Warum Nextcloud daheim eine schlechte Idee ist
2 Jahre lang hatte ich einen Nextcloud-Server unter Open Media Vault laufen. Nun habe ich ihn deaktiviert. Das sind meine Gründe.
Bitte beachte: Dieser Beitrag ist mehr als 3 Jahre alt. Manche Links, Preise, Produkte und Aussagen sind vielleicht nicht mehr aktuell!
Ein eigener Server, der Dienste wie Dropbox, OneDrive oder Google Drive überflüssig macht und daheim die eigene Datenhoheit ermöglicht, klingt verführerisch. Auch lässt sich ein Nextcloud-Server schnell und kostenlos aufsetzen. Mit dem Raspberry Pi 4 und seinen USB3.0 Schnittstellen, geht das sogar mit dem beliebten Bastelrechner und damit extrem preiswert. Schnelle DSL- oder sogar Glasfaser-Anbindungen daheim bringen heutzutage auch die notwendigen Bandbreiten mit und viele Netz-Provider bieten statische IPs an.
Auch ich hatte auf meinem Heimserver eine Nextcloud-Installation unter OMV (Open Media Vault) auf einem HP Microserver Gen 8 im Einsatz. Nun habe ich den Stecker gezogen und den Nextcloud-Dienst deaktiviert. Warum? Einmal ist der Einsatz eines eigenen Nextcloud-Servers für nur zwei Personen ein absoluter Overkill. Der Server will gepflegt und regelmäßig mit Updates versehen werden. Das ist essenziell wichtig. Dabei sind die Updates leider nicht mit einem einfachen Klick auf einen Button erledigt. Zumindest unter OMV muss man sich auf dem Server einloggen und zuerst eine .well-known Dateil verschieben, damit das Nextcloud-Update überhaupt startet.
Unter OMV klappt leider auch die automatische Erneuerung des Lets-Encrypt-Zertifikates nicht, sodass man dieses alle 3 Monate manuell anstoßen muss. Das ist alles in die Kategorie „nervig“ einordenbar, aber noch kein K.O.-Kriterium.
Heimserver als beliebtes Angriffsziel
Wirklich geschockt ist man aber, wenn man sich mal den fremden Traffic ansieht, der beim eigenen Nextcloud-Server anklopft. Mit einem nach außen erreichbaren Server am DSL-Anschluss ist man unter Dauerbeschuss. Die Anfälligkeit betrifft ja nicht nur den eigentlichen Nextcloud-Server, sondern auch die Infrastruktur dahinter. Sicherheitslücken in OMV, ein ungepatchter Linux-Server, auf dem Nextcloud läuft, oder einfach Sicherheitslücken durch zu geringe Absicherung, die meist von Unwissenheit rührt führen dazu, dass man ein beliebtes Ziel für Hacker wird.
Gerade ein Raspberry Pi verleitet schnell dazu, ihn nach außen zu öffnen, um irgendwelche Dienste freizugeben. Als sehr verbreitetes System ist er aber ein willkommener Angriffspunkt, nachdem das Internet automatisiert durchforstet wird und der das heimische Netzwerk sperrangelweit öffnen kann. Unter Umständen erlangen die Angreifer so auch Zugriff auf eine Smarthome-Steuerung etc.
Der nachbelichtet-Newsletter
Alle Beiträge und exklusive Infos kostenlos per Mail erhalten - wie über 10.000 andere treue Leser!
Kein Spam - versprochen! Und du kannst dich jederzeit wieder abmelden!Man muss sich bei einem eigenen Nextcloud-Server aber auch selbst um die regelmäßigen Backups kümmern und Ransomware-Angriffe zeigen, warum das kein Luxus, sondern absolute Mindestvoraussetzung ist. Das Problem sieht man an den noch immer regelmäßigen Hacks bei diversen NAS-Systemen. Es ist einfach keine gute Idee als Privatanwender einen öffentlich im Netz erreichbaren Server am DSL-Anschluss zu betreiben.
Nextcloud bei professionellen Hostern
Ich schätze das Risiko eines solchen Angriffs um Größenordnungen höher ein, als einen Dienst wie Google Drive zu nutzen. Zudem gibt es auch dedizierte Hoster, die Nextcloud-Server mit professioneller Betreuung und Sicherheitsmanagement anbieten, wie z. B. Pixelx. Bis 5 GB Speicherplatz bekommt man hier seinen privaten Nextcloud-Server sogar kostenlos. Die gesparte Zeit und Hardware kann man anders besser nutzen.
Die mit Sternchen (*) gekennzeichneten Verweise sind sogenannte Provision-Links. Wenn du auf so einen Verweislink klickst und über diesen Link einkaufst, bekomme ich von deinem Einkauf eine Provision. Für dich verändert sich der Preis nicht und du unterstützt damit meine Arbeit. Preisänderungen und Irrtümer vorbehalten.
Ich muss dem Artikel voll widersprechen:
1. Vor einem Webservice gehört immer ein Reverse Proxy, z.B. Cloudflare
– Komfortabel absicherbar, z.B. Captchas, wenn IP nicht aus DE. Blockt alles automatische ab.
– Einmal eingestellt, fertig.
2. Es muss lediglich ein Port am Router geöffnet werden, der von Cloudflare über den Edge Cache läuft, z.B. 443, 2096, … für HTTPS.
3. Dynamic DNS ist dank der Cloudflare API kein Problem.
4. Der Router lässt für den Port nur Cloudflare IPs rein. Wenn ich Router meine, ist die „Fritte“ automatisch außen vor. Bei IPv6 erübrigt sich das mit dem Port, da kein NAT.
– Die Domain wird am DNS Server (Router oder besser Adguard, Pi-hole) auf die interne IP von Caddy umgeschrieben.
5. Im LAN lauscht Caddy oder nginx oder meinetwegen auch Apache.
– Voll automatisches SSL via Zero SSL oder Let’s Encrypt
– Reverse Proxy vor Nextcloud
– Hot Reload der Konfiguration (kann man schnell mal Logging umschalten zum Debuggen).
6. Nextcloud läuft auf einer Linux Kiste als Snap oder als Container eines Service Mixes im Kubernetes oder Docker Swarm.
Alles sicher und absolut wartungsfrei am eigenen Anschluss. Die abgewehrten „Angriffe“ kann man sich dann bei Cloudflare in den Security Events anschauen. Man sieht diverse Bots und Exploit Scans am Captcha abprallen. Am öffentlichen Interface des Routers herrscht Totenstille.
Damit beschreibst du exakt das Problem! Natürlich sind das die Maßnahmen, die man ergreifen muss. Der Normalanwender bügelt sich aber ein Nextcloud auf seinen Raspi oder NAS, freut sich über die eigene „Cloud“ und macht nichts von deinen Maßnahmen!
Man muss nicht 24/7 von unterwegs auf alle seine Daten zugreifen.
Die Nextcloud einfach hinter den Router hängen ohne Ports zu öffnen. Synchronisiert wird sobald man im eigenen WLan ist.
#Keep it simple
Das hängt natürlich auch von den persönlichen Nutzungsanforderungen und das genannte Szenario macht Nextcloud eigentlich komplett überflüssig. Ich muss häufig von einem externen Rechner auf meine Daten zugreifen.
Ich nutze Nextcloud in meiner Firma und bin sehr zufrieden. Ich benutze als Nextcloud-Hosting-Anbieter ocloud.de, da es sehr zuverlässig funktioniert und DSGVO konform ist und wir auf hohen Datenschutz angewiesen sind.
Hallo Agenth
ich finde ocloud.de auch gut, aber nextfiles.eu bietet kostenlosen Cloud-Speicher für bis zu 50 GB an und ist ebenfalls ein deutscher Cloud-Hosting-Dienst. Ich nutze seit einiger Zeit die kostenlose Version des Dienstes und bin sehr zufrieden damit.
LG
Ich bin im letztem Jahr aufgrund des Hochwassers in NRW vom eigenen Heimserver auf einen Dienstleister gewechselt. Bei einer solchen Katastrophen hilft auch jede VPN und Absicherung etc. nicht mehr, wenn der Server mit allen Familienfotos von den Wassermassen einfach weg gespült wird.Gleiches gilt für ein Wohnungsbrand etc. Mir ist bewusst, dass Google und co viele Daten sammeln, gleichzeitig muss man auch eingestehen wie gut diese Services funktionieren. Alleine Google Fotos hilft einem mit der automatischen Einteilung der Fotos nach gewissen Themen durch die 12.000 Fotos durchzublicken.
Ich finde den Artikel gut, weil er sachlich ist. Der Autor ist offensichtlich jemand, der sich für Technik interesssiert aber eben kein Vollzeit-System-Admin. Seine Argumente sind für mich gut nachvollziehbar , ich kämpfe mit ähnlichen Problemen. Seinen Verzicht gleich damit abzutun, dass man sich vorher überlegen soll, was man tut, finde ich wenig hilfreich.
Der Autor sagt: „Ich habe es ausprobiert und es hat nicht so geklappt wie geplant“, ohne gleich eine Grundsatz-Diskussion vom Zaun zu brechen.
Das finde ich gut 🙂
Stimmt, ich bin kein Vollzeit-Admin mehr 🙂
Mein Verständnis in diesem Bereich ist aber noch ziemlich belastbar.
Danke für die Risikoeinschätzung.
Ich habe mir gerade ein NAS selbst aufgesetzt (ehem. WD MY Cloud Home mit Debian, SMB und Seafile). Ist schnell und verbraucht wenig Strom.
Dank Fritzbox kann ich so „mittelbequem“ darauf zugreifen. Notebook und Handys können sich zum Fritz VPN verbinden und dann auf den Server. Und nur das Fritzbox VPN ist im Netz exponiert. Ich gehe davon aus, dass AVM das sauber eingerichtet hat.
Nun ist es aber nur so halb bequem. Einfacher, gerade für das automatische Foto-Backup von Unterwegs wäre aber ein direkter Zugriff.
Nun spiele ich mit dem Gedanken Seafile + Nginx + SSL (self-signed) ins Internet zu hängen.
Was muss ich beachten? Das Seafile + Nginx immer aktuell sind? Debian-Updates?
Seafile muss leider manuell aktualisiert werden (Wie Nextcloud in Deinem Beispiel).
Der Rest sollte sich doch bequem automatisieren lassen?
Gibt es mit Heim-Routern Möglichkeiten dass der Server nicht auf die anderen Geräte im Heimnetz zugreifen kann?
Das ist nämlich das nächste Risiko. Dass jemand erst den Server übernimmt und dann die andern Geräte im Netzwerk…
Man sollte schon wissen was man macht wenn meinen einen Linux Server betreibt. Auch sollte man Linux richtig absichern mit fail2ban, ufw etc. Dann ist man sicher im www.
Ich betreibe seit 4 Jahren einen Rootserver wo mein Blog, Nextcloud und Emailserver drauf ist noch nie Probleme gehabt.
Besuche von Bots etc. bekommt man immer mehr, mit jedem Tag, wo die IP bekannt ist im Netz.
Die Nextcloud ist rein für mich alleine, habe keine anderen Nutzer, aber mache es trotzdem, denn ich möchte ungern meine Daten bei anderen Dienstleistern aus der USA oder sonst wo haben. Lohnt sich in jedem Fall. Denn die Funktionalität ist einfach top und bei keiner anderen cloud in dem Maße vorhanden.
Einfach Mal nachdenken. Wer einen Heimserver betreiben möchte und dieser von aussen auch erreichbar sein sollte, muss schon wissen was er tut. Gesunder Menschenverstand hilft da. Im Fall NC schon Mal an uns gedacht und das ganze dann IT ajent oder claudfare gepaart?
Ich laufe auch keinen ferrarienund Versuche selber die Software neu zu schreiben 😉
Das Zauberwort ist in diesem Fall VPN. entweder man setzt den auf seiner Fritte, auf einem PI dahinter .. etc .. auf und verbindet sich kurz darüber ins Heimnetz. Ergo keine Angriffe mehr, kein ungewollter traffic.
Ich finde es ist der falsche Weg von so etwas Tollem wie einer Nextcloudinstanz abzuraten, anstatt Fehlerquellen aufzuzeigen und einen Besseren Weg zu raten. Meine Meinung.
Natürlich ist VPN das Mittel der Wahl. Nur ist damit die erwartete Funktionalität, nämlich der Zugriff von überall z.B. per Webbrowser vom Arbeitsplatz nicht mehr gegeben.
Naja, allgemein sollte man den Zugriff auf das eigene Netz am besten nur über eigene Geräte machen, da man über sie auch die meiste Kontrolle hat. Meinen Firmenlaptop lasse ich soweit es geht erst gar nicht in mein Heimnetz. Und eigene Geräte lassen sich gut konfigurieren bei Bedarf das VPN zu aktivieren. Bei Firmengeräten hat man meistensNicht die nötigen Rechte dafür.
Ich gebe den anderen Kommentatoren Recht: Wer sich mit der Materie nicht befassen kann oder möchte, der ist einfach nicht die Zielgruppe für selbstgehostete Dienste.
sehe ich auch so, wer hier sagt, so ein server wäre komplett unsicher und dann auf google cloud als „sicher“ verweist, widerspricht sich schon selbst. wenn ihr computer zu hause einen trojaner hat, dann hilft auch keine absicherung von google in der cloud, dann kommt derjenige mit zugriff an ihre daten. und VPN macht die sache auch nicht unbedingt sicherer. gerade große anbieter wie google bieten hackern auch angriffsfläche und sind ein viel beliebteres ziel als ihr winz server der zuhause noch hinter einer firewall hängt. wie gesagt, ist nach ihrer logik, jeder computer genauso gefährdet und dann könnte man auch gleich gar nicht mehr ins internet gehen, weil ja permanent hacker und botnetze überall alles nach sicherheitslücken abscannen. jede website wird heutzutage permanent angegriffen, aber nur ganz selten passiert etwas, da die skripte meistens nur darauf abzielen werbung oder scams automatisch zu schalten, nur ganz selten werden hacker auch wirklich aktiv und klauen daten oder versuchen manuell websiten zu umzubauen um an daten zu kommen oder wirtschaftliche schäden anzurichten. in ihrem konkreten fall würde wahrscheinlich gar nichts passieren, selbst wenn ihr server zu hause „gehackt“ würde.
hier pauschal von einem eigenen server abzuraten ist einfach unsinnig. ich betreibe seit jahren mehrere server im internet, die sich automatisch updaten und hatte noch nie ein problem. klar erfordert es zeit und ist im fall der fälle abzuwägen ob es sich lohnt, aber ihre pauschalaussage – eigene cloud „gefährlich“ – google oder andere cloudserver „ungefährlich“ ist völlig daneben, wenn man sich die ganzen datenschutzskandale der letzten jahre ansieht, welche externe große anbieter anging.
Sehr gut.
Ich lache mir auch stets über die ins Fäustchen, die meinen, sie könnte so mehr Sicherheit erzeugen als professionelle Dienstleister.
Ich lache auch immer über die, die Datensicherheit und Datenschutz verwechseln. Aber egal…
Auch der professionelle Dienstleister kocht nur mit Wasser. Letztlich stehen einem die gleichen Mittel zur Verfügung. Das zugrundeliegende Problem ist lediglich der (zeit)Aufwand. Die Horde an SysAdmins beim Dienstleister entgegen der eigenen Leistung macht da eben den Unterschied.
Kann ich nicht bestätigen. Kompetenz und zusätzliche Systeme zur Absicherung und Monitoring sind sicher auch nicht zu vernachlässigen.
Servus, also ich kann deinen Eintrag folgen, doch muss ich sagen, Updates und Software gehören einfach zusammen. Dass die Update Routine nicht ganz leicht ist, liegt daran, dass du deine Daten sicher nicht nach einem Update suchen oder wieder herstellen willst. Ich kann nur empfehlen, Nextcloud nicht im Container laufen zu lassen, da die Automatismen für Updates auf VMs ausgereifter sind.
Was Fremdzugriffe angeht, tja dass ist eben so wenn Bots versuchen bekannte Schwachstellen auszunutzen.Ich gehe mal davon aus,dass sich keiner die Mühe macht deine Daten direkt angreifen zu wollen. Da sind Firmen glaube ich dad lohnendere Ziel. Ich habe mit Owncloud angefangen und bin dann nach der Spaltung zu Nextcloud gegangen. Ich habe mein NAS stets vom Nextcloud getrennt gehalten, und meine „OnlineDaten“ (im Nextcloud) mit einer 2 stufigen BackupRoutine versehen, so dass im Falle eines Falles die Daten dennoch da sind. Weiterhin habe ich den Nextcloud Server gehärtet und dieser hat ebenfalls ein Security Monitoring, falls doch mal was passiert.
Fazit, ja das ist alles Aufwand, doch Preis / Leistung stehen für mich im Verhältnis, da meine Daten nur mir gehören ;-).
Danke für deinen Artikel
Schmiddi
Der Artikel ist eine gute Warnung an alle, die leichtfertig Ports freigeben und ich stimme dem ganzen im Grunde zu. Ich würde sogar soweit gehen, dass nicht technikaffine Menschen lieber auf Googledrive, iCloud und Konsorten setzen sollen. Mit 2FA und einem vernünftigen Passwort ist man da schon recht gut aufgestellt mit eventuellen Abstrichen beim Datenschutz.
Ich habe zuhause kein einziges Gerät per Portfteigabe nach außen freigegeben. Für meine Daten nutze ich das Synology NAS, für Smart Home Dienste Home-Assistant. Wenn ich von außen darauf zugreifen möchte, dann geschieht das per VPN (der einzige Dienst neben SIP der durch die Fritzbox von außen erreichbar ist, beides nicht vermeidbar). Das Handy wählt sich dann immer automatisch ein und der Übergang ist fließend.
(Sobald das passende Gateway im Haus ist, trenne ich das gesamte Heimnetz zusätzlich in separate VLANs auf (ein separates Gäste-WLAN habe ich schon). Das reduziert den Schaden den eventuell kompromittierte Geräte verursachen könnten zusätzlich.)
Das Heim-VPN hat auch den Charm, dass ich bei Bedarf bedenkenlos im unverschlüsselten Netzen surfen kann (was ich aber aus Prinzip zu vermeiden versuche).
Das nur als Alternative neben dem selbst hosten und Ports freigeben.
Disclaimer: Wir nutzen in der Familie auch zusätzlich die iCloud. In bestimmten Fällen können sich die verschiedenen Möglichkeiten auch gut ergänzen.
schöner artikel, ich bin it-systemadministrator, du sprichst mir aus der seele.
die meisten habe nicht mal wirklich von den themen ahnung um so ein system ordentlich zu administrieren.
Das mit den Angriffen ist übertrieben. Erreichbar ist nur der Webservice, der natürlich immer aktuell gepatcht sein muss. Geht auch automatisch.