In drei Sätzen: Als sichere europäische Alternative zu Google Drive und Microsoft Office gepriesen, scheitert Nextcloud an den eigenen Hausaufgaben. Durch eine fehlerhafte Serverkonfiguration lagen monatlich sensible Interna für jedermann offen im Netz. Mitarbeiter, Partner und deutsche Behörden sind gleichermaßen betroffen.
Der Auslöser: Am 18. Mai 2026 entdeckten IT-Analysten einen völlig ungesicherten Elasticsearch-Cluster des Cloud-Dienstleisters. Satte 7,92 Gigabyte an internen Daten waren ohne jeglichen Passwortschutz über das Internet abrufbar. Insgesamt handelt es sich um 367.000 sensible Datensätze, die unverschlüsselt auf dem Server lagen. Die Sicherheitslücke blieb nach der Entdeckung noch über eine Woche offen, bevor das Leck am 27. Mai endgültig geschlossen wurde.
Schizophrenie der Ziele: Nextcloud wirbt offensiv mit digitaler Souveränität und lokaler Datenspeicherung als sicherem Gegenentwurf zu den US-Tech-Riesen.
- Ausgerechnet die eigene Firmenzentrale patzte nun beim Standarddatenschutz.
- Während Kunden ihre Server selbst absichern, ließ Nextcloud die eigene Hosting-Infrastruktur ungeschützt im Netz stehen.
- Menschliches Versagen hebelte die mühsam aufgebaute Marketing-Erzählung der unknackbaren europäischen Cloud mit einem Klick aus.
Wer sagt was:
- Nextcloud-Sprecher: „Das Problem wurde durch eine Fehlkonfiguration unserer Hosting-Infrastruktur verursacht und steht in keinem Zusammenhang mit der Nextcloud-Software.“
- Kundenserver seien nicht betroffen, Beweise für einen kriminellen Abfluss der Daten gäbe es nicht. Der Landesdatenschutzbeauftragte wurde informiert.
- IT-Sicherheitsforscher: Das Risiko ist immens. Wenn Analysten die Datenbank finden, können das kriminelle Bots schon lange. Die Daten bieten die perfekte Vorlage für gezielte Phishing-Angriffe und Social Engineering.
Zwischen den Zeilen: Der Blick in die offene Datenbank offenbart ein Desaster:
- Neben 71.000 PDF-Dokumenten und Verträgen lagen dort unverschlüsselte Rechnungen, E-Mails, Klarnamen von Beta-Testern und interne Mitarbeiterdaten.
- Besonders brisant: Unter den geleakten Kundenkontakten befinden sich die Webhoster IONOS und STRATO sowie das nordrhein-westfälische Schulministerium.
- Ebenfalls frei zugänglich waren spezifische Programmierskripte, die Nextcloud-Kunden zur Einrichtung ihrer Systeme nutzen. Einige dieser Skripte enthielten hartcodierte Datenbank-Zugangsdaten.
- Angreifer haben damit eine präzise Roadmap erhalten, um Schwachstellen in den IT-Systemen der Kunden aufzuspüren.
Warum das wichtig ist: Der Vorfall zeigt schmerzhaft, dass Open-Source-Software und lokale Datenspeicherung wertlos sind, wenn die administrative Absicherung der Infrastruktur versagt. Wenn ein Vorzeigeunternehmen der europäischen Tech-Unabhängigkeit derart grundlegende IT-Fehler begeht, kann man eigentlich nur mehr heulen oder lachen.
Digitale Souveränität nützt eben recht wenig, wenn man die Vordertür zusperrt, aber das Kellerfenster offen stehen lässt.
Frank sagt:

