Warum Nextcloud daheim eine schlechte Idee ist

2 Jahre lang hatte ich einen Nextcloud-Server unter Open Media Vault laufen. Nun habe ich ihn deaktiviert. Das sind meine Grรผnde.

Warum Nextcloud daheim eine schlechte Idee ist

Ein eigener Server, der Dienste wie Dropbox, OneDrive oder Google Drive รผberflรผssig macht und daheim die eigene Datenhoheit ermรถglicht, klingt verfรผhrerisch. Auch lรคsst sich ein Nextcloud-Server schnell und kostenlos aufsetzen. Mit dem Raspberry Pi 4 und seinen USB3.0 Schnittstellen, geht das sogar mit dem beliebten Bastelrechner und damit extrem preiswert. Schnelle DSL- oder sogar Glasfaser-Anbindungen daheim bringen heutzutage auch die notwendigen Bandbreiten mit und viele Netz-Provider bieten statische IPs an.

HP Proliant Microserver

Auch ich hatte auf meinem Heimserver eine Nextcloud-Installation unter OMV (Open Media Vault) auf einem HP Microserver Gen 8 im Einsatz. Nun habe ich den Stecker gezogen und den Nextcloud-Dienst deaktiviert. Warum? Einmal ist der Einsatz eines eigenen Nextcloud-Servers fรผr nur zwei Personen ein absoluter Overkill. Der Server will gepflegt und regelmรครŸig mit Updates versehen werden. Das ist essenziell wichtig. Dabei sind die Updates leider nicht mit einem einfachen Klick auf einen Button erledigt. Zumindest unter OMV muss man sich auf dem Server einloggen und zuerst eine .well-known Dateil verschieben, damit das Nextcloud-Update รผberhaupt startet.

Unter OMV klappt leider auch die automatische Erneuerung des Lets-Encrypt-Zertifikates nicht, sodass man dieses alle 3 Monate manuell anstoรŸen muss. Das ist alles in die Kategorie „nervig“ einordenbar, aber noch kein K.O.-Kriterium.

Heimserver als beliebtes Angriffsziel

Wirklich geschockt ist man aber, wenn man sich mal den fremden Traffic ansieht, der beim eigenen Nextcloud-Server anklopft. Mit einem nach auรŸen erreichbaren Server am DSL-Anschluss ist man unter Dauerbeschuss. Die Anfรคlligkeit betrifft ja nicht nur den eigentlichen Nextcloud-Server, sondern auch die Infrastruktur dahinter. Sicherheitslรผcken in OMV, ein ungepatchter Linux-Server, auf dem Nextcloud lรคuft, oder einfach Sicherheitslรผcken durch zu geringe Absicherung, die meist von Unwissenheit rรผhrt fรผhren dazu, dass man ein beliebtes Ziel fรผr Hacker wird.

Gerade ein Raspberry Pi verleitet schnell dazu, ihn nach auรŸen zu รถffnen, um irgendwelche Dienste freizugeben. Als sehr verbreitetes System ist er aber ein willkommener Angriffspunkt, nachdem das Internet automatisiert durchforstet wird und der das heimische Netzwerk sperrangelweit รถffnen kann. Unter Umstรคnden erlangen die Angreifer so auch Zugriff auf eine Smarthome-Steuerung etc.

Man muss sich bei einem eigenen Nextcloud-Server aber auch selbst um die regelmรครŸigen Backups kรผmmern und Ransomware-Angriffe zeigen, warum das kein Luxus, sondern absolute Mindestvoraussetzung ist. Das Problem sieht man an den noch immer regelmรครŸigen Hacks bei diversen NAS-Systemen. Es ist einfach keine gute Idee als Privatanwender einen รถffentlich im Netz erreichbaren Server am DSL-Anschluss zu betreiben.

Nextcloud bei professionellen Hostern

Ich schรคtze das Risiko eines solchen Angriffs um GrรถรŸenordnungen hรถher ein, als einen Dienst wie Google Drive zu nutzen. Zudem gibt es auch dedizierte Hoster, die Nextcloud-Server mit professioneller Betreuung und Sicherheitsmanagement anbieten, wie z. B. Pixelx. Bis 5 GB Speicherplatz bekommt man hier seinen privaten Nextcloud-Server sogar kostenlos. Die gesparte Zeit und Hardware kann man anders besser nutzen.

27 Antworten zu „Warum Nextcloud daheim eine schlechte Idee ist“

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht verรถffentlicht. Erforderliche Felder sind mit * markiert

  1. Ralf

    Ich betreibe seit vielen Jahren owncloud und spรคter Nextcloud auf eigener Hardware am hauseigenen Anschuss.
    Ich kann auch bestรคtigen dass inzwischen grundsรคtzlich alles was dauerhaft erreichbar รผber das Internet angeschlossen ist, ein potentiales Ziel fรผr Hacker darstellt. Das liegt in der Natur der Sache. Deshalb wรคre es gut wenn die Entwicklung der Software darauf ausgerichtet Anpassungen vornimmt die dieser Gefahr entgegenwirken. Ich bin mir sicher das Owncloud oder Nextcloud nicht als reine Provider Software entwickelt wurde. Ich glaube das ist ja schon im Namen erkennbar. Vielmehr soll diese an mรถglichst vielen unterschiedlichen privaten Anschlรผssen betrieben werden und damit die Unabhรคngigkeit der Datenhaltung fรผr den Benutzer ermรถglichen. Ich finde es sehr wichtig das dieses Ziel als Gegenpol zu dem Trend alle Daten auf Cloudspeicher weniger kommerzieller Anbieter zu verlagern weiterentwickelt wird.

  2. xident

    Ich betreibe meine Nextcloud Server seit 3 Jahren im eigenen Netzwerk. An einer 10GB Glasfaserleitung und einer OpenSource Firewall. Also bei mir laufen die Updates automatisch, mit kleine sh scripten und crontab -e. Das alles mit einem Reserveproxy, einigen webseiten, VCS und eigenem Mailserver. Die Firewall ist etwas extremer eingestellt, 3 mal falscher Login gibt eine einjรคhrige Sperre.

    Zudem sind alle Server mit ufw und fail2ban ausgestattet, wo nur die Ports offen sind die fรผr die Dienste notwendig sind. Das ganze lรคuft im Docker Swarm Modus. Klar sitze ich morgens vor den Logs und รผberfliege sie mal ob alles in Ordnung ist.

    Die Fritte ist mir zu offen, alleine schon das der Hersteller, der eine Backdoor hat. Widerspricht irgendwie der Datenhoheit ;). Eine Pi ist mir zu klein fรผr meine belange, aber mit raspbian oder ubuntu-server schon mal ein vernรผnftiges OS zur Verfรผgung.
    Ich habe die kleine Pi’s als ssh entry laufen fรผr den RDP Zugriff.

    Grundsรคtzlich lรคsst sich das ganze auch fรผr eine kleine eigene Cloud vernรผnftig absichern und extrem Wartungsarm betreiben.

  3. Z

    Ich muss dem Artikel voll widersprechen:
    1. Vor einem Webservice gehรถrt immer ein Reverse Proxy, z.B. Cloudflare
    – Komfortabel absicherbar, z.B. Captchas, wenn IP nicht aus DE. Blockt alles automatische ab.
    – Einmal eingestellt, fertig.
    2. Es muss lediglich ein Port am Router geรถffnet werden, der von Cloudflare รผber den Edge Cache lรคuft, z.B. 443, 2096, … fรผr HTTPS.
    3. Dynamic DNS ist dank der Cloudflare API kein Problem.
    4. Der Router lรคsst fรผr den Port nur Cloudflare IPs rein. Wenn ich Router meine, ist die „Fritte“ automatisch auรŸen vor. Bei IPv6 erรผbrigt sich das mit dem Port, da kein NAT.
    – Die Domain wird am DNS Server (Router oder besser Adguard, Pi-hole) auf die interne IP von Caddy umgeschrieben.
    5. Im LAN lauscht Caddy oder nginx oder meinetwegen auch Apache.
    – Voll automatisches SSL via Zero SSL oder Let’s Encrypt
    – Reverse Proxy vor Nextcloud
    – Hot Reload der Konfiguration (kann man schnell mal Logging umschalten zum Debuggen).
    6. Nextcloud lรคuft auf einer Linux Kiste als Snap oder als Container eines Service Mixes im Kubernetes oder Docker Swarm.

    Alles sicher und absolut wartungsfrei am eigenen Anschluss. Die abgewehrten „Angriffe“ kann man sich dann bei Cloudflare in den Security Events anschauen. Man sieht diverse Bots und Exploit Scans am Captcha abprallen. Am รถffentlichen Interface des Routers herrscht Totenstille.

    1. Damit beschreibst du exakt das Problem! Natรผrlich sind das die MaรŸnahmen, die man ergreifen muss. Der Normalanwender bรผgelt sich aber ein Nextcloud auf seinen Raspi oder NAS, freut sich รผber die eigene „Cloud“ und macht nichts von deinen MaรŸnahmen!

  4. peter

    Man muss nicht 24/7 von unterwegs auf alle seine Daten zugreifen.
    Die Nextcloud einfach hinter den Router hรคngen ohne Ports zu รถffnen. Synchronisiert wird sobald man im eigenen WLan ist.

    #Keep it simple

    1. Das hรคngt natรผrlich auch von den persรถnlichen Nutzungsanforderungen und das genannte Szenario macht Nextcloud eigentlich komplett รผberflรผssig. Ich muss hรคufig von einem externen Rechner auf meine Daten zugreifen.

  5. Agneth Herrmann

    Ich nutze Nextcloud in meiner Firma und bin sehr zufrieden. Ich benutze als Nextcloud-Hosting-Anbieter ocloud.de, da es sehr zuverlรคssig funktioniert und DSGVO konform ist und wir auf hohen Datenschutz angewiesen sind.

    1. Irene Lindemann

      Hallo Agenth
      ich finde ocloud.de auch gut, aber nextfiles.eu bietet kostenlosen Cloud-Speicher fรผr bis zu 50 GB an und ist ebenfalls ein deutscher Cloud-Hosting-Dienst. Ich nutze seit einiger Zeit die kostenlose Version des Dienstes und bin sehr zufrieden damit.
      LG

  6. fabian

    Ich bin im letztem Jahr aufgrund des Hochwassers in NRW vom eigenen Heimserver auf einen Dienstleister gewechselt. Bei einer solchen Katastrophen hilft auch jede VPN und Absicherung etc. nicht mehr, wenn der Server mit allen Familienfotos von den Wassermassen einfach weg gespรผlt wird.Gleiches gilt fรผr ein Wohnungsbrand etc. Mir ist bewusst, dass Google und co viele Daten sammeln, gleichzeitig muss man auch eingestehen wie gut diese Services funktionieren. Alleine Google Fotos hilft einem mit der automatischen Einteilung der Fotos nach gewissen Themen durch die 12.000 Fotos durchzublicken.

  7. Da bin ich Fan von

    Ich finde den Artikel gut, weil er sachlich ist. Der Autor ist offensichtlich jemand, der sich fรผr Technik interesssiert aber eben kein Vollzeit-System-Admin. Seine Argumente sind fรผr mich gut nachvollziehbar , ich kรคmpfe mit รคhnlichen Problemen. Seinen Verzicht gleich damit abzutun, dass man sich vorher รผberlegen soll, was man tut, finde ich wenig hilfreich.
    Der Autor sagt: „Ich habe es ausprobiert und es hat nicht so geklappt wie geplant“, ohne gleich eine Grundsatz-Diskussion vom Zaun zu brechen.
    Das finde ich gut ๐Ÿ™‚

    1. Stimmt, ich bin kein Vollzeit-Admin mehr ๐Ÿ™‚
      Mein Verstรคndnis in diesem Bereich ist aber noch ziemlich belastbar.

  8. Luki

    Danke fรผr die Risikoeinschรคtzung.
    Ich habe mir gerade ein NAS selbst aufgesetzt (ehem. WD MY Cloud Home mit Debian, SMB und Seafile). Ist schnell und verbraucht wenig Strom.
    Dank Fritzbox kann ich so „mittelbequem“ darauf zugreifen. Notebook und Handys kรถnnen sich zum Fritz VPN verbinden und dann auf den Server. Und nur das Fritzbox VPN ist im Netz exponiert. Ich gehe davon aus, dass AVM das sauber eingerichtet hat.
    Nun ist es aber nur so halb bequem. Einfacher, gerade fรผr das automatische Foto-Backup von Unterwegs wรคre aber ein direkter Zugriff.
    Nun spiele ich mit dem Gedanken Seafile + Nginx + SSL (self-signed) ins Internet zu hรคngen.
    Was muss ich beachten? Das Seafile + Nginx immer aktuell sind? Debian-Updates?
    Seafile muss leider manuell aktualisiert werden (Wie Nextcloud in Deinem Beispiel).
    Der Rest sollte sich doch bequem automatisieren lassen?
    Gibt es mit Heim-Routern Mรถglichkeiten dass der Server nicht auf die anderen Gerรคte im Heimnetz zugreifen kann?
    Das ist nรคmlich das nรคchste Risiko. Dass jemand erst den Server รผbernimmt und dann die andern Gerรคte im Netzwerk…

  9. Lars

    Man sollte schon wissen was man macht wenn meinen einen Linux Server betreibt. Auch sollte man Linux richtig absichern mit fail2ban, ufw etc. Dann ist man sicher im www.
    Ich betreibe seit 4 Jahren einen Rootserver wo mein Blog, Nextcloud und Emailserver drauf ist noch nie Probleme gehabt.

    Besuche von Bots etc. bekommt man immer mehr, mit jedem Tag, wo die IP bekannt ist im Netz.

    Die Nextcloud ist rein fรผr mich alleine, habe keine anderen Nutzer, aber mache es trotzdem, denn ich mรถchte ungern meine Daten bei anderen Dienstleistern aus der USA oder sonst wo haben. Lohnt sich in jedem Fall. Denn die Funktionalitรคt ist einfach top und bei keiner anderen cloud in dem MaรŸe vorhanden.

  10. Uwe

    Einfach Mal nachdenken. Wer einen Heimserver betreiben mรถchte und dieser von aussen auch erreichbar sein sollte, muss schon wissen was er tut. Gesunder Menschenverstand hilft da. Im Fall NC schon Mal an uns gedacht und das ganze dann IT ajent oder claudfare gepaart?

    Ich laufe auch keinen ferrarienund Versuche selber die Software neu zu schreiben ๐Ÿ˜‰

  11. frank

    Das Zauberwort ist in diesem Fall VPN. entweder man setzt den auf seiner Fritte, auf einem PI dahinter .. etc .. auf und verbindet sich kurz darรผber ins Heimnetz. Ergo keine Angriffe mehr, kein ungewollter traffic.
    Ich finde es ist der falsche Weg von so etwas Tollem wie einer Nextcloudinstanz abzuraten, anstatt Fehlerquellen aufzuzeigen und einen Besseren Weg zu raten. Meine Meinung.

    1. Natรผrlich ist VPN das Mittel der Wahl. Nur ist damit die erwartete Funktionalitรคt, nรคmlich der Zugriff von รผberall z.B. per Webbrowser vom Arbeitsplatz nicht mehr gegeben.

      1. traumtheater

        Naja, allgemein sollte man den Zugriff auf das eigene Netz am besten nur รผber eigene Gerรคte machen, da man รผber sie auch die meiste Kontrolle hat. Meinen Firmenlaptop lasse ich soweit es geht erst gar nicht in mein Heimnetz. Und eigene Gerรคte lassen sich gut konfigurieren bei Bedarf das VPN zu aktivieren. Bei Firmengerรคten hat man meistensNicht die nรถtigen Rechte dafรผr.
        Ich gebe den anderen Kommentatoren Recht: Wer sich mit der Materie nicht befassen kann oder mรถchte, der ist einfach nicht die Zielgruppe fรผr selbstgehostete Dienste.

    2. รผberbelichtet

      sehe ich auch so, wer hier sagt, so ein server wรคre komplett unsicher und dann auf google cloud als „sicher“ verweist, widerspricht sich schon selbst. wenn ihr computer zu hause einen trojaner hat, dann hilft auch keine absicherung von google in der cloud, dann kommt derjenige mit zugriff an ihre daten. und VPN macht die sache auch nicht unbedingt sicherer. gerade groรŸe anbieter wie google bieten hackern auch angriffsflรคche und sind ein viel beliebteres ziel als ihr winz server der zuhause noch hinter einer firewall hรคngt. wie gesagt, ist nach ihrer logik, jeder computer genauso gefรคhrdet und dann kรถnnte man auch gleich gar nicht mehr ins internet gehen, weil ja permanent hacker und botnetze รผberall alles nach sicherheitslรผcken abscannen. jede website wird heutzutage permanent angegriffen, aber nur ganz selten passiert etwas, da die skripte meistens nur darauf abzielen werbung oder scams automatisch zu schalten, nur ganz selten werden hacker auch wirklich aktiv und klauen daten oder versuchen manuell websiten zu umzubauen um an daten zu kommen oder wirtschaftliche schรคden anzurichten. in ihrem konkreten fall wรผrde wahrscheinlich gar nichts passieren, selbst wenn ihr server zu hause „gehackt“ wรผrde.

      hier pauschal von einem eigenen server abzuraten ist einfach unsinnig. ich betreibe seit jahren mehrere server im internet, die sich automatisch updaten und hatte noch nie ein problem. klar erfordert es zeit und ist im fall der fรคlle abzuwรคgen ob es sich lohnt, aber ihre pauschalaussage – eigene cloud „gefรคhrlich“ – google oder andere cloudserver „ungefรคhrlich“ ist vรถllig daneben, wenn man sich die ganzen datenschutzskandale der letzten jahre ansieht, welche externe groรŸe anbieter anging.

  12. Jรถrg

    Sehr gut.
    Ich lache mir auch stets รผber die ins Fรคustchen, die meinen, sie kรถnnte so mehr Sicherheit erzeugen als professionelle Dienstleister.

    1. Peter

      Ich lache auch immer รผber die, die Datensicherheit und Datenschutz verwechseln. Aber egal…

    2. Manu

      Auch der professionelle Dienstleister kocht nur mit Wasser. Letztlich stehen einem die gleichen Mittel zur Verfรผgung. Das zugrundeliegende Problem ist lediglich der (zeit)Aufwand. Die Horde an SysAdmins beim Dienstleister entgegen der eigenen Leistung macht da eben den Unterschied.

      1. Kann ich nicht bestรคtigen. Kompetenz und zusรคtzliche Systeme zur Absicherung und Monitoring sind sicher auch nicht zu vernachlรคssigen.

  13. Schmiddi

    Servus, also ich kann deinen Eintrag folgen, doch muss ich sagen, Updates und Software gehรถren einfach zusammen. Dass die Update Routine nicht ganz leicht ist, liegt daran, dass du deine Daten sicher nicht nach einem Update suchen oder wieder herstellen willst. Ich kann nur empfehlen, Nextcloud nicht im Container laufen zu lassen, da die Automatismen fรผr Updates auf VMs ausgereifter sind.
    Was Fremdzugriffe angeht, tja dass ist eben so wenn Bots versuchen bekannte Schwachstellen auszunutzen.Ich gehe mal davon aus,dass sich keiner die Mรผhe macht deine Daten direkt angreifen zu wollen. Da sind Firmen glaube ich dad lohnendere Ziel. Ich habe mit Owncloud angefangen und bin dann nach der Spaltung zu Nextcloud gegangen. Ich habe mein NAS stets vom Nextcloud getrennt gehalten, und meine „OnlineDaten“ (im Nextcloud) mit einer 2 stufigen BackupRoutine versehen, so dass im Falle eines Falles die Daten dennoch da sind. Weiterhin habe ich den Nextcloud Server gehรคrtet und dieser hat ebenfalls ein Security Monitoring, falls doch mal was passiert.
    Fazit, ja das ist alles Aufwand, doch Preis / Leistung stehen fรผr mich im Verhรคltnis, da meine Daten nur mir gehรถren ;-).

    Danke fรผr deinen Artikel

    Schmiddi

  14. traumtheater

    Der Artikel ist eine gute Warnung an alle, die leichtfertig Ports freigeben und ich stimme dem ganzen im Grunde zu. Ich wรผrde sogar soweit gehen, dass nicht technikaffine Menschen lieber auf Googledrive, iCloud und Konsorten setzen sollen. Mit 2FA und einem vernรผnftigen Passwort ist man da schon recht gut aufgestellt mit eventuellen Abstrichen beim Datenschutz.

    Ich habe zuhause kein einziges Gerรคt per Portfteigabe nach auรŸen freigegeben. Fรผr meine Daten nutze ich das Synology NAS, fรผr Smart Home Dienste Home-Assistant. Wenn ich von auรŸen darauf zugreifen mรถchte, dann geschieht das per VPN (der einzige Dienst neben SIP der durch die Fritzbox von auรŸen erreichbar ist, beides nicht vermeidbar). Das Handy wรคhlt sich dann immer automatisch ein und der รœbergang ist flieรŸend.
    (Sobald das passende Gateway im Haus ist, trenne ich das gesamte Heimnetz zusรคtzlich in separate VLANs auf (ein separates Gรคste-WLAN habe ich schon). Das reduziert den Schaden den eventuell kompromittierte Gerรคte verursachen kรถnnten zusรคtzlich.)

    Das Heim-VPN hat auch den Charm, dass ich bei Bedarf bedenkenlos im unverschlรผsselten Netzen surfen kann (was ich aber aus Prinzip zu vermeiden versuche).

    Das nur als Alternative neben dem selbst hosten und Ports freigeben.

    Disclaimer: Wir nutzen in der Familie auch zusรคtzlich die iCloud. In bestimmten Fรคllen kรถnnen sich die verschiedenen Mรถglichkeiten auch gut ergรคnzen.

  15. Michael

    schรถner artikel, ich bin it-systemadministrator, du sprichst mir aus der seele.
    die meisten habe nicht mal wirklich von den themen ahnung um so ein system ordentlich zu administrieren.

    1. unattended upragrades

      Das mit den Angriffen ist รผbertrieben. Erreichbar ist nur der Webservice, der natรผrlich immer aktuell gepatcht sein muss. Geht auch automatisch.