2FA fügt Nextcloud eine zu­sätz­li­che Si­cher­heits­ebe­ne beim Login hinzu. Neben dem Passwort wird ein zweiter Faktor benötigt, bei­spiels­wei­se ein Ein­mal­code, ein an­ge­mel­de­tes Gerät oder ein Hardware-Si­cher­heits­schlüs­sel. Dadurch kom­bi­niert Nextcloud Wissen und Besitz, um den un­be­fug­ten Zugriff auf Ihre Cloud-Res­sour­cen deutlich zu er­schwe­ren.

Wieso ist ein zu­sätz­li­cher Zu­griffs­schutz in Nextcloud sinnvoll?

Nextcloud speichert häufig sensible Daten wie Dokumente, Pro­jekt­da­tei­en, Kun­den­da­ten oder interne Ver­zeich­nis­se. Deshalb sollte der Zu­griffs­schutz nicht nur aus einem sicheren Passwort bestehen, sondern aus mehreren Si­cher­heits­me­cha­nis­men: Zwei-Faktor-Au­then­ti­fi­zie­rung, er­zwun­ge­ne Si­cher­heits­richt­li­ni­en, Zu­griffs­kon­trol­len für Dateien und Schutz vor au­to­ma­ti­sier­ten Login-Angriffen. Die 2FA ist dabei eine zu­sätz­li­che Au­then­ti­fi­zie­rungs­schicht, bei der neben dem Login-Passwort ein weiterer Faktor er­for­der­lich ist.

Nextcloud Workspace
Die souveräne Kol­la­bo­ra­ti­ons-Plattform für Ihr Un­ter­neh­men
  • Voll­stän­di­ge Da­ten­sou­ve­rä­ni­tät in deutschen Re­chen­zen­tren
  • Sicheres Teamwork mit E-Mail, Office, Chat und KI
  • Einfache Anwendung & volle Ska­lier­bar­keit

Im­ple­men­tie­rung von 2FA-Methoden in Nextcloud

Nextcloud setzt bei der Zwei-Faktor-Au­then­ti­fi­zie­rung auf ein er­wei­ter­ba­res Provider-Modell. Das bedeutet: Die 2FA-Funktion ist nicht auf eine einzige Methode be­schränkt, sondern kann über Apps bzw. Provider ergänzt werden. Min­des­tens ein 2FA-Provider muss durch die Ad­mi­nis­tra­ti­on aktiviert werden; an­schlie­ßend ak­ti­vie­ren Nut­ze­rin­nen und Nutzer 2FA selbst oder die Admins erzwingen die Nutzung.

Aktuelle Nextcloud-Versionen in­stal­lie­ren mehrere 2FA-Provider au­to­ma­tisch: den TOTP-Provider, die Zwei-Faktor-Au­then­ti­fi­zie­rung per Nextcloud-Be­nach­rich­ti­gung und den Backup-Codes-Provider. TOTP und die Be­nach­rich­ti­gungs­me­tho­de müssen in der Regel erst über die Apps aktiviert werden. Backup-Codes sind als Wie­der­her­stel­lungs­fak­tor immer verfügbar und sollten von Nut­ze­rin­nen und Nutzern sicher ge­spei­chert werden.

Dabei ist nicht jede Nextcloud-2FA-Methode gleich sicher:

  • Für besonders schüt­zens­wer­te Konten ist WebAuthn/FIDO2 mit einem Hardware-Si­cher­heits­schlüs­sel meist die stärkste 2FA-Option in Nextcloud, da dieses Verfahren besonders wi­der­stands­fä­hig gegen Phishing ist.
  • TOTP ist sehr ver­brei­tet und für viele Um­ge­bun­gen ein guter Standard, während SMS- oder Messenger-basierte Codes eher als kom­for­ta­ble, aber weniger starke Variante be­trach­tet werden sollten.

Two-Factor TOTP Provider

Der Two-Factor TOTP Provider nutzt zeit­ba­sier­te Ein­mal­pass­wör­ter, so­ge­nann­te Time-based One-Time Passwords. Dabei richtet der User in Nextcloud einen QR-Code ein und scannt ihn mit einer Au­then­ti­ca­tor-App, zum Beispiel Google Au­then­ti­ca­tor, FreeOTP oder einer anderen kom­pa­ti­blen Pass­wort­ma­na­ger-App. Beim Login verlangt Nextcloud nach dem Passwort zu­sätz­lich einen sechs­stel­li­gen Code, der in der Au­then­ti­ca­tor-App erzeugt wird und sich alle 30 Sekunden ändert.

Der TOTP-Provider ist mit RFC-6238-kom­pa­ti­blen Apps nutzbar. Seit Nextcloud 25 wird der TOTP-Provider mit­ge­lie­fert. Al­ler­dings ist er stan­dard­mä­ßig de­ak­ti­viert und muss in den Apps aktiviert werden. Für Ein­stei­ge­rin­nen und Ein­stei­ger ist TOTP meist die beste Kom­bi­na­ti­on aus Si­cher­heit, einfacher Ein­rich­tung, kom­for­ta­bler Bedienung und breiter Ge­rä­te­un­ter­stüt­zung. Von zentraler Bedeutung ist al­ler­dings, dass Nutzende ihre Backup-Codes speichern, weil ein ver­lo­re­nes Smart­phone sonst zur Aus­sper­rung führen kann.

Vorteile Nachteile
Sehr ver­brei­tet und leicht ver­ständ­lich Weniger phishing-resistent als WebAuthn/FIDO2
Funk­tio­niert mit vielen Au­then­ti­ca­tor-Apps Smart­phone-Verlust kann ohne Backup-Codes pro­ble­ma­tisch sein
Keine zu­sätz­li­che Hardware er­for­der­lich Codes können bei sehr gut gemachten Phishing-Angriffen ab­ge­fan­gen werden
Deutlich sicherer als nur ein Passwort Nut­ze­rin­nen und Nutzer müssen Uhrzeit und Au­then­ti­ca­tor-App korrekt verwenden
Auch für kleine Teams einfach aus­zu­rol­len

Zwei-Faktor-Au­then­ti­fi­zie­rung per Nextcloud-Be­nach­rich­ti­gung

Die Zwei-Faktor-Au­then­ti­fi­zie­rung per Nextcloud-Be­nach­rich­ti­gung nutzt ein bereits an­ge­mel­de­tes Gerät oder eine aktive Browser-Sitzung als zweiten Faktor. Beim Login erhält die Nutzerin oder der Nutzer auf einem be­stehen­den Nextcloud-Gerät eine Be­nach­rich­ti­gung und kann den An­mel­de­ver­such be­stä­ti­gen oder ablehnen. Diese Methode ist kom­for­ta­bel, setzt aber voraus, dass bereits ein ver­trau­ens­wür­di­ges Gerät an­ge­mel­det ist und Be­nach­rich­ti­gun­gen zu­ver­läs­sig funk­tio­nie­ren. Sie eignet sich daher gut als nut­zer­freund­li­che Ergänzung, sollte für besonders kritische Konten aber sorg­fäl­tig mit TOTP, WebAuthn/FIDO2 und Backup-Codes kom­bi­niert werden.

Vorteile Nachteile
Sehr kom­for­ta­bel, da kein Code abgetippt werden muss Funk­tio­niert nur, wenn bereits ein ver­trau­ens­wür­di­ges Gerät an­ge­mel­det ist
Nutzt vor­han­de­ne Nextcloud-Geräte oder Sitzungen als zweiten Faktor Abhängig von funk­tio­nie­ren­den Be­nach­rich­ti­gun­gen und er­reich­ba­ren Geräten
Keine zu­sätz­li­che Hardware er­for­der­lich Weniger geeignet, wenn Nut­ze­rin­nen und Nutzer nur ein einziges Gerät verwenden
Einfache Be­stä­ti­gung oder Ablehnung des Login-Versuchs Bei Ge­rä­te­ver­lust oder fehlender Sitzung sind Backup-Codes bzw. Admin-Support nötig
Gute nut­zer­freund­li­che Ergänzung zu TOTP oder WebAuthn Für besonders kritische Konten nicht so stark wie WebAuthn/FIDO2

Two-Factor WebAuthn bzw. FIDO2

Two-Factor WebAuthn bindet Au­then­ti­fi­zie­rungs­ver­fah­ren wie FIDO2-Si­cher­heits­schlüs­sel oder platt­form­ba­sier­te Au­then­ti­fi­ka­to­ren ein. Dazu zählen zum Beispiel USB-, NFC- oder Bluetooth-Si­cher­heits­schlüs­sel sowie Ge­rä­te­funk­tio­nen wie bio­me­trisch ge­schütz­te Plattform-Au­then­ti­fi­zie­rung.

Der große Vorteil liegt darin, dass WebAuthn ein starker Schutz gegen Phishing ist: Der zweite Faktor ist kryp­to­gra­fisch an die jeweilige Website bzw. Domain gebunden. An­grei­fen­de können einen WebAuthn-Faktor daher nicht so einfach über eine ge­fälsch­te Login-Seite abgreifen wie einen TOTP-Code. Im Nextcloud App Store ist Two-Factor WebAuthn als Si­cher­heits-App gelistet und für aktuelle Nextcloud-Versionen verfügbar. Für Un­ter­neh­men in sensiblen Bereichen, Ad­mi­nis­tra­to­ren und besonders schüt­zens­wer­te Konten ist WebAuthn daher im Regelfall die beste Wahl.

Vorteile Nachteile
Sehr hoher Schutz gegen Phishing Erfordert kom­pa­ti­ble Browser und Geräte
Sehr kom­for­ta­bel nach der Ein­rich­tung Hardware-Keys ver­ur­sa­chen zu­sätz­li­che Kosten
Besonders geeignet für Admin-Konten und sensible Nut­zer­grup­pen Verlust des Si­cher­heits­schlüs­sels muss or­ga­ni­sa­to­risch ab­ge­si­chert werden
Kein manuelles Abtippen von Codes nötig Ein­füh­rung kann für un­er­fah­re­ne Nut­ze­rin­nen und Nutzer er­klä­rungs­be­dürf­tig sein
Starke tech­ni­sche Bindung an die echte Nextcloud-Domain

Two-Factor Gateway: SMS, Signal, Telegram, WhatsApp und XMPP

Die App Two-Factor Gateway stellt zu­sätz­li­che 2FA-Provider bereit, bei denen Au­then­ti­fi­zie­rungs­codes über Kom­mu­ni­ka­ti­ons­ka­nä­le wie Signal, SMS, Telegram, WhatsApp oder XMPP ver­schickt werden. Der Vorteil dieser Variante von Nextcloud-2FA liegt vor allem in der Nut­zer­freund­lich­keit: Viele Personen kennen SMS- oder Messenger-Codes bereits aus anderen Diensten.

Technisch ist diese Methode aber schwächer als WebAuthn und in den meisten Fällen auch schwächer als lokal ge­ne­rier­te TOTP-Codes, weil externe Zu­stell­we­ge, Mo­bil­funk­num­mern, Messenger-Konten oder Gateway-Dienste zu­sätz­li­che Ab­hän­gig­kei­ten erzeugen. Für Um­ge­bun­gen mit hohen Schutz­an­for­de­run­gen sollten SMS- und Messenger-Codes aus diesem Grund nicht die be­vor­zug­te Methode sein. Sinnvoll kann Two-Factor Gateway sein, wenn Nut­ze­rin­nen und Nutzer keine Au­then­ti­ca­tor-App einsetzen können oder wenn eine Über­gangs­lö­sung benötigt wird.

Vorteile Nachteile
Leicht ver­ständ­lich Geringere Si­cher­heit als WebAuthn/FIDO2
Kein separates Au­then­ti­ca­tor-Setup nötig Ab­hän­gig­keit von externen Diensten oder Mo­bil­funk­net­zen
Mehrere Kom­mu­ni­ka­ti­ons­ka­nä­le möglich SMS kann durch SIM-Swapping oder unsichere Zu­stel­lung pro­ble­ma­tisch sein
Kann als prag­ma­ti­sche Über­gangs­lö­sung dienen Messenger-Konten können selbst kom­pro­mit­tiert werden
Gut geeignet, wenn Usability wichtiger ist als maximale Si­cher­heit Nicht ideal für Ad­mi­nis­tra­to­ren oder besonders sensible Konten

Er­zwun­ge­ne Zwei-Faktor-Au­then­ti­fi­zie­rung

Stan­dard­mä­ßig ist Nextcloud-2FA optional: Nut­ze­rin­nen und Nutzer können die Funktion in ihren per­sön­li­chen Ein­stel­lun­gen ak­ti­vie­ren, müssen dies aber nicht. Für pro­duk­ti­ve Um­ge­bun­gen ist es aber in vielen Fällen sinnvoll, 2FA besonders für Admin-Konten, Per­so­nal­ab­tei­lun­gen, Pro­jekt­lei­tun­gen oder Gruppen mit Zugriff auf ver­trau­li­che Dateien zentral zu erzwingen.

Für die zentrale Durch­set­zung der Zwei-Faktor-Au­then­ti­fi­zie­rung nutzen Sie in aktuellen Nextcloud-Versionen die Si­cher­heits­ein­stel­lun­gen der Ad­mi­nis­tra­ti­on. Dort können Sie festlegen, ob 2FA für alle Nut­ze­rin­nen und Nutzer oder nur für bestimmte Gruppen ver­pflich­tend sein soll. Al­ter­na­tiv können Sie einzelne Gruppen auch explizit aus­schlie­ßen. Vor­aus­set­zung ist, dass min­des­tens ein 2FA-Provider aktiviert ist, zum Beispiel TOTP oder WebAuthn. An­schlie­ßend sollten Sie die be­trof­fe­nen Nut­ze­rin­nen und Nutzer früh­zei­tig in­for­mie­ren und klar erklären, wie die Ein­rich­tung funk­tio­niert.

Ergänzend kann die App Two-Factor Admin Support hilfreich sein. Sie ist vor allem für den Support-Fall gedacht, wenn sich Nutzende aufgrund eines ver­lo­re­nen Smart­phones, einer defekten Au­then­ti­ca­tor-App oder eines fehlenden Si­cher­heits­schlüs­sels nicht mehr anmelden können. Ad­mi­nis­tra­to­ren können damit einmalige Login-Codes erzeugen und den Zugang kon­trol­liert wie­der­her­stel­len. Zu­sätz­lich sollten Nut­ze­rin­nen und Nutzer ihre Backup-Codes sicher speichern, da Nextcloud zehn einmalig nutzbare Codes be­reit­stellt. Nutzende müssen die Codes hierfür zunächst selbst in den per­sön­li­chen Ein­stel­lun­gen unter dem Punkt „Si­cher­heit“ ge­ne­rie­ren. So vermeiden Sie, dass legitime User durch ein ver­lo­re­nes 2FA-Gerät dauerhaft aus­ge­sperrt werden.

Compute Engine
Die ideale IaaS für Ihre Workloads
  • Kos­ten­güns­ti­ge vCPUs und leis­tungs­star­ke de­di­zier­te Cores
  • Höchste Fle­xi­bi­li­tät ohne Min­dest­ver­trags­lauf­zeit
  • Inklusive 24/7 Experten-Support

Er­wei­ter­ter Zu­griffs­schutz: File Access Control

Die Zwei-Faktor-Au­then­ti­fi­zie­rung schützt vor allem den Login. Sie stellt also sicher, dass sich eine Person nicht nur mit einem Passwort, sondern zu­sätz­lich mit einem zweiten Faktor anmelden muss. Nach dem Login stellt sich jedoch eine weitere Frage: Auf welche Dateien und Ordner darf diese Person zugreifen? Genau hier hilft die Nextcloud-App File Access Control.

Mit File Access Control können Sie zu­sätz­li­che Regeln für den Zugriff auf Dateien erstellen. Diese Regeln funk­tio­nie­ren mithilfe von Nextcloud Flow. Ein Flow ist eine Art „Wenn-dann-Regel“: Wenn bestimmte Be­din­gun­gen erfüllt sind, wird der Zugriff auf eine Datei oder einen Ordner ver­wei­gert. Solche Be­din­gun­gen können zum Beispiel die IP-Adresse, die Be­nut­zer­grup­pe, ein Dateityp oder ein be­stimm­tes Tag sein. Dadurch lassen sich sensible Bereiche deutlich feiner absichern als nur über normale Freigaben.

Besonders sinnvoll ist File Access Control für Ver­zeich­nis­se mit ver­trau­li­chen Daten wie zum Beispiel den folgenden:

  • Per­so­nal­ak­ten
  • Fi­nanz­un­ter­la­gen
  • Verträge
  • For­schungs­da­ten

Sie können solche Ordner bei­spiels­wei­se mit einem internen Tag wie Con­fi­den­ti­al kenn­zeich­nen. An­schlie­ßend legen Sie fest, dass nur bestimmte Gruppen oder nur Zugriffe aus einem be­stimm­ten Netzwerk erlaubt sind. Wichtig ist dabei, ein­ge­schränk­te oder un­sicht­ba­re Tags zu verwenden. Sonst könnten Nut­ze­rin­nen und Nutzer Tags selbst entfernen oder verändern und damit die Schutz­re­gel umgehen.

Wenn eine File-Access-Control-Regel greift, wird der Zugriff kon­se­quent blockiert. Die be­trof­fe­ne Person kann die Datei dann nicht öffnen, her­un­ter­la­den, ändern, löschen, hochladen oder über einen Desktop-Client syn­chro­ni­sie­ren.

Tipp

Achten Sie außerdem auf öf­fent­li­che Frei­ga­be­l­inks und externe Speicher. Solche Funk­tio­nen sind praktisch, können aber Si­cher­heits­re­geln un­ter­lau­fen, wenn sie nicht sauber kon­fi­gu­riert sind. Vor allem bei sensiblen Ordnern sollten Sie deshalb prüfen, ob öf­fent­li­che Links überhaupt erlaubt sein sollen. Für speziell ge­schütz­te Daten empfiehlt es sich, Freigaben, Tags und File-Access-Control-Regeln gemeinsam zu planen.

Typische Kriterien für den Zu­griffs­schutz mit File Access Control

Kriterium Bei­spiel­re­gel Was passiert technisch? Typischer Einsatz
IP-Bereich Zugriff nur aus dem internen Netzwerk, z. B. 192.168.10.0/24 Zugriffe von außerhalb werden blockiert Personal- oder Fi­nanz­ord­ner nur im Fir­men­netz verfügbar machen
Be­nut­zer­grup­pe Zugriff nur für Mit­glie­der der Gruppe HR Alle anderen Nut­zer­grup­pen erhalten keinen Zugriff Per­so­nal­ak­ten nur für die Per­so­nal­ab­tei­lung freigeben
Kol­la­bo­ra­ti­ves Tag Datei oder Ordner trägt das Tag Con­fi­den­ti­al Dateien mit diesem Tag werden von der Schutz­re­gel erfasst Ver­trau­li­che Dokumente zentral markieren und absichern
Dateityp / MIME-Type Upload von ZIP-Dateien ver­hin­dern Bestimmte Da­tei­for­ma­te können nicht hoch­ge­la­den werden Un­er­wünsch­te oder riskante Da­tei­ty­pen blo­ckie­ren
Zeit­fens­ter Zugriff außerhalb der Ar­beits­zeit sperren Zugriff ist nur zu be­stimm­ten Zeiten möglich Zugriff für Support- oder Pro­jekt­teams zeitlich begrenzen
Dateiname Dateien mit be­stimm­ten Namen oder Mustern blo­ckie­ren Dateien werden anhand des Namens erkannt und gesperrt Temporäre, falsch benannte oder un­er­wünsch­te Dateien ver­hin­dern
Hinweis

Wenn Sie in Nextcloud zu­sätz­li­che KI-Funk­tio­nen wie Context Chat nutzen, sollten Sie deren Zugriff auf sensible Inhalte gesondert prüfen. File Access Control schützt in erster Linie den direkten Zugriff auf Dateien und Ordner, greift jedoch nicht au­to­ma­tisch für alle KI-ge­stütz­ten Funk­tio­nen. In Um­ge­bun­gen mit ver­trau­li­chen Daten empfiehlt es sich daher, KI-Apps nur gezielt ein­zu­set­zen und vorab zu prüfen, welche Inhalte indexiert oder über Chat-Funk­tio­nen aus­ge­le­sen werden können.

Schutz vor Brute-Force und Bot-Angriffen

Neben 2FA sollten Sie die Login-Schnitt­stel­le gegen au­to­ma­ti­sier­te Pass­wort­an­grif­fe absichern. Nextcloud bringt dafür einen in­te­grier­ten Brute-Force-Schutz mit, der stan­dard­mä­ßig aktiv ist. Er schützt nicht nur gegen einfache Pass­wort­lis­ten-Angriffe, sondern erschwert auch Angriffe auf Passwort-Reset-Seiten oder App-Passwort-Token. Wenn ver­däch­ti­ge Login-Versuche erkannt werden, ver­lang­samt Nextcloud Anfragen von der be­trof­fe­nen IP-Adresse für bis zu 24 Stunden. Die Ver­zö­ge­rung kann dabei bis zu 25 Sekunden betragen. Wird der aktuelle Schwel­len­wert von 10 Versuchen innerhalb von 30 Minuten erreicht, antwortet Nextcloud vor­über­ge­hend mit „429 Too Many Requests“, bis die Anzahl der Versuche wieder unter den Schwel­len­wert fällt.

Für pro­duk­ti­ve Server sollten Sie diese Funktion nicht de­ak­ti­vie­ren. Zu­sätz­lich kann fail2ban auf Ser­ver­ebe­ne ein­ge­setzt werden. Während Next­clouds Schutz innerhalb der Anwendung arbeitet, blockiert fail2ban auf­fäl­li­ge IP-Adressen über Firewall-Regeln bereits auf Be­triebs­sys­tem­ebe­ne.

Besonders wichtig ist die korrekte Kon­fi­gu­ra­ti­on bei Reverse Proxys oder Load Balancern. Wenn trusted_proxies und wei­ter­ge­lei­te­te Header falsch gesetzt sind, kann Nextcloud fälsch­li­cher­wei­se den Proxy selbst als Quelle aller Anfragen sehen und dadurch legitime Nut­ze­rin­nen und Nutzer be­ein­träch­ti­gen. Stellen Sie also erst sicher, dass Nextcloud die echte Client-IP erkennt, und setzen Sie erst dann Brute-Force-Regeln und fail2ban ein. So vermeiden Sie, dass Sie sich selbst oder ganze Nut­zer­grup­pen aus­sper­ren.

Top 5 Check­lis­te zur Nextcloud-Härtung

  • 2FA ak­ti­vie­ren und erzwingen: Ak­ti­vie­ren Sie min­des­tens einen ge­eig­ne­ten 2FA-Provider wie TOTP oder WebAuthn und erzwingen Sie 2FA für Admins sowie sensible Be­nut­zer­grup­pen. Die Nextcloud-Be­nach­rich­ti­gung kann als kom­for­ta­ble Ergänzung dienen.
  • WebAuthn für kritische Konten be­vor­zu­gen: Nutzen Sie FIDO2-Si­cher­heits­schlüs­sel für Ad­mi­nis­tra­to­ren, Ge­schäfts­füh­rung, HR, Finanzen und andere schüt­zens­wer­te Rollen.
  • Backup-Codes ver­pflich­tend einplanen: Sorgen Sie dafür, dass Nut­ze­rin­nen und Nutzer ihre einmalig ver­wend­ba­ren Backup-Codes sicher speichern, bevor 2FA ver­pflich­tend wird.
  • File Access Control für sensible Ordner nutzen: Schützen Sie ver­trau­li­che Ver­zeich­nis­se mit Flow-Regeln, ein­ge­schränk­ten Tags, Grup­pen­be­din­gun­gen und IP-Regeln.
  • Brute-Force-Schutz und fail2ban kom­bi­nie­ren: Lassen Sie Next­clouds in­te­grier­ten Brute-Force-Schutz aktiv und ergänzen Sie auf öf­fent­lich er­reich­ba­ren Servern fail2ban auf Be­triebs­sys­tem­ebe­ne.
Zum Hauptmenü