stephan.hadan.de/_archive/250828-.md

Nextcloud souverän betreiben: Selbst hosten oder mit RZ-Hostingpartner? Ein Leitfaden für IT-Strategen

Nextcloud ist für Organisationen, die Datensouveränität, DSGVO-Konformität und Unabhängigkeit von US-Hyperscalern anstreben, eine überzeugende Option. Doch welches Betriebsmodell ist strategisch das richtige: on-premises auf eigener Hardware, Colocation im Rechenzentrum oder ein Managed-Service bei einem Hostingpartner? Dieser Leitfaden liefert eine fundierte Entscheidungsgrundlage – mit Sicherheit, Sizing, TCO und Migrationspfaden im Blick.

Betriebsmodelle im Vergleich

1) Selbst-Hosting on-premises

• Vorteile: Maximale Kontrolle, volle Datensouveränität, flexible App-Wahl, keine Lizenzkosten für Nextcloud Server (AGPL).
• Herausforderungen: Verfügbarkeit (Strom/Internet), Sicherheitsverantwortung, Betrieb/Updates/Backups, ggf. eingeschränkte Upload-Bandbreite.
• Einsatz: Pilot/PoC, kleine Teams, Homeoffice-Szenarien mit moderatem Traffic.

2) Eigenbetrieb im RZ/Colocation

• Vorteile: Strom/USV, Klimatisierung, redundante Netzanbindung, feste IPs, bessere Latenzen.
• Herausforderungen: Vertrags- und Betriebsaufwand, weiterhin eigene Admin- und Sicherheitskompetenz erforderlich.
• Einsatz: KMU/Behörden mit IT-Team, die volle Kontrolle wünschen, aber RZ-Qualität nutzen möchten.

3) Managed Nextcloud bei Hostingpartnern

• Vorteile: SLA, Betrieb und Updates, Härten & Monitoring, Backup- und Restore-Konzepte, Add-ons (Talk, Collabora/ONLYOFFICE, TURN, WAF) aus einer Hand.
• Herausforderungen: Kosten (OPEX), App-Auswahl ggf. kuratiert, Abhängigkeit vom Anbieter; unbedingt Exit-Strategie prüfen.
• Einsatz: Teams/Unternehmen, die planbare Verfügbarkeit und Security-by-Design priorisieren.

Sicherheit & Compliance richtig denken

• Datenstandort & Zertifizierungen: EU/DE-Hosting (DSGVO), ISO/IEC 27001 für ISMS, ggf. EN 50600 (RZ), BSI C5. Prüfen, ob pro Kunde isolierte Instanzen betrieben werden.
• Zutritts-/Zugriffsschutz: MFA, HSM/YubiKey-Unterstützung, rollenbasiertes Rechtemodell, Audit-Logs.
• Netzwerkexposition: TLS by default (Let’s Encrypt/ACME), Härten der Webserver- und PHP-Configs, optional WAF/CDN. Für Nextcloud Talk NAT/Firewall beachten; ein eigener TURN-Server ist in der Praxis Pflicht.
• Backups: Versioniert, verschlüsselt, Offsite + immutable (z. B. S3 Object Lock). Regelmäßige Restore-Tests.
• Updates: Klare Patch- und Upgrade-Policy (Nextcloud, PHP, Datenbank, OS). Kompatibilität der Apps prüfen.

Hinweis: Carrier-Grade NAT (CGNAT) bei Mobilfunk/Kabel kann externen Zugriff auf eine heimische Nextcloud verhindern. Workarounds sind fester IPv4/IPv6, Reverse-Proxy/Tunnel (z. B. Cloudflare Tunnel) oder Hostingpartner.

Leistung & Sizing: praxisnah dimensionieren

• Workloads definieren:
  • Filesync/-share (Office-Dokumente, Bilder),
  • Vorschaugenerierung (thumbnails),
  • Office (Collabora/ONLYOFFICE),
  • Talk (Audio/Video, Screensharing),
  • KI/Extrafeatures (z. B. Volltextsuche, OCR).
• Hardware-Baselines (Richtwerte):
  • Sehr klein (1–5 User, Filesync): ARM-SoCs (z. B. Odroid HC4, Raspberry Pi 5) möglich, SSD empfehlenswert.
  • Klein/Medium-Team (10–50 User, Filesync + Office + Vorschauen): x86_64 mit 4–8 vCPU, 16–32 GB RAM, NVMe/SSD; Redis für Caching/Locking; Datenbank (MariaDB/PostgreSQL) getrennt.
  • Talk: TURN-Server separat dimensionieren; bei vielen gleichzeitigen Sessions vCPU-/Netz-Reserven einplanen.
• Storage:
  • Start: lokales SSD/NVMe, regelmäßige Snapshots.
  • Wachstum: Objekt-Storage (S3/Swift) für Dateien, Block-Storage für DB/Transaktionen.
• Netzwerk: Upload bestimmt Download für Externe. Beispiel: 25 Mbit/s Upload => real ~3 MB/s; ein paralleler Video-Download kann die Leitung belegen.

TCO: realistische Gesamtkosten kalkulieren

• CAPEX (Selbstbetrieb): Hardware (Server, SSDs, USV), ggf. Rack/Colo.
• OPEX:
  • Strom: Beispiel 30 W Dauerlast ≈ 263 kWh/Jahr; bei 0,35 €/kWh ≈ 92 €/Jahr.
  • Domain/DNS, Ersatzteile, Internet (Business-Tarif), Wartung.
  • Arbeitszeit: Patching, Monitoring, Backup-Tests, Incident-Response.
• Managed-Modelle: Monatspreise beinhalten Betrieb/SLA/Support/Backups; Add-ons (Talk/Office/Antivirus/WAF/SSO) können separat bepreist sein.
• Lizenz: Nextcloud Server ist Open Source und kostenfrei; kommerzielle Subscriptions (Enterprise) bieten u. a. Support, Compliance-Assurance und Härtung für große Umgebungen.

Migration & Betriebsstrategie

• PoC: Schnellstart als VM oder Testinstanz bei einem Partner; Kern-Apps und Integrationen prüfen.
• Domänenstrategie: Gewählte FQDN beibehalten (z. B. cloud.example.de), damit Freigabelinks gültig bleiben. SSL automatisieren (ACME).
• Backup/Restore-Prozesse:
  • Files + DB + config.php konsistent sichern.
  • Wiederherstellung üben (auch auf neuer Hardware/Version).
• Update-Kadenz: Minor-Updates zügig, Major-Releases mit Staging/Tests; App-Kompatibilität (PHP/DB) im Blick behalten.
• Monitoring & Observability: Metriken/Logs (z. B. Prometheus, ELK), Alerting, Kapazitätsplanung.

Auswahlkriterien für RZ-Hostingpartner

• Architektur & Isolation: Eigene, isolierte Instanz je Kunde (keine reine Shared-Multi-Tenant-Datenbank). Option für dedizierte Ressourcen.
• Sicherheit & Compliance: ISO 27001, dokumentierte Sicherheitsorganisation, Penetrationstests, Härtenstandards, Patch-Policy, Incident-Response.
• Backups: Täglich + wöchentlich, Offsite/immutable, definierte Aufbewahrung, dokumentierte Restore-Zeiten.
• Nextcloud-Kompetenz:
  • Office (Collabora/ONLYOFFICE) und Talk (inkl. STUN/TURN) als Erstbürger,
  • SSO/LDAP/AD,
  • WAF/CDN, Antivirus, Objekt-Storage,
  • Upgrades/Migrationen als Service.
• Transparente SLAs: Verfügbarkeit, Reaktions-/Behebungszeiten, Wartungsfenster, Übernahme von Betriebsrisiken.
• Exit-Strategie: Vollständiger Export (Daten, DB, Konfiguration), Unterstützung beim Umzug, keine proprietären Lock-ins.
• Support & Kommunikation: Erreichbarkeit, kompetente Antworten, Runbooks/Handbuch, Kundenportal.

Tipp: Das offizielle Partnerverzeichnis von Nextcloud hilft bei der Vorauswahl. Achten Sie darauf, dass Ressourcenfresser wie Talk/Office sowie echte Backup-Optionen explizit als Leistungen ausgewiesen sind.

Zwei praxisnahe Szenarien

• Kreativteam (1–3 Personen) mit großen Videodateien, unregelmäßige Freigaben:
  • Wenn Upload stabil ist und keine CGNAT-Hürden bestehen: On-prem mit ARM-Storage (z. B. 2×SSD) + regelmäßiges Offsite-Backup.
  • Bei CGNAT/Erreichbarkeitsbedarf: Managed-Instanz mit Objekt-Storage und Traffic-naher Region, TURN für Talk bei Bedarf.
• KMU (20–50 User) mit Files, Office, Talk:
  • Managed Nextcloud (4–8 vCPU, 16–32 GB RAM), dedizierter TURN-Server, getestetes Office-Backend, 99,9% SLA, Backups mit Wiederanlaufplan.
  • Integration in SSO/AD, Policies für Sharing & DLP, Monitoring/Reporting.

Fazit

Für IT-Strategen ist die Wahl des Betriebsmodells eine Abwägung aus Kontrolle, Risiko, Kosten und Geschwindigkeit. Selbst-Hosting maximiert Souveränität, verlangt jedoch Betriebsexzellenz. Managed-Modelle beschleunigen Time-to-Value und reduzieren Betriebsrisiken, erfordern aber klare SLAs und eine saubere Exit-Strategie. Mit einem belastbaren Sizing, stringenten Sicherheits- und Backup-Prozessen sowie einer durchdachten Migrationsplanung lässt sich Nextcloud in jedem Modell souverän betreiben.

Key Takeaways

• Architektur zuerst: Workloads, Sicherheits- und Compliance-Anforderungen bestimmen das optimale Betriebsmodell (on-prem, Colo, Managed).
• Betriebssicherheit zählt: TURN für Talk, Härtung, automatisiertes TLS, versionierte Offsite-Backups und geübte Restores sind Pflicht.
• TCO realistisch planen: Strom, Zeit, Add-ons und SLA in die Kalkulation einbeziehen; Exit-Strategie vertraglich fixieren.

Selbst hosten oder RZ‑Partner? Der Leitfaden für IT‑Strategen zeigt, wie Sie Nextcloud souverän, sicher und wirtschaftlich betreiben – mit Sizing, TCO, Sicherheit, Backup und Migration.