Liebe Leute,
ich bin noch ziemlich neu mit der Nextcloud zugange. Sie läuft auf einem ManagedServer bei Hetzner und auf meinem LinuxMint-Rechner die Desktop-Synchronisierungs-App. Ebenso auf meinem Android-Smartphone.
Nun stellt sich mir die Frage, wie das mit der Sicherheit ist, wenn ich unterwegs aus einem öffentlichen Netz, z.B. in einer Bar oder im Hotel die Synchro-App laufen habe. Sind die Daten verschlüsselt? Sind die Anmeldedaten sicher?
Ich konnte nirgends dazu eine klare Antwort finden. Oder ist die Frage so Dummie, dass das alle eh wissen?
Wie macht ihr das, wenn ihr auf Reisen seid? Lasst ihr das alles über das Datenkontingent eueres Handys laufen? Oder ist ein VPN nötig? Kann das ein normaler Mensch einrichten oder brauchts dazu ausgefuchste Technik-Kenntnisse?
Die Technologie ist nicht unbedingt einfach aber man muss es wissen wenn man so ein System betreibt. bitte lese und verstehe 101: Self-hosting information for beginners. Aber wenn du motiviert bist lasse dich entmutigen - alle fangen bei Null an und man kann eine Nextcloud zu hause betreiben ohne jedes Thema im Detail zu verstehen…
Vielen Dank, dass ich eine Reaktion bekomme. Leider bin ich zu unwissend, um daraus zu erkennen, ob das nun ja oder nein heißt.
Zum ersten Absatz: Auf der genannten How-to-Seite hab ich nichts zu “man in the middle”-Angriffen gefunden. Meine Passwörter sind sicher und mit KeepassXC verwahrt, ich arbeite mit 2FA. Mit dem Ergebnis des TLS security scan konnte ich nix anfangen. Es hat meine Frage jedenfalls nicht beantwortet.
Zum zweiten Absatz: Wie beschrieben, will ich die Nextcloud gar nicht selbst hosten, sondern sie ist bei Hetzner.
Ich hätte einfach nur gern gewusst, ob das jetzt out of the box gesichert ist, oder ob ich vom Zugriff aus einem öffentlichen Netz lieber absehen soll.
Wenn du unterwegs z.B. vom Handy aus auf Daten in der Cloud zugreifen willst, machst du das über das Netz der Kneipe oder nur über das Datenkontingent deines Telefonanbieters?
Nutzern mit eher weniger Erfahrung/Anfängern empfehle ich grundsätzlich keine Nextcloud an das Internet anzuschließen. Man muss wissen was genau man hier tut. Bessere Lösung:
Die NC zuhause lokal betreiben und mit einem VPN von unterwegs mit dem heimnetz verbinden. Selbst die Fritzbox bietet einen passenden Dienst an.
Managed nc instanz ist eine Option, wenn das auch nicht geht gelten aus meiner Sicht absolut mindestens:
https ist pflicht den server so konfigurerien, dass alle http anfragen einen redirect auf https bekommen.
Seperater Admin account, der normale nutzer Account für Photos etc hat nur so viele Berechtigungen wie er unbedingt braucht.
Der Admin Account wird mit einem Yubikey oder anderer 2fa Methode gesichert.
Solange die Nextcloud selbst installiert/verwaltet wird zählt es als self-hosting auch wenn der Server woanders steht.
Mit so wenig wissen auf keinen Fall etwas selbst betreiben sondern eine Managed Varinate verwenden - auch Hetzner hat da ein passendes Angebot.
so kann ich dem Satz zustimmen.
nein bitte nicht. das macht nur Probleme - z.B. kann man Files nicht teilen usw… was hat man dann noch von der NC? kann man auch gleich beim NAS oä bleiben. Und ein VPN muss man auch im Griff haben - unter dem Strich ist eine sichere NC Konfiguration nicht schwieriger als “air gapped” Nextcloud mit einem zusätzlichen VPN dafür aber deutlich bequemer und einfacher.
Leider wird aufgrund von “ManagedServer” noch nicht ganz klar, ob die Nextcloud von dir @STMZ auf einem Hetzner-Server installiert wurde (One-Klick, LAMP-Stack, Snap, AIO, …) oder ob du die Managed Nextcloud Storage Share von Hetzner nutzt. Bitte schreib das noch mal.
Wenn du die Managed Nextcloud Storage Share von Hetzner nutzt, dann ist alles ok. Dann kümmert sich Hetzner um alles in der Cloud. Natürlich nutzt man Nextcloud aus dem Internet. Das macht man bei Microsoft 365 auch. Natürlich müssen die Nextcloud Clients sicher sein (Verwendung neuster Versionen). Bei einem Webzugriff über den Browser kann man zusätzlich noch über 2FA nachdenken. Natürlich sichert TLS/SSL die Verbindung vom Client/Browser bis zum Webserver. Und im Hotel kann das niemand mitlesen, da es sonst einen Zertifikatsfehler im Client und/oder Browser gibt. Einige Leute verwenden vielleicht noch VPN. Aber um sich im Hotel zu schützen braucht man das nicht unbedingt. Das bringt dir keinen Vorteil. Angriffe passieren auf dem Client oder auf dem Webserver. Ein sicheres Betriebssystem (Client) wäre vielleicht besser zur Absicherung. So sind vielleicht veraltete Android-Versionen schlecht und Windows ist anfälliger für Schadcode als macOS oder Linux. Wenn du Windows nutzt denk daran, dass der Support von Windows 10 im Herbst 2025 endet. Darum solltest du dir dann evtl. Gedanken machen falls du noch kein Windows 11 oder macOS bzw. Linux einsetzt.
Ich benutze nie öffentliches WLAN, sondern immer 4G/5G wenn ich unterwegs bin. Das hat aber nichts mit Nextcloud zu tun bzw. ich hätte keine Angst, dass jemand mein Passwort abgreift oder den Traffic mitliest, denn einfache Man-in-the-Middle-Angriffe sind heutzutage dank HTTPS kein Problem mehr, vorausgesetzt die Dienste, die man nutzt, sind richtig konfiguriert, so dass kein SSL-Striping (HTTP Downgrade-Attacke) möglich ist.
Trotz HTTPS gibt es aber immer noch genügend Gründe, warum zumindest ich meine Geräte nicht mit einem fremden Netzwerk verbinde. Hier ein paar Stichworte ohne Anspruch auf Vollständigkeit…
Datensammlerei (Der Hauptgrund, warum ich es nicht mache) - Auch wenn der eigentliche Inhalt mit HTTPS verschlüsselt ist, kann der Betreiber des WLANs sehen, mit welchen Webseiten du kommunizierst, und gerade bei vermeintlich seriösen Anbietern (Hotelketten, Kaffeehausketten, Telekomanbietern etc. ), wo das WLAN häufig von einem Drittanbieter gestellt wird, und man sich meist über ein Captive-Portal anmelden muss (was übrigens nochmal gesonderte Risiken mit sich bringt, auf die ich hier nicht eingehe), ist das Risiko wohl hoch, dass gezielt Daten gesammelt werden, während es bei der kleinen Kneipe um die Ecke, wo der Betreiber einfach das WLAN Passwort mit seinen Gästen teilt, eher unwahrscheinlich ist - aber da kommt dann vielleicht der nächste Punkt ins Spiel…
Malware und Exploits im Netzwerk - In schlecht gesicherten Netzwerken könnten andere Geräte versuchen, dein Gerät anzugreifen und Sicherheitslücken auszunutzen oder Dienste, die auf deinem Geräte laufen anzugreifen, falls du z.B. Remote Desktop oder SSH auf deinem Gerät aktiviert hast.
DNS-Spoofing - Ein öffentlicher Hotspot kann über manipulierte DNS-Server Anfragen auf gefälschte Webseiten umleiten (z.B. gefälschte Login-Seiten).
Gefälschte WLAN-Hotspots (Evil Twin Attack) - Ein Angreifer kann einen WLAN-Hotspot mit dem gleichen Namen wie das offizielle Netzwerk einrichten, um Benutzer zum Einloggen zu verleiten um dann u.A. die hier genannten Shenanigans durchzuführen.
Vielen Dank @devnull und @bb77 , das hat meine Frage nun beantwortet.
Tatsächlich ist es die “Managed Nextcloud Storage Share” von Hetzner, die ich nutze, eben weil ich mir da keine weiteren Gedanken drüber machen möchte. Ich arbeite auf LinuxMint (wie beim ersten Post schon notiert) und verwende 2FA zum Einloggen.
Dann traue ich mir jetzt, vom Hotel aus zu arbeiten.
Super. Linux Mint erspart dir alle Windows-Risiken auf dem Client. Der Weg ist TLS/SSL verschlüsselt. 2FA bei Webzugriff ist super. Hetzner kümmert sich um die Sicherheit deiner Nextcloud. Tolle Alternative zu Microsoft 365. Wir sind stolz auf dich.