Nextcloud 13 bringt bessere Verschlüsselung und eine Skype-Alternative in die selbst gehostete Cloud.

Das Vorhalten von Daten in einer Cloud unter eigener Kontrolle gerät sowohl privat als auch in Unternehmen mehr und mehr in den Fokus. Das Interesse an sicheren Cloudspeichern steigt proportional mit der Sorge um die Unversehrtheit der Daten, angetrieben durch die Begehrlichkeiten von Staaten und Cyber-Kriminellen, sich unsere Daten zu eigen machen oder sie zumindest kontrollieren zu wollen. Gerade erst wieder versucht die EU, den Providern im Namen der Bekämpfung von Terror und Extremismus Upload-Filter für alle Plattformen aufzudrängen, notfalls per Gesetz.

Nextcloud [1] zählt zu den wenigen Plattformen für das Speichern, Synchronisieren und Teilen von Daten, die völlig unter der Kontrolle des Anwenders stehen. So entscheiden sich immer mehr Universitäten, Institutionen und Unternehmen für eine Datenhaltung mit Nextcloud. Unter den derzeit über 100 Kunden des Unternehmens findet sich seit Kurzem beispielsweise auch die albanische Hauptstadt Tirana, die 2017 von Owncloud auf Nextcloud umstieg.

Die Unterschiede zwischen Owncloud und Nextcloud, das einen Fork von Owncloud darstellt, liegen außer in der agileren Entwicklung mit mehr Manpower auch im Entwicklungsmodell von Nextcloud. Owncloud unterscheidet zwischen einer freien Community-Version und einer Business-Edition mit Funktionen, die es nur gegen Bezahlung gibt. Bei Nextcloud stehen alle Funktionen und Erweiterungen in einer Ausgabe frei zur Verfügung.

Mit der neuen Version 13 setzt sich Nextcloud weiter mit innovativen Neuerungen vom Vorgänger ab. Dazu zählen neben vielen anderen Verbesserungen vor allem die Ende-zu-Ende-Verschlüsselung (E2EE [2]) und die Kommunikationsalternative Nextcloud Talk.

Verschlüsselt tauschen

Bei E2EE wird generell der gesamte Übertragungsweg der Daten verschlüsselt, sodass nur die beiden Kommunikationspartner an den Endpunkten die Daten entschlüsseln können. Nextcloud hat bei seiner Implementation von E2EE die Sicherheit dadurch weiter erhöht, dass es auf Browserunterstützung verzichtet und die Verschlüsselung ausschließlich über die Nextcloud-Clients läuft (Abbildung 1).

Abbildung 1: Nextcloud hat die Clients für Ende-zu-Ende-Verschlüsselung überarbeitet.

E2EE mit Nextcloud ermöglicht es dem Anwender, einen oder mehrere Ordner auf dem Desktop oder im mobilen Client für die Verschlüsselung auszuwählen (Abbildung 2). Solche Ordner darf man mit anderen Benutzern teilen und zwischen Geräten synchronisieren, der Server kann sie aber nicht lesen (Abbildung 3). Die erforderlichen Passwörter und Schlüssel erzeugt und verwaltet der jeweilige Client. Beim Teilen verschlüsselter Ordner müssen Sie keine Passwörter eingeben oder tauschen. Widerrufen Sie das Teilen eines Ordners, müssen Sie den Inhalt anschließend nicht neu verschlüsseln.

Abbildung 2: Das Ver- und Entschlüsseln findet ausschließlich auf den Clients statt. Das Webinterface bleibt aus Sicherheitsgründen außen vor.

Abbildung 3: Im Webinterface des Servers erkennen Sie verschlüsselte Ordner am Schloss-Symbol, können sie aber dort nicht öffnen.

Zudem unterstützt Nextcloud 13 einen Offline-Wiederherstellungsschlüssel für Administratoren, den Sie an einem physisch getrennten Ort aufbewahren sollten. Jeder Benutzer erhält eine einzigartige Kombination aus öffentlichem und privatem Schlüssel, sobald er zum ersten Mal E2EE aktiviert. Der Client sendet den öffentlichen Schlüssel an den Server und signiert ihn mit einem Zertifikat. Dieses Zertifikat prüfen die Clients der anderen Benutzer und verwenden es, um verschlüsselte Daten mit dem Nutzer zu teilen.

Für Unternehmen unterstützt E2EE bei Nextcloud unter anderem zusätzlich ein Hardware Security Modul, das weitere Zertifikate für neue Anwender sicher ausstellen kann. Auf der Webseite des Unternehmens findet sich ein Whitepaper, das die technischen Einzelheiten von E2EE näher erläutert [3].

Neue Clients

Zur Verschlüsselung hat Nextcloud neue Clients für Desktop, Android und iOS bereitgestellt. Derzeit steht die Linux-Variante lediglich als AppImage zur Verfügung [4]. Um E2EE verwenden zu können, müssen Sie zunächst auf dem Server zwei Apps installieren. Dazu öffnen Sie als Admin oben rechts die Ausklappliste und wählen dort Apps. Unter Deaktivierte Apps markieren Sie Default encryption module und End-to-End Encryption zur Aktivierung. Danach sollten Sie sich einmal ab- und wieder anmelden.

Nach der ersten Verbindung des Servers mit dem neuen Client erscheint dort eine Benachrichtigung, die Sie auffordert, eine Verschlüsselungspassphrase zu notieren. Nach einem Klick auf Details einblenden? erscheint eine Folge von 12 Wörtern, die Sie sicher verwahren müssen (Abbildung 4). Nun können Sie einen oder mehrere Ordner verschlüsseln.

Abbildung 4: Beim ersten Start mit aktivierter End-to-End-App teilt Ihnen Nextcloud eine Passphrase aus 12 Wörtern mit, die Sie sicher extern verwahren sollten.

Dazu klicken Sie im neuen Client mit der rechten Maustaste auf einen zu verschlüsselnden Ordner und wählen Verschlüsseln – das war’s auch schon. Wenn Sie nun auf dem Server diesen Ordner öffnen wollen, der mittlerweile einen Schlüssel im Icon führt, erhalten Sie die Mitteilung, die Aktion sei nicht erlaubt. Der Ordner bleibt verschlossen. Um an den Inhalt zu gelangen, müssen Sie ihn zunächst im Client wieder über die rechte Maustaste entschlüsseln.

Die neuen Clients befinden sich derzeit in der Erprobungsphase, es können noch Fehler vorkommen. Bei uns traten in rund sechs Wochen Erprobung keine Probleme auf, doch ein Backup der verwendeten Daten schadet bekanntlich nie. Sobald die Clients einmal als stabil gelten, bietet E2EE unter Nextcloud eine weitere Methode zum sicheren Aufbewahren und zum Austausch wichtiger Dateien, die sich sehr einfach handhaben lässt. Die erweiterten Sicherheitsmaßnahmen qualifizieren die Nextcloud-E2EE-Implementation auch für den Einsatz in Unternehmen.

Audio, Video und Text

Eine zweite bedeutsame Neuerung in Nextcloud 13 stellt die vollständig quelloffene Videokonferenzlösung Talk [5] dar. Sie entstand in den letzten 18 Monaten aus der anfangs an Nextcloud angebundenen Kommunikationslösung Spreed.Me.

Bei Nextcloud Talk handelt es sich um eine Open-Source-Kommunikationssoftware für Audio- und Video-Chats, die Sie auf dem eigenen Nextcloud-Server hosten und die echte Ende-zu-Ende-Verschlüsselung bietet. Talk setzt auf das Peer-to-Peer-Modell [6] und verbindet die Teilnehmer über den WebRTC-Standard [7]. Für die Qualität der übertragenen Videodaten sorgt der HEVC-Standard, besser bekannt unter der Bezeichnung H.265 [8].

Die Software bietet private und öffentliche Chats zwischen zwei oder mehr Personen und unterstützt Audio, Video sowie Text. Zudem lassen sich Dateien und der Bildschirminhalt oder Teile davon austauschen. Daneben unterstützt die Software das kollaborative Arbeiten mit Nextcloud Files und Nextcloud Groupware. Einladungen zu Videokonferenzen sprechen Sie beispielsweise über gemeinsame Kalender aus. Neben der im Server integrierten App stehen mobile Apps für Android und iOS zur Verfügung, die Chats auch von unterwegs ermöglichen.

Um mit Nextcloud Talk zu arbeiten, müssen Sie wieder zunächst eine App auf dem Server installieren. Dafür klappen Sie wie gehabt rechts im Webinterface das Einstellungsmenü auf, wählen Apps und daraufhin links den Unterpunkt Kommunikation. Hier aktivieren Sie die App Talk. Das Talk-Icon erscheint nun oben links in der Leiste mit den anderen aktivierten Apps.

Per Link geteilt

Ein Klick auf das Talk-Icon öffnet ein Fenster, in dem Sie die weiteren Vorbereitungen für eine Verbindung vornehmen. Zunächst versucht die App, Kamera und Mikrofon zu erkennen. Klappt das, können Sie sofort Anwender Ihrer eigenen oder anderer, per Federation [9] verbundener Nextcloud-Instanzen auswählen und anrufen. Der oder die Teilnehmer müssen allerdings nicht zwingend Nextcloud-Nutzer sein: Sie können genauso gut jemanden einladen, indem Sie ihm einen zuvor erstellten Link zukommen lassen (Abbildung 5).

Abbildung 5: Nachdem Sie der Verwendung von Kamera und Mikrofon zugestimmt haben, wählen Sie einen Kommunikationspartner, der nicht zwingend Nextcloud-Nutzer sein muss.

Die Nextcloud-Kommunikationsalternative funktioniert so, wie Sie das von Skype oder Google Hangouts kennen. Die Qualität von Bild und Sprache eignen sich auch für längere Sitzungen (Abbildung 6). Mit Talk bleiben Sie zudem Herr über Ihre Kommunikation: Nur Sie wissen, wer wann mit wem und was kommuniziert hat, die E2E-Verschlüsselung schließt auch diese wichtigen Meta-Daten ein. Auch die Chatlogs bleiben Ihren Augen vorbehalten. Somit bietet Talk eine sichere Alternative zu Google Hangouts oder Skype.

Abbildung 6: Die Bild- und Tonqualität von Nextcloud Talk ermöglicht auch längere Sitzungen.

Auch für den Unternehmenseinsatz zeigt sich Talk bereits vorbereitet. Wird bei Gruppenchats, Webinaren oder Konferenzen die Bandbreite knapp, können Unternehmen das Spreed High Speed Backend des Nextcloud-Partners Struktur AG zubuchen. Es fasst per Multipoint Control Unit (MCU) die einzelnen Videodatenströme zusammen, sodass pro Teilnehmer nur noch eine eingehende sowie eine ausgehende Leitung vorliegt. Die Preise dafür liegen bei 5000 Euro für den Server und 50 Euro je Nutzer pro Jahr.

Aufgebohrt

Neben diesen beiden herausragenden Neuerungen gelang es dem Nextcloud-Team nach eigenen Angaben, die LDAP-Leistung in Nextcloud um 85 Prozent zu steigern. Auch allgemeine Lese- und Schreibzugriffe laufen laut den Entwicklern um ein Vielfaches schneller ab. Eine neue Volltextsuche auf der Basis von Elasticsearch soll den Overhead auf dem Server verringern. Die neue Suchfunktion lässt sich auch in Apps integrieren, wie etwa die Bookmark-App. Auch an der Verbesserung der Sicherheit feilt das Entwicklerteam beständig. Der Nextcloud-Security-Scan [10] verrät, wie es damit auf dem eigenen Server aussieht (Abbildung 7).

Abbildung 7: Via Internet testen Sie in wenigen Augenblicken den Stand der Sicherheit Ihrer Nextcloud-Instanz.

Die aktualisierte Kalender-App unterstützt die Terminplanung in Kalenderanwendungen wie Thunderbird Lightning und zeigt Einladungen zu Meetings im Kalender an. Die Mail-App bringt viele kleine Verbesserungen mit, wie etwa das automatische Bereitstellen von Benutzer-E-Mail-Adressen. Files-from-Mail, eine neue App, erlaubt das Konfigurieren einer speziellen E-Mail-Adresse zum Dateiaustausch, die alle Anhänge automatisch in einer intelligenten Ordnerstruktur in Nextcloud speichert. Das Kopieren und Verschieben von Ordnern oder Dateien funktioniert wesentlich einfacher (Abbildung 8).

Abbildung 8: Das bisher etwas fummelige Kopieren oder Verschieben von Ordnern im Server-Backend fällt jetzt wesentlich leichter.

Fazit

Nextcloud macht mit Version 13 einen Riesenschritt vorwärts und steigert seine Attraktivität insbesondere für Unternehmen, Institutionen und die öffentliche Hand. Dabei integriert Talk die Kommunikation fest in Nextcloud und dessen Dienste. Und weil bei Nextcloud alle Anwender in einem Boot sitzen, kommt auch der private Nutzer in den Genuss aller Verbesserungen.

Die Kinderkrankheiten der frühen Zeit gehören größtenteils der Vergangenheit an. Der Auto-Updater verrichtet seine Arbeit zufriedenstellend. Es ist jedoch nach wie vor eine gute Idee, vor einer Aktualisierung zumindest Apps aus dritter Hand zu deaktivieren. In knapp sechs Wochen Dauereinsatz bei täglicher Nutzung machte uns Nextcloud 13 im Test kaum Probleme.