{"id":25954,"date":"2025-10-01T22:04:34","date_gmt":"2025-10-01T20:04:34","guid":{"rendered":"https:\/\/contabo.com\/blog\/nextcloud-sicherheit-der-guide-mit-best-practices-fuer-admins\/"},"modified":"2025-11-09T22:11:47","modified_gmt":"2025-11-09T21:11:47","slug":"nextcloud-sicherheit-best-practices-fuer-admins","status":"publish","type":"post","link":"https:\/\/contabo.com\/blog\/de\/nextcloud-sicherheit-best-practices-fuer-admins\/","title":{"rendered":"Nextcloud Sicherheit: Best Practices f\u00fcr Admins"},"content":{"rendered":"\n<figure class=\"wp-block-image size-full\"><img loading=\"lazy\" decoding=\"async\" width=\"1200\" height=\"630\" src=\"https:\/\/contabo.com\/blog\/wp-content\/uploads\/2025\/09\/blog-head_nextcloud-security-best-practices-hardening-guide-for-admins_EN.jpg\" alt=\"\" class=\"wp-image-25263\" srcset=\"https:\/\/contabo.com\/blog\/wp-content\/uploads\/2025\/09\/blog-head_nextcloud-security-best-practices-hardening-guide-for-admins_EN.jpg 1200w, https:\/\/contabo.com\/blog\/wp-content\/uploads\/2025\/09\/blog-head_nextcloud-security-best-practices-hardening-guide-for-admins_EN-600x315.jpg 600w, https:\/\/contabo.com\/blog\/wp-content\/uploads\/2025\/09\/blog-head_nextcloud-security-best-practices-hardening-guide-for-admins_EN-768x403.jpg 768w\" sizes=\"auto, (max-width: 1200px) 100vw, 1200px\" \/><\/figure>\n\n\n\n<div style=\"height:30px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n\n\n\n<p>Wenn du eine selbst gehostete Nextcloud-Instanz betreibst, hast du die uneingeschr\u00e4nkte Kontrolle \u00fcber deine Daten. Diese Freiheit bringt jedoch eine entscheidende Verantwortung mit sich: die Sicherheit. Obwohl Nextcloud von Grund auf mit Fokus auf Sicherheit entwickelt wurde, ist die Standardkonfiguration nur der Ausgangspunkt. Um deinen Server wirklich vor Bedrohungen zu sch\u00fctzen, brauchst du einen proaktiven Ansatz.<\/p>\n\n\n\n<p>Dieser umfassende Nextcloud-Security-Guide richtet sich an Admins, die \u00fcber die Grundlagen hinausgehen m\u00f6chten. Wir behandeln essenzielle H\u00e4rtungstechniken, um deinen Server in eine sichere private Cloud zu verwandeln. Indem du diese Schritte befolgst, leistest du einen wichtigen Beitrag, um eine robuste Nextcloud-Sicherheit zu gew\u00e4hrleisten und die Integrit\u00e4t deiner Daten zu sch\u00fctzen.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"h-warum-die-sicherheit-deines-nextcloud-servers-deine-verantwortung-ist\">Warum die Sicherheit deines Nextcloud-Servers deine Verantwortung ist<\/h2>\n\n\n\n<p>Wenn du dich entscheidest, eine Anwendung wie Nextcloud selbst zu hosten, liegt die Verantwortung f\u00fcr die Sicherheit ganz bei dir. Im Gegensatz zu kommerziellen Cloud-Diensten, die die Sicherheit im Hintergrund verwalten, muss ein privater Server aktiv gesch\u00fctzt werden. Dieser Nextcloud-Admin-Guide basiert auf dieser grundlegenden Idee: Effektive Sicherheit ist ein aktiver Prozess, kein Standardzustand. Jede Einstellung, die du vornimmst, tr\u00e4gt direkt zu deinem Schutz gegen potenzielle Bedrohungen bei. <\/p>\n\n\n\n<p>Ein Bekenntnis zu angemessener Nextcloud-Server-Sicherheit ist ein kontinuierlicher Prozess der Verwaltung und Pflege. Auch wenn eine starke Hardware-Basis wichtig ist \u2013 wie bei unseren optimierten <a href=\"https:\/\/contabo.com\/en\/nextcloud-hosting\/\" target=\"_blank\" rel=\"noreferrer noopener\">Nextcloud-Hosting-Servern<\/a>, wird die Sicherheit der Software und der gespeicherten Nutzerdaten letztlich vom Admin verwaltet. Dieses Bewusstsein f\u00fcr die Verantwortung ist der entscheidende erste Schritt, um eine sichere private Cloud aufrechtzuerhalten. <\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"h-grundlegende-sicherheit-betriebssystem-und-bereitstellungs-best-practices\">Grundlegende Sicherheit: Betriebssystem- und Bereitstellungs-Best Practices <\/h2>\n\n\n\n<p>Effektive Nextcloud-Sicherheit beginnt auf Betriebssystem-Ebene, lange bevor sich ein Nutzer anmeldet. Die Entscheidungen, die du w\u00e4hrend der Servereinrichtung und Bereitstellung triffst, bilden das Fundament, auf dem alle anderen Sicherheitsma\u00dfnahmen aufbauen. Eine sichere Nextcloud-Bereitstellung umfasst das Hardening des Betriebssystems, die Isolierung von Daten und das Durchsetzen strenger Dateiberechtigungen. <\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"h-hardening-des-betriebssystems\">Hardening des Betriebssystems<\/h3>\n\n\n\n<p>Das Betriebssystem deines Servers ist die erste Verteidigungslinie. Halte es schlank und sicher mit diesen Praktiken: <\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Regelm\u00e4\u00dfige Aktualisierungen:<\/strong> Wende konsequent alle <a href=\"https:\/\/contabo.com\/blog\/de\/die-wichtigkeit-von-patching\/\" target=\"_blank\" rel=\"noreferrer noopener\">System- und Paketaktualisierungen<\/a> an, um bekannte Sicherheitsl\u00fccken zu schlie\u00dfen. F\u00fchre regelm\u00e4\u00dfig sudo apt aktualisieren &amp;&amp; sudo apt upgraden aus. <\/li>\n<\/ul>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Verwende eine Firewall:<\/strong> Implementiere eine Firewall wie <a href=\"https:\/\/contabo.com\/blog\/de\/wie-man-linux-ufw-nutzt\/\" target=\"_blank\" rel=\"noreferrer noopener\">UFW<\/a>, um alle nicht wesentlichen Ports zu blockieren und den Traffic nur f\u00fcr notwendige Dienste wie SSH und HTTPS zuzulassen. <\/li>\n<\/ul>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Zwingende Zugriffskontrolle:<\/strong> Ubuntu verwendet standardm\u00e4\u00dfig AppArmor, das Programme auf eine begrenzte Menge von Ressourcen beschr\u00e4nkt. F\u00fcr Administratoren, die mit anderen Systemen vertraut sind, ist dies konzeptionell \u00e4hnlich den Nextcloud-SELinux-Richtlinien. Stelle sicher, dass AppArmor aktiv ist und mit den Standardprofilen ausgef\u00fchrt wird, um potenzielle Sch\u00e4den durch eine kompromittierte Anwendung erheblich zu begrenzen. <\/li>\n<\/ul>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"h-isoliere-dein-datenverzeichnis-vom-web-root\">Isoliere dein Datenverzeichnis vom Web-Root <\/h3>\n\n\n\n<p>Eine der kritischsten Sicherheitskonfigurationen ist der Standort deines Datenverzeichnisses. Plaziere das Nextcloud-Datenverzeichnis niemals im Web-Root. Das Platzieren des Datenordners innerhalb eines webbasierten Verzeichnisses (z.B. \/var\/www\/html\/) ist ein ernsthaftes Risiko. Eine kleine Fehlkonfiguration des Webservers k\u00f6nnte alle Benutzerdaten direkt ins Internet aussetzen. Der richtige Ansatz ist, das Datenverzeichnis an einem Ort au\u00dferhalb des Web-Roots zu definieren, z. B. \/var\/nextcloud-data, sodass es \u00fcber direkte Webanfragen nicht zug\u00e4nglich ist. <\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"h-durchsetzen-strenger-dateiberechtigungen\">Durchsetzen strenger Dateiberechtigungen<\/h3>\n\n\n\n<p>Das Prinzip des geringsten Privilegs sollte dein Nextcloud-<a href=\"https:\/\/contabo.com\/blog\/de\/linux-basics-file-permissions-mit-chmod\/\" target=\"_blank\" rel=\"noreferrer noopener\">Dateisystem<\/a> regeln. Der Webserver-Benutzer (www-data unter Ubuntu) ben\u00f6tigt spezifische Berechtigungen, um Nextcloud auszuf\u00fchren, diese sollten jedoch so restriktiv wie m\u00f6glich sein. \u00dcberpr\u00fcfe nach der Installation, ob die Eigent\u00fcmerschaft deiner Nextcloud-Verzeichnisse korrekt eingestellt ist. Der www-data-Benutzer muss Eigent\u00fcmer des Konfigurations-, App- und deines festgelegten Datenverzeichnisses sein, um die Konfiguration, Apps und Benutzerdaten zu verwalten. Obwohl komplexere Berechtigungsmodelle m\u00f6glich sind, sind die richtige Eigent\u00fcmerschaft und die Isolierung des Datenverzeichnisses die beiden wirkungsvollsten Schritte, um das Dateisystem deiner Nextcloud-Bereitstellung zu sichern. <\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"h-nextcloud-zugriff-sichern-authentifizierung-https-und-hsts\">Nextcloud-Zugriff sichern: Authentifizierung, HTTPS und HSTS <\/h2>\n\n\n\n<p>Sobald das Fundament deines Servers gesichert ist, liegt die n\u00e4chste Priorit\u00e4t darin, die Zugangswege zu deiner Nextcloud-Instanz zu sch\u00fctzen. Dazu geh\u00f6rt, wie sich Benutzer authentifizieren, und sicherzustellen, dass die Verbindung selbst immer verschl\u00fcsselt und vertrauensw\u00fcrdig ist. Wir werden den Server auch so konfigurieren, dass die Browser ihre eigenen Sicherheitsfunktionen aktivieren, um einen robusten Schutz vom Server bis zum Bildschirm des Endbenutzers zu gew\u00e4hrleisten. <\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"h-durchsetzen-starker-authentifizierungsrichtlinien\">Durchsetzen starker Authentifizierungsrichtlinien<\/h3>\n\n\n\n<p>Schwache oder wiederverwendete Benutzerpassw\u00f6rter sind ein h\u00e4ufiger Einstiegspunkt f\u00fcr unbefugten Zugriff. Als Administrator kannst du dieses Risiko erheblich verringern, indem du direkt in Nextcloud starke Passwortrichtlinien durchsetzt. Navigiere zum Abschnitt &#8222;Sicherheit&#8220; in deinen Admin-Einstellungen, um diese Regeln zu konfigurieren: <\/p>\n\n\n\n<figure class=\"wp-block-image size-full\"><img loading=\"lazy\" decoding=\"async\" width=\"1430\" height=\"1178\" src=\"https:\/\/contabo.com\/blog\/wp-content\/uploads\/2025\/09\/image-16.png\" alt=\"\" class=\"wp-image-25266\" srcset=\"https:\/\/contabo.com\/blog\/wp-content\/uploads\/2025\/09\/image-16.png 1430w, https:\/\/contabo.com\/blog\/wp-content\/uploads\/2025\/09\/image-16-600x494.png 600w, https:\/\/contabo.com\/blog\/wp-content\/uploads\/2025\/09\/image-16-768x633.png 768w\" sizes=\"auto, (max-width: 1430px) 100vw, 1430px\" \/><\/figure>\n\n\n\n<p> Ein guter Ausgangspunkt ist, eine Mindestpasswortl\u00e4nge von 12 Zeichen festzulegen und eine Mischung aus Gro\u00dfbuchstaben, Kleinbuchstaben, Zahlen und Sonderzeichen zu verlangen. F\u00fcr noch mehr Sicherheit solltest du die Nutzung der Zwei-Faktor-Authentifizierung (2FA) f\u00fcr alle Benutzer stark empfehlen oder verpflichtend machen:<\/p>\n\n\n\n<figure class=\"wp-block-image size-full\"><img loading=\"lazy\" decoding=\"async\" width=\"1382\" height=\"207\" src=\"https:\/\/contabo.com\/blog\/wp-content\/uploads\/2025\/09\/image-17.png\" alt=\"\" class=\"wp-image-25269\" srcset=\"https:\/\/contabo.com\/blog\/wp-content\/uploads\/2025\/09\/image-17.png 1382w, https:\/\/contabo.com\/blog\/wp-content\/uploads\/2025\/09\/image-17-600x90.png 600w, https:\/\/contabo.com\/blog\/wp-content\/uploads\/2025\/09\/image-17-768x115.png 768w\" sizes=\"auto, (max-width: 1382px) 100vw, 1382px\" \/><\/figure>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"h-verschlusselte-verbindungen-mit-https-und-hsts-durchsetzen\">Verschl\u00fcsselte Verbindungen mit HTTPS und HSTS durchsetzen <\/h2>\n\n\n\n<p>Die Verwendung von https in Nextcloud ist eine grundlegende Voraussetzung f\u00fcr Sicherheit, aber wir k\u00f6nnen sie erheblich st\u00e4rken, indem wir Sicherheitsheader hinzuf\u00fcgen. Diese Header sind Anweisungen, die dein Server an den Browser des Benutzers sendet, um ihn zu veranlassen, sicherer zu agieren. <\/p>\n\n\n\n<ol start=\"1\" class=\"wp-block-list\">\n<li>Lokalisiere deine SSL-Konfigurationsdatei. Wenn du Certbot verwendet hast, wurde eine spezifische Konfigurationsdatei f\u00fcr die HTTPS-Verbindung deiner Domain erstellt, typischerweise unter \/etc\/apache2\/sites-available\/deine-domain-le-ssl.conf. <\/li>\n<\/ol>\n\n\n\n<ol start=\"2\" class=\"wp-block-list\">\n<li>\u00d6ffne die Datei mit dem Texteditor nano. Denke daran, deine-domain durch deinen tats\u00e4chlichen Domainnamen zu ersetzen. <\/li>\n<\/ol>\n\n\n\n<pre class=\"wp-block-code\"><code>sudo nano \/etc\/apache2\/sites-available\/your-domain-le-ssl.conf<\/code><\/pre>\n\n\n\n<ol start=\"3\" class=\"wp-block-list\">\n<li>F\u00fcge die Sicherheitsheader hinzu. Suche innerhalb der Datei den -Block. F\u00fcge innerhalb dieses Blocks die folgenden Zeilen hinzu. Dieser Block enth\u00e4lt HSTS und andere wichtige Nextcloud-Sicherheitsheader. <\/li>\n<\/ol>\n\n\n\n<pre class=\"wp-block-code\"><code>Header always set Strict-Transport-Security \"max-age=15552000; includeSubDomains\"&nbsp;\nHeader always set X-Content-Type-Options \"nosniff\"&nbsp;\nHeader always set X-Frame-Options \"SAMEORIGIN\"&nbsp;\nHeader always set Referrer-Policy \"no-referrer\"<\/code><\/pre>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Strict-Transport-Security (HSTS):<\/strong> Verhindert Downgrade-Angriffe, indem die Browser angewiesen werden, nur \u00fcber HTTPS mit deinem Server zu kommunizieren. <\/li>\n<\/ul>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>X-Content-Type-Options:<\/strong> Verhindert Angriffe, bei denen b\u00f6sartige Skripte als andere Dateitypen getarnt werden. <\/li>\n<\/ul>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>X-Frame-Options:<\/strong> Blockiert deine Nextcloud-Seite, damit sie nicht in einem iframe auf einer anderen Website eingebettet wird \u2013 prim\u00e4rer Schutz gegen &#8222;Clickjacking&#8220;. <\/li>\n<\/ul>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Referrer-Policy:<\/strong> Verbessert den Datenschutz der Benutzer, indem verhindert wird, dass der Browser Referrer-Informationen an andere Seiten sendet, wenn Links angeklickt werden. <\/li>\n<\/ul>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Speichere und schlie\u00dfe die Datei. In nano dr\u00fccke CTRL+X, dann Y und schlie\u00dflich Enter. <\/li>\n<\/ul>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Testen und Apache neu laden. \u00dcberpr\u00fcfe zuerst deine Apache-Konfiguration auf Syntaxfehler. <\/li>\n<\/ul>\n\n\n\n<pre class=\"wp-block-code\"><code>sudo apache2ctl configtest<\/code><\/pre>\n\n\n\n<p>Wenn &#8222;Syntax OK&#8220; angezeigt wird, lade Apache sicher neu, um die neuen Header anzuwenden. <\/p>\n\n\n\n<figure class=\"wp-block-image size-full\"><img decoding=\"async\" src=\"https:\/\/contabo.com\/blog\/wp-content\/uploads\/2025\/09\/image-18.png\" alt=\"\" class=\"wp-image-25272\"\/><\/figure>\n\n\n\n<pre class=\"wp-block-code\"><code>sudo systemctl reload apache2<\/code><\/pre>\n\n\n\n<p>Dein Server wird jetzt sichere Verbindungen durchsetzen und eine weitere wichtige Sicherheitsebene hinzuf\u00fcgen. <\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"h-verwende-eine-dedizierte-domain-fur-nextcloud\">Verwende eine dedizierte Domain f\u00fcr Nextcloud<\/h3>\n\n\n\n<p>Eine letzte, entscheidende Best Practice ist, eine dedizierte Domain f\u00fcr Nextcloud zu nutzen. Das bedeutet, deine Instanz auf einer Subdomain wie cloud.deinedomain.com laufen zu lassen, statt in einem Unterverzeichnis wie deinedomain.com\/nextcloud. <\/p>\n\n\n\n<p>Der Grund daf\u00fcr ist die Sicherheitsisolierung. Browser nutzen die &#8222;Same-Origin-Policy&#8220;, um zu verhindern, dass Websites sich gegenseitig st\u00f6ren. Wenn du Nextcloud auf derselben Domain wie eine andere Anwendung, z. B. einen Blog, betreibst, k\u00f6nnte eine Sicherheitsl\u00fccke in diesem Blog dazu f\u00fchren, dass auf Nextcloud-Daten zugegriffen oder Session-Cookies gestohlen werden. Indem du Nextcloud auf einer eigenen dedizierten Domain platzierst, schaffst du eine starke Sicherheitsgrenze und isolierst sie von potenziellen Schwachstellen anderer Webanwendungen. <\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"h-automatisierte-angriffe-mindern-fail2ban-und-ip-beschrankungen\">Automatisierte Angriffe mindern: Fail2ban und IP-Beschr\u00e4nkungen <\/h2>\n\n\n\n<p>Dein Nextcloud-Server wird, sobald \u00f6ffentlich, unvermeidlich von automatisierten Bots angegriffen, die versuchen, Benutzerpassw\u00f6rter zu erraten. Dies ist eine st\u00e4ndige Bedrohung, bekannt als Brute-Force-Angriff. Du kannst dich proaktiv sch\u00fctzen, indem du Tools einsetzt, die b\u00f6swillige Akteure automatisch blockieren, und den Zugriff auf deinen Server einschr\u00e4nkst. <\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"h-blockiere-brute-force-versuche-mit-nextcloud-fail2ban\">Blockiere Brute-Force-Versuche mit Nextcloud Fail2ban <\/h3>\n\n\n\n<p><a href=\"https:\/\/contabo.com\/blog\/de\/was-ist-fail2ban-und-wie-nutzt-man-es-auf-einem-vps\/\" target=\"_blank\" rel=\"noreferrer noopener\">Fail2ban<\/a> ist ein unverzichtbares Sicherheitswerkzeug f\u00fcr jeden Internetserver. Es \u00fcberwacht aktiv Protokolldateien und sperrt vor\u00fcbergehend IP-Adressen, die b\u00f6swillige Aktivit\u00e4ten zeigen, z. B. zu viele Passwortfehler. Die Einrichtung von Nextcloud Fail2ban umfasst das Konfigurieren von Nextcloud zum Protokollieren fehlgeschlagener Anmeldeversuche und das anschlie\u00dfende Anweisen von Fail2ban, wie dieses Protokoll gelesen wird. <\/p>\n\n\n\n<ol start=\"1\" class=\"wp-block-list\">\n<li>Installiere Fail2ban. Wenn du es noch nicht auf deinem Server hast, installiere es mit apt: <\/li>\n<\/ol>\n\n\n\n<pre class=\"wp-block-code\"><code>sudo apt install fail2ban -y<\/code><\/pre>\n\n\n\n<ol start=\"2\" class=\"wp-block-list\">\n<li>Konfiguriere die Nextcloud-Protokollierung. Du musst Nextcloud anweisen, fehlgeschlagene Anmeldeversuche in einer bestimmten Datei zu protokollieren. Bearbeite deine config.php-Datei: <\/li>\n<\/ol>\n\n\n\n<pre class=\"wp-block-code\"><code>sudo nano \/var\/www\/html\/nextcloud\/config\/config.php&nbsp;<\/code><\/pre>\n\n\n\n<p>F\u00fcge die folgenden Zeilen vor dem abschlie\u00dfenden ); in der Datei hinzu: <\/p>\n\n\n\n<pre class=\"wp-block-code\"><code>'log_type' =&gt; 'file',&nbsp;\n'logfile' =&gt; '\/var\/log\/nextcloud\/nextcloud.log',&nbsp;\n'loglevel' =&gt; 2,<\/code><\/pre>\n\n\n\n<p>Erstelle jetzt die Protokolldatei und gib dem Webserver die Eigent\u00fcmerschaft: <\/p>\n\n\n\n<pre class=\"wp-block-code\"><code>sudo mkdir \/var\/log\/nextcloud&nbsp;\nsudo touch \/var\/log\/nextcloud\/nextcloud.log&nbsp;\nsudo chown -R www-data:www-data \/var\/log\/nextcloud<\/code><\/pre>\n\n\n\n<ol start=\"3\" class=\"wp-block-list\">\n<li>Erstelle das Fail2ban-Jail. Dies sagt Fail2ban, welches Protokoll \u00fcberwacht werden soll und wie zu handeln ist. Erstelle eine neue Konfigurationsdatei f\u00fcr Nextcloud: <\/li>\n<\/ol>\n\n\n\n<pre class=\"wp-block-code\"><code>sudo nano \/etc\/fail2ban\/jail.d\/nextcloud.local&nbsp;<\/code><\/pre>\n\n\n\n<p>F\u00fcge die folgende Konfiguration in die Datei ein. Diese Konfiguration sperrt eine IP f\u00fcr einen Tag nach 3 fehlgeschlagenen Anmeldeversuchen. <\/p>\n\n\n\n<pre class=\"wp-block-code\"><code>&#91;nextcloud]\nenabled = true\nport = http,https\nfilter = nextcloud\nlogpath = \/var\/log\/nextcloud\/nextcloud.log\nmaxretry = 3\nbantime = 86400<\/code><\/pre>\n\n\n\n<ol start=\"4\" class=\"wp-block-list\">\n<li>Erstelle den Fail2ban-Filter. Der Filter teilt Fail2ban mit, wie ein fehlgeschlagener Login im Protokoll aussieht. Erstelle die Filterdatei: <\/li>\n<\/ol>\n\n\n\n<pre class=\"wp-block-code\"><code>sudo nano \/etc\/fail2ban\/filter.d\/nextcloud.conf&nbsp;<\/code><\/pre>\n\n\n\n<p>F\u00fcge den folgenden regul\u00e4ren Ausdruck in diese Datei ein: <\/p>\n\n\n\n<pre class=\"wp-block-code\"><code>&#91;Definition]&nbsp;\n\nfailregex = ^{\"reqId\":\".*\",\"level\":2,\"time\":\".*\",\"remoteAddr\":\".*\",\"user\":\".*\",\"app\":\"core\",\"method\":\".*\",\"url\":\".*\",\"message\":\"Login failed: '.*' (Remote IP: '&lt;HOST&gt;')\".*}$<\/code><\/pre>\n\n\n\n<ol start=\"5\" class=\"wp-block-list\">\n<li>Neustarten und \u00dcberpr\u00fcfen. Damit die \u00c4nderungen wirksam werden, starte Fail2ban neu. <\/li>\n<\/ol>\n\n\n\n<pre class=\"wp-block-code\"><code>sudo systemctl restart fail2ban&nbsp;<\/code><\/pre>\n\n\n\n<p>Du kannst \u00fcberpr\u00fcfen, ob das Jail aktiv ist mit: <\/p>\n\n\n\n<pre class=\"wp-block-code\"><code>sudo fail2ban-client status nextcloud&nbsp;<\/code><\/pre>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"h-zugang-mit-ip-whitelisting-einschranken\">Zugang mit IP-Whitelisting einschr\u00e4nken <\/h3>\n\n\n\n<p>F\u00fcr Server, die nur f\u00fcr einige Personen an bestimmten Standorten (z. B. Zuhause oder B\u00fcro) zug\u00e4nglich sein sollen, ist die effektivste Sicherheitsma\u00dfnahme, den Zugang auf eine Liste genehmigter IP-Adressen zu beschr\u00e4nken. Du kannst den IP-Zugriff des Nextcloud-Administrators oder sogar aller Zugriffe auf Serverebene einschr\u00e4nken. Dies verhindert, dass jemand, der nicht auf der Liste steht, \u00fcberhaupt die Nextcloud-Loginseite erreicht. <\/p>\n\n\n\n<p>Bearbeite erneut deine Apache-SSL-Konfigurationsdatei: <\/p>\n\n\n\n<pre class=\"wp-block-code\"><code>sudo nano \/etc\/apache2\/sites-available\/your-domain-le-ssl.conf&nbsp;<\/code><\/pre>\n\n\n\n<p>Innerhalb des -Blocks f\u00fcge den folgenden Abschnitt hinzu. Ersetze die Beispiel-IP-Adressen durch deine eigenen vertrauensw\u00fcrdigen \u00f6ffentlichen IPs. Du kannst mehrere Require ip-Zeilen hinzuf\u00fcgen. <\/p>\n\n\n\n<pre class=\"wp-block-code\"><code>&lt;Directory \/var\/www\/html\/nextcloud&gt;\nRequire ip 123.45.67.89\nRequire ip 98.76.54.32\n&lt;\/Directory&gt;<\/code><\/pre>\n\n\n\n<p>Nach dem Speichern der Datei teste deine Apache-Konfiguration und lade dann den Dienst neu. <\/p>\n\n\n\n<pre class=\"wp-block-code\"><code>sudo apache2ctl configtest<\/code><\/pre>\n\n\n\n<figure class=\"wp-block-image size-full\"><img loading=\"lazy\" decoding=\"async\" width=\"1273\" height=\"152\" src=\"https:\/\/contabo.com\/blog\/wp-content\/uploads\/2025\/09\/image-19.png\" alt=\"\" class=\"wp-image-25275\" srcset=\"https:\/\/contabo.com\/blog\/wp-content\/uploads\/2025\/09\/image-19.png 1273w, https:\/\/contabo.com\/blog\/wp-content\/uploads\/2025\/09\/image-19-600x72.png 600w, https:\/\/contabo.com\/blog\/wp-content\/uploads\/2025\/09\/image-19-768x92.png 768w\" sizes=\"auto, (max-width: 1273px) 100vw, 1273px\" \/><\/figure>\n\n\n\n<pre class=\"wp-block-code\"><code>sudo systemctl reload apache2&nbsp;<\/code><\/pre>\n\n\n\n<p>Dies ist eine sehr restriktive Ma\u00dfnahme, aber f\u00fcr einen wirklich privaten Server eine der besten Methoden, unbefugte Zugriffsversuche zu verhindern. <\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"h-erweiterte-sicherheit-auf-anwendungsebene-vorschauen-und-debug-modus\">Erweiterte Sicherheit auf Anwendungsebene: Vorschauen und Debug-Modus <\/h2>\n\n\n\n<p>\u00dcber die H\u00e4rtung von Server und Verbindung hinaus k\u00f6nnen mehrere Einstellungen in der Nextcloud-Konfigurationsdatei angepasst werden, um deine Angriffsfl\u00e4che zu verringern und potenzielle Informationslecks zu verhindern. Diese Sicherheitsanpassungen der Nextcloud config php sind einfach umzusetzen, haben jedoch einen erheblichen Einfluss auf die Gesamtsicherheit deiner Instanz. <\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"h-verringere-die-angriffsflache-indem-du-vorschauen-deaktivierst\">Verringere die Angriffsfl\u00e4che, indem du Vorschauen deaktivierst<\/h3>\n\n\n\n<p>Nextcloud generiert automatisch Vorschauen und Thumbnails f\u00fcr viele Dateiformate, wie Bilder und Videos. Obwohl dies eine n\u00fctzliche Funktion ist, sind die zugrunde liegenden Softwarebibliotheken (z. B. ImageMagick) komplex und waren historisch eine Quelle f\u00fcr Sicherheitsanf\u00e4lligkeiten. F\u00fcr Hochsicherheitsumgebungen, in denen Vorschauen eine nicht wesentliche Funktion sind, kannst du die Nextcloud-Vorschauen vollst\u00e4ndig deaktivieren, um die Angriffsfl\u00e4che deines Servers zu verringern. Das bedeutet, dass der Server diesen Code \u00fcberhaupt nicht ausf\u00fchrt, wodurch jedes damit verbundene Risiko beseitigt wird. <\/p>\n\n\n\n<p>Um Vorschauen zu deaktivieren, bearbeite deine Konfigurationsdatei: <\/p>\n\n\n\n<pre class=\"wp-block-code\"><code>sudo nano \/var\/www\/html\/nextcloud\/config\/config.php&nbsp;<\/code><\/pre>\n\n\n\n<p>F\u00fcge die folgende Zeile irgendwo innerhalb des Konfigurationsarrays hinzu: <\/p>\n\n\n\n<pre class=\"wp-block-code\"><code>'enable_previews' =&gt; false,<\/code><\/pre>\n\n\n\n<p>Speichere und schlie\u00dfe die Datei. Dies ist ein Kompromiss zwischen Funktionalit\u00e4t und Sicherheit, aber es ist ein effektiver H\u00e4rtungsschritt. <\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"h-debug-modus-in-der-produktion-deaktivieren\">Debug-Modus in der Produktion deaktivieren<\/h3>\n\n\n\n<p>Der Debug-Modus ist ein Werkzeug f\u00fcr Entwickler, das hochgradig detaillierte Fehlermeldungen bereitstellt. Diese Nachrichten sind w\u00e4hrend der Einrichtung oder Fehlersuche n\u00fctzlich, aber sie sind \u00e4u\u00dferst gef\u00e4hrlich auf einem aktiven Produktionsserver. Wenn ein Fehler auftritt, kann der Debug-Modus sensible Informationen wie Server-Dateipfade, Datenbankdetails und Softwareversionen preisgeben. Ein Angreifer kann diese Informationen nutzen, um einen effektiveren Angriff zu starten. <\/p>\n\n\n\n<p>Du musst sicherstellen, dass der Debug-Modus in deiner Produktionsumgebung immer deaktiviert ist. Um dies zu \u00fcberpr\u00fcfen, schau dir deine Konfigurationsdatei an: <\/p>\n\n\n\n<pre class=\"wp-block-code\"><code>sudo nano \/var\/www\/html\/nextcloud\/config\/config.php&nbsp;<\/code><\/pre>\n\n\n\n<p>Suche nach der Debug-Einstellung und stelle sicher, dass sie auf false gesetzt ist: <\/p>\n\n\n\n<pre class=\"wp-block-code\"><code>'debug' =&gt; false,<\/code><\/pre>\n\n\n\n<p>Wenn diese Zeile nicht existiert, ist sie standardm\u00e4\u00dfig auf false gesetzt, was sicher ist. Wenn sie auf true gesetzt ist, \u00e4ndere sie sofort. <\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"h-fazit\">Fazit <\/h2>\n\n\n\n<p>Indem du diesem Nextcloud-H\u00e4rtungsleitfaden folgst, hast du eine Standard-Nextcloud-Installation systematisch in einen sicher konfigurierten, produktionsbereiten Server verwandelt. Du hast das Betriebssystem geh\u00e4rtet, den Webserver und die Verbindungen zum Browser gesichert, automatisierte Abwehrma\u00dfnahmen gegen Brute-Force-Angriffe implementiert und die Einstellungen auf Anwendungsebene optimiert, um die Angriffsfl\u00e4che zu reduzieren. Jede Schicht der Sicherheit, die du hinzugef\u00fcgt hast, tr\u00e4gt zu einer robusten Verteidigung f\u00fcr deinen privaten Cloud bei. <\/p>\n\n\n\n<p>Die wichtigste Erkenntnis ist jedoch, dass Sicherheit keine einmalige Aufgabe ist. Die digitale Landschaft entwickelt sich st\u00e4ndig weiter, ebenso wie die Bedrohungen. Ein sicherer Server kann morgen anf\u00e4llig sein, wenn er nicht gewartet wird. Wahre Nextcloud-Sicherheitswartung ist ein andauernder Prozess der Wachsamkeit. Dies umfasst regelm\u00e4\u00dfige Updates von Nextcloud und seinen Apps, das Patchen des Betriebssystems und der Pakete des Servers sowie das Informieren \u00fcber neue Sicherheitsbest Practices. Indem du dich zu diesen fortlaufenden Praktiken verpflichtest, stellst du sicher, dass dein selbst gehosteter Cloud ein sicherer, privater und vertrauensw\u00fcrdiger Ort f\u00fcr deine Daten bleibt. <\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"h-nextcloud-sicherheits-faq\">Nextcloud-Sicherheits-FAQ <\/h2>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"h-wie-oft-sollte-ich-nach-updates-suchen\">Wie oft sollte ich nach Updates suchen? <\/h3>\n\n\n\n<p>Du solltest dir eine Routine angew\u00f6hnen, mindestens w\u00f6chentlich nach Updates des Betriebssystems zu suchen. F\u00fcr Nextcloud selbst und seine Anwendungen solltest du mindestens einmal im Monat nach Updates suchen. Wenn jedoch eine kritische Sicherheitsanf\u00e4lligkeit angek\u00fcndigt wird, solltest du den Patch so schnell wie m\u00f6glich anwenden. <\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"h-ist-fail2ban-genug-um-alle-brute-force-angriffe-zu-stoppen\">Ist Fail2ban genug, um alle Brute-Force-Angriffe zu stoppen? <\/h3>\n\n\n\n<p>Fail2ban ist \u00e4u\u00dferst effektiv, um einfache, automatisierte Brute-Force-Angriffe von einer einzigen IP-Adresse zu stoppen. Es k\u00f6nnte jedoch einen langsamen, verteilten Angriff, der von Tausenden von verschiedenen IPs ausgeht, nicht stoppen. Es sollte als eine wesentliche Schicht in deiner Verteidigung betrachtet werden, kombiniert mit starken Passw\u00f6rtern und Zwei-Faktor-Authentifizierung. <\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"h-mein-nextcloud-sicherheits-scan-zeigt-warnungen-was-soll-ich-tun\">Mein Nextcloud-Sicherheits-Scan zeigt Warnungen. Was soll ich tun? <\/h3>\n\n\n\n<p>Der Sicherheits-Scan, der in den Verwaltungseinstellungen gefunden wird, ist ein hervorragendes Werkzeug. Keine Panik, wenn du Warnungen siehst. Lies jede einzelne sorgf\u00e4ltig, da sie dazu gedacht sind, hilfreich zu sein. Viele der h\u00e4ufigsten Warnungen, wie die \u00fcber fehlende Sicherheitsheader, wurden durch Befolgen der Schritte in diesem Leitfaden behoben. Bei anderen linkt die Warnung oft direkt zur offiziellen Dokumentation von Nextcloud, die erkl\u00e4rt, wie das Problem zu beheben ist. <\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"h-wird-das-deaktivieren-von-datei-vorschauen-meine-dateien-beschadigen\">Wird das Deaktivieren von Datei-Vorschauen meine Dateien besch\u00e4digen? <\/h3>\n\n\n\n<p>Nein, das Deaktivieren von Vorschauen wird deine Originaldateien auf keine Weise sch\u00e4digen. Diese Einstellung verhindert lediglich, dass der Server Thumbnails und kleine Vorschaubilder erstellt. Deine Dateien k\u00f6nnen weiterhin perfekt heruntergeladen und angesehen werden. Die einzige \u00c4nderung ist eine weniger visuelle Erfahrung beim Durchbl\u00e4ttern der Dateien in der Weboberfl\u00e4che. <\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"h-ist-es-sicher-apps-aus-dem-nextcloud-app-store-zu-installieren\">Ist es sicher, Apps aus dem Nextcloud App Store zu installieren? <\/h3>\n\n\n\n<p>Du solltest Vorsicht walten lassen. W\u00e4hrend der App Store unglaubliche Funktionalit\u00e4t bietet, werden viele Apps von Community-Entwicklern erstellt und gewartet, nicht vom Kernteam von Nextcloud. Bevor du eine App installierst, \u00fcberpr\u00fcfe, wann sie zuletzt aktualisiert wurde, schaue dir die Bewertungen an und pr\u00fcfe, ob sie eine aktive Entwicklergemeinschaft hat (zum Beispiel auf GitHub). Jede App, die du hinzuf\u00fcgst, erh\u00f6ht die potenzielle Angriffsfl\u00e4che deiner Instanz, also installiere nur Apps, die du ben\u00f6tigst, aus vertrauensw\u00fcrdigen Quellen. <\/p>\n","protected":false},"excerpt":{"rendered":"<p>Nextcloud Security: Lerne wesentliche Hardening-Techniken f\u00fcr deinen Webserver, deine Daten und Anwendungen, um sie vor Bedrohungen zu sch\u00fctzen.<\/p>\n","protected":false},"author":50,"featured_media":25264,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"inline_featured_image":false,"_uag_custom_page_level_css":"","site-sidebar-layout":"default","site-content-layout":"","ast-site-content-layout":"default","site-content-style":"default","site-sidebar-style":"default","ast-global-header-display":"","ast-banner-title-visibility":"","ast-main-header-display":"","ast-hfb-above-header-display":"","ast-hfb-below-header-display":"","ast-hfb-mobile-header-display":"","site-post-title":"","ast-breadcrumbs-content":"","ast-featured-img":"","footer-sml-layout":"","theme-transparent-header-meta":"","adv-header-id-meta":"","stick-header-meta":"","header-above-stick-meta":"","header-main-stick-meta":"","header-below-stick-meta":"","astra-migrate-meta-layouts":"set","ast-page-background-enabled":"default","ast-page-background-meta":{"desktop":{"background-color":"var(--ast-global-color-4)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"ast-content-background-meta":{"desktop":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"footnotes":""},"categories":[1399],"tags":[3240,3205,3241,3239],"ppma_author":[1491],"class_list":["post-25954","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tutorials","tag-hardening-tutorial-de","tag-nextcloud-de","tag-nextcloud-sicherheit","tag-sicherheit-de"],"uagb_featured_image_src":{"full":["https:\/\/contabo.com\/blog\/wp-content\/uploads\/2025\/09\/blog-head_nextcloud-security-best-practices-hardening-guide-for-admins_EN.jpg",1200,630,false],"thumbnail":["https:\/\/contabo.com\/blog\/wp-content\/uploads\/2025\/09\/blog-head_nextcloud-security-best-practices-hardening-guide-for-admins_EN-150x150.jpg",150,150,true],"medium":["https:\/\/contabo.com\/blog\/wp-content\/uploads\/2025\/09\/blog-head_nextcloud-security-best-practices-hardening-guide-for-admins_EN-600x315.jpg",600,315,true],"medium_large":["https:\/\/contabo.com\/blog\/wp-content\/uploads\/2025\/09\/blog-head_nextcloud-security-best-practices-hardening-guide-for-admins_EN-768x403.jpg",768,403,true],"large":["https:\/\/contabo.com\/blog\/wp-content\/uploads\/2025\/09\/blog-head_nextcloud-security-best-practices-hardening-guide-for-admins_EN.jpg",1200,630,false],"1536x1536":["https:\/\/contabo.com\/blog\/wp-content\/uploads\/2025\/09\/blog-head_nextcloud-security-best-practices-hardening-guide-for-admins_EN.jpg",1200,630,false],"2048x2048":["https:\/\/contabo.com\/blog\/wp-content\/uploads\/2025\/09\/blog-head_nextcloud-security-best-practices-hardening-guide-for-admins_EN.jpg",1200,630,false]},"uagb_author_info":{"display_name":"Tobias Mildenberger","author_link":"https:\/\/contabo.com\/blog\/de\/author\/tobias\/"},"uagb_comment_info":0,"uagb_excerpt":"Nextcloud Security: Lerne wesentliche Hardening-Techniken f\u00fcr deinen Webserver, deine Daten und Anwendungen, um sie vor Bedrohungen zu sch\u00fctzen.","authors":[{"term_id":1491,"user_id":50,"is_guest":0,"slug":"tobias","display_name":"Tobias Mildenberger","avatar_url":"https:\/\/secure.gravatar.com\/avatar\/077178d5dce6c3d4c0c0396857a7e544bfdf8adf04145fff5160b33a22e28b1f?s=96&d=mm&r=g","0":null,"1":"","2":"","3":"","4":"","5":"","6":"","7":"","8":""}],"_links":{"self":[{"href":"https:\/\/contabo.com\/blog\/de\/wp-json\/wp\/v2\/posts\/25954","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/contabo.com\/blog\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/contabo.com\/blog\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/contabo.com\/blog\/de\/wp-json\/wp\/v2\/users\/50"}],"replies":[{"embeddable":true,"href":"https:\/\/contabo.com\/blog\/de\/wp-json\/wp\/v2\/comments?post=25954"}],"version-history":[{"count":3,"href":"https:\/\/contabo.com\/blog\/de\/wp-json\/wp\/v2\/posts\/25954\/revisions"}],"predecessor-version":[{"id":25959,"href":"https:\/\/contabo.com\/blog\/de\/wp-json\/wp\/v2\/posts\/25954\/revisions\/25959"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/contabo.com\/blog\/de\/wp-json\/wp\/v2\/media\/25264"}],"wp:attachment":[{"href":"https:\/\/contabo.com\/blog\/de\/wp-json\/wp\/v2\/media?parent=25954"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/contabo.com\/blog\/de\/wp-json\/wp\/v2\/categories?post=25954"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/contabo.com\/blog\/de\/wp-json\/wp\/v2\/tags?post=25954"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/contabo.com\/blog\/de\/wp-json\/wp\/v2\/ppma_author?post=25954"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}