Nextcloud Ende-zu-Ende-Verschlüsselung – Aktueller Stand und Empfehlungen
Regelmässig erreichen uns Anfragen betreffend Ende-zu-Ende-Verschlüsselung in Nextcloud. Leider ist die dazugehörige Nextcloud App bisher nur eingeschränkt nutzbar und nicht für den produktiven Betrieb empfohlen. Über den aktuellen Stand sowie mögliche Alternativen informieren wir in diesem Beitrag.
Aktueller Stand
Die offizielle End-to-End Encryption App wurde von Nextcloud veröffentlicht und zwischen 2018 und 2020 aktiv gepflegt. Danach erfolgten nur noch minimale Anpassungen, was sich in den vielen schlechten Bewertungen im App-Store und den vielen offenen Tickets auf GitHub widerspiegelt, und dazu führt, dass die App heute auf einer aktuellen Nextcloud Version nicht verwendet werden kann.
Wenn es trotzdem gelingt, die App erfolgreich in Betrieb zu nehmen, werden nur Dateiinhalte verschlüsselt. Die Dateinamen, Ordnerstruktur sowie alle andere Daten (z. B. Kalendereinträge) sind weiterhin unverschlüsselt gespeichert.
Aufgrund dieser Qualitätsmängel verzichten wir darauf, die End-to-End Encryption App auf unserem Shared Nextcloud Angebot anzubieten. Die Verwendung auf einer Private Nextcloud Installation ist zwar möglich, wir empfehlen dies aber aus oben genannten Gründen nicht. Zudem muss bei jedem Nextcloud Update damit gerechnet werden, dass die App nicht mehr kompatibel ist. Dies kann im schlimmsten Fall dazu führen, dass nach dem Update sämtliche Daten korrupt und somit unwiderruflich verloren sind.
Datensicherheit ohne Ende-zu-Ende-Verschlüsselung
Wir unternehmen alles, damit deine Daten auch ohne Ende-zu-Ende-Verschlüsselung sicher bei uns aufgehoben sind. Dies bestätigt die ISO 27001 Zertifizierung unserer Firma sowie unseres Rechenzentrums, sowie unsere Mitgliedschaft beim Label swiss-hosting.
Wo immer technisch möglich und sinnvoll, verschlüsseln wir deine Daten zusätzlich auf der Speicherebene. Zum Beispiel werden sämtliche Daten einmal täglich über eine verschlüsselte Verbindung in ein externes Rechenzentrum gesichert, und dort auf verschlüsselten Festplatten gespeichert.
Serverseitige Verschlüsselung
Häufige Fragen erreichen und auch zum Thema serverseitige Verschlüsselung innerhalb von Nextcloud. Diese Funktion ist erprobt und kann bei Bedarf aktiviert werden. Weil die Schlüssel als Datei auf derselben Nextcloud Installation gespeichert werden, ist dies hauptsächlich dann sinnvoll, wenn ein externer, nicht vertrauenswürdiger Speicher in die eigene Nextcloud eingebunden wird. Meistens sollen die Daten jedoch lokal gespeichert werden, dann wird die Sicherheit durch eine zusätzliche Verschlüsselung mit einem Schlüssel auf demselben Datenspeicher nicht erhöht.
Bei einem normalen Aufbau deiner Nextcloud Installation mit lokaler Datenspeicherung ist die Aktivierung der serverseitigen Verschlüsselung deshalb nicht sinnvoll und wird von uns nicht empfohlen.
Alternativen
Wenn du nicht auf eine vollständige Ende-zu-Ende-Verschlüsselung verzichten möchtest, empfehlen wir die lokale Verschlüsselung der Daten mittels einer Drittapplikation. Ein dafür geeignete und von uns selbst verwendete Software ist Cryptomator. Damit verschlüsselst du deine Daten auf deinem lokalen Gerät, und es werden nur noch geschützte Daten in die Nextcloud übertragen und bei uns gespeichert. Dies ist Stand heute die einzige technisch mögliche Variante, wenn du deine Daten verschlüsselt bei uns oder einem anderen Nextcloud Provider abspeichern möchtest.
Ausblick
Wir hoffen, dass die End-to-End Encryption App eines Tages wieder aktiv weiterentwickelt und damit zuverlässig nutzbar wird. Sobald es neue Entwicklungen oder Erkenntnisse gibt, werden wir diesen Beitrag entsprechend aktualisieren.