stephan.hadan.de/_archive/250828-.md

# Nextcloud souverän betreiben: Selbst hosten oder mit RZ-Hostingpartner? Ein Leitfaden für IT-Strategen

Nextcloud ist für Organisationen, die Datensouveränität, DSGVO-Konformität und Unabhängigkeit von US-Hyperscalern anstreben, eine überzeugende Option. Doch welches Betriebsmodell ist strategisch das richtige: on-premises auf eigener Hardware, Colocation im Rechenzentrum oder ein Managed-Service bei einem Hostingpartner? Dieser Leitfaden liefert eine fundierte Entscheidungsgrundlage – mit Sicherheit, Sizing, TCO und Migrationspfaden im Blick.

## Betriebsmodelle im Vergleich

### 1) Selbst-Hosting on-premises
- Vorteile: Maximale Kontrolle, volle Datensouveränität, flexible App-Wahl, keine Lizenzkosten für Nextcloud Server (AGPL).
- Herausforderungen: Verfügbarkeit (Strom/Internet), Sicherheitsverantwortung, Betrieb/Updates/Backups, ggf. eingeschränkte Upload-Bandbreite.
- Einsatz: Pilot/PoC, kleine Teams, Homeoffice-Szenarien mit moderatem Traffic.

### 2) Eigenbetrieb im RZ/Colocation
- Vorteile: Strom/USV, Klimatisierung, redundante Netzanbindung, feste IPs, bessere Latenzen.
- Herausforderungen: Vertrags- und Betriebsaufwand, weiterhin eigene Admin- und Sicherheitskompetenz erforderlich.
- Einsatz: KMU/Behörden mit IT-Team, die volle Kontrolle wünschen, aber RZ-Qualität nutzen möchten.

### 3) Managed Nextcloud bei Hostingpartnern
- Vorteile: SLA, Betrieb und Updates, Härten & Monitoring, Backup- und Restore-Konzepte, Add-ons (Talk, Collabora/ONLYOFFICE, TURN, WAF) aus einer Hand.
- Herausforderungen: Kosten (OPEX), App-Auswahl ggf. kuratiert, Abhängigkeit vom Anbieter; unbedingt Exit-Strategie prüfen.
- Einsatz: Teams/Unternehmen, die planbare Verfügbarkeit und Security-by-Design priorisieren.

## Sicherheit & Compliance richtig denken
- Datenstandort & Zertifizierungen: EU/DE-Hosting (DSGVO), ISO/IEC 27001 für ISMS, ggf. EN 50600 (RZ), BSI C5. Prüfen, ob pro Kunde isolierte Instanzen betrieben werden.
- Zutritts-/Zugriffsschutz: MFA, HSM/YubiKey-Unterstützung, rollenbasiertes Rechtemodell, Audit-Logs.
- Netzwerkexposition: TLS by default (Let’s Encrypt/ACME), Härten der Webserver- und PHP-Configs, optional WAF/CDN. Für Nextcloud Talk NAT/Firewall beachten; ein eigener TURN-Server ist in der Praxis Pflicht.
- Backups: Versioniert, verschlüsselt, Offsite + immutable (z. B. S3 Object Lock). Regelmäßige Restore-Tests.
- Updates: Klare Patch- und Upgrade-Policy (Nextcloud, PHP, Datenbank, OS). Kompatibilität der Apps prüfen.

Hinweis: Carrier-Grade NAT (CGNAT) bei Mobilfunk/Kabel kann externen Zugriff auf eine heimische Nextcloud verhindern. Workarounds sind fester IPv4/IPv6, Reverse-Proxy/Tunnel (z. B. Cloudflare Tunnel) oder Hostingpartner.

## Leistung & Sizing: praxisnah dimensionieren
- Workloads definieren: 
  - Filesync/-share (Office-Dokumente, Bilder), 
  - Vorschaugenerierung (thumbnails), 
  - Office (Collabora/ONLYOFFICE), 
  - Talk (Audio/Video, Screensharing), 
  - KI/Extrafeatures (z. B. Volltextsuche, OCR).
- Hardware-Baselines (Richtwerte):
  - Sehr klein (1–5 User, Filesync): ARM-SoCs (z. B. Odroid HC4, Raspberry Pi 5) möglich, SSD empfehlenswert.
  - Klein/Medium-Team (10–50 User, Filesync + Office + Vorschauen): x86_64 mit 4–8 vCPU, 16–32 GB RAM, NVMe/SSD; Redis für Caching/Locking; Datenbank (MariaDB/PostgreSQL) getrennt.
  - Talk: TURN-Server separat dimensionieren; bei vielen gleichzeitigen Sessions vCPU-/Netz-Reserven einplanen.
- Storage: 
  - Start: lokales SSD/NVMe, regelmäßige Snapshots. 
  - Wachstum: Objekt-Storage (S3/Swift) für Dateien, Block-Storage für DB/Transaktionen. 
- Netzwerk: Upload bestimmt Download für Externe. Beispiel: 25 Mbit/s Upload => real ~3 MB/s; ein paralleler Video-Download kann die Leitung belegen.

## TCO: realistische Gesamtkosten kalkulieren
- CAPEX (Selbstbetrieb): Hardware (Server, SSDs, USV), ggf. Rack/Colo. 
- OPEX: 
  - Strom: Beispiel 30 W Dauerlast ≈ 263 kWh/Jahr; bei 0,35 €/kWh ≈ 92 €/Jahr.
  - Domain/DNS, Ersatzteile, Internet (Business-Tarif), Wartung.
  - Arbeitszeit: Patching, Monitoring, Backup-Tests, Incident-Response.
- Managed-Modelle: Monatspreise beinhalten Betrieb/SLA/Support/Backups; Add-ons (Talk/Office/Antivirus/WAF/SSO) können separat bepreist sein.
- Lizenz: Nextcloud Server ist Open Source und kostenfrei; kommerzielle Subscriptions (Enterprise) bieten u. a. Support, Compliance-Assurance und Härtung für große Umgebungen.

## Migration & Betriebsstrategie
- PoC: Schnellstart als VM oder Testinstanz bei einem Partner; Kern-Apps und Integrationen prüfen.
- Domänenstrategie: Gewählte FQDN beibehalten (z. B. cloud.example.de), damit Freigabelinks gültig bleiben. SSL automatisieren (ACME).
- Backup/Restore-Prozesse: 
  - Files + DB + config.php konsistent sichern. 
  - Wiederherstellung üben (auch auf neuer Hardware/Version).
- Update-Kadenz: Minor-Updates zügig, Major-Releases mit Staging/Tests; App-Kompatibilität (PHP/DB) im Blick behalten.
- Monitoring & Observability: Metriken/Logs (z. B. Prometheus, ELK), Alerting, Kapazitätsplanung.

## Auswahlkriterien für RZ-Hostingpartner
- Architektur & Isolation: Eigene, isolierte Instanz je Kunde (keine reine Shared-Multi-Tenant-Datenbank). Option für dedizierte Ressourcen.
- Sicherheit & Compliance: ISO 27001, dokumentierte Sicherheitsorganisation, Penetrationstests, Härtenstandards, Patch-Policy, Incident-Response.
- Backups: Täglich + wöchentlich, Offsite/immutable, definierte Aufbewahrung, dokumentierte Restore-Zeiten.
- Nextcloud-Kompetenz: 
  - Office (Collabora/ONLYOFFICE) und Talk (inkl. STUN/TURN) als Erstbürger, 
  - SSO/LDAP/AD, 
  - WAF/CDN, Antivirus, Objekt-Storage, 
  - Upgrades/Migrationen als Service.
- Transparente SLAs: Verfügbarkeit, Reaktions-/Behebungszeiten, Wartungsfenster, Übernahme von Betriebsrisiken.
- Exit-Strategie: Vollständiger Export (Daten, DB, Konfiguration), Unterstützung beim Umzug, keine proprietären Lock-ins.
- Support & Kommunikation: Erreichbarkeit, kompetente Antworten, Runbooks/Handbuch, Kundenportal.

Tipp: Das offizielle Partnerverzeichnis von Nextcloud hilft bei der Vorauswahl. Achten Sie darauf, dass Ressourcenfresser wie Talk/Office sowie echte Backup-Optionen explizit als Leistungen ausgewiesen sind.

## Zwei praxisnahe Szenarien
- Kreativteam (1–3 Personen) mit großen Videodateien, unregelmäßige Freigaben: 
  - Wenn Upload stabil ist und keine CGNAT-Hürden bestehen: On-prem mit ARM-Storage (z. B. 2×SSD) + regelmäßiges Offsite-Backup. 
  - Bei CGNAT/Erreichbarkeitsbedarf: Managed-Instanz mit Objekt-Storage und Traffic-naher Region, TURN für Talk bei Bedarf.
- KMU (20–50 User) mit Files, Office, Talk: 
  - Managed Nextcloud (4–8 vCPU, 16–32 GB RAM), dedizierter TURN-Server, getestetes Office-Backend, 99,9% SLA, Backups mit Wiederanlaufplan. 
  - Integration in SSO/AD, Policies für Sharing & DLP, Monitoring/Reporting.

## Fazit
Für IT-Strategen ist die Wahl des Betriebsmodells eine Abwägung aus Kontrolle, Risiko, Kosten und Geschwindigkeit. Selbst-Hosting maximiert Souveränität, verlangt jedoch Betriebsexzellenz. Managed-Modelle beschleunigen Time-to-Value und reduzieren Betriebsrisiken, erfordern aber klare SLAs und eine saubere Exit-Strategie. Mit einem belastbaren Sizing, stringenten Sicherheits- und Backup-Prozessen sowie einer durchdachten Migrationsplanung lässt sich Nextcloud in jedem Modell souverän betreiben.

## Key Takeaways
- Architektur zuerst: Workloads, Sicherheits- und Compliance-Anforderungen bestimmen das optimale Betriebsmodell (on-prem, Colo, Managed).
- Betriebssicherheit zählt: TURN für Talk, Härtung, automatisiertes TLS, versionierte Offsite-Backups und geübte Restores sind Pflicht.
- TCO realistisch planen: Strom, Zeit, Add-ons und SLA in die Kalkulation einbeziehen; Exit-Strategie vertraglich fixieren.

<!-- OpenGraph Description -->
Selbst hosten oder RZ‑Partner? Der Leitfaden für IT‑Strategen zeigt, wie Sie Nextcloud souverän, sicher und wirtschaftlich betreiben – mit Sizing, TCO, Sicherheit, Backup und Migration.