Für die selbsthostbaren, quelloffenen privaten Datenspeicher-»Clouds« ownCloud und dessen Fork Nextcloud hat Nextcloud einen Sicherheits-Scanner zur Verfügung gestellt. So einen Scanner gibt es auch von ownCloud.

Der Scanner zeigt etwa an, wenn veraltete, unsichere Versionen verwendet werden. Andere überprüfte Sicherheitseinstellungen wie Bruteforce Protection (wobei man das teilweise selbst mit Fail2ban nachrüsten kann), CSPv3, Same-Site Cookies oder __Host-Prefix wurden mit Nextcloud 11 eingeführt und sind deshalb in älteren Versionen nicht verfügbar.

Zehntausende veraltete (own|Next)Cloud-Server unsicher

Zwei Drittel der von Nextcloud untersuchten Cloud-Server enthielten Sicherheitslücken. Das sind zehntausende bis hunderttausende Server. Darunter Parteien, Krankenhäuser, Universitäten, große Unternehmen und Regierungen.

Spiegel Online berichtet, daß unter anderem die »Alternative für Deutschland« (AfD), die Grünen, das Büro der Vereinten Nationen in Genf, das Bundesinnenministerium, die Konrad-Adenauer-Stiftung und die Landesregierung Nordrhein-Westfalen betroffen waren. Die AfD betrieb eine uralte ownCloud-Version aus dem Jahre 2013 und bemühte sich nicht einmal, auf Hinweis des Bundesamts für Sicherheit in der Informationstechnik (BSI) die Sicherheitslücken rechtzeitig zu schließen.

Hausgemachtes Problem mit Aktualisierungen

Daß Software von ihren Administratoren und Anwendern nur selten Aktualisiert wird, ist eines der größten Probleme der IT-Sicherheit. Bei ownCloud und Nextcloud hat man die Aktualisierungen den Nutzern bisher aber auch nicht leicht gemacht:

  1. Der Updater in der ownCloud-Weboberfläche zeigt gerne an, daß die verwendete Version aktuell sei. Derzeit zum Beispiel bei Version 8.2.9.4, obwohl bereits seit über einem Monat Version 8.2.10 draußen ist. Der neue Scanner zeigt das korrekt, der integrierte Updater nicht.
    • Das Debian-Paket wird auch erst gerne später aktualisiert. (Außerdem ging der Umzug der Repositories von download.opensuse.org zu download.owncloud.org mit Problemen einher.)
    • Es ist gar nicht so leicht zu sehen, welche der vielen Versionen gerade aktuell ist. Weiterhin habe ich einen Newsletter abonniert, der eigentlich auf neue Versionen hinweist, aber für einige Versionen keine Meldung erhalten.
  2. Je nach Konfiguration muß man Dateirechte vor und nach Aktualisierung anders setzen.
  3. Man muß »Apps« vor der Aktualisierung deaktivieren, aktualisieren und danach wieder aktivieren. Und hoffen, daß dann noch alles läuft. Sogar bei Kern-Komponenten wie Kalender und Adreßbuch!
  4. Auch sonst gab es bei fast jeder ownClod-Aktualisierung Probleme, weil etwas geändert wurde und in der Konfiguration angepaßt werden muß, oder etwas gar nicht funktioniert. Man muß dann unter Umständen stundenlang in Foren suchen und hoffen, daß das Problem schon bei anderen aufgetaucht ist und es Informationen zur Behebung gibt. »Mal eben schnell aktualisieren« ist nicht.

Mit Nextcloud soll sich das alles bessern.

Nachtrag vom 2017-03-17: Hanno Böck hat bei Golem schön launig die auch von mir genannten Update-Probleme von ownCloud/Nextcloud sowie die nicht wirklich passenden Hinweise des Bundesamts für Sicherheit in der Informationstechnik beschrieben: Schützt euer Owncloud vor Feuer und Wasser! (Seite 2, Seite 3.)