Zum Inhalt springen
xaweho
Bestellen

Knowledge Base · fortgeschritten

End-to-End-Verschlüsselung — was sie macht und was nicht

E2EE in Nextcloud: pro Ordner aktivieren, Recovery-Mechanismen, harte Trade-offs. Wann sie wirklich Sinn macht und wann nicht.

fortgeschritten ·

End-to-End-Encryption (E2EE) verschlüsselt Files lokal auf Deinem Gerät, bevor sie zum Server hochgeladen werden. Der Server kann die Inhalte nicht entschlüsseln — auch wir bei xaweho nicht. Das klingt erstmal toll, hat aber harte praktische Trade-offs. Hier was Du wissen musst, bevor Du E2EE einschaltest.

Was E2EE technisch macht

Wenn Du einen Ordner als E2EE markierst:

  1. Auf Deinem Gerät wird ein Schlüsselpaar erstellt (Private Key bleibt lokal, Public Key kommt zum Server)
  2. Files in dem Ordner werden vor dem Upload mit Deinem Public Key verschlüsselt
  3. Server speichert nur Chiffrat (verschlüsselte Bytes)
  4. Wenn Du das File abrufst, lädt der Client das Chiffrat runter und entschlüsselt lokal mit dem Private Key

Konsequenz: Server sieht niemals den Klartext. Selbst wir mit Server-Admin-Rechten können die Files nicht lesen.

Wo Du E2EE einschalten kannst

Pro Ordner, nicht für die ganze Cloud:

  • Files-App im Browser → Ordner auswählen → ⓘ-Sidebar → Verschlüsselung aktivieren
  • Oder im Desktop-Client per Rechtsklick auf einen Ordner

Wichtig: nur leere Ordner können neu E2EE-aktiviert werden. Bestehende Files in einem Ordner umzustellen ist nicht möglich — Du müsstest neue Ordner anlegen und reinverschieben.

Voraussetzungen

  • E2EE-App muss in Verwaltungs-Einstellungen → Apps installiert sein (bei xaweho-Setups Standard inaktiv, aktiv auf Wunsch)
  • Desktop-Client v3.5+ oder Mobile-App mit E2EE-Support
  • Beim ersten Aktivieren wird ein Recovery-Mnemonic generiert — musst Du sicher aufbewahren

Recovery-Mnemonic — kritisch wichtig

Beim Aktivieren bekommst Du eine 12-Wörter-Phrase angezeigt:

adapt apple harvest river silent ocean village forest mountain key garden waste

Mit dieser Phrase kannst Du auf einem neuen Gerät Deine E2EE-Files entschlüsseln. Verlierst Du sie, sind die Files weg — auch wir können sie nicht wiederherstellen.

Empfehlung:

  • In Passwort-Manager speichern (1Password, Bitwarden, KeePass)
  • Auf Papier ausdrucken und im Tresor / Bankschließfach
  • Nicht digital ungesichert speichern (E-Mail, Cloud-Notizen)

Was funktioniert mit E2EE

  • Files hochladen / runterladen über Desktop-Client und Mobile-Apps
  • Sharing mit anderen Nextcloud-Usern (innerhalb derselben Cloud) — der andere User braucht ebenfalls E2EE-fähigen Client
  • Dateinamen-Verschlüsselung (auch die Filenamen sind verschlüsselt, der Server sieht nur generische IDs)

Was nicht (gut) funktioniert

Browser-Editing geht nicht

Im Browser kannst Du E2EE-Files nicht öffnen. Browser kann nicht entschlüsseln, weil der Private Key nicht im Browser ist.

Konsequenz: kein OnlyOffice, kein Collabora, kein Browser-PDF-Viewer für E2EE-Files. Nur Desktop-Client / Mobile-App.

Public-Sharing geht nicht

Du kannst keinen Public-Link auf E2EE-Files erstellen. Nicht-User können nichts entschlüsseln — würde ja den Sinn brechen.

Keine Volltext-Suche

Server kann den Inhalt nicht indexieren. Suche im Web findet E2EE-Files nicht (außer am Filenamen-Hash, was nichts hilft).

WebDAV nur eingeschränkt

WebDAV-Mounts können E2EE-Files nicht lesen — der Mount-Client kann nicht entschlüsseln.

Kein Office-Co-Editing

Weil Browser-Editing nicht geht, gibt’s auch kein Co-Editing. Du kannst Files nur sequenziell mit lokalem Office bearbeiten.

Versions-Verlauf eingeschränkt

Frühere Versionen werden gespeichert, sind aber nur über Desktop-Client wiederherstellbar — nicht über Browser.

Wann E2EE wirklich Sinn macht

Definitiv:

  • Hochsensible Dokumente (Verträge mit Vertraulichkeitsklausel, Patientendaten in begrenztem Umfang, Anwalts-Mandantenakten)
  • Du willst, dass selbst wir / der Provider keine Möglichkeit haben, die Files zu lesen
  • Compliance-Anforderungen, die explizit Zero-Knowledge fordern

Nicht sinnvoll:

  • Normale Familie-Files, Vereins-Akten — der Server-Schutz reicht
  • Files, die ihr im Team kollaborativ editieren wollt — Co-Editing geht nicht
  • Foto-Uploads, die ihr in der Galerie sehen wollt — Browser-Galerie kann nicht entschlüsseln

Trotz E2EE bleiben Limits

E2EE schützt den Inhalt der Files. Nicht geschützt:

  • Dass Du eine Datei hast (Server sieht: Du hast 50 verschlüsselte Files)
  • Dateigröße (Chiffrat ist gleich groß wie Klartext + bisschen Overhead)
  • Zeitstempel (wann wurde was geändert)
  • Mit wem die Datei geteilt ist (Server muss das wissen, um Sharing zu ermöglichen)

Bei sehr hohen Anforderungen (Investigative Journalismus, etc.) sind diese Metadaten relevant — dann lieber lokales Encryption + nur-Backup-Sync.

Server-side Encryption vs E2EE — Unterschied

Nextcloud kann Files auch server-side verschlüsseln (Verwaltungs-Einstellung). Das schützt die Files wenn jemand die Festplatte stiehlt — aber Server (also wir) können trotzdem entschlüsseln, weil der Schlüssel auf dem Server liegt.

E2EE ist deutlich strenger: selbst Server-Admin kommt nicht ran.

Bei xaweho machen wir Festplatten-Verschlüsselung der Server-Hardware sowieso — Server-side-Encryption in Nextcloud bringt darüber wenig zusätzlich.

Das Recovery-Szenario, das Du nicht haben willst

User-Story aus unseren Setups:

User aktiviert E2EE auf Familien-Cloud. Mnemonic-Phrase verschwindet (Notizzettel verlegt). 2 Jahre später: neues Smartphone, will Files runterladen. Geht nicht. Kein Mnemonic = kein Zugriff. Files für immer verloren.

Wir können da nichts retten. Buchstäblich nichts.

Aus unserer Erfahrung: 80% der E2EE-Aktivierungen werden später bereut, weil die Limits zu hart sind. Bevor Du aktivierst, denk dreifach durch:

  • Brauchst Du Browser-Editing? → Nein E2EE
  • Wollt ihr Co-Editing? → Nein E2EE
  • Sind die Files wirklich so sensitiv, dass selbst der Hoster sie nicht sehen darf? → Ja zu E2EE
  • Hast Du einen sauberen Plan, wie Du das Recovery-Mnemonic 10+ Jahre sicher aufbewahrst? → Sonst nein

Wenn Du Dich trotzdem dafür entscheidest

  1. App End-to-End-Verschlüsselung in Nextcloud installieren / aktivieren
  2. Auf einem Gerät: Desktop-Client öffnen, Mnemonic generieren, sicher aufbewahren
  3. Test-Ordner als E2EE markieren, Test-Datei hochladen
  4. Auf zweitem Gerät: Mnemonic eingeben, prüfen dass Datei lesbar ist
  5. Erst dann „echte” Daten in E2EE-Ordner verschieben

Häufige Fragen

Kann ich E2EE pro Ordner aktivieren UND deaktivieren? Aktivieren: ja, leerer Ordner. Deaktivieren: nicht direkt — Du müsstest Files in unverschlüsselten Ordner kopieren, dann den E2EE-Ordner löschen.

Bleibt der Inhalt zugänglich, wenn ich mein Account-Passwort ändere? Ja. E2EE-Mnemonic ist getrennt vom Account-Passwort.

Kann ich E2EE-Ordner mit anderen User teilen? Ja, aber nur wenn der andere User auch E2EE-fähigen Client hat. Public-Sharing geht nicht.

Funktioniert E2EE mit OnlyOffice / Collabora? Nein. Office-Server kann nicht entschlüsseln.

Was ist mit Backups? Wir machen Backups vom verschlüsselten Chiffrat. Die Backups sind genauso sicher wie das Original — aber wir können sie auch nicht entschlüsseln.

Recovery-Mnemonic verloren — gibt’s Master-Key auf Admin-Seite? Nein. Nicht für Privatsetups. In Enterprise-Konfigs gibt’s einen optionalen Recovery-Admin-Key, aber das ist eine zusätzliche Einrichtung — bei xaweho-Default nicht aktiv.

Kann ich E2EE für die ganze Cloud aktivieren? Technisch nein. Pro-Ordner-Modell. Du könntest alle Top-Level-Ordner als E2EE markieren, aber Documents-Default-Ordner mit Beispielen vorab löschen.

Ist E2EE Open Source? Ja, der Code ist Teil des Nextcloud-Projekts. Audits gab’s vom Bundesamt für Sicherheit in der Informationstechnik (BSI).

Weiter geht’s

Passende Produkte
Nextcloud Nextcloud Server
Tags
nextcloud e2ee verschluesselung datenschutz
Weitere Artikel zu Nextcloud

Erste Anmeldung als Nextcloud-Admin

Was Du nach der Bereitstellung Deiner Nextcloud machst — Login, Profil, wichtige erste Einstellungen, was wir machen und was Du machst.

Admin-GUI Übersicht — was Du wo findest

Die Verwaltungs-Einstellungen in Nextcloud sind groß. Hier eine Tour durch die wichtigsten Bereiche und was sie tun.

Benutzer und Gruppen anlegen

User für Familie, Verein oder Team anlegen, Gruppen organisieren, Quotas setzen, Login-Verhalten kontrollieren.

Sharing — Files mit anderen teilen, intern und extern

Files in Nextcloud teilen — innerhalb Deiner Cloud mit anderen Usern, mit Gruppen, oder extern per Sharing-Link.
Alle Artikel zu Nextcloud →

Hat dieser Artikel Dir geholfen?

Wenn nicht, schreib uns ein Ticket. Wenn ja, freuen wir uns über eine Empfehlung — beide bekommen 25 € Guthaben aufs Kundenkonto.

Mehr Wissens-Artikel Empfehlungsbonus