# Nextcloud souverän betreiben: Selbst hosten oder mit RZ-Hostingpartner? Ein Leitfaden für IT-Strategen Nextcloud ist für Organisationen, die Datensouveränität, DSGVO-Konformität und Unabhängigkeit von US-Hyperscalern anstreben, eine überzeugende Option. Doch welches Betriebsmodell ist strategisch das richtige: on-premises auf eigener Hardware, Colocation im Rechenzentrum oder ein Managed-Service bei einem Hostingpartner? Dieser Leitfaden liefert eine fundierte Entscheidungsgrundlage – mit Sicherheit, Sizing, TCO und Migrationspfaden im Blick. ## Betriebsmodelle im Vergleich ### 1) Selbst-Hosting on-premises - Vorteile: Maximale Kontrolle, volle Datensouveränität, flexible App-Wahl, keine Lizenzkosten für Nextcloud Server (AGPL). - Herausforderungen: Verfügbarkeit (Strom/Internet), Sicherheitsverantwortung, Betrieb/Updates/Backups, ggf. eingeschränkte Upload-Bandbreite. - Einsatz: Pilot/PoC, kleine Teams, Homeoffice-Szenarien mit moderatem Traffic. ### 2) Eigenbetrieb im RZ/Colocation - Vorteile: Strom/USV, Klimatisierung, redundante Netzanbindung, feste IPs, bessere Latenzen. - Herausforderungen: Vertrags- und Betriebsaufwand, weiterhin eigene Admin- und Sicherheitskompetenz erforderlich. - Einsatz: KMU/Behörden mit IT-Team, die volle Kontrolle wünschen, aber RZ-Qualität nutzen möchten. ### 3) Managed Nextcloud bei Hostingpartnern - Vorteile: SLA, Betrieb und Updates, Härten & Monitoring, Backup- und Restore-Konzepte, Add-ons (Talk, Collabora/ONLYOFFICE, TURN, WAF) aus einer Hand. - Herausforderungen: Kosten (OPEX), App-Auswahl ggf. kuratiert, Abhängigkeit vom Anbieter; unbedingt Exit-Strategie prüfen. - Einsatz: Teams/Unternehmen, die planbare Verfügbarkeit und Security-by-Design priorisieren. ## Sicherheit & Compliance richtig denken - Datenstandort & Zertifizierungen: EU/DE-Hosting (DSGVO), ISO/IEC 27001 für ISMS, ggf. EN 50600 (RZ), BSI C5. Prüfen, ob pro Kunde isolierte Instanzen betrieben werden. - Zutritts-/Zugriffsschutz: MFA, HSM/YubiKey-Unterstützung, rollenbasiertes Rechtemodell, Audit-Logs. - Netzwerkexposition: TLS by default (Let’s Encrypt/ACME), Härten der Webserver- und PHP-Configs, optional WAF/CDN. Für Nextcloud Talk NAT/Firewall beachten; ein eigener TURN-Server ist in der Praxis Pflicht. - Backups: Versioniert, verschlüsselt, Offsite + immutable (z. B. S3 Object Lock). Regelmäßige Restore-Tests. - Updates: Klare Patch- und Upgrade-Policy (Nextcloud, PHP, Datenbank, OS). Kompatibilität der Apps prüfen. Hinweis: Carrier-Grade NAT (CGNAT) bei Mobilfunk/Kabel kann externen Zugriff auf eine heimische Nextcloud verhindern. Workarounds sind fester IPv4/IPv6, Reverse-Proxy/Tunnel (z. B. Cloudflare Tunnel) oder Hostingpartner. ## Leistung & Sizing: praxisnah dimensionieren - Workloads definieren: - Filesync/-share (Office-Dokumente, Bilder), - Vorschaugenerierung (thumbnails), - Office (Collabora/ONLYOFFICE), - Talk (Audio/Video, Screensharing), - KI/Extrafeatures (z. B. Volltextsuche, OCR). - Hardware-Baselines (Richtwerte): - Sehr klein (1–5 User, Filesync): ARM-SoCs (z. B. Odroid HC4, Raspberry Pi 5) möglich, SSD empfehlenswert. - Klein/Medium-Team (10–50 User, Filesync + Office + Vorschauen): x86_64 mit 4–8 vCPU, 16–32 GB RAM, NVMe/SSD; Redis für Caching/Locking; Datenbank (MariaDB/PostgreSQL) getrennt. - Talk: TURN-Server separat dimensionieren; bei vielen gleichzeitigen Sessions vCPU-/Netz-Reserven einplanen. - Storage: - Start: lokales SSD/NVMe, regelmäßige Snapshots. - Wachstum: Objekt-Storage (S3/Swift) für Dateien, Block-Storage für DB/Transaktionen. - Netzwerk: Upload bestimmt Download für Externe. Beispiel: 25 Mbit/s Upload => real ~3 MB/s; ein paralleler Video-Download kann die Leitung belegen. ## TCO: realistische Gesamtkosten kalkulieren - CAPEX (Selbstbetrieb): Hardware (Server, SSDs, USV), ggf. Rack/Colo. - OPEX: - Strom: Beispiel 30 W Dauerlast ≈ 263 kWh/Jahr; bei 0,35 €/kWh ≈ 92 €/Jahr. - Domain/DNS, Ersatzteile, Internet (Business-Tarif), Wartung. - Arbeitszeit: Patching, Monitoring, Backup-Tests, Incident-Response. - Managed-Modelle: Monatspreise beinhalten Betrieb/SLA/Support/Backups; Add-ons (Talk/Office/Antivirus/WAF/SSO) können separat bepreist sein. - Lizenz: Nextcloud Server ist Open Source und kostenfrei; kommerzielle Subscriptions (Enterprise) bieten u. a. Support, Compliance-Assurance und Härtung für große Umgebungen. ## Migration & Betriebsstrategie - PoC: Schnellstart als VM oder Testinstanz bei einem Partner; Kern-Apps und Integrationen prüfen. - Domänenstrategie: Gewählte FQDN beibehalten (z. B. cloud.example.de), damit Freigabelinks gültig bleiben. SSL automatisieren (ACME). - Backup/Restore-Prozesse: - Files + DB + config.php konsistent sichern. - Wiederherstellung üben (auch auf neuer Hardware/Version). - Update-Kadenz: Minor-Updates zügig, Major-Releases mit Staging/Tests; App-Kompatibilität (PHP/DB) im Blick behalten. - Monitoring & Observability: Metriken/Logs (z. B. Prometheus, ELK), Alerting, Kapazitätsplanung. ## Auswahlkriterien für RZ-Hostingpartner - Architektur & Isolation: Eigene, isolierte Instanz je Kunde (keine reine Shared-Multi-Tenant-Datenbank). Option für dedizierte Ressourcen. - Sicherheit & Compliance: ISO 27001, dokumentierte Sicherheitsorganisation, Penetrationstests, Härtenstandards, Patch-Policy, Incident-Response. - Backups: Täglich + wöchentlich, Offsite/immutable, definierte Aufbewahrung, dokumentierte Restore-Zeiten. - Nextcloud-Kompetenz: - Office (Collabora/ONLYOFFICE) und Talk (inkl. STUN/TURN) als Erstbürger, - SSO/LDAP/AD, - WAF/CDN, Antivirus, Objekt-Storage, - Upgrades/Migrationen als Service. - Transparente SLAs: Verfügbarkeit, Reaktions-/Behebungszeiten, Wartungsfenster, Übernahme von Betriebsrisiken. - Exit-Strategie: Vollständiger Export (Daten, DB, Konfiguration), Unterstützung beim Umzug, keine proprietären Lock-ins. - Support & Kommunikation: Erreichbarkeit, kompetente Antworten, Runbooks/Handbuch, Kundenportal. Tipp: Das offizielle Partnerverzeichnis von Nextcloud hilft bei der Vorauswahl. Achten Sie darauf, dass Ressourcenfresser wie Talk/Office sowie echte Backup-Optionen explizit als Leistungen ausgewiesen sind. ## Zwei praxisnahe Szenarien - Kreativteam (1–3 Personen) mit großen Videodateien, unregelmäßige Freigaben: - Wenn Upload stabil ist und keine CGNAT-Hürden bestehen: On-prem mit ARM-Storage (z. B. 2×SSD) + regelmäßiges Offsite-Backup. - Bei CGNAT/Erreichbarkeitsbedarf: Managed-Instanz mit Objekt-Storage und Traffic-naher Region, TURN für Talk bei Bedarf. - KMU (20–50 User) mit Files, Office, Talk: - Managed Nextcloud (4–8 vCPU, 16–32 GB RAM), dedizierter TURN-Server, getestetes Office-Backend, 99,9% SLA, Backups mit Wiederanlaufplan. - Integration in SSO/AD, Policies für Sharing & DLP, Monitoring/Reporting. ## Fazit Für IT-Strategen ist die Wahl des Betriebsmodells eine Abwägung aus Kontrolle, Risiko, Kosten und Geschwindigkeit. Selbst-Hosting maximiert Souveränität, verlangt jedoch Betriebsexzellenz. Managed-Modelle beschleunigen Time-to-Value und reduzieren Betriebsrisiken, erfordern aber klare SLAs und eine saubere Exit-Strategie. Mit einem belastbaren Sizing, stringenten Sicherheits- und Backup-Prozessen sowie einer durchdachten Migrationsplanung lässt sich Nextcloud in jedem Modell souverän betreiben. ## Key Takeaways - Architektur zuerst: Workloads, Sicherheits- und Compliance-Anforderungen bestimmen das optimale Betriebsmodell (on-prem, Colo, Managed). - Betriebssicherheit zählt: TURN für Talk, Härtung, automatisiertes TLS, versionierte Offsite-Backups und geübte Restores sind Pflicht. - TCO realistisch planen: Strom, Zeit, Add-ons und SLA in die Kalkulation einbeziehen; Exit-Strategie vertraglich fixieren. Selbst hosten oder RZ‑Partner? Der Leitfaden für IT‑Strategen zeigt, wie Sie Nextcloud souverän, sicher und wirtschaftlich betreiben – mit Sizing, TCO, Sicherheit, Backup und Migration.