B. Pixelx. Bis 5 GB Speicherplatz bekommt man hier seinen privaten Nextcloud-Server sogar kostenlos. Die gesparte Zeit und Hardware kann man anders besser nutzen.
Man sollte schon wissen was man macht wenn meinen einen Linux Server betreibt. Auch sollte man Linux richtig absichern mit fail2ban, ufw etc. Dann ist man sicher im www. Ich betreibe seit 4 Jahren einen Rootserver wo mein Blog, Nextcloud und Emailserver drauf ist noch nie Probleme gehabt. Besuche von Bots etc. bekommt man immer mehr, mit jedem Tag, wo die IP bekannt ist im Netz. Die Nextcloud ist rein für mich alleine, habe keine anderen Nutzer, aber mache es trotzdem, denn ich möchte ungern meine Daten bei anderen Dienstleistern aus der USA oder sonst wo haben. Lohnt sich in… Weiterlesen »
Einfach Mal nachdenken. Wer einen Heimserver betreiben möchte und dieser von aussen auch erreichbar sein sollte, muss schon wissen was er tut. Gesunder Menschenverstand hilft da. Im Fall NC schon Mal an uns gedacht und das ganze dann IT ajent oder claudfare gepaart?
Ich laufe auch keinen ferrarienund Versuche selber die Software neu zu schreiben 😉
Das Zauberwort ist in diesem Fall VPN. entweder man setzt den auf seiner Fritte, auf einem PI dahinter .. etc .. auf und verbindet sich kurz darüber ins Heimnetz. Ergo keine Angriffe mehr, kein ungewollter traffic.
Ich finde es ist der falsche Weg von so etwas Tollem wie einer Nextcloudinstanz abzuraten, anstatt Fehlerquellen aufzuzeigen und einen Besseren Weg zu raten. Meine Meinung.
Natürlich ist VPN das Mittel der Wahl. Nur ist damit die erwartete Funktionalität, nämlich der Zugriff von überall z.B. per Webbrowser vom Arbeitsplatz nicht mehr gegeben.
Naja, allgemein sollte man den Zugriff auf das eigene Netz am besten nur über eigene Geräte machen, da man über sie auch die meiste Kontrolle hat. Meinen Firmenlaptop lasse ich soweit es geht erst gar nicht in mein Heimnetz. Und eigene Geräte lassen sich gut konfigurieren bei Bedarf das VPN zu aktivieren. Bei Firmengeräten hat man meistensNicht die nötigen Rechte dafür.
Ich gebe den anderen Kommentatoren Recht: Wer sich mit der Materie nicht befassen kann oder möchte, der ist einfach nicht die Zielgruppe für selbstgehostete Dienste.
Sehr gut.
Ich lache mir auch stets über die ins Fäustchen, die meinen, sie könnte so mehr Sicherheit erzeugen als professionelle Dienstleister.
Ich lache auch immer über die, die Datensicherheit und Datenschutz verwechseln. Aber egal…
Servus, also ich kann deinen Eintrag folgen, doch muss ich sagen, Updates und Software gehören einfach zusammen. Dass die Update Routine nicht ganz leicht ist, liegt daran, dass du deine Daten sicher nicht nach einem Update suchen oder wieder herstellen willst. Ich kann nur empfehlen, Nextcloud nicht im Container laufen zu lassen, da die Automatismen für Updates auf VMs ausgereifter sind. Was Fremdzugriffe angeht, tja dass ist eben so wenn Bots versuchen bekannte Schwachstellen auszunutzen.Ich gehe mal davon aus,dass sich keiner die Mühe macht deine Daten direkt angreifen zu wollen. Da sind Firmen glaube ich dad lohnendere Ziel. Ich habe… Weiterlesen »
Der Artikel ist eine gute Warnung an alle, die leichtfertig Ports freigeben und ich stimme dem ganzen im Grunde zu. Ich würde sogar soweit gehen, dass nicht technikaffine Menschen lieber auf Googledrive, iCloud und Konsorten setzen sollen. Mit 2FA und einem vernünftigen Passwort ist man da schon recht gut aufgestellt mit eventuellen Abstrichen beim Datenschutz. Ich habe zuhause kein einziges Gerät per Portfteigabe nach außen freigegeben. Für meine Daten nutze ich das Synology NAS, für Smart Home Dienste Home-Assistant. Wenn ich von außen darauf zugreifen möchte, dann geschieht das per VPN (der einzige Dienst neben SIP der durch die Fritzbox… Weiterlesen »
schöner artikel, ich bin it-systemadministrator, du sprichst mir aus der seele.
die meisten habe nicht mal wirklich von den themen ahnung um so ein system ordentlich zu administrieren.
Das mit den Angriffen ist übertrieben. Erreichbar ist nur der Webservice, der natürlich immer aktuell gepatcht sein muss. Geht auch automatisch.