Seit Donnerstag bekomme ich Nachrichten mit demselben Unterton. Kolleg*innen, Kund*innen, ein Vereinsvorstand, dem ich vor zwei Jahren zur eigenen Nextcloud geraten habe: alle fragen im Grunde dasselbe, mit einem kleinen, gut hörbaren Triumph in der Stimme. Hast du das mit Nextcloud gesehen? 367.000 Akten offen im Netz. Und dann kommt der Satz, auf den ich seit Jahren warte und vor dem ich mich seit Jahren fürchte: Siehst du, sicher ist bei euch also auch nichts.

Ich habe die Berichte gelesen, mehrfach, dazu die Originalmeldung von Cybernews, so weit sie sich noch abrufen ließ. Mein Fazit fällt anders aus, als der Triumph in diesen Nachrichten vermuten lässt. Nicht weil ich Nextcloud schönreden will, sondern weil die Geschichte, die wirklich passiert ist, eine andere ist als die, die gerade als Schlagzeile kursiert.

Was am 18. Mai gefunden wurde

Sicherheitsforscher*innen von Cybernews stießen am 18. Mai 2026 im Netz auf eine Datenbank, die offen erreichbar war. Kein Passwort, keine Zugriffssperre, einsehbar für jeden, der die Adresse kannte oder mit den richtigen Werkzeugen danach suchte. Betrieben wurde sie von der Nextcloud GmbH selbst, dem Unternehmen mit Sitz in Stuttgart, das die gleichnamige Software entwickelt und vertreibt.

Der Inhalt war beträchtlich: rund 367.000 Datensätze, knapp 8 Gigabyte, darunter etwa 71.000 PDF-Dokumente, 53.000 Bilddateien und 23.000 Textdateien im Markdown-Format. Ein- und ausgehende Rechnungen. Verträge. Interne E-Mails samt Absender, Empfänger und Zeitstempel. Mitarbeiterdaten. Kundendaten wie Firmennamen und Adressen. Anmeldelisten für Betaprogramme mit Namen und Mailadressen. Und, das ist der unangenehmste Punkt, Setup-Skripte für Kundenprojekte, in denen laut Deskmodder.de teilweise sogar Datenbank-Zugangsdaten im Klartext standen.

Cybernews informierte Nextcloud rund eine Woche nach dem Fund. Das Unternehmen reagierte schnell: Seit dem 27. Mai, zwei Tage nach der Meldung, ist die Datenbank nicht mehr erreichbar. Öffentlich bekannt wurde die Sache trotzdem erst mehr als sechs Wochen später, ab dem 8. Juli, zuerst bei Deskmodder.de, dann bei Golem.de, heise.de, ChannelPartner und Borncity.

Eine offene Datenbank ist ein vergessenes Türschloss, kein Einbruch

Elasticsearch ist eine Software, die Unternehmen intern nutzen, um riesige Mengen an Dokumenten schnell durchsuchbar zu machen, im Grunde eine firmeneigene Suchmaschine über die eigenen Akten. Solche Systeme sind für den internen Gebrauch gedacht und gehören eigentlich hinter Passwortschutz, Firewalls oder eine Anmeldeschicht. Fehlt dieser Schutz, etwa weil bei der Einrichtung eines Servers ein Konfigurationsschritt vergessen wurde, steht die komplette Datenbank offen im Internet, zugänglich für jeden, der sie findet. Und gefunden wird sie garantiert: Automatisierte Scanner durchsuchen das Netz permanent gezielt nach genau solchen Lücken. Sicherheitsforscher*innen wie die von Cybernews nutzen ähnliche Werkzeuge, aber verantwortungsvoll, um Betroffene zu warnen, bevor jemand mit schlechteren Absichten dieselbe Lücke findet.

Offene Elasticsearch- oder MongoDB-Datenbanken gehören seit Jahren zu den häufigsten Ursachen für Datenlecks weltweit. Die Software ist dabei nicht das Problem, ihre Standardeinstellungen sahen historisch oft keinen Zugriffsschutz vor, und irgendwer vergisst bei der Installation, das nachzuholen. Es ist die digitale Version einer Haustür, die zufällt, aber nie abgeschlossen wurde.

Was betroffen war, und was nicht

Hier liegt der Punkt, den die reißerischen Schlagzeilen unter den Tisch fallen lassen. Betroffen war die interne Firmen-IT der Nextcloud GmbH: ihre eigene Buchhaltung, ihre eigene Kommunikation, ihre eigenen Kundenunterlagen. Nicht betroffen war die Nextcloud-Software selbst. Und nicht betroffen war eine einzige selbstgehostete Instanz bei Kund*innen, Vereinen oder Unternehmen. Nextcloud erklärte gegenüber ChannelPartner wörtlich: „Keine anderen Nextcloud-Server unserer Kunden, Partner oder anderer Nutzer waren von diesem Vorfall betroffen.” Und weiter: „Uns liegen derzeit keine Hinweise darauf vor, dass jemand die Daten missbraucht hat.”

Der Unterschied ist keine Marketing-Ausrede, er ist die eigentliche Nachricht in dieser Geschichte. Wer eine eigene Nextcloud-Instanz betreibt, bei Hetzner, bei IONOS oder auf dem eigenen Server im Vereinsheim, war zu keinem Zeitpunkt in Gefahr, weil sich dieser Vorfall in einem völlig anderen System abspielte: der internen Verwaltungs-IT eines Herstellers, nicht in der Software, die auf deinem Server läuft.

Warum das eher für Self-Hosting spricht als dagegen

Genau hier liegt der Grund, warum ich Nextcloud trotz dieser Meldung weiterhin empfehle, und warum die Häme in meinem Posteingang den Punkt verfehlt. Stell dir vor, deine Fotos, Dokumente und Kalender liegen bei Google Drive oder Microsoft 365, und der Anbieter selbst wird gehackt, oder verkauft, oder muss auf Anordnung Daten an US-Behörden herausgeben, per US Cloud Act, jenem US-Gesetz, das amerikanische Behörden dazu befugt, von US-Unternehmen Zugriff auf Daten zu verlangen, selbst wenn diese auf Servern in Europa liegen. Dann sitzt du in genau demselben Boot wie deine Daten, ohne jeden Einfluss darauf, was mit ihnen passiert. Bei einer selbstgehosteten Nextcloud-Instanz ist das strukturell anders: deine Daten liegen auf deinem Server, unter deiner Kontrolle, unabhängig davon, was in der Buchhaltung des Herstellers passiert. Genau das hat sich am 18. Mai gezeigt, nur eben mit dem umgekehrten Vorzeichen von dem, was die Schlagzeilen suggerieren.

Das heißt nicht, dass Self-Hosting dich automatisch schützt. Es bedeutet, dass die Verantwortung bei dir liegt, und diese Verantwortung ernst zu nehmen ist die einzige Gegenleistung für die Kontrolle, die du dadurch gewinnst. Genau daran patzte die Nextcloud GmbH bei ihrer eigenen internen IT: eine Datenbank ohne Zugriffsschutz im Internet stehen zu lassen ist ein Anfängerfehler, kein raffinierter Angriff. Wer selbst hostet, muss diesen Anfängerfehler vermeiden. Sonst nützt die ganze Unabhängigkeit nichts.

Drei Fragen, die offen bleiben

Ehrlichkeit heißt auch, Lücken als Lücken zu benennen, statt sie mit Vermutungen zu füllen.

Erstens: Nextcloud hat sich bislang ausschließlich gegenüber recherchierenden Medien geäußert. Weder auf der eigenen Sicherheitsseite security.nextcloud.com noch im Unternehmensblog findet sich, Stand heute, eine eigene Stellungnahme zu diesem Vorfall. Das mag Zufall sein oder Kommunikationsstrategie, belegen lässt sich keins von beidem.

Zweitens: Nextcloud spricht durchgängig vom „zuständigen Landesdatenschutzbeauftragten”, ohne diesen zu benennen. Der naheliegende Verdacht wäre der Landesbeauftragte für Baden-Württemberg, wegen des Firmensitzes in Stuttgart, aber auf dessen eigener Website findet sich dazu keine Meldung. Ich nenne das hier als Vermutung, nicht als Fakt, und du solltest es genauso lesen.

Drittens: Weder der Chaos Computer Club noch das Bundesamt für Sicherheit in der Informationstechnik noch unabhängige Sicherheitsblogs wie kuketz-blog haben sich bislang zu diesem konkreten Vorfall geäußert. Eine unabhängige zweite Einschätzung außerhalb der beteiligten Medien und des Unternehmens selbst gibt es bislang schlicht nicht.

Was du daraus für deine eigene Infrastruktur mitnehmen solltest

Der eigentliche Wert dieser Geschichte liegt nicht in der Frage, ob Nextcloud vertrauenswürdig ist. Er liegt in der Erinnerung daran, wie leicht ein Konfigurationsfehler passiert, und zwar jedem, egal wie sehr die eigene Software für Datenschutz und Souveränität steht. Ein Server ist kein Zustand, den du einmal einrichtest und dann vergisst. Datenbanken wie Elasticsearch, MongoDB oder Redis gehören grundsätzlich nie ohne Authentifizierung und Firewall-Regeln direkt ins offene Internet. Das ist einer der ersten Punkte, die ich bei jedem Sicherheitsaudit prüfe, und einer der häufigsten, an denen selbst erfahrene Teams scheitern, weil eine einzelne vergessene Zeile in der Konfiguration reicht.

Ein Audit ist deshalb kein Misstrauensvotum gegen die eigene IT-Abteilung. Es ist die Art, wie man solche Fehler findet, bevor es ein Sicherheitsforscher, oder schlimmer, jemand mit anderen Absichten tut. Die Nextcloud GmbH hätte sich diesen Vorfall mit einer einzigen zusätzlichen Firewall-Regel sparen können. Genau solche einzelnen, banalen, folgenreichen Lücken sind es, nach denen ich suche, wenn ich die Server von Vereinen und kleinen Unternehmen durchgehe.

Nextcloud bleibt für mich die richtige Empfehlung für alle, die aus Google Drive, iCloud oder Microsoft 365 raus wollen. Nicht weil das Unternehmen unfehlbar wäre, das ist niemand, sondern weil das Prinzip dahinter, die Kontrolle über die eigenen Daten, in diesem Vorfall bestätigt und nicht widerlegt wurde. Wer sich jetzt trotzdem fragt, ob die eigene Serverkonfiguration wirklich so sauber ist, wie sie sein sollte: das ist die richtige Frage, gestellt zur richtigen Zeit.

Wenn du eine eigene Nextcloud-Instanz betreibst oder gerade aufsetzt und dir nicht sicher bist, ob deine Datenbanken, dein Server, deine Backups wirklich so abgesichert sind, wie du glaubst: Genau dafür mache ich Sicherheitsaudits, damit du nicht erst durch eine Schlagzeile erfährst, was offen im Netz stand.

Reden wir über die Sicherheit deiner Server.

Schreib mir eine E-Mail: Kurz beschreiben, was du vorhast oder was dich beschäftigt. Ich melde mich in der Regel innerhalb eines Werktages. hallo@chrislo.de

Kein Kontaktformular, keine Pflichtfelder, keine Datenspur. Einfach schreiben.