Ist nextcloud sicher für private Daten?

  • Hallo Zusammen,


    momentan nutze ich Google Drive für meine Daten/Unterlagen. Ich habe allerdings auch nextcloud auf dem Webhosting Paket am Laufen und überlege zu wechseln.

    Mein nextcloud ist auf dem aktuellsten Stand und erhält vom nextcloud scan ein A+ (scan.nextcloud.com). Hinzu läuft ein lets encrypt mit der Bewertung A+ (https://www.ssllabs.com/ssltest/) und 2Factor sowie server-side-encryption ist aktiv.


    Sollte die Nextcloud dann so sicher wie Google Drive sein?

  • Sollte die Nextcloud dann so sicher wie Google Drive sein?

    Die unspektakuläre Antwort: Man kann es nicht so einfach sagen.


    Onlinescanner haben immer nur eine sehr eingeschränkte Möglichkeit, Sicherheit zu bewerten. SSL Labs bewertet bspw. nur die Sicherheit der transportierten Daten zwischen deinem Client und dem Server. Es kann aber an vielen anderen Stellen Sicherheitslücken und Schwachstellen geben. Und du musst beachten, dass Sicherheit kein permanenter Zustand, sondern ein kontinuierlicher Prozess ist. Du solltest also dein System stets aktuell halten.


    Weitere Sicherheit bekommst du, wenn du clientseitig ver- und entschlüsselst (Ende-zu-Ende-Verschlüsselung). So liegen auf deiner Nextcloud nur verschlüsselte Daten, selbst wenn die serverseitige Verschlüsselung versagt.

  • Kommt immer drauf an vor was du deine Daten sichern willst.

    Wenn du wirklich sicher sein willst sind deine Daten verschlüsselt - durchgehend - und nur du hast das Passwort dazu.

    Selbstverständlich wirst du diese Daten dann nur öffnen in einer frisch gebooteten Live-Maschine deren Programmcode du komplett kennst...


    Also kurzum: Die Frage ist immer vor wem oder vor was du deine Daten sichern willst.

    Sind deine Daten auf einem eigenen Server der nach stand der Technik abgesichert ist vor jedermann sicher: Ja

    Sind sie sicher vor einem Mitarbeiter von netcup: Eher nein

  • Danke für Eure Nachrichten. Ich möchte auf nextcloud unseren Familienkalender, Adressbücher und Unterlagen wie Rechnungen ablegen. Sodass meine Frau und ich darauf zugreifen können, auch wenn wir nicht daheim sind.


    Sicher bedeutet für mich, dass nicht auf ein mal jemand mir eine Mail schreibt mit dem Inhalt "Ich habe in Deinem Kalender einen Arzttermin gesehen. Um was geht es denn da?"


    EDIT: Sollte ich dann lieber meine Mails an Posteo.de weiterleiten und dort dann noch den Kalender verwenden? Dann habe ich ein verschlüsseltes Archiv. Dateien würde ich dann über Cryptomator auf nextcloud legen.

  • |-> Meiner Meinung nach ist eine Nextcloud auf Netcup mit gültigem SSL Zertifikat und starken Passwörtern für das von dir angedachte als sicher genug anzusehen.


    Wenn jemand deine Termine plötzlich kennt dann wahrscheinlich eher weil er dein Handy oder das Handy deiner Frau in die Hand bekommt während es nicht gesperrt ist.


    PS: Dein Arzttermin in 2 Wochen: Worum geht es denn da? *scnr*

  • Also kurzum: Die Frage ist immer vor wem oder vor was du deine Daten sichern willst.

    Sind deine Daten auf einem eigenen Server der nach stand der Technik abgesichert ist vor jedermann sicher: Ja

    Sind sie sicher vor einem Mitarbeiter von netcup: Eher nein

    Vor "jedermann" sicher sind Daten nur, wenn sie bereits verschlüsselt werden, bevor sie auf den Server übertragen werden. Ob jedermann dann auch die NSA ist, das kann außerhalb der NSA wohl keiner mit Sicherheit sagen.


    Daten, die unverschlüsselt auf dem Server liegen, sind sicher vor mir, aber natürlich nicht vor einem netcup-Mitarbeiter. Daten, die unverschlüsselt auf Google drive liegen, sind sicher vor mir und den netcup-Mitarbeitern. Aber sie sind nicht sicher vor den Google-Mitarbeitern. Und, wie man an Facebook prima erkennen kann, auch vermeintlich private Daten können leicht mal "versehentlich" weitergegeben werden.

  • Sollte die Nextcloud dann so sicher wie Google Drive sein?

    Was verstehst Du unter sicher?


    Die Zeile der Datensicherheit sind:

    • Vertraulichkeit
    • Integrität
    • Verfügbarkeit

    Also, physische Sicherheit und Ausfallsicherheit, der Schutz vor Fremdzugriffen, der Schutz vor internen Zugriffen, die Verschlüsselung der Kommunikation, die Datensicherung und Updates und Patches.


    Kannst Du das so gut leisten wie Google?

  • Also, physische Sicherheit und Ausfallsicherheit, der Schutz vor Fremdzugriffen, der Schutz vor internen Zugriffen, die Verschlüsselung der Kommunikation, die Datensicherung und Updates und Patches.

    Nein, dass kann ich ganz sicher nicht. Dann sollte ich wohl dort bleiben und hoffen, dass meine Datenschutzeinstellungen mich etwas vor dem starken Profiling schützen.

    Warum nicht? Im ersten Beitrag schreibst du, dass du das Webhosting nutzten. Da ist doch sind doch eh fast alle Punkte in Netcup-Hand und nicht bei dir. Und ob du jetzt Netcup oder Google mehr vertrauen kannst...?


    physische Sicherheit: kaum zu bewerten.

    Ausfallsicherheit: Google (vermutlich), da mehr Redundanz

    Fremdzugriff: Netcup, da deine Daten dann nicht weltweit auf irgendwelchen Servern liegen können und Daten von Ausländern meist weniger Schutz (vor Behörden) haben. Risiko: Lücke in Nextcloud, über die auf die Daten zugegriffen werden kann.

    interner Zugriff: unentschieden, wobei bei Netcup+RZ Betreiber die Anzahl der berechtigen Mitarbeiter sicher geringer ist

    Verschlüsselung der Kommunikation: unentschieden beide bieten sichere Cipher

    Datenschutz: sicher Netcup, da deren Geschäftsmodell nicht auf der Nutzung deiner Daten basiert.

    Update Patches: unentschieden, solange du deine Nextcloud Instanz aktuell hältst.

  • momentan nutze ich Google Drive für meine Daten/Unterlagen. Ich habe allerdings auch nextcloud auf dem Webhosting Paket am Laufen und überlege zu wechseln.

    Mein nextcloud ist auf dem aktuellsten Stand und erhält vom nextcloud scan ein A+ (scan.nextcloud.com). Hinzu läuft ein lets encrypt mit der Bewertung A+ (https://www.ssllabs.com/ssltest/) und 2Factor sowie server-side-encryption ist aktiv.

    Sensible Daten würde ich auf keinen Fall auf einen Webserver ablegen. Auch dann nicht, wenn die Einstiegsseite wie z. B. bei Nextcloud vor Dritte gesichert ist und die Daten, bevor Diese auf den Webserver abgelegt werden, sogar verschlüsselt wurden. Denn wenn mal eine kritische Komponente des Webservers aufgrund eines kritischen Bugs gefixt werden muß und dieser Bug nicht schnell genug vom Provider erkannt und infolgedessen nicht schnell genug gefixt wird, kann unter Umständen alle Welt auf deine sensiblen Daten zugreifen.


    Eventuell sind dann danach auch über die Google-Suche deine sensiblen Daten auffindbar.


    Besser ist es dann schon, einen eigenen dedizierten oder auch virtuellen Server für Nextcloud zu verwenden. Denn beide Serverarten kannst du im Extremfall vom Netz trennen.

  • Auch dann nicht, wenn […] die Daten, bevor Diese auf den Webserver abgelegt werden, sogar verschlüsselt wurden.

    Wenn die Daten nur am Client (offline) ver-/entschlüsselt werden und der Schlüssel nicht am Server liegt, sehe ich da kein Problem. Oder woran denkst Du dabei?

    Besser ist es dann schon, einen eigenen dedizierten oder auch virtuellen Server für Nextcloud zu verwenden. Denn beide Serverarten kannst du im Extremfall vom Netz trennen.

    Auch bei diesen Dingen könnte es ein Sicherheitsleck geben. Im schlimmsten Fall übernimmt eine andere VM den Hypervisor und greift so auf Deine abgeschaltete VM zu. Bei einem dedizierten Server könnte über ein Leck z.B. mittels Webresetter, IP-Steckdosen oder WOL der Server unerwartet starten.


    Wenn man schon so paranoid ist, was keinesfalls falsch ist, sollte die Hardware nicht außerhalb der eigenen Räumlichkeiten stehen. Da gibt es auch genügend Risiken, aber einen Teil davon minimiert man bzw. hat eine bessere Kontrolle.

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

  • Datenschutzbedenken und sicher? Ich sehe das als Widerspruch in sich. Wenn ich Datenschutzbedenken habe, dann sind meine Daten definitiv nicht sicher. Oder warum sollte ich sonst Bedenken haben?

  • Ich glaube "Sicherheit" ist ein sehr breiter Begriff. Wie schon die Vor-Poster geantwortet haben: Welche Sicherheit willst du erreichen? Sicherheit wofür/wogegen?


    Sicherheit ...

    • ... dass Google dich analysiert (Datenschutzeinstellungen in den USA würde ich eher als frommen wunsch, weniger als Garantie sehen) -> Netcup.
    • ... dass die Daten bei einem lokalen PC-Crash nicht verschwinden -> Google genausogut wie Netcup
    • ... gegen das Risiko, dass du einen Netcup-Mitarbeiter kennst, der dir schaden will -> Google
    • ... dass ein unfähiger Hacker an die Daten kommt -> Beide gleich gut
    • ... dass ein fähiger Hacker an die Daten kommt -> Beide (vermutlich) gleich schlecht (am Besten klappt immernoch Social Engineering, da wärest du dann das Sicherheitsproblem)
    • ...

    Matthias Lohr Project Blog: https://mlohr.com/

    PGP: 0x8FC3060F80C31A0A

  • Mein nextcloud ist auf dem aktuellsten Stand und erhält vom nextcloud scan ein A+ (scan.nextcloud.com). Hinzu läuft ein lets encrypt mit der Bewertung A+ (https://www.ssllabs.com/ssltest/) und 2Factor sowie server-side-encryption ist aktiv.


    Sollte die Nextcloud dann so sicher wie Google Drive sein?

    Vielleicht dazu noch ein sehr einfaches Beispiel: Diese netten Bewertungen, verschlüsseltem Speicher, bewaffnetem Wachschutz vorm Gebäude - ja, fühlt sich sicher an. Jetzt hast du nen Freund, der das total cool findet, dem gibst du einen Zugang - und weil du ihm vertraust auch direkt Admin-Zugriff. Er nimmt ein schwaches Passwort... da nützt dir die ganze tolle "Sicherheit" nichts.

    Matthias Lohr Project Blog: https://mlohr.com/

    PGP: 0x8FC3060F80C31A0A

  • Vielen Dank. Was für mich Sicherheit bedeutet schrieb ich ja bereits. Ich möchte nicht, dass ein "Hacker" an meine Daten kommt. Das war's schon. :)

    Meine Unruhe kommt daher, dass ich schon einige WordPress Blogs gesehen habe, die gehackt wurden. Also wohl nicht sicher waren. Ich weiß es ist WordPress und bei mir Nextcloud, nur kann es bei Nextcloud genauso schnell passieren?