Bei Verwendung der serverseitigen Verschlüsselung in Nextcloud gibt es einige Besonderheiten und Einschränkungen zu beachten:
Die serverseitige Verschlüsselung in der Nextcloud Community Edition (mittels der App „Default Encryption Module“) verschlüsselt Dateien direkt auf dem Speicher mit Benutzerschlüsseln. Dabei wird für jeden Benutzer ein eigenes Schlüsselpaar (öffentlich/privat) erstellt. Der private Schlüssel wird mit dem Benutzerpasswort verschlüsselt. Ohne das Passwort ist ein Zugriff auf die eigenen Dateien nicht möglich.
Eine Passwortänderung ist grundsätzlich möglich, jedoch gibt es dabei einige wichtige Punkte zu beachten:
Die Passwortänderung muss über die Nextcloud-Weboberfläche erfolgen. Nur so kann der private Schlüssel mit dem neuen Passwort erneut verschlüsselt werden.
Erfolgt die Änderung außerhalb von Nextcloud (zum Beispiel über LDAP oder externe Systeme), kann dies dazu führen, dass der Benutzer seine Dateien nicht mehr entschlüsseln kann, da der neue Schlüssel nicht korrekt gesetzt wurde.
In LDAP-Umgebungen oder bei externer Benutzerverwaltung empfiehlt es sich daher, entweder:
die Verschlüsselung zu deaktivieren, oder
die Wiederherstellungsfunktion (Recovery Key) zu aktivieren.
Nextcloud bietet die Möglichkeit, einen sogenannten Recovery Admin Key zu aktivieren. Dabei handelt es sich um einen Master-Schlüssel, der im Notfall den Zugriff auf alle Benutzerdaten erlaubt, etwa wenn ein Benutzer sein Passwort vergessen hat und keine manuelle Re-Verschlüsselung möglich ist.
Die Verwendung von 2FA ist auch bei aktivierter Verschlüsselung möglich. Dabei gilt:
2FA schützt den Login-Zugang zum Benutzerkonto.
Die Verschlüsselung der Dateien ist davon unabhängig und basiert ausschließlich auf dem Benutzerpasswort.
Das bedeutet: Der Benutzer muss sich weiterhin mit seinem Passwort (für die Entschlüsselung) und mit dem zweiten Faktor (für den Zugang) authentifizieren.
Beim Zugriff über App-Tokens oder WebDAV ist zu beachten, dass eine Entschlüsselung nur funktioniert, wenn Nextcloud das Klartextpasswort kennt - was bei Tokens nicht der Fall ist.
Sicherung der Schlüssel: Es ist wichtig, regelmäßig Backups der Benutzerschlüssel und insbesondere des Recovery-Keys zu erstellen.
Benutzerverwaltung planen: Wenn externe Systeme zur Benutzerverwaltung verwendet werden (z. B. LDAP), sollte man die Auswirkungen auf die Verschlüsselung sorgfältig abwägen.
Altbestände beachten: Dateien, die vor Aktivierung der Verschlüsselung hochgeladen wurden, bleiben unverschlüsselt.
Eingeschränkte Kompatibilität: Einige Funktionen wie Federated Sharing oder bestimmte API-Zugriffe sind bei aktivierter Verschlüsselung nur eingeschränkt nutzbar.
| Funktion | Mit Verschlüsselung möglich | Hinweise |
|---|---|---|
| Passwort ändern | Ja | Muss über Nextcloud erfolgen, sonst Gefahr von Datenverlust |
| Zwei-Faktor-Authentifizierung | Ja | Passwort weiterhin notwendig zur Entschlüsselung |
| Zugriff per App-Token | Eingeschränkt | Entschlüsselung nur mit Klartextpasswort möglich |
| Passwort vergessen | Nur mit Recovery Key | Ohne Recovery Key ist ein Datenzugriff nicht mehr möglich |
